Работа с персональными данными с 1 сентября 2022 года по новым правилам

Что подразумевают под персональными данными

Персональные данные, или ПД, — это любые сведения о человеке, по которым можно его идентифицировать. Например:

• ФИО,
• пол,
• возраст,
• адрес проживания,
• номер телефона и прочее.

Если человек устраивается на работу в организацию, то подает в кадровый отдел набор документов, по которым можно его узнать:

• паспорт;
• трудовая книжка;
• свидетельство о пенсионном страховании — СНИЛС;
• диплом или другие документы, подтверждающие образование и квалификацию;
• документы воинского учета — для лиц, которых могут призвать в армию.

На основе этих документов работодатель может начислять ему зарплату, заполнить трудовую книжку и отчитаться в налоговую инспекцию и внебюджетные фонды. В этом случае работодатель становится оператором персональных данных. А любые действия с личными данными сотрудника — обработкой персданных. По закону нельзя обрабатывать, хранить и распространять информацию о человеке без его ведома. Поэтому работодатель обязан подписать с сотрудником согласие на обработку и распространение ПД. 

С 1 сентября 2022 года работа с персональными данными изменится. Регулируют нововведения федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты  РФ. 

Что изменится с 1 сентября

Придется чаще уведомлять Роскомнадзор о планах обрабатывать персональные данные персонала. Даже в рамках трудового законодательства, если, например, нужно оформить пропуск на территорию работодателя или заключить гражданско-правовой договор. Желательно проверить, зарегистрирована ли ваша компания в реестре Роскомнадзора на сайте ведомства. Если вас до сих пор там нет, то надо зарегистрироваться как оператор, который осуществляет обработку персональных данных.  Уведомление в Роскомнадзор следует отправить до 01 сентября 2022 года. Уведомление рекомендуется оформить на бланке Роскомнадзора, составить и отправить на бумажном носителе или в электронной форме. Передать уведомление можно через официальный сайт, сервис Госуслуги или по Почте России.

Сократят срок подачи уведомления с 30 суток до 10 календарных дней. Помните, что ответы должны быть достоверными. Если ваши ответы не устроят чиновников несколько раз в течение года, к вам могут прийти с внеплановой проверкой.

Запретят биометрическую обработку персональных данных подростков. Биометрические ПД —это фото, видеозапись, результаты тестов ДНК, отпечатки пальцев и прочее.  Если в штате числятся работники младше 18 лет, например взяли на лето школьников по ученическому договору, желательно удалить их фото, видео и записи голоса. Также запрещено использовать их фото на пропуске и в личном деле, видео на сайте и в соцсетях, диктофонные записи и телефонные разговоры.  Рядовой работник компании также может отказаться предоставлять биометрию работодателю, и последний обязан учесть пожелания. 

Появятся новые требования к документам по ПД. Согласие сотрудника на обработку должно быть конкретным, информированным, сознательным, предметным и однозначным. Это значит, что формулировки целей в согласии должны быть максимально точными и понятными. Особенно в документах, которые вы оформляете как дополнение к стандартным при приеме на работу.  Важно! При обработке биометрических персональных данных обязательно нужно отметить это в согласии. Если сотрудник отказывается подписывать этот документ, работодатель не вправе запрашивать фото сотрудника даже для пропуска на территорию.

Уменьшат срок ответа на запросы персонала. Если кто-то из сотрудников запросит информацию о том, как работодатель обрабатывает его персональные данные, то нужно ответить ему в течение десяти рабочих дней.  Ответ следует подготовить в той форме, в которой к вам обратился сотрудник, если в запросе работник не просит предоставить информацию иначе. Кроме того, сотрудник сможет обратиться к вам с запросом, есть ли у работодателя конкретные персональные данные о нем. Ответить или подготовить мотивированный отказ придется за 10 рабочих дней. Если у работодателя есть уважительные причины, по которым ему нужно больше времени, следует отправить сотруднику мотивированное уведомление. Тогда срок увеличится еще на пять рабочих днеи?, чтобы доработать ответ.

Следует чаще сообщать об инцидентах. Инцидент — это случайная утечка персональных данных. Если работодатель обнаружил, что к ПД его сотрудников получили доступ третьи лица и нарушили их права, он обязан сообщить  в Роскомнадзор в течение 24 часов. А в течение 72 часов — провести расследование инцидента и сообщить о его результатах. В сообщении нужно указать, кто именно из сотрудников компании виноват в происшествии и какие меры приняли. Кроме того, Роскомнадзор будет вести реестр таких инцидентов и передавать информацию в ФСБ. Если этого не сделать, работодателя могут оштрафовать на сумму от 3000 до 5000 рублей.

Подключение к ГосСОПКе. ГосСОПКа — это Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Она расследует инциденты кибератак, выявляет уязвимости информационных систем безопасности. Если в организации произошло что-то из перечисленного, то обязана передать сведения в ГосСОПКу.

Новые требования к политике конфиденциальности и локальным актам

Теперь в вашей политике для каждой цели обработки необходимо прописать:

 - категории и перечень ПД;

 - категории субъектов персональных данных;

 - способы, сроки их обработки и хранения;

 - порядок порядок уничтожения;

Эти же требования относятся и к Положению о персональных данных в организации. Раньше к положению таких требований не было. Сотрудник подписывал вариант, который предоставлял ему работодатель.

