Что меняется в обработке персональных данных с 1 сентября 2022 года

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что меняется в обработке персональных данных с 1 сентября 2022 года». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.

Что входит в обязанности работодателя

С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).

Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).

Что обязан сделать работодатель:

• назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
• издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
• проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
• оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
• ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
• соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

Новая обязанность операторов персданных

Они должны:

• незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти (Роскомнадзор и др.);
• обеспечивать непрерывное взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (в частности, сообщать о причинах утечки персданных).

Кроме того, уведомлять Роскомнадзор о планах обрабатывать личную информацию нужно теперь и в случаях, когда эти сведения:

• относятся к работникам;
• принадлежат контрагентам оператора, а он использует персданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
• нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.

До 01.09.2022 в этих и некоторых других случаях извещать ведомство не нужно было.

Вдобавок оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

• в течение трех рабочих дней с момента обращения;

• или в срок, указанный в постановлении суда;

• или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Что предусмотреть в положении

Положение о конфиденциальности информации каждая компания разрабатывает исходя из своих потребностей и в зависимости от специфики деятельности. Для предприятий оборонной промышленности, а также для организаций, занимающихся разработкой и внедрением новейших технологий, наличие положения о конфиденциальности и коммерческой тайне является необходимым, а в ряде случаев и обязательным. Локальный нормативный акт состоит из множества разделов и имеет множество приложений: перечень документов, составляющих коммерческую тайну, инструкция о конфиденциальности информации, положение о защите персональных данных и другие. Для большинства организаций этот документ носит стандартный характер и призван обезопасить утечку клиентской базы, а также личных данных сотрудников.

Как правило, положение о конфиденциальности включает в себя следующие разделы:

• перечень сведений, являющихся конфиденциальными;
• соблюдение конфиденциальности;
• порядок допуска к секретным сведениям;
• порядок работы с конфиденциальной информацией;
• хранение секретных сведений и контроль за их использованием;
• ответственность за разглашение.

Что по этому поводу говорит закон

Статья о неразглашении персональных данных третьим лицам содержится в ФЗ № 152 от 27.06.2006 (ст. 7). Но факт существования этой статьи не предоставляет право директору бюджетной организации по умолчанию возлагать ответственность на работников, которые имеют доступ к личным данным.

Руководитель обязан оформлять обязательства о неразглашении сведений о работниках в соответствии с Постановлением Правительства от 15.09.2008 № 687. В пункте 6 Постановления говорится, что сотрудники, которые обрабатывают данные, должны быть проинформированы, что обрабатывают именно личные данные, а также об особенностях и правилах такой работы. Последние должны быть установлены нормативными правовыми актами.

Помимо этого, для защиты личной информации работников директор бюджетной организации обязательно издает приказ, которым назначаются лица, ответственные за обработку (ч. 1 ст. 22.1 Закона № 152-ФЗ).

Работодатель предоставляет гражданам свободные рабочие места, обязуется своевременно и в полном объеме выплачивать заработную плату и соответствующие вознаграждения за труд. Чтобы корректно организовать рабочий процесс, соблюсти требования российского законодательства, кадровая служба требует от физического лица предоставить определенный комплект документов. После получения бланков специалист и его руководитель принимают на себя обязательство о хранении и неразглашении данных.

В Трудовом Кодексе РФ порядку сбора, систематизации, обработки личной информации о трудоустроенных гражданах отведена глава четырнадцать. Отдел кадров предприятия имеет право запрашивать у физлица только документы, разрешенные законодательством и необходимые для исполнения конкретных нормативно-правовых актов. Сведения используются для содействия в получении рабочего места, образования, повышения квалификации, гаранта сохранности вверенного имущества.

В 2021 г. работодатель при утверждении объема запрашиваемых данных руководствуется ст. 86-90 ТК РФ, нормами Конституции государства. Персональные данные предоставляет непосредственно владелец или его уполномоченный представитель на основании официальной доверенности. Руководство предприятия не имеет право запрашивать прочие конфиденциальные сведения, не имеющие значения для трудоустройства, если иное не предусмотрено конкретной ситуацией и нормами законодательства. К категории запрета относятся сведения об участии в общественных объединениях и профсоюзных группах.

Ответственность за разглашение персональных данных

Всем работающим на предприятии необходимо внимательно подходить к сохранности и обработке используемых ими сведений о коллегах. Важно, чтобы сотрудник знал, что ему предоставляется доступ к особо охраняемым данным, и принял на себя обязательство соблюдать требования по обращению с ними, в том числе о неразглашении персональной информации.

Согласно ст. 90 ТК РФ, нарушение норм, регулирующих обработку и защиту персональных данных работника, влечет дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность.

Для работника существует опасность увольнения на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за такие нарушения, как разглашение коммерческой тайны, которая стала известна работнику при выполнении им трудовой функции, или разглашение конфиденциальной информации другого сотрудника.

Однако чтобы уволить по этой статье, работодателю придется доказать, что работник разгласил секретные данные (сообщил, переслал, передал, опубликовал и т. д.) либо допустил разглашение охраняемой им информации таким образом, что она стала известна третьим лицам. А также, что разглашенная информация является охраняемой в соответствии с законодательством РФ.

В КоАП введена отдельная статья о неразглашении персональных данных третьим лицам (13.14 КоАП РФ). Она предполагает наказание в виде штрафа для физических лиц — от 500 до 1000 рублей, а для должностных лиц — в размере от 4000 до 5000 рублей.

