Отдаем журнал бесплатно!

Работаем с персональными данными правильно: ответы на самые актуальные вопросы

 

На какие организации распространяются сентябрьские изменения в работе с персональными данными?

Распространяются ли поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», на коммерческие организации? Надо ли их отражать в локальных актах или других документах?

Да, поправки в Федеральный закон № 152-ФЗ[1], внесенные Федеральным законом № 266-ФЗ[2], касаются всех без исключения операторов персональных данных (ПД), которыми признаются любые юридические или физические лица (в т. ч. иностранные)[3], которые получают и используют (обрабатывают) какие-либо ПД российских граждан (работников, клиентов, партнеров, исполнителей по ГПД и т. д.).

Что касается ЛНА и иных документов, регулирующих правила обработки ПД, то их, безусловно, нужно пересмотреть и, при необходимости (а такая необходимость возникнет, скорее всего, у большинства работодателей), актуализировать. Перечислим нововведения, которые должны быть учтены в документах обычной коммерческой организации (таблица 1):

Таблица 1

Норма закона

Какой документ пересмотреть

Что учесть

Подпункт «а» п. 3 ст. 1 Федерального закона № 266-ФЗ

Договоры (трудовые, ГПХ, в т. ч. на обработку ПД другим лицом)

Исключить положения (если они есть), которые:
– ограничивают права и свободы субъекта ПД;
– устанавливают случаи обработки ПД несовершеннолетних, если иное не предусмотрено законодательством РФ;
– допускают в качестве условия заключения договора бездействие субъекта ПД

Подпункт «б» п. 3 ст. 1 Федерального закона 266-ФЗ

Поручение (договор) на обработку ПД другому лицу (например, когда кадровый или бухгалтерский учет ведет аутсорсинговая компания)

В поручении нужно указать:
– перечень ПД и действий с ними, которые будет совершать данное лицо;
– цели обработки ПД;
– обязанность этого лица соблюдать конфиденциальность ПД и требования ст. 18 и 18.1 Федерального закона № 152-ФЗ;
– обязанность предоставлять оператору документы и иную информацию, подтверждающую принятие мер по безопасности ПД;
– требования к защите ПД в соответствии со ст. 19, ч. 3.1 ст. 21 Федерального закона № 125-ФЗ

Пункт 4 ст. 1 Федерального закона № 266-ФЗ

Согласие на обработку ПД

Теперь оно должно быть не просто конкретным, информированным и сознательным, а также «предметным» и «однозначным» (однако смысл новых терминов в законе не уточняется)

Пункт 6 ст. 1 Федерального закона № 266-ФЗ

ЛНА, регулирующий пропускной режим

Нельзя включать положения о том, что сдача биометрических данных (отпечатки пальцев, цифровое фото, 3D-модель лица) обязательна. Работодатель не вправе отказывать в приеме на работу или в доступе на рабочее место, если субъект ПД отказался предоставить биометрические ПД или дать согласие на их обработку

Пункты 8, 12, 13 ст. 1 Федерального закона № 266-ФЗ

– Положение о ПД;
– Политика обработки ПД;
– инструкция ответственного за ПД

Значительно сократились сроки реагирования оператора на запросы субъекта ПД. Теперь в течение 10 рабочих дней (ранее — 30 дней), начиная с момента обращения или получения запроса, нужно:

– предоставить субъекту ПД информацию, касающуюся обработки его ПД[4];

– предоставить возможность субъекту ознакомиться с его ПД, находящимися у оператора, либо дать письменный отказ в предоставлении такой информации[5];

– предоставить в Роскомнадзор запрошенные этим органом сведения[6];

– прекратить обработку ПД по требованию субъекта ПД[7].

 

Этот срок может быть продлен, но не более чем на пять рабочих дней, если оператор направит лицу, сделавшему запрос, мотивированное уведомление с указанием причин продления срока.

