- Профессия
- Делопроизводство
- Отдел кадров
- Архивное дело
- Юридический практикум
- Ваш компьютер
- Деловой этикет
- Офис
- Самообразование
- Бухгалтерский учет
- Корпоративная культура
- Психологический практикум
- Стиль
- Красота и здоровье
- Секретарь плюс
- Праздник
- Страницы истории
- Культура и искусство
- Контрольная работа
- Охрана труда
- Шпаргалка
- Технологии
На какие организации распространяются сентябрьские изменения в работе с персональными данными?
Вопрос:
Распространяются ли поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», на коммерческие организации? Надо ли их отражать в локальных актах или других документах?
Ответ:
Да, поправки в Федеральный закон № 152-ФЗ, внесенные Федеральным законом № 266-ФЗ, касаются всех без исключения операторов персональных данных (ПД), которыми признаются любые юридические или физические лица (в т. ч. иностранные), которые получают и используют (обрабатывают) какие-либо ПД российских граждан (работников, клиентов, партнеров, исполнителей по ГПД и т. д.).
Что касается ЛНА и иных документов, регулирующих правила обработки ПД, то их, безусловно, нужно пересмотреть и, при необходимости (а такая необходимость возникнет, скорее всего, у большинства работодателей), актуализировать. Перечислим нововведения, которые должны быть учтены в документах обычной коммерческой организации:
|
Норма закона |
Какой документ пересмотреть |
Что учесть |
|
Подпункт «а» п. 3 ст. 1 Федерального закона № 266-ФЗ |
Договоры (трудовые, ГПХ, в т. ч. на обработку ПД другим лицом) |
Исключить положения (если они есть), которые: – ограничивают права и свободы субъекта ПД; – устанавливают случаи обработки ПД несовершеннолетних, если иное не предусмотрено законодательством РФ; – допускают в качестве условия заключения договора бездействие субъекта ПД |
|
Подпункт «б» п. 3 ст. 1 Федерального закона 266-ФЗ |
Поручение (договор) на обработку ПД другому лицу (например, когда кадровый или бухгалтерский учет ведет аутсорсинговая компания) |
В поручении нужно указать: – перечень ПД и действий с ними, которые будет совершать данное лицо; – цели обработки ПД; – обязанность этого лица соблюдать конфиденциальность ПД и требования ст. 18 и 18.1 Федерального закона № 152-ФЗ; – обязанность предоставлять оператору документы и иную информацию, подтверждающую принятие мер по безопасности ПД; – требования к защите ПД в соответствии со ст. 19, ч. 3.1 ст. 21 Федерального закона № 125-ФЗ |
|
Пункт 4 ст. 1 Федерального закона № 266-ФЗ |
Согласие на обработку ПД |
Теперь оно должно быть не просто конкретным, информированным и сознательным, а также «предметным» и «однозначным» (однако смысл новых терминов в законе не уточняется) |
|
Пункт 6 ст. 1 Федерального закона № 266-ФЗ |
ЛНА, регулирующий пропускной режим |
Нельзя включать положения о том, что сдача биометрических данных (отпечатки пальцев, цифровое фото, 3D-модель лица) обязательна. Работодатель не вправе отказывать в приеме на работу или в доступе на рабочее место, если субъект ПД отказался предоставить биометрические ПД или дать согласие на их обработку |
|
Пункты 8, 12, 13 ст. 1 Федерального закона № 266-ФЗ |
– Положение о ПД; – Политика обработки ПД; – инструкция ответственного за ПД |
Значительно сократились сроки реагирования оператора на запросы субъекта ПД. Теперь в течение 10 рабочих дней (ранее — 30 дней), начиная с момента обращения или получения запроса, нужно: – предоставить субъекту ПД информацию, касающуюся обработки его ПД; – предоставить возможность субъекту ознакомиться с его ПД, находящимися у оператора, либо дать письменный отказ в предоставлении такой информации; – предоставить в Роскомнадзор запрошенные этим органом сведения; – прекратить обработку ПД по требованию субъекта ПД.
Этот срок может быть продлен, но не более чем на пять рабочих дней, если оператор направит лицу, сделавшему запрос, мотивированное уведомление с указанием причин продления срока. Направлять сведения и информацию субъекту ПД нужно в той же форме, в какой был получен запрос, или в форме, указанной в запросе |
|
Пункты 9, 11, 13 ст. 1 Федерального закона № 266-ФЗ |
Расширен круг обязанностей оператора ПД. Теперь он обязан: – разъяснять субъекту ПД юридические последствия отказа предоставить ПД и (или) дать согласие на их обработку, если предоставление этих ПД или согласие являются обязательными; – предоставить субъекту ПД информацию о том, какие данные о нем он будет обрабатывать, если эти ПД получены не от субъекта ПД; – обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Порядок информирования будет установлен позднее; – уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов ПД, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий инцидента. Оценка вреда будет проводиться в соответствии с требованиями Роскомнадзора (пока не установлены); –- в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки ПД |
|
|
Пункт 10 ст. 1 Федерального закона № 266-ФЗ |
– Положение о ПД; – Политика обработки ПД; – приказы по вопросам ПД |
Теперь необходимые и достаточные меры, которые для выполнения требований Федерального закона № 152-ФЗ должен принимать каждый работодатель, окончательно стали обязательными. Уточнено, что в ЛНА для каждой цели обработки ПД должны указываться: – категории и перечень обрабатываемых ПД; – способы и сроки обработки и хранения данных; – порядок уничтожения ПД |
А. Н. Славинская,
специалист по кадрам
На какие организации распространяются сентябрьские изменения в работе с персональными данными?
Вопрос:
Распространяются ли поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», на коммерческие организации? Надо ли их отражать в локальных актах или других документах?
Ответ:
Да, поправки в Федеральный закон № 152-ФЗ, внесенные Федеральным законом № 266-ФЗ, касаются всех без исключения операторов персональных данных (ПД), которыми признаются любые юридические или физические лица (в т. ч. иностранные), которые получают и используют (обрабатывают) какие-либо ПД российских граждан (работников, клиентов, партнеров, исполнителей по ГПД и т. д.).
Что касается ЛНА и иных документов, регулирующих правила обработки ПД, то их, безусловно, нужно пересмотреть и, при необходимости (а такая необходимость возникнет, скорее всего, у большинства работодателей), актуализировать. Перечислим нововведения, которые должны быть учтены в документах обычной коммерческой организации:
|
Норма закона |
Какой документ пересмотреть |
Что учесть |
|
Подпункт «а» п. 3 ст. 1 Федерального закона № 266-ФЗ |
Договоры (трудовые, ГПХ, в т. ч. на обработку ПД другим лицом) |
Исключить положения (если они есть), которые: – ограничивают права и свободы субъекта ПД; – устанавливают случаи обработки ПД несовершеннолетних, если иное не предусмотрено законодательством РФ; – допускают в качестве условия заключения договора бездействие субъекта ПД |
|
Подпункт «б» п. 3 ст. 1 Федерального закона 266-ФЗ |
Поручение (договор) на обработку ПД другому лицу (например, когда кадровый или бухгалтерский учет ведет аутсорсинговая компания) |
В поручении нужно указать: – перечень ПД и действий с ними, которые будет совершать данное лицо; – цели обработки ПД; – обязанность этого лица соблюдать конфиденциальность ПД и требования ст. 18 и 18.1 Федерального закона № 152-ФЗ; – обязанность предоставлять оператору документы и иную информацию, подтверждающую принятие мер по безопасности ПД; – требования к защите ПД в соответствии со ст. 19, ч. 3.1 ст. 21 Федерального закона № 125-ФЗ |
|
Пункт 4 ст. 1 Федерального закона № 266-ФЗ |
Согласие на обработку ПД |
Теперь оно должно быть не просто конкретным, информированным и сознательным, а также «предметным» и «однозначным» (однако смысл новых терминов в законе не уточняется) |
|
Пункт 6 ст. 1 Федерального закона № 266-ФЗ |
ЛНА, регулирующий пропускной режим |
Нельзя включать положения о том, что сдача биометрических данных (отпечатки пальцев, цифровое фото, 3D-модель лица) обязательна. Работодатель не вправе отказывать в приеме на работу или в доступе на рабочее место, если субъект ПД отказался предоставить биометрические ПД или дать согласие на их обработку |
|
Пункты 8, 12, 13 ст. 1 Федерального закона № 266-ФЗ |
– Положение о ПД; – Политика обработки ПД; – инструкция ответственного за ПД |
Значительно сократились сроки реагирования оператора на запросы субъекта ПД. Теперь в течение 10 рабочих дней (ранее — 30 дней), начиная с момента обращения или получения запроса, нужно: – предоставить субъекту ПД информацию, касающуюся обработки его ПД; – предоставить возможность субъекту ознакомиться с его ПД, находящимися у оператора, либо дать письменный отказ в предоставлении такой информации; – предоставить в Роскомнадзор запрошенные этим органом сведения; – прекратить обработку ПД по требованию субъекта ПД.
Этот срок может быть продлен, но не более чем на пять рабочих дней, если оператор направит лицу, сделавшему запрос, мотивированное уведомление с указанием причин продления срока. Направлять сведения и информацию субъекту ПД нужно в той же форме, в какой был получен запрос, или в форме, указанной в запросе |
|
Пункты 9, 11, 13 ст. 1 Федерального закона № 266-ФЗ |
Расширен круг обязанностей оператора ПД. Теперь он обязан: – разъяснять субъекту ПД юридические последствия отказа предоставить ПД и (или) дать согласие на их обработку, если предоставление этих ПД или согласие являются обязательными; – предоставить субъекту ПД информацию о том, какие данные о нем он будет обрабатывать, если эти ПД получены не от субъекта ПД; – обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Порядок информирования будет установлен позднее; – уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов ПД, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий инцидента. Оценка вреда будет проводиться в соответствии с требованиями Роскомнадзора (пока не установлены); –- в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки ПД |
|
|
Пункт 10 ст. 1 Федерального закона № 266-ФЗ |
– Положение о ПД; – Политика обработки ПД; – приказы по вопросам ПД |
Теперь необходимые и достаточные меры, которые для выполнения требований Федерального закона № 152-ФЗ должен принимать каждый работодатель, окончательно стали обязательными. Уточнено, что в ЛНА для каждой цели обработки ПД должны указываться: – категории и перечень обрабатываемых ПД; – способы и сроки обработки и хранения данных; – порядок уничтожения ПД |
А. Н. Славинская,
специалист по кадрам
- Профессия
- Делопроизводство
- Отдел кадров
- Архивное дело
- Юридический практикум
- Ваш компьютер
- Деловой этикет
- Офис
- Самообразование
- Бухгалтерский учет
- Корпоративная культура
- Психологический практикум
- Стиль
- Красота и здоровье
- Секретарь плюс
- Праздник
- Страницы истории
- Культура и искусство
- Контрольная работа
- Охрана труда
- Шпаргалка
- Технологии
Для физических лиц
Для юридических лиц
Подписка по каталогам