Статьи по рубрикам
Показать все

    На какие организации распространяются сентябрьские изменения в работе с персональными данными?

    Вопрос:

    Распространяются ли поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», на коммерческие организации? Надо ли их отражать в локальных актах или других документах?

     

    Ответ:

    Да, поправки в Федеральный закон № 152-ФЗ, внесенные Федеральным законом № 266-ФЗ, касаются всех без исключения операторов персональных данных (ПД), которыми признаются любые юридические или физические лица (в т. ч. иностранные), которые получают и используют (обрабатывают) какие-либо ПД российских граждан (работников, клиентов, партнеров, исполнителей по ГПД и т. д.).

    Что касается ЛНА и иных документов, регулирующих правила обработки ПД, то их, безусловно, нужно пересмотреть и, при необходимости (а такая необходимость возникнет, скорее всего, у большинства работодателей), актуализировать. Перечислим нововведения, которые должны быть учтены в документах обычной коммерческой организации:

     

    Норма закона

    Какой документ пересмотреть

    Что учесть

    Подпункт «а» п. 3 ст. 1 Федерального закона № 266-ФЗ

    Договоры (трудовые, ГПХ, в т. ч. на обработку ПД другим лицом)

    Исключить положения (если они есть), которые:

    – ограничивают права и свободы субъекта ПД;

    – устанавливают случаи обработки ПД несовершеннолетних, если иное не предусмотрено законодательством РФ;

    – допускают в качестве условия заключения договора бездействие субъекта ПД

    Подпункт «б» п. 3 ст. 1 Федерального закона 266-ФЗ

    Поручение (договор) на обработку ПД другому лицу (например, когда кадровый или бухгалтерский учет ведет аутсорсинговая компания)

    В поручении нужно указать:

    – перечень ПД и действий с ними, которые будет совершать данное лицо;

    – цели обработки ПД;

    – обязанность этого лица соблюдать конфиденциальность ПД и требования ст. 18 и 18.1 Федерального закона № 152-ФЗ;

    – обязанность предоставлять оператору документы и иную информацию, подтверждающую принятие мер по безопасности ПД;

    – требования к защите ПД в соответствии со ст. 19, ч. 3.1 ст. 21 Федерального закона № 125-ФЗ

    Пункт 4 ст. 1 Федерального закона № 266-ФЗ

    Согласие на обработку ПД

    Теперь оно должно быть не просто конкретным, информированным и сознательным, а также «предметным» и «однозначным» (однако смысл новых терминов в законе не уточняется)

    Пункт 6 ст. 1 Федерального закона № 266-ФЗ

    ЛНА, регулирующий пропускной режим

    Нельзя включать положения о том, что сдача биометрических данных (отпечатки пальцев, цифровое фото, 3D-модель лица) обязательна. Работодатель не вправе отказывать в приеме на работу или в доступе на рабочее место, если субъект ПД отказался предоставить биометрические ПД или дать согласие на их обработку

    Пункты 8, 12, 13 ст. 1 Федерального закона № 266-ФЗ

    – Положение о ПД;

    – Политика обработки ПД; – инструкция ответственного за ПД

    Значительно сократились сроки реагирования оператора на запросы субъекта ПД. Теперь в течение 10 рабочих дней (ранее — 30 дней), начиная с момента обращения или получения запроса, нужно:

    – предоставить субъекту ПД информацию, касающуюся обработки его ПД;

    – предоставить возможность субъекту ознакомиться с его ПД, находящимися у оператора, либо дать письменный отказ в предоставлении такой информации;

    – предоставить в Роскомнадзор запрошенные этим органом сведения;

    – прекратить обработку ПД по требованию субъекта ПД.

     

    Этот срок может быть продлен, но не более чем на пять рабочих дней, если оператор направит лицу, сделавшему запрос, мотивированное уведомление с указанием причин продления срока.

    Направлять сведения и информацию субъекту ПД нужно в той же форме, в какой был получен запрос, или в форме, указанной в запросе

    Пункты 9, 11, 13 ст. 1 Федерального закона № 266-ФЗ

    Расширен круг обязанностей оператора ПД. Теперь он обязан:

    – разъяснять субъекту ПД юридические последствия отказа предоставить ПД и (или) дать согласие на их обработку, если предоставление этих ПД или согласие являются обязательными;

    – предоставить субъекту ПД информацию о том, какие данные о нем он будет обрабатывать, если эти ПД получены не от субъекта ПД;

    – обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Порядок информирования будет установлен позднее;

    – уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов ПД, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий инцидента. Оценка вреда будет проводиться в соответствии с требованиями Роскомнадзора (пока не установлены);

    –- в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки ПД

    Пункт 10 ст. 1 Федерального закона № 266-ФЗ

    – Положение о ПД;

    – Политика обработки ПД;

    – приказы по вопросам ПД

    Теперь необходимые и достаточные меры, которые для выполнения требований Федерального закона № 152-ФЗ должен принимать каждый работодатель, окончательно стали обязательными.

    Уточнено, что в ЛНА для каждой цели обработки ПД должны указываться:

    – категории и перечень обрабатываемых ПД;

    – способы и сроки обработки и хранения данных;

    – порядок уничтожения ПД

     

    А. Н. Славинская,

    специалист по кадрам

     

    Изображение

    12.10.2022, 11:20

    На какие организации распространяются сентябрьские изменения в работе с персональными данными?

    Вопрос:

    Распространяются ли поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», на коммерческие организации? Надо ли их отражать в локальных актах или других документах?

     

    Ответ:

    Да, поправки в Федеральный закон № 152-ФЗ, внесенные Федеральным законом № 266-ФЗ, касаются всех без исключения операторов персональных данных (ПД), которыми признаются любые юридические или физические лица (в т. ч. иностранные), которые получают и используют (обрабатывают) какие-либо ПД российских граждан (работников, клиентов, партнеров, исполнителей по ГПД и т. д.).

    Что касается ЛНА и иных документов, регулирующих правила обработки ПД, то их, безусловно, нужно пересмотреть и, при необходимости (а такая необходимость возникнет, скорее всего, у большинства работодателей), актуализировать. Перечислим нововведения, которые должны быть учтены в документах обычной коммерческой организации:

     

    Норма закона

    Какой документ пересмотреть

    Что учесть

    Подпункт «а» п. 3 ст. 1 Федерального закона № 266-ФЗ

    Договоры (трудовые, ГПХ, в т. ч. на обработку ПД другим лицом)

    Исключить положения (если они есть), которые:

    – ограничивают права и свободы субъекта ПД;

    – устанавливают случаи обработки ПД несовершеннолетних, если иное не предусмотрено законодательством РФ;

    – допускают в качестве условия заключения договора бездействие субъекта ПД

    Подпункт «б» п. 3 ст. 1 Федерального закона 266-ФЗ

    Поручение (договор) на обработку ПД другому лицу (например, когда кадровый или бухгалтерский учет ведет аутсорсинговая компания)

    В поручении нужно указать:

    – перечень ПД и действий с ними, которые будет совершать данное лицо;

    – цели обработки ПД;

    – обязанность этого лица соблюдать конфиденциальность ПД и требования ст. 18 и 18.1 Федерального закона № 152-ФЗ;

    – обязанность предоставлять оператору документы и иную информацию, подтверждающую принятие мер по безопасности ПД;

    – требования к защите ПД в соответствии со ст. 19, ч. 3.1 ст. 21 Федерального закона № 125-ФЗ

    Пункт 4 ст. 1 Федерального закона № 266-ФЗ

    Согласие на обработку ПД

    Теперь оно должно быть не просто конкретным, информированным и сознательным, а также «предметным» и «однозначным» (однако смысл новых терминов в законе не уточняется)

    Пункт 6 ст. 1 Федерального закона № 266-ФЗ

    ЛНА, регулирующий пропускной режим

    Нельзя включать положения о том, что сдача биометрических данных (отпечатки пальцев, цифровое фото, 3D-модель лица) обязательна. Работодатель не вправе отказывать в приеме на работу или в доступе на рабочее место, если субъект ПД отказался предоставить биометрические ПД или дать согласие на их обработку

    Пункты 8, 12, 13 ст. 1 Федерального закона № 266-ФЗ

    – Положение о ПД;

    – Политика обработки ПД; – инструкция ответственного за ПД

    Значительно сократились сроки реагирования оператора на запросы субъекта ПД. Теперь в течение 10 рабочих дней (ранее — 30 дней), начиная с момента обращения или получения запроса, нужно:

    – предоставить субъекту ПД информацию, касающуюся обработки его ПД;

    – предоставить возможность субъекту ознакомиться с его ПД, находящимися у оператора, либо дать письменный отказ в предоставлении такой информации;

    – предоставить в Роскомнадзор запрошенные этим органом сведения;

    – прекратить обработку ПД по требованию субъекта ПД.

     

    Этот срок может быть продлен, но не более чем на пять рабочих дней, если оператор направит лицу, сделавшему запрос, мотивированное уведомление с указанием причин продления срока.

    Направлять сведения и информацию субъекту ПД нужно в той же форме, в какой был получен запрос, или в форме, указанной в запросе

    Пункты 9, 11, 13 ст. 1 Федерального закона № 266-ФЗ

    Расширен круг обязанностей оператора ПД. Теперь он обязан:

    – разъяснять субъекту ПД юридические последствия отказа предоставить ПД и (или) дать согласие на их обработку, если предоставление этих ПД или согласие являются обязательными;

    – предоставить субъекту ПД информацию о том, какие данные о нем он будет обрабатывать, если эти ПД получены не от субъекта ПД;

    – обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Порядок информирования будет установлен позднее;

    – уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов ПД, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий инцидента. Оценка вреда будет проводиться в соответствии с требованиями Роскомнадзора (пока не установлены);

    –- в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки ПД

    Пункт 10 ст. 1 Федерального закона № 266-ФЗ

    – Положение о ПД;

    – Политика обработки ПД;

    – приказы по вопросам ПД

    Теперь необходимые и достаточные меры, которые для выполнения требований Федерального закона № 152-ФЗ должен принимать каждый работодатель, окончательно стали обязательными.

    Уточнено, что в ЛНА для каждой цели обработки ПД должны указываться:

    – категории и перечень обрабатываемых ПД;

    – способы и сроки обработки и хранения данных;

    – порядок уничтожения ПД

     

    А. Н. Славинская,

    специалист по кадрам

     

    Изображение

    12.10.2022, 11:20
Подписка для физических лицДля физических лиц Подписка для юридических лицДля юридических лиц Подписка по каталогамПодписка по каталогам