Направлять сведения и информацию субъекту ПД нужно в той же форме, в какой был получен запрос, или в форме, указанной в запросе

Пункты 9, 11, 13 ст. 1 Федерального закона № 266-ФЗ

Расширен круг обязанностей оператора ПД. Теперь он обязан:
– разъяснять субъекту ПД юридические последствия отказа предоставить ПД и (или) дать согласие на их обработку, если предоставление этих ПД или согласие являются обязательными;
– предоставить субъекту ПД информацию о том, какие данные о нем он будет обрабатывать, если эти ПД получены не от субъекта ПД[8];
– обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Порядок информирования будет установлен позднее;
– уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов ПД, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий инцидента. Оценка вреда будет проводиться в соответствии с требованиями Роскомнадзора (пока не установлены);
–- в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки ПД

Пункт 10 ст. 1 Федерального закона № 266-ФЗ

– Положение о ПД;
– Политика обработки ПД;

– приказы по вопросам ПД

Теперь необходимые и достаточные меры, которые для выполнения требований Федерального закона № 152-ФЗ должен принимать каждый работодатель, окончательно стали обязательными[9].

Уточнено, что в ЛНА для каждой цели обработки ПД должны указываться:
– категории и перечень обрабатываемых ПД;
– способы и сроки обработки и хранения данных;
– порядок уничтожения ПД

Нужно ли передавать в Роскомнадзор письменные согласия работников на обработку их персональных данных?

С 1 сентября в связи с изменениями, внесенными в Федеральный закон № 152-ФЗ, в Роскомнадзор необходимо подавать документ о начале обработки ПД. Нужно ли теперь подавать и согласие работников на обработку их ПД? Не совсем понятно, как это делать и как часто нужно извещать Роскомнадзор об обработке ПД.

Письменные согласия работников на обработку ПД не нужно передавать в Роспотребнадзор. Такой обязанности у операторов как не было ранее, так и не появилось с 1 сентября. Все согласия хранятся у работодателя и потребуются только при проверках, чтобы доказать, что вы обрабатываете ПД работников в соответствии с требованиями закона.

 

В Роскомнадзор направляются не согласия работников, а уведомление о намерении обрабатывать ПД, причем только один раз. В нем работодатель информирует, что организация осуществляет обработку ПД работников, соискателей, исполнителей по договорам ГПХ, бывших работников и исполнителей (а также покупателей, вкладчиков и т. д. — назовите нужные категории) и принимает определенные меры по их защите.

В уведомлении нет информации о каждом работнике, и к нему не нужно прикреплять согласия. При приеме новых работников уведомление заново не подается. Однако если сведения, переданные в уведомлении, изменились (основной ОКВЭД, адрес организации, виды ПД, категории субъектов ПД, принимаемые меры защиты и т. д.), в Роскомнадзор нужно будет направить заявление о внесении изменений в сведения в реестре операторов.

ОБРАТИТЕ ВНИМАНИЕ 
Если организация уже есть в реестре операторов ПД в качестве работодателя и все содержащиеся в нем сведения актуальны и полны, отправлять уведомление о начале обработки ПД не нужно. Проверить наличие организации в реестре можно на портале Роскомнадзора (https://clck.ru/qCKyV).

 


[1] Здесь и далее: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 02.07.2021).

[2] Здесь и далее: Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности"».

[3] Пункт 1 ст. 1 Федерального закона № 266-ФЗ.

[4] Пункт 7 ст. 14 Федерального закона № 152-ФЗ.

[5] Части 1, 2 ст. 20 Федерального закона № 152-ФЗ.

[6] Часть 4 ст. 20 Федерального закона № 152-ФЗ.

[7] Пункт 5.1 ст. 21 Федерального закона № 152-ФЗ.

[8] Пункт 3 ст. 18 Федерального закона № 152- ФЗ.

[9] Часть 1 ст. 18.1 Федерального закона № 152-ФЗ.

А. Н. Славинская,
специалист по кадрам

Материал публикуется частично. Полностью его можно прочитать в журнале «Кадровые решения» № 10, 2022.

Отдаем журнал бесплатно!

Работаем с персональными данными правильно: ответы на самые актуальные вопросы

 

На какие организации распространяются сентябрьские изменения в работе с персональными данными?

Распространяются ли поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», на коммерческие организации? Надо ли их отражать в локальных актах или других документах?

Да, поправки в Федеральный закон № 152-ФЗ[1], внесенные Федеральным законом № 266-ФЗ[2], касаются всех без исключения операторов персональных данных (ПД), которыми признаются любые юридические или физические лица (в т. ч. иностранные)[3], которые получают и используют (обрабатывают) какие-либо ПД российских граждан (работников, клиентов, партнеров, исполнителей по ГПД и т. д.).

Что касается ЛНА и иных документов, регулирующих правила обработки ПД, то их, безусловно, нужно пересмотреть и, при необходимости (а такая необходимость возникнет, скорее всего, у большинства работодателей), актуализировать. Перечислим нововведения, которые должны быть учтены в документах обычной коммерческой организации (таблица 1):

Таблица 1

Норма закона

Какой документ пересмотреть

Что учесть

Подпункт «а» п. 3 ст. 1 Федерального закона № 266-ФЗ

Договоры (трудовые, ГПХ, в т. ч. на обработку ПД другим лицом)

Исключить положения (если они есть), которые:
– ограничивают права и свободы субъекта ПД;
– устанавливают случаи обработки ПД несовершеннолетних, если иное не предусмотрено законодательством РФ;
– допускают в качестве условия заключения договора бездействие субъекта ПД

Подпункт «б» п. 3 ст. 1 Федерального закона 266-ФЗ

Поручение (договор) на обработку ПД другому лицу (например, когда кадровый или бухгалтерский учет ведет аутсорсинговая компания)

В поручении нужно указать:
– перечень ПД и действий с ними, которые будет совершать данное лицо;
– цели обработки ПД;
– обязанность этого лица соблюдать конфиденциальность ПД и требования ст. 18 и 18.1 Федерального закона № 152-ФЗ;
– обязанность предоставлять оператору документы и иную информацию, подтверждающую принятие мер по безопасности ПД;
– требования к защите ПД в соответствии со ст. 19, ч. 3.1 ст. 21 Федерального закона № 125-ФЗ

Пункт 4 ст. 1 Федерального закона № 266-ФЗ

Согласие на обработку ПД

Теперь оно должно быть не просто конкретным, информированным и сознательным, а также «предметным» и «однозначным» (однако смысл новых терминов в законе не уточняется)

Пункт 6 ст. 1 Федерального закона № 266-ФЗ

ЛНА, регулирующий пропускной режим

Нельзя включать положения о том, что сдача биометрических данных (отпечатки пальцев, цифровое фото, 3D-модель лица) обязательна. Работодатель не вправе отказывать в приеме на работу или в доступе на рабочее место, если субъект ПД отказался предоставить биометрические ПД или дать согласие на их обработку

Пункты 8, 12, 13 ст. 1 Федерального закона № 266-ФЗ

– Положение о ПД;
– Политика обработки ПД;
– инструкция ответственного за ПД

Значительно сократились сроки реагирования оператора на запросы субъекта ПД. Теперь в течение 10 рабочих дней (ранее — 30 дней), начиная с момента обращения или получения запроса, нужно:

– предоставить субъекту ПД информацию, касающуюся обработки его ПД[4];

– предоставить возможность субъекту ознакомиться с его ПД, находящимися у оператора, либо дать письменный отказ в предоставлении такой информации[5];

– предоставить в Роскомнадзор запрошенные этим органом сведения[6];

– прекратить обработку ПД по требованию субъекта ПД[7].

 

Этот срок может быть продлен, но не более чем на пять рабочих дней, если оператор направит лицу, сделавшему запрос, мотивированное уведомление с указанием причин продления срока.

Направлять сведения и информацию субъекту ПД нужно в той же форме, в какой был получен запрос, или в форме, указанной в запросе

Пункты 9, 11, 13 ст. 1 Федерального закона № 266-ФЗ

Расширен круг обязанностей оператора ПД. Теперь он обязан:
– разъяснять субъекту ПД юридические последствия отказа предоставить ПД и (или) дать согласие на их обработку, если предоставление этих ПД или согласие являются обязательными;
– предоставить субъекту ПД информацию о том, какие данные о нем он будет обрабатывать, если эти ПД получены не от субъекта ПД[8];
– обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Порядок информирования будет установлен позднее;
– уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов ПД, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий инцидента. Оценка вреда будет проводиться в соответствии с требованиями Роскомнадзора (пока не установлены);
–- в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки ПД

Пункт 10 ст. 1 Федерального закона № 266-ФЗ

– Положение о ПД;
– Политика обработки ПД;

– приказы по вопросам ПД

Теперь необходимые и достаточные меры, которые для выполнения требований Федерального закона № 152-ФЗ должен принимать каждый работодатель, окончательно стали обязательными[9].

Уточнено, что в ЛНА для каждой цели обработки ПД должны указываться:
– категории и перечень обрабатываемых ПД;
– способы и сроки обработки и хранения данных;
– порядок уничтожения ПД

Нужно ли передавать в Роскомнадзор письменные согласия работников на обработку их персональных данных?

С 1 сентября в связи с изменениями, внесенными в Федеральный закон № 152-ФЗ, в Роскомнадзор необходимо подавать документ о начале обработки ПД. Нужно ли теперь подавать и согласие работников на обработку их ПД? Не совсем понятно, как это делать и как часто нужно извещать Роскомнадзор об обработке ПД.

Письменные согласия работников на обработку ПД не нужно передавать в Роспотребнадзор. Такой обязанности у операторов как не было ранее, так и не появилось с 1 сентября. Все согласия хранятся у работодателя и потребуются только при проверках, чтобы доказать, что вы обрабатываете ПД работников в соответствии с требованиями закона.

 

В Роскомнадзор направляются не согласия работников, а уведомление о намерении обрабатывать ПД, причем только один раз. В нем работодатель информирует, что организация осуществляет обработку ПД работников, соискателей, исполнителей по договорам ГПХ, бывших работников и исполнителей (а также покупателей, вкладчиков и т. д. — назовите нужные категории) и принимает определенные меры по их защите.

В уведомлении нет информации о каждом работнике, и к нему не нужно прикреплять согласия. При приеме новых работников уведомление заново не подается. Однако если сведения, переданные в уведомлении, изменились (основной ОКВЭД, адрес организации, виды ПД, категории субъектов ПД, принимаемые меры защиты и т. д.), в Роскомнадзор нужно будет направить заявление о внесении изменений в сведения в реестре операторов.

ОБРАТИТЕ ВНИМАНИЕ 
Если организация уже есть в реестре операторов ПД в качестве работодателя и все содержащиеся в нем сведения актуальны и полны, отправлять уведомление о начале обработки ПД не нужно. Проверить наличие организации в реестре можно на портале Роскомнадзора (https://clck.ru/qCKyV).

 


[1] Здесь и далее: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 02.07.2021).

[2] Здесь и далее: Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности"».

[3] Пункт 1 ст. 1 Федерального закона № 266-ФЗ.

[4] Пункт 7 ст. 14 Федерального закона № 152-ФЗ.

[5] Части 1, 2 ст. 20 Федерального закона № 152-ФЗ.

[6] Часть 4 ст. 20 Федерального закона № 152-ФЗ.

[7] Пункт 5.1 ст. 21 Федерального закона № 152-ФЗ.

[8] Пункт 3 ст. 18 Федерального закона № 152- ФЗ.

[9] Часть 1 ст. 18.1 Федерального закона № 152-ФЗ.

А. Н. Славинская,
специалист по кадрам

Материал публикуется частично. Полностью его можно прочитать в журнале «Кадровые решения» № 10, 2022.

Подписка для физических лицДля физических лиц Подписка для юридических лицДля юридических лиц Подписка по каталогамПодписка по каталогам