Проверяет, насколько эффективно организация и ее должностные лица «скрывают» личную информацию от посторонних, Роскомнадзор. Порядок осуществления плановых и внезапных ревизий прописаны в Постановлении Правительства от 13.02.2019 № 146. Объявление о грядущей проверке (копию приказа о назначении проверки) организации должны прислать минимум за 24 часа, если визит незапланированный, и за 3 дня, если проверка включена в план.

Когда применяется обязательство о неразглашении личных данных

В силу ст. 2, 7 закона от 27.07.2006 № 152-ФЗ (далее — закон № 152) любой оператор персональных данных обязан защищать обрабатываемую им информацию от незаконного распространения.
Пример обработки личных сведений: работодатель в лице специалиста кадровой службы заполняет трудовую книжку, личную карточку и т. п. на своего работника. Оператором тут будет организация, субъектом — специалист, на которого заполняются документы, а лицом, осуществляющим обработку, — кадровик.

Для того чтобы произвести обработку (сбор, хранение и т. д.) персональных данных работника, организации необходимо получить на это согласие от этого специалиста. Подробнее о согласии вы узнаете из материала «Согласие на обработку персональных данных — образец».

В силу п. 6.6 Положения об особенностях обработки персональных данных, утв. постановлением Правительства РФ от 15.09.2008 № 687 (далее — Положение), оператор обязан заранее предупредить сотрудника, которому будет поручено фактическое осуществление обработки:

• о самом факте его работы с информацией в рамках закона № 152;
• всех установленных законом и локальными актами правилах, связанных с выполнением порученных ему действий.

Такое предупреждение обычно оформляется в виде обязательства о неразглашении персональных данных работников.

Более полную информацию по теме вы можете найти в КонсультантПлюс. Пробный бесплатный доступ к системе на 2 дня.

Ответственность за огласку конфиденциальной информации

Лица, которые составили обязательство, после лишения доступа к персональным данным должны еще 1 год сохранять конфиденциальность этих сведений. В противном случае они могут столкнуться со следующими видами наказания.

Как работать с личными сведениями?

Ст.86 ТК РФ указывает на то, что личные данные работника являются сведениями, необходимыми работодателю для вступления в трудовые отношения с конкретной персоной, при этом конкретного перечня необходимых для этого сведений законодательство не устанавливает.

Этой же статьей вводится понятие обработки, что включает в себя получение, хранение, комбинирование, передачу или любое другое использование личных данных работника. Эти данные сотрудник указывает на бланках специальной формы при оформлении по ТК РФ.

Более детально о законном порядке хранения и использования персональных данных работников на бумажных и электронных носителях узнайте тут.

Так, сведения обрабатываются при составлении личных дел, списков работников по организации, структурным подразделениям, должностям, квалификации, утверждении штатного расписания и др. Следующие документы сопровождают обработку:

• Положение о персональных данных работников организации.
• Согласие на обработку персональных данных.
• Согласие на запрос работодателем информации от третьих лиц.
• Приказ о назначении ответственного за организацию работы с персональными данными.
• Приказ об утверждении списка лиц, обладающих правом доступа к конфиденциальной информации о сотруднике.

Все сведения, касающиеся личности работника являются конфиденциальными. На деле, это говорит о необходимости строгого ограничения доступа к ним, а лица, такой доступ имеющие (согласно приказу для выполнения своих должностных обязанностей), могут работать с ними только с согласия владельца.

Что это такое — сведения о потребителе?

Персональные данные – это любые сведения, позволяющие установить личность потребителя. Нормативной основой для работы с такого рода информацией является закон РФ «О персональных данных» от 27.07.2006 (далее – закон). В этот нормативный документ неоднократно вносились изменения и дополнения и сейчас действует его редакция от 29.07.2017.

Действие закона распространяется только на физических лиц. Персональные данные – это термин, связанный только с людьми. В понятие положение о защите и обработке персональных данных не включается информация о предприятиях, учреждениях, организациях и контрагентов.

В число конфиденциальной информации о потенциальном покупателе может входить его фамилия, имя, дата и место рождения, адрес проживания, пол, семейный статус и иные данные, имеющие отношение к конкретному человеку.

Сведения о покупателе могут быть получены лишь на основе необходимой достаточности. Это означает, что потенциальный заказчик в праве оставить лишь только ту информацию, которая является достаточной для совершения заказа работы или услуги. Как правило, это фамилия, имя отчество, место прописки, телефон. Исполнитель не вправе требовать получения дополнительной избыточной информации и может быть привлечен к ответственности за нарушение требований законодательства.

Данные прописки покупателя, как правило, истребуют для того, чтобы в случае нарушения им обязательств, подать иск. Любые претензии в суд в отношении клиентов, согласно требованиям законодательства России, подаются по месту проживания должника.

Важно! Коммерческие организации и индивидуальные предприниматели освобождены от необходимости уведомлять Роскомнадзор о том, что будут работать с материалами о потенциальных покупателях, так как эти данные получаются в связи с заключением договора.

Именно Роскомнадзор является специальным уполномоченным органом, осуществляющим контроль в области защиты персональных сведений о потенциальных приобретателях товара или услуги.

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

• наименование компании-работодателя;
• место и дата составления документа;
• фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

• каких именно персональных данных касается документ;
• в каких целях и что именно допустимо с ними делать;
• срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

Похожие записи:

• Образец заявления на отвод следователя, как написать +пример
• Дистанционная (удаленная) работа в 2022 году
• Как вывести деньги с расчетного счета ИП и ООО легально в 2022 году