На какие организации распространяются сентябрьские изменения в работе с персональными данными?
Распространяются ли поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», на коммерческие организации? Надо ли их отражать в локальных актах или других документах?
Да, поправки в Федеральный закон № 152-ФЗ[1], внесенные Федеральным законом № 266-ФЗ[2], касаются всех без исключения операторов персональных данных (ПД), которыми признаются любые юридические или физические лица (в т. ч. иностранные)[3], которые получают и используют (обрабатывают) какие-либо ПД российских граждан (работников, клиентов, партнеров, исполнителей по ГПД и т. д.).
Что касается ЛНА и иных документов, регулирующих правила обработки ПД, то их, безусловно, нужно пересмотреть и, при необходимости (а такая необходимость возникнет, скорее всего, у большинства работодателей), актуализировать. Перечислим нововведения, которые должны быть учтены в документах обычной коммерческой организации (таблица 1):
Таблица 1
Норма закона |
Какой документ пересмотреть |
Что учесть |
Подпункт «а» п. 3 ст. 1 Федерального закона № 266-ФЗ |
Договоры (трудовые, ГПХ, в т. ч. на обработку ПД другим лицом) |
Исключить положения (если они есть), которые: |
Подпункт «б» п. 3 ст. 1 Федерального закона 266-ФЗ |
Поручение (договор) на обработку ПД другому лицу (например, когда кадровый или бухгалтерский учет ведет аутсорсинговая компания) |
В поручении нужно указать: |
Пункт 4 ст. 1 Федерального закона № 266-ФЗ |
Согласие на обработку ПД |
Теперь оно должно быть не просто конкретным, информированным и сознательным, а также «предметным» и «однозначным» (однако смысл новых терминов в законе не уточняется) |
Пункт 6 ст. 1 Федерального закона № 266-ФЗ |
ЛНА, регулирующий пропускной режим |
Нельзя включать положения о том, что сдача биометрических данных (отпечатки пальцев, цифровое фото, 3D-модель лица) обязательна. Работодатель не вправе отказывать в приеме на работу или в доступе на рабочее место, если субъект ПД отказался предоставить биометрические ПД или дать согласие на их обработку |
Пункты 8, 12, 13 ст. 1 Федерального закона № 266-ФЗ |
– Положение о ПД; |
Значительно сократились сроки реагирования оператора на запросы субъекта ПД. Теперь в течение 10 рабочих дней (ранее — 30 дней), начиная с момента обращения или получения запроса, нужно: – предоставить субъекту ПД информацию, касающуюся обработки его ПД[4]; – предоставить возможность субъекту ознакомиться с его ПД, находящимися у оператора, либо дать письменный отказ в предоставлении такой информации[5]; – предоставить в Роскомнадзор запрошенные этим органом сведения[6]; – прекратить обработку ПД по требованию субъекта ПД[7].
Этот срок может быть продлен, но не более чем на пять рабочих дней, если оператор направит лицу, сделавшему запрос, мотивированное уведомление с указанием причин продления срока. Направлять сведения и информацию субъекту ПД нужно в той же форме, в какой был получен запрос, или в форме, указанной в запросе |
Пункты 9, 11, 13 ст. 1 Федерального закона № 266-ФЗ |
Расширен круг обязанностей оператора ПД. Теперь он обязан: |
|
Пункт 10 ст. 1 Федерального закона № 266-ФЗ |
– Положение о ПД; – приказы по вопросам ПД |
Теперь необходимые и достаточные меры, которые для выполнения требований Федерального закона № 152-ФЗ должен принимать каждый работодатель, окончательно стали обязательными[9]. Уточнено, что в ЛНА для каждой цели обработки ПД должны указываться: |
Нужно ли передавать в Роскомнадзор письменные согласия работников на обработку их персональных данных?
С 1 сентября в связи с изменениями, внесенными в Федеральный закон № 152-ФЗ, в Роскомнадзор необходимо подавать документ о начале обработки ПД. Нужно ли теперь подавать и согласие работников на обработку их ПД? Не совсем понятно, как это делать и как часто нужно извещать Роскомнадзор об обработке ПД.
Письменные согласия работников на обработку ПД не нужно передавать в Роспотребнадзор. Такой обязанности у операторов как не было ранее, так и не появилось с 1 сентября. Все согласия хранятся у работодателя и потребуются только при проверках, чтобы доказать, что вы обрабатываете ПД работников в соответствии с требованиями закона.
В Роскомнадзор направляются не согласия работников, а уведомление о намерении обрабатывать ПД, причем только один раз. В нем работодатель информирует, что организация осуществляет обработку ПД работников, соискателей, исполнителей по договорам ГПХ, бывших работников и исполнителей (а также покупателей, вкладчиков и т. д. — назовите нужные категории) и принимает определенные меры по их защите.
В уведомлении нет информации о каждом работнике, и к нему не нужно прикреплять согласия. При приеме новых работников уведомление заново не подается. Однако если сведения, переданные в уведомлении, изменились (основной ОКВЭД, адрес организации, виды ПД, категории субъектов ПД, принимаемые меры защиты и т. д.), в Роскомнадзор нужно будет направить заявление о внесении изменений в сведения в реестре операторов.
ОБРАТИТЕ ВНИМАНИЕ
Если организация уже есть в реестре операторов ПД в качестве работодателя и все содержащиеся в нем сведения актуальны и полны, отправлять уведомление о начале обработки ПД не нужно. Проверить наличие организации в реестре можно на портале Роскомнадзора (https://clck.ru/qCKyV).
[1] Здесь и далее: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 02.07.2021).
[2] Здесь и далее: Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности"».
[3] Пункт 1 ст. 1 Федерального закона № 266-ФЗ.
[4] Пункт 7 ст. 14 Федерального закона № 152-ФЗ.
[5] Части 1, 2 ст. 20 Федерального закона № 152-ФЗ.
[6] Часть 4 ст. 20 Федерального закона № 152-ФЗ.
[7] Пункт 5.1 ст. 21 Федерального закона № 152-ФЗ.
[8] Пункт 3 ст. 18 Федерального закона № 152- ФЗ.
[9] Часть 1 ст. 18.1 Федерального закона № 152-ФЗ.