- Возвращение в офис
- Тихое увольнение
- Сотрудники-амбассадоры
- Увольнение в никуда
- В обход HR-А
- Офер (предложение о работе)
- Испытательный срок
- Выход из декрета
- Обсуждение зарплаты на собеседовании
- Обратная связь
- Дедлайн
- Подбор персонала по ценностям
- Менеджмент совещаний
- Апскиллинг и рескиллинг
- Искусственный интеллект в HR
- Профессиональная деформация HR-а 2
- Открытая зарплата
- Дженералист vs специалист
- Из специалиста в менеджеры
- Обратная связь кандидату
- Пульс-опросы
- Многозадачность
- Неструктурированное интервью
- Современное лидерство
- Нанимающий менеджер
- Время закрытия вакансии
- Негативные отзывы о работодателе
- Токсичный сотрудник
- Корпоративная культура на удаленке
- Гибридный формат работы
- EJM
- 4-дневная неделя
- Stay-интервью
- Что и как читают HR-ы
- Внешний vs внутренний кандидат
- Удаленный онбординг
- «Оценка 360 градусов»
- HR-лендинг
- HR-карьера
- «Красные флажки» в резюме
- Соотношение HR-ов и персонала
- Обмен знаниями
- Джоб-крафтинг
- Корпоративный блог
- HR и книга
- Аутплейсмент
- Офбординг
- eNPS
- Цифровой след в HR
- Онлайн-обучение
- Возвращение к работе "на работе"
- HR Digital
- Удаленная работа и HR
- Дизайн-мышление в HR
- Этика в работе HR-а и HR-консультанта
- Тестовые задания
- Корпоративный мерч
- HR-грехи
- Оценка персонала в IT
- Субординация
- Признание сотрудников
- Обратное наставничество
- HR-брендбук
- VR в HR
- Социальное обучение
- HR-сторителлинг
- Гостинг
- Контроффер
- Реферальный рекрутинг
- Управление счастьем
- Привлечение талантов
- Джоб-хопперы
- HR в IT
- Многообразие на работе
- HR и хакатоны
- HR в ритейле
- Корпоративные ценности
- Сорсинг
- Эмоциональный интеллект в HR
- HR-фейлы
- Мобильный HR
- ATS
- Евангелисты бренда
- Agile и HR
- Роботизация HR
- Публичный HR
- Имплант-рекрутмент
- Модель компетенций
- Интерим-менеджер
- Пассивный кандидат
- Неподходящий кандидат
- HR-бенчмаркинг
- Обучение возрастных сотрудников
- «Бирюзовые» компании
- Preboarding
- Корпоративные табу
- Поведенческое интервью
- Рекрутинговый маркетплейс
- Панельное интервью
- Оценка потенциала
- HR-аналитика
- "Тайный соискатель"
- Компании-няньки
- Несокращение персонала
- Компания без HR
- Сотрудники-бумеранги
- Job Shadowing
- Умный труд
- HR-стандарты
- Работники-инвалиды
- Рекрутинг в соцсетях
- КСО
- Неформальное обучение
- HR-маркетинг
- Чужая корпоративная культура
- EVP
- Куда уходят HR-ы?
- Ценность оценки персонала
- Мотивация к обучению
- Зеленый офис
- Вовлеченность персонала
- Непрофильный кандидат
- HR-стартапы
- «Мягкие» навыки
- Экспаты
- Избыточная квалификация
- HR vs. PR
- Геймификация в HR
- Переговоры о зарплате
- Корпоративная социальная сеть
- Как стать эйчаром?
