14 июля 2022 года Президент РФ подписал закон[1], которым были внесены изменения в Федеральный закон «О персональных данных»[2]. Большинство изменений вступили в силу 1 сентября, отдельные положения начнут действовать с 1 марта 2023 года. Обсудим, какие новшества ждут кадровых работников.
Как и прежде, к персональным данным (ПД) законодатель относит любую информацию, которая может идентифицировать человека[3]. В рамках трудовых отношений такая информация может содержаться:
• на бумажных носителях (анкеты, приказы, договоры, справки, пропуска) и
• в электронном виде (ПО и базы данных, корпоративная почта или портал).
В любом случае каждый работодатель является оператором по обработке информации о работнике — субъекте ПД и обязан соблюдать требования по защите ПД.
ОБРАТИТЕ ВНИМАНИЕ
В новой редакции особо подчеркнуто, что Федеральный закон № 152-ФЗ распространяется на всех работодателей, в т. ч. и на иностранные компании, которые осуществляют обработку ПД граждан РФ (п. 1 ст. 1 Федерального закона № 266-ФЗ).
10 новых обязанностей и граничений с 1 сентября
До начала обработки работодатели должны уведомлять Роскомнадзор о своих действиях с ПД:
• работников — при оформлении и в период трудовых отношений;
• контрагентов — для исполнения условий заключенного договора;
• лиц, которым оформляются разовые пропуска на территорию.
ОБРАТИТЕ ВНИМАНИЕ
Что касается последнего пункта (оформление разовых пропусков), то здесь есть лазейка! Уведомлять Роскомнадзор должны не все, а только те, кто вносит данные в компьютер. Если работодатель не использует средства автоматизации и не намерен куда-либо передавать ПД, то отправлять отчеты в Роскомнадзор не нужно. То есть передача ПД через форму обратной связи на сайте требует уведомления Роскомнадзора, а прямое переписывание их из документа в тетрадь — нет. Такой подход закон не нарушает.
По общему правилу уведомление об обработке (о намерении осуществлять обработку) ПД нужно направлять до начала обработки[4]. Но если данные обрабатываются только в соответствии с трудовым законодательством, до 01.09.2022 направлять уведомление не требуется. Однако в связи с грядущими изменениями, чтобы избежать рисков привлечения к ответственности за неисполнение обязанности, рекомендуем направить уведомление о намерении обрабатывать ПД работников не позднее 01.09.2022.
Действующая форма уведомления установлена в Приложении № 1 к Методическим рекомендациям, утвержденным Приказом Роскомнадзора от 30.05.2017 № 94. Образец оформления приведен на официальном сайте Роскомнадзора[5].
Уведомление направляется дистанционно:
• Почтой России письмом с уведомлением о вручении (рекомендуем направлять также с описью вложения);
• в электронном виде с помощью специального сервиса на официальном сайте Роскомнадзора[6], где можно также отследить его статус.
Роскомназдор уже разработал и должен утвердить новые формы для уведомлений[7].
Для чего нужно уведомлять Роскомнадзор?
В целях защиты прав и свобод человека и гражданина при обработке его персональных данных Роскомнадзор обязан вести[8] реестр операторов, осуществляющих обработку ПД[9]. Работодателя вносят в этот реестр, и любой, кто желает проверить на законных ли основаниях работодатель собирает ПД, сможет получить эту информацию.
Что значит изменение для работодателя:
– дождаться, когда утвердят новые формы уведомлений и порядок их предоставления;
– до этого времени продолжать следовать нормам Приказа Роскомнадзора от 30.05.2017 № 94[10];
– добавить в обязанности ответственного лица по ПД отправку уведомлений в Роскомнадзор;
– встраивать механизм отправки уведомлений в свои бизнес-процессы.
Политика и иные ЛНА по вопросам обработки и защите ПД не могут содержать положения, которые ограничивают права работников, а также полномочия и обязанности работодателя, не предусмотренные законодательством РФ[11].
Кроме того, в уведомлениях Роскомнадзора и Политике об обработке ПД для каждой цели обработки следует отдельно указать категории и перечень ПД, категории субъектов, способы, сроки обработки и хранения.
Что значит изменение для работодателя:
Внести изменения в Политику об обработке ПД или создать ее заново (если не было).
При сборе ПД работнику следует разъяснять юридические последствия отказа предоставить его ПД и (или) дать согласие на их обработку[12].
Что значит изменение для работодателя:
– составить уведомление или другой внутренний документ (например, дописать пункт в согласии, которое подписывает работник), где разъясняются юридические последствия отказа;
– ознакомить работников с этим документом под роспись.
[1] Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности"» (далее — Федеральный закон № 266-ФЗ).
[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ).
[3] Статья 3 Федерального закона № 152-ФЗ.
[4] Часть 1 ст. 22 Федерального закона № 152-ФЗ.
[5] https://clck.ru/uHYpk.
[6] https://clck.ru/uHdPb.
[7] На момент сдачи журнала в типографию Роскомнадзор подготовил проект соответствующего приказа: https://clck.ru/uHLzu.
[8] Пункт 3 ч. 5 ст. 23 Федерального закона № 152-ФЗ.
[9] https://clck.ru/qCKyV.
[10] Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения» (в ред. от 30.10.2018).
[11] Пункт 10 ст. 1 Федерального закона № 266-ФЗ.
[12] Пункт 9 ст. 1 Федерального закона № 266-ФЗ.
Для физических лиц
Для юридических лиц
Подписка по каталогам