- Современные технологии управления персоналом
- Новое в законодательстве
- Практика применения трудового законодательства
- Кадровое делопроизводство
- Трудовая книжка
- Трудовые споры
- Охрана труда
- Оплата труда
- Рабочее время
- Социальное обеспечение
- Пенсионное обеспечение
- Бухгалтерия и кадры
- Надзор и контроль
- Архивное дело
- Зарубежный опыт
- Кадровый менеджмент
- Рекрутинг
- Банк документов
- Мотивация труда
- Контрольная работа
- Время отдыха
На какие организации распространяются сентябрьские изменения в работе с персональными данными?
Вопрос:
Распространяются ли поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», на коммерческие организации? Надо ли их отражать в локальных актах или других документах?
Ответ:
Да, поправки в Федеральный закон № 152-ФЗ, внесенные Федеральным законом № 266-ФЗ, касаются всех без исключения операторов персональных данных (ПД), которыми признаются любые юридические или физические лица (в т. ч. иностранные), которые получают и используют (обрабатывают) какие-либо ПД российских граждан (работников, клиентов, партнеров, исполнителей по ГПД и т. д.).
Что касается ЛНА и иных документов, регулирующих правила обработки ПД, то их, безусловно, нужно пересмотреть и, при необходимости (а такая необходимость возникнет, скорее всего, у большинства работодателей), актуализировать. Перечислим нововведения, которые должны быть учтены в документах обычной коммерческой организации:
Норма закона |
Какой документ пересмотреть |
Что учесть |
Подпункт «а» п. 3 ст. 1 Федерального закона № 266-ФЗ |
Договоры (трудовые, ГПХ, в т. ч. на обработку ПД другим лицом) |
Исключить положения (если они есть), которые: – ограничивают права и свободы субъекта ПД; – устанавливают случаи обработки ПД несовершеннолетних, если иное не предусмотрено законодательством РФ; – допускают в качестве условия заключения договора бездействие субъекта ПД |
Подпункт «б» п. 3 ст. 1 Федерального закона 266-ФЗ |
Поручение (договор) на обработку ПД другому лицу (например, когда кадровый или бухгалтерский учет ведет аутсорсинговая компания) |
В поручении нужно указать: – перечень ПД и действий с ними, которые будет совершать данное лицо; – цели обработки ПД; – обязанность этого лица соблюдать конфиденциальность ПД и требования ст. 18 и 18.1 Федерального закона № 152-ФЗ; – обязанность предоставлять оператору документы и иную информацию, подтверждающую принятие мер по безопасности ПД; – требования к защите ПД в соответствии со ст. 19, ч. 3.1 ст. 21 Федерального закона № 125-ФЗ |
Пункт 4 ст. 1 Федерального закона № 266-ФЗ |
Согласие на обработку ПД |
Теперь оно должно быть не просто конкретным, информированным и сознательным, а также «предметным» и «однозначным» (однако смысл новых терминов в законе не уточняется) |
Пункт 6 ст. 1 Федерального закона № 266-ФЗ |
ЛНА, регулирующий пропускной режим |
Нельзя включать положения о том, что сдача биометрических данных (отпечатки пальцев, цифровое фото, 3D-модель лица) обязательна. Работодатель не вправе отказывать в приеме на работу или в доступе на рабочее место, если субъект ПД отказался предоставить биометрические ПД или дать согласие на их обработку |
Пункты 8, 12, 13 ст. 1 Федерального закона № 266-ФЗ |
– Положение о ПД; – Политика обработки ПД; – инструкция ответственного за ПД |
Значительно сократились сроки реагирования оператора на запросы субъекта ПД. Теперь в течение 10 рабочих дней (ранее — 30 дней), начиная с момента обращения или получения запроса, нужно: – предоставить субъекту ПД информацию, касающуюся обработки его ПД; – предоставить возможность субъекту ознакомиться с его ПД, находящимися у оператора, либо дать письменный отказ в предоставлении такой информации; – предоставить в Роскомнадзор запрошенные этим органом сведения; – прекратить обработку ПД по требованию субъекта ПД.
Этот срок может быть продлен, но не более чем на пять рабочих дней, если оператор направит лицу, сделавшему запрос, мотивированное уведомление с указанием причин продления срока. Направлять сведения и информацию субъекту ПД нужно в той же форме, в какой был получен запрос, или в форме, указанной в запросе |
Пункты 9, 11, 13 ст. 1 Федерального закона № 266-ФЗ |
Расширен круг обязанностей оператора ПД. Теперь он обязан: – разъяснять субъекту ПД юридические последствия отказа предоставить ПД и (или) дать согласие на их обработку, если предоставление этих ПД или согласие являются обязательными; – предоставить субъекту ПД информацию о том, какие данные о нем он будет обрабатывать, если эти ПД получены не от субъекта ПД; – обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Порядок информирования будет установлен позднее; – уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов ПД, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий инцидента. Оценка вреда будет проводиться в соответствии с требованиями Роскомнадзора (пока не установлены); –- в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки ПД |
|
Пункт 10 ст. 1 Федерального закона № 266-ФЗ |
– Положение о ПД; – Политика обработки ПД; – приказы по вопросам ПД |
Теперь необходимые и достаточные меры, которые для выполнения требований Федерального закона № 152-ФЗ должен принимать каждый работодатель, окончательно стали обязательными. Уточнено, что в ЛНА для каждой цели обработки ПД должны указываться: – категории и перечень обрабатываемых ПД; – способы и сроки обработки и хранения данных; – порядок уничтожения ПД |
А. Н. Славинская,
специалист по кадрам
На какие организации распространяются сентябрьские изменения в работе с персональными данными?
Вопрос:
Распространяются ли поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», на коммерческие организации? Надо ли их отражать в локальных актах или других документах?
Ответ:
Да, поправки в Федеральный закон № 152-ФЗ, внесенные Федеральным законом № 266-ФЗ, касаются всех без исключения операторов персональных данных (ПД), которыми признаются любые юридические или физические лица (в т. ч. иностранные), которые получают и используют (обрабатывают) какие-либо ПД российских граждан (работников, клиентов, партнеров, исполнителей по ГПД и т. д.).
Что касается ЛНА и иных документов, регулирующих правила обработки ПД, то их, безусловно, нужно пересмотреть и, при необходимости (а такая необходимость возникнет, скорее всего, у большинства работодателей), актуализировать. Перечислим нововведения, которые должны быть учтены в документах обычной коммерческой организации:
Норма закона |
Какой документ пересмотреть |
Что учесть |
Подпункт «а» п. 3 ст. 1 Федерального закона № 266-ФЗ |
Договоры (трудовые, ГПХ, в т. ч. на обработку ПД другим лицом) |
Исключить положения (если они есть), которые: – ограничивают права и свободы субъекта ПД; – устанавливают случаи обработки ПД несовершеннолетних, если иное не предусмотрено законодательством РФ; – допускают в качестве условия заключения договора бездействие субъекта ПД |
Подпункт «б» п. 3 ст. 1 Федерального закона 266-ФЗ |
Поручение (договор) на обработку ПД другому лицу (например, когда кадровый или бухгалтерский учет ведет аутсорсинговая компания) |
В поручении нужно указать: – перечень ПД и действий с ними, которые будет совершать данное лицо; – цели обработки ПД; – обязанность этого лица соблюдать конфиденциальность ПД и требования ст. 18 и 18.1 Федерального закона № 152-ФЗ; – обязанность предоставлять оператору документы и иную информацию, подтверждающую принятие мер по безопасности ПД; – требования к защите ПД в соответствии со ст. 19, ч. 3.1 ст. 21 Федерального закона № 125-ФЗ |
Пункт 4 ст. 1 Федерального закона № 266-ФЗ |
Согласие на обработку ПД |
Теперь оно должно быть не просто конкретным, информированным и сознательным, а также «предметным» и «однозначным» (однако смысл новых терминов в законе не уточняется) |
Пункт 6 ст. 1 Федерального закона № 266-ФЗ |
ЛНА, регулирующий пропускной режим |
Нельзя включать положения о том, что сдача биометрических данных (отпечатки пальцев, цифровое фото, 3D-модель лица) обязательна. Работодатель не вправе отказывать в приеме на работу или в доступе на рабочее место, если субъект ПД отказался предоставить биометрические ПД или дать согласие на их обработку |
Пункты 8, 12, 13 ст. 1 Федерального закона № 266-ФЗ |
– Положение о ПД; – Политика обработки ПД; – инструкция ответственного за ПД |
Значительно сократились сроки реагирования оператора на запросы субъекта ПД. Теперь в течение 10 рабочих дней (ранее — 30 дней), начиная с момента обращения или получения запроса, нужно: – предоставить субъекту ПД информацию, касающуюся обработки его ПД; – предоставить возможность субъекту ознакомиться с его ПД, находящимися у оператора, либо дать письменный отказ в предоставлении такой информации; – предоставить в Роскомнадзор запрошенные этим органом сведения; – прекратить обработку ПД по требованию субъекта ПД.
Этот срок может быть продлен, но не более чем на пять рабочих дней, если оператор направит лицу, сделавшему запрос, мотивированное уведомление с указанием причин продления срока. Направлять сведения и информацию субъекту ПД нужно в той же форме, в какой был получен запрос, или в форме, указанной в запросе |
Пункты 9, 11, 13 ст. 1 Федерального закона № 266-ФЗ |
Расширен круг обязанностей оператора ПД. Теперь он обязан: – разъяснять субъекту ПД юридические последствия отказа предоставить ПД и (или) дать согласие на их обработку, если предоставление этих ПД или согласие являются обязательными; – предоставить субъекту ПД информацию о том, какие данные о нем он будет обрабатывать, если эти ПД получены не от субъекта ПД; – обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Порядок информирования будет установлен позднее; – уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов ПД, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий инцидента. Оценка вреда будет проводиться в соответствии с требованиями Роскомнадзора (пока не установлены); –- в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки ПД |
|
Пункт 10 ст. 1 Федерального закона № 266-ФЗ |
– Положение о ПД; – Политика обработки ПД; – приказы по вопросам ПД |
Теперь необходимые и достаточные меры, которые для выполнения требований Федерального закона № 152-ФЗ должен принимать каждый работодатель, окончательно стали обязательными. Уточнено, что в ЛНА для каждой цели обработки ПД должны указываться: – категории и перечень обрабатываемых ПД; – способы и сроки обработки и хранения данных; – порядок уничтожения ПД |
А. Н. Славинская,
специалист по кадрам
- Современные технологии управления персоналом
- Новое в законодательстве
- Практика применения трудового законодательства
- Кадровое делопроизводство
- Трудовая книжка
- Трудовые споры
- Охрана труда
- Оплата труда
- Рабочее время
- Социальное обеспечение
- Пенсионное обеспечение
- Бухгалтерия и кадры
- Надзор и контроль
- Архивное дело
- Зарубежный опыт
- Кадровый менеджмент
- Рекрутинг
- Банк документов
- Мотивация труда
- Контрольная работа
- Время отдыха