Важно! Если у вас есть сайт, где собирается информация о пользователях, вы обязаны разместить политику конфиденциальности на каждой странице сайта, на которой собираются ПД. В ЛНА по персональным данным не может быть положений, которые ограничивают права работников, а также полномочия и обязанности, которых нет в законах. Поэтому, например, в Положении о персональных данных нельзя закрепить обязанность сотрудника приносить вам новый паспорт и другие документы.

Согласие на обработку персональных данных

Напомним, что по новым правилам согласия на обработку персональных данных должны быть предметными и однозначными, а не только конкретными, информированными и сознательными.  Сейчас в ни в законе, ни в практике нет четкого определений этих понятий. Мы предполагаем, что предметность — определение цели сбора ПД или перечень действий с персональными данными. Однозначность — на что человек дает однозначное согласие при использовании его  ПД. Поэтому в формулировках согласия не должно быть абстракций.  Например, если организация передает персональные данные сотрудника в банк, не надо писать «в целях соблюдения законов и нормативных актов». По-новому будет так: «Для перечисления мне заработной платы даю согласие ООО «Аргамак» на обработку моих персональных данных и предоставление их в Сбербанк». 

Уведомление, чтобы запросить персональные данные у третьей стороны 

Все персональные данные о сотруднике следует получать от него самого. Бывает, что работодателю требуются сведения о работнике от третьих лиц, например данные от бывшего работодателя, государственных органов или вуза. Перед тем как посылать запрос в другую организацию, следует предварительно уведомить об этом сотрудника.  Уведомление нужно разработать самостоятельно. Есть определенные пункты, которые нужно указать:

 - наименование организации или ФИО ИП-работодателя;

 - цель обработки персональных данных и ее правовое основание;

 - перечень персональных данных, которые запросите у третьей стороны; предполагаемых пользователей персональных данных;

 - права работника.

Новые правила защиты ПД

Работодателю придется составить и утвердить положение о защите персональных данных. В документе важно определить, какая категория риска у каждого документа или электронного носителя персональных данных и есть ли угрозы того, что информацию получат те, у кого доступа к данным не должно быть. Раньше закон рекомендовал утверждать такой документ — теперь это обязанность.

Как хранить и уничтожать персональные данные

Способ хранения зависит от того, в каком формате представлены данные — на бумажном или цифровом носителе.

 - Бумажные ПД следует держать в сейфах или металлических несгораемых шкафах с замками или в специально оборудованных помещениях.

 - В помещении нужно установить пропускной режим или карточную систему доступа в кабинет и утвердить перечень сотрудников, которые могут заходить в такие помещения. Обычно это работники, которые обрабатывают персональные данные — кадровики и бухгалтеры.

 - Хранение электронных ПД следует обеспечить так, чтобы посторонние лица не могли получить к ним доступ. Об этом лучше проконсультироваться с IT-специалистами. Они подскажут, как правильно хранить документы в электронном виде с учетом специфики компании. Главное — чтобы у сотрудников, которые обрабатывают персональные данные, были индивидуальный логин и пароль.

 - Порядок хранения персональных данных и требования к местам хранения нужно закрепить в локальном акте.

Уничтожить ПД можно только в строго оговоренных случаях, которые указаны в пункте 3 статьи 21, статье 21 Федерального закона от 14.07.2022 № 266-ФЗ:

• когда закончился срок хранения документа;
• цель обработки достигнута или больше нет необходимости их обрабатывать; 
• неправомерно обрабатываете персональные данные; 
• сотрудник отозвал согласие, потребовав прекратить обрабатывать и распространять его персональные данные.

Способ уничтожения в законе не прописан. Каждый работодатель сам разрабатывает порядок и фиксирует его в локальном акте, например в положении о порядке уничтожения персональных данных. Главное — прописать, в каких случаях компания уничтожает персональные данные, и определить способы. В некоторых компаниях, бумажные ПД просто уничтожают в шредере или сжигают.

Дальнейшие изменения

С 1 марта 2023 года будут введены новые требования к трансграничной передаче ПД.

Если компания передает ПД за границу, необходимо направить Роскомнадзору отдельное уведомление. Роскомнадзор будет решать, запретить или разрешить передачу ПД иностранному лицу.

Ответственность 

Еще в 2021 года штрафы увеличены в два раза по сравнению с предыдущей редакцией ст. 13.11 КоАП. Установлена повышенная ответственность за повторные правонарушения.

Наказание за нарушения в работе с персональными данными — одни из самых серьезных. Даже при незначительной огласке ответственный сотрудник может получить замечание, выговор или увольнение. Кроме того, работник, чьи персональные данные были разглашены, вправе подать на работодателя в суд и взыскать компенсацию морального вреда. 

Кроме того, с 1 сентября 2022 года добавились административные штрафы, если не уведомили Роскомнадзор о намерении обрабатывать персональные данные. Они составляют:

    ·  100—300 рублей — для физлиц; 

    ·  300—500 рублей — для должностных лиц;

    ·  3000—5000 рублей — для юрлиц.