- Дискриминационные объявления
- Увольнение персонала
- Кейс-интервью
- Теория поколений в работе HR-а
- Корпоратвное обучение
- Профессиональная деформация HR-а
- Корпоративный абсентеизм
- HR и оргизменения
- Внутренний рекрутинг
- Личный бренд
- «Социальный кафетерий»
- Новые профессии
- HR и лидерство
- Видеорекрутмент
- Корпоративная библиотека
- Социальные медиа и HR
- Корпоративный сторителлинг
- Нетрадиционный T&D
- Корпоративные издания
- HR-тренды
- Корпоративные запреты
- Особенности IT-рекрутинга
- Корпоративный веб-серфинг
- Ошибки НR-ов
- Нестандартный рекрутмент
- HR и временные трудности
- Личные отношения на работе
- HR-бренд
- Подбор топ-менеджеров
- Демотивация персонала
- Онлайн-рекрутмент
- Без опыта работы
- День из жизни HR-а
- HR-бюджет
- HR и коучинг
- HR-ивент
- Cправедливая зарплата
- Мунлайтинг
- HR глазами руководителя
- Объявления о вакансиях
- Оценка эффективности обучения персонала
- Оценка эффективности HR
- Ложь в резюме
- Карта мотиваторов
- Центр оценки и развития
- Опоздания на работу
- Кейсы в HR
- Специалисты по вознаграждениям
- Нетрадиционные интервью
- HR-клуб
- После собеседования
- Аутсорсинг персонала
- Текучесть персонала
- Перед собеседованием
- Штатный тренер
- Рекомендации
- Региональный рекрутмент
- Негативная мотивация
- Профессия: HR-менеджер
- Бренд работодателя
- Все про вакансии
- Управление талантами
- Дефицит персонала
- Идем на конференцию
- PRо слухи и сплетни
- Деловые игры
- Обучение персонала
- HR-отдел
- Выгорание на работе
- Адаптация персонала
- Стрессовые интервью
- Штатная оптимизация
- Психологическое насилие
- Социальный пакет + управление знаниями
- Событийный менеджмент
- Лояльность персонала
- Эмоциональный интеллект
- Оценка и аттестация персонала
- Топ-менеджеры
- Информационные технологии
На какие организации распространяются сентябрьские изменения в работе с персональными данными?
Вопрос:
Распространяются ли поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», на коммерческие организации? Надо ли их отражать в локальных актах или других документах?
Ответ:
Да, поправки в Федеральный закон № 152-ФЗ, внесенные Федеральным законом № 266-ФЗ, касаются всех без исключения операторов персональных данных (ПД), которыми признаются любые юридические или физические лица (в т. ч. иностранные), которые получают и используют (обрабатывают) какие-либо ПД российских граждан (работников, клиентов, партнеров, исполнителей по ГПД и т. д.).
Что касается ЛНА и иных документов, регулирующих правила обработки ПД, то их, безусловно, нужно пересмотреть и, при необходимости (а такая необходимость возникнет, скорее всего, у большинства работодателей), актуализировать. Перечислим нововведения, которые должны быть учтены в документах обычной коммерческой организации:
|
Норма закона |
Какой документ пересмотреть |
Что учесть |
|
Подпункт «а» п. 3 ст. 1 Федерального закона № 266-ФЗ |
Договоры (трудовые, ГПХ, в т. ч. на обработку ПД другим лицом) |
Исключить положения (если они есть), которые: – ограничивают права и свободы субъекта ПД; – устанавливают случаи обработки ПД несовершеннолетних, если иное не предусмотрено законодательством РФ; – допускают в качестве условия заключения договора бездействие субъекта ПД |
|
Подпункт «б» п. 3 ст. 1 Федерального закона 266-ФЗ |
Поручение (договор) на обработку ПД другому лицу (например, когда кадровый или бухгалтерский учет ведет аутсорсинговая компания) |
В поручении нужно указать: – перечень ПД и действий с ними, которые будет совершать данное лицо; – цели обработки ПД; – обязанность этого лица соблюдать конфиденциальность ПД и требования ст. 18 и 18.1 Федерального закона № 152-ФЗ; – обязанность предоставлять оператору документы и иную информацию, подтверждающую принятие мер по безопасности ПД; – требования к защите ПД в соответствии со ст. 19, ч. 3.1 ст. 21 Федерального закона № 125-ФЗ |
|
Пункт 4 ст. 1 Федерального закона № 266-ФЗ |
Согласие на обработку ПД |
Теперь оно должно быть не просто конкретным, информированным и сознательным, а также «предметным» и «однозначным» (однако смысл новых терминов в законе не уточняется) |
|
Пункт 6 ст. 1 Федерального закона № 266-ФЗ |
ЛНА, регулирующий пропускной режим |
Нельзя включать положения о том, что сдача биометрических данных (отпечатки пальцев, цифровое фото, 3D-модель лица) обязательна. Работодатель не вправе отказывать в приеме на работу или в доступе на рабочее место, если субъект ПД отказался предоставить биометрические ПД или дать согласие на их обработку |
|
Пункты 8, 12, 13 ст. 1 Федерального закона № 266-ФЗ |
– Положение о ПД; – Политика обработки ПД; – инструкция ответственного за ПД |
Значительно сократились сроки реагирования оператора на запросы субъекта ПД. Теперь в течение 10 рабочих дней (ранее — 30 дней), начиная с момента обращения или получения запроса, нужно: – предоставить субъекту ПД информацию, касающуюся обработки его ПД; – предоставить возможность субъекту ознакомиться с его ПД, находящимися у оператора, либо дать письменный отказ в предоставлении такой информации; – предоставить в Роскомнадзор запрошенные этим органом сведения; – прекратить обработку ПД по требованию субъекта ПД.
Этот срок может быть продлен, но не более чем на пять рабочих дней, если оператор направит лицу, сделавшему запрос, мотивированное уведомление с указанием причин продления срока. Направлять сведения и информацию субъекту ПД нужно в той же форме, в какой был получен запрос, или в форме, указанной в запросе |
|
Пункты 9, 11, 13 ст. 1 Федерального закона № 266-ФЗ |
Расширен круг обязанностей оператора ПД. Теперь он обязан: – разъяснять субъекту ПД юридические последствия отказа предоставить ПД и (или) дать согласие на их обработку, если предоставление этих ПД или согласие являются обязательными; – предоставить субъекту ПД информацию о том, какие данные о нем он будет обрабатывать, если эти ПД получены не от субъекта ПД; – обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Порядок информирования будет установлен позднее; – уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов ПД, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий инцидента. Оценка вреда будет проводиться в соответствии с требованиями Роскомнадзора (пока не установлены); –- в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки ПД |
|
|
Пункт 10 ст. 1 Федерального закона № 266-ФЗ |
– Положение о ПД; – Политика обработки ПД; – приказы по вопросам ПД |
Теперь необходимые и достаточные меры, которые для выполнения требований Федерального закона № 152-ФЗ должен принимать каждый работодатель, окончательно стали обязательными. Уточнено, что в ЛНА для каждой цели обработки ПД должны указываться: – категории и перечень обрабатываемых ПД; – способы и сроки обработки и хранения данных; – порядок уничтожения ПД |
А. Н. Славинская,
специалист по кадрам
На какие организации распространяются сентябрьские изменения в работе с персональными данными?
Вопрос:
Распространяются ли поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», на коммерческие организации? Надо ли их отражать в локальных актах или других документах?
Ответ:
Да, поправки в Федеральный закон № 152-ФЗ, внесенные Федеральным законом № 266-ФЗ, касаются всех без исключения операторов персональных данных (ПД), которыми признаются любые юридические или физические лица (в т. ч. иностранные), которые получают и используют (обрабатывают) какие-либо ПД российских граждан (работников, клиентов, партнеров, исполнителей по ГПД и т. д.).
Что касается ЛНА и иных документов, регулирующих правила обработки ПД, то их, безусловно, нужно пересмотреть и, при необходимости (а такая необходимость возникнет, скорее всего, у большинства работодателей), актуализировать. Перечислим нововведения, которые должны быть учтены в документах обычной коммерческой организации:
|
Норма закона |
Какой документ пересмотреть |
Что учесть |
|
Подпункт «а» п. 3 ст. 1 Федерального закона № 266-ФЗ |
Договоры (трудовые, ГПХ, в т. ч. на обработку ПД другим лицом) |
Исключить положения (если они есть), которые: – ограничивают права и свободы субъекта ПД; – устанавливают случаи обработки ