Отдаем журнал бесплатно!

Новая редакция закона о персональных данных: как реагировать работодателям

ЧТО ЕСТЬ ЧТО

Чтобы понять, какое значение имеют внесенные изменения для работодателей, разберемся сначала с терминологией:

предоставление персональных данных (далее — ПД) — это их раскрытие (передача) конкретному лицу или кругу лиц;

распространение ПД — это их передача неопределенному кругу лиц.

Таким образом, изменения касаются именно раскрытия ПД неопределенному кругу лиц.

 

ПЕРЕДАЧА НЕОПРЕДЕЛЕННОМУ КРУГУ ЛИЦ — ЭТО?

Далее посмотрим, в каких случаях работодатель передает ПД именно неопределенному кругу лиц. Например, это происходит, если он размещает:

• на своем сайте должности, фамилии, имена кого-либо из работников;

• корпоративном сайте или в социальных сетях рекламные ролики с участием работников, фотографии с корпоративных мероприятий;

• видеоотзывы работников о продукции предприятия либо печатные отзывы с указанием имен и (или) фамилий работников;

• какие-либо сведения о работниках на корпоративном сайте в разделе «Наша команда» и аналогичных;

• фамилии, имена работников в электронных и (или) бумажных телефонных справочниках, а также их личные телефонные номера;

• поздравления работникам с днем рождения и иную информацию, содержащую персональные данные работников, на информационных досках, расположенных в местах, где могут находиться посетители, пациенты, клиенты;

• таблички на дверях кабинетов с указанием должностей, фамилий и имен (или инициалов) работников.

Этот перечень можно продолжать довольно долго, однако полагаем, по аналогии с ним вы самостоятельно выявите ситуации, связанные с распространением ПД, если они имеются в организации.

 

ЧТО ИЗМЕНИЛОСЬ И КАК ДЕЙСТВОВАТЬ

Теперь мы можем разобраться:

1. Что изменилось в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 30.12.2020; далее — Федеральный закон № 152-ФЗ) для работодателей и

2. Какие действия им необходимо предпринять или все же нет необходимости что-то менять в документации по ПД.

Так, из Федерального закона № 152-ФЗ исключено понятие «общедоступные персональные данные». Так назывались ПД, которые субъект сам выкладывал в социальные сети, после чего любой оператор мог пользоваться этими ПД без его согласия.

 

Теперь ситуация изменилась принципиально: вместо общедоступных введено понятие «персональные данные, разрешенные субъектом персональных данных для распространения» (или более короткий вариант: «ПД, разрешенные субъектом для распространения») и доступ неограниченного круга лиц к таким ПД может быть предоставлен субъектом ПД только осознанно, путем дачи согласия на их обработку.

Таким образом, теперь любые персональные данные могут обрабатываться оператором только с письменного согласия человека (если, конечно, нет требования об обработке, установленного законодательством России).

 

О СОГЛАСИИ НА РАСПРОСТРАНЕНИЕ ПД

Теперь выясним, что говорит новая редакция закона об оформлении согласия.

Согласие на распространение ПД оформляется отдельно от иных согласий субъекта ПД на обработку его ПД (ч. 1 ст. 10.1 Федерального закона № 152-ФЗ).

То, что согласие должно быть отдельным, удобно для кадровиков, поскольку при этом не требуется переоформлять уже имеющиеся согласия.

Удобно также и то, что согласие не обязательно должно быть письменным: оно может быть предоставлено с использованием информационной системы работодателя либо Роскомнадзора (последняя пока не создана), т. е. в электронной форме (ч. 4 ст. 9 Федерального закона № 152-ФЗ).

Правда, пока остается открытым (не установлен нормативно и не разъяснен на официальном уровне) вопрос о способе подписания электронного согласия: необходима УКЭП/УНЭП[1] или достаточно простой электронной подписи (логин + пароль). Впрочем, отсутствие требования об усиленной электронной подписи позволяет предположить, что может использоваться простая подпись, поскольку она также позволяет подтвердить факт его направления работником и получения работодателем.

Таким образом, согласие, по-видимому, может быть оформлено через электронную почту работника, его личный кабинет на сайте работодателя либо специальную форму на сайте работодателя.

Оформляя согласие, работодатель обязан обеспечить работнику возможность определить перечень ПД по каждой категории, указанной в согласии.

ВНОСИТЬ ЛИ ИЗМЕНЕНИЯ В ЛНА?

И в заключение обсудим, нужно ли вносить какие-либо изменения в локальные нормативные акты (ЛНА) работодателя.

В Федеральном законе № 152-ФЗ нет определенных требований по закреплению в ЛНА именно этого способа обработки ПД (их распространение). Однако ст. 18.1 закона предусмотрено издание:

• как локальных актов по вопросам обработки ПД,

• так и локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Следовательно, если работодатель применяет рассматриваемый способ обработки ПД (их распространение), следует проверить, предусмотрен ли он в ЛНА (например, в Положении о ПД) и соответствуют ли нормы этого ЛНА действующей редакции Федерального закона № 152-ФЗ. И если будет выявлена недостаточность правового регулирования на уровне работодателя, необходимо внести изменения в ЛНА одним из следующих способов:

• путем утверждения нового ЛНА либо

• путем издания приказа о внесении изменений/дополнений в действующий ЛНА.

 


[1] Усиленная квалифицированная электронная подпись (усиленная неквалифицированная электронная подпись).

И. В. Журавлева,
консультант по трудовому праву и кадровому учету

Статья опубликована в журнале «Кадровые решения» № 4, 2021.

Отдаем журнал бесплатно!

Новая редакция закона о персональных данных: как реагировать работодателям

ЧТО ЕСТЬ ЧТО

Чтобы понять, какое значение имеют внесенные изменения для работодателей, разберемся сначала с терминологией:

предоставление персональных данных (далее — ПД) — это их раскрытие (передача) конкретному лицу или кругу лиц;

распространение ПД — это их передача неопределенному кругу лиц.

Таким образом, изменения касаются именно раскрытия ПД неопределенному кругу лиц.

 

ПЕРЕДАЧА НЕОПРЕДЕЛЕННОМУ КРУГУ ЛИЦ — ЭТО?

Далее посмотрим, в каких случаях работодатель передает ПД именно неопределенному кругу лиц. Например, это происходит, если он размещает:

• на своем сайте должности, фамилии, имена кого-либо из работников;

• корпоративном сайте или в социальных сетях рекламные ролики с участием работников, фотографии с корпоративных мероприятий;

• видеоотзывы работников о продукции предприятия либо печатные отзывы с указанием имен и (или) фамилий работников;

• какие-либо сведения о работниках на корпоративном сайте в разделе «Наша команда» и аналогичных;

• фамилии, имена работников в электронных и (или) бумажных телефонных справочниках, а также их личные телефонные номера;

• поздравления работникам с днем рождения и иную информацию, содержащую персональные данные работников, на информационных досках, расположенных в местах, где могут находиться посетители, пациенты, клиенты;

• таблички на дверях кабинетов с указанием должностей, фамилий и имен (или инициалов) работников.

Этот перечень можно продолжать довольно долго, однако полагаем, по аналогии с ним вы самостоятельно выявите ситуации, связанные с распространением ПД, если они имеются в организации.

 

ЧТО ИЗМЕНИЛОСЬ И КАК ДЕЙСТВОВАТЬ

Теперь мы можем разобраться:

1. Что изменилось в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 30.12.2020; далее — Федеральный закон № 152-ФЗ) для работодателей и

2. Какие действия им необходимо предпринять или все же нет необходимости что-то менять в документации по ПД.

Так, из Федерального закона № 152-ФЗ исключено понятие «общедоступные персональные данные». Так назывались ПД, которые субъект сам выкладывал в социальные сети, после чего любой оператор мог пользоваться этими ПД без его согласия.

 

Теперь ситуация изменилась принципиально: вместо общедоступных введено понятие «персональные данные, разрешенные субъектом персональных данных для распространения» (или более короткий вариант: «ПД, разрешенные субъектом для распространения») и доступ неограниченного круга лиц к таким ПД может быть предоставлен субъектом ПД только осознанно, путем дачи согласия на их обработку.

Таким образом, теперь любые персональные данные могут обрабатываться оператором только с письменного согласия человека (если, конечно, нет требования об обработке, установленного законодательством России).

 

О СОГЛАСИИ НА РАСПРОСТРАНЕНИЕ ПД

Теперь выясним, что говорит новая редакция закона об оформлении согласия.

Согласие на распространение ПД оформляется отдельно от иных согласий субъекта ПД на обработку его ПД (ч. 1 ст. 10.1 Федерального закона № 152-ФЗ).

То, что согласие должно быть отдельным, удобно для кадровиков, поскольку при этом не требуется переоформлять уже имеющиеся согласия.

Удобно также и то, что согласие не обязательно должно быть письменным: оно может быть предоставлено с использованием информационной системы работодателя либо Роскомнадзора (последняя пока не создана), т. е. в электронной форме (ч. 4 ст. 9 Федерального закона № 152-ФЗ).

Правда, пока остается открытым (не установлен нормативно и не разъяснен на официальном уровне) вопрос о способе подписания электронного согласия: необходима УКЭП/УНЭП[1] или достаточно простой электронной подписи (логин + пароль). Впрочем, отсутствие требования об усиленной электронной подписи позволяет предположить, что может использоваться простая подпись, поскольку она также позволяет подтвердить факт его направления работником и получения работодателем.

Таким образом, согласие, по-видимому, может быть оформлено через электронную почту работника, его личный кабинет на сайте работодателя либо специальную форму на сайте работодателя.

Оформляя согласие, работодатель обязан обеспечить работнику возможность определить перечень ПД по каждой категории, указанной в согласии.

ВНОСИТЬ ЛИ ИЗМЕНЕНИЯ В ЛНА?

И в заключение обсудим, нужно ли вносить какие-либо изменения в локальные нормативные акты (ЛНА) работодателя.

В Федеральном законе № 152-ФЗ нет определенных требований по закреплению в ЛНА именно этого способа обработки ПД (их распространение). Однако ст. 18.1 закона предусмотрено издание:

• как локальных актов по вопросам обработки ПД,

• так и локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Следовательно, если работодатель применяет рассматриваемый способ обработки ПД (их распространение), следует проверить, предусмотрен ли он в ЛНА (например, в Положении о ПД) и соответствуют ли нормы этого ЛНА действующей редакции Федерального закона № 152-ФЗ. И если будет выявлена недостаточность правового регулирования на уровне работодателя, необходимо внести изменения в ЛНА одним из следующих способов:

• путем утверждения нового ЛНА либо

• путем издания приказа о внесении изменений/дополнений в действующий ЛНА.

 


[1] Усиленная квалифицированная электронная подпись (усиленная неквалифицированная электронная подпись).

И. В. Журавлева,
консультант по трудовому праву и кадровому учету

Статья опубликована в журнале «Кадровые решения» № 4, 2021.

Подписка для физических лицДля физических лиц Подписка для юридических лицДля юридических лиц Подписка по каталогамПодписка по каталогам