Вход
Регистрация
Избранное (0)
Подпишитесь на рассылку

Как работать с персональными данными в компании: новые требования 2022

15.11.2022

С 1 сентября 2022 года работать с персональными данными (ПД) нужно по новым правилам. Федеральным законом от 14.07.2022 № 266-ФЗ внесли поправки в Закон от 27.07.2006 № 152-ФЗ «О персональных данных». Они коснулись порядка и правил работы с персональными данными, получения согласия, прекращения обработки, уведомления Роскомнадзора.

Что входит в обязанности работодателя

С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).

Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).

Что обязан сделать работодатель:

  • назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
  • издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
  • проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
  • оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
  • ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
  • соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

  • персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
  • персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Как поступить при утечке данных

Если работодатель установит факт случайной или неправомерной передачи, предоставление и распространение ПД, он должен в установленном порядке сообщить об этом в Роскомнадзор (ч. 3.1 ст. 21Закона № 152-ФЗ):

  • в течение 24 часов — о выявленных инцидентах, предполагаемых причинах и возможном вреде;
  • в течение 72 часов — о результатах внутреннего расследования внутреннего инцидента.

О компьютерных сбоях, которые повлекли неправомерную передачу персональных данных, следует сообщать через государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ч. 12-14 ст. 19 Закона № 152-ФЗ).

Какие есть требования к согласию на обработку ПД

Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:

  • цели обработки персональных данных;
  • перечня персональных данных, на обработку которых даёт согласие их субъект;
  • наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
  • перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
  • срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!

Для каждой цели обработки персональных данных нужно отдельно указывать:

  • категории и перечень персональных данных
  • категории субъектов, персональные данные которых обрабатываются;
  • способы и сроки хранения персональных данных;
  • порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

  • перечень обрабатываемых персональных данных;
  • обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
  • обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
  • обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Правила обработки ПД работают и в отношении иностранных организаций и физлиц (ч. 1.1 ст. 1 Закона № 152-ФЗ). Положения закона применяются к случаям, когда ПД граждан РФ обрабатываются на основании договора (соглашения) или на основании согласия гражданина на обработку ПД.

Ответственность перед субъектом ПД при этом несёт как само обрабатывающее ПД лицо, так и оператор ПД (ч. 6 ст. 6 Закона № 152-ФЗ).

Когда следует прекратить обработку ПД

По общему правилу, оператор ПД должен в течение 10 рабочих дней обеспечить прекращение обработки ПД при обращении субъекта ПД с таким требованием.

Срок можно продлить, но не более чем на пять рабочих дней. Для этого оператор должен направить в адрес субъекта ПД мотивированное уведомление с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ).

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

Рекомендуем

Как организовать работу с персональными данными в компании: новые требования законодательства, ответственность за несоблюдение, претензии Роскомнадзора. Семинар в Москве + Онлайн-трансляция

В России проходит реформа законодательства о персональных данных. С 1 сентября 2022 года вступили в силу наиболее значительные правки к Федеральному закону «О персональных данных» за все время его существования. На семинаре слушатели рассмотрят основные нововведения 2022 года, особенности получения согласия на обработку персональных данных, новые правила трансграничной передачи данных, вопросы договорного оформления поручения на обработку персональных данных, основные нарушения и меры ответственности.

К списку статей

Нравится
Комментарии 0Комментировать

Авторизоваться - для того, чтобы оставить комментарий.

Вам могут быть также интересны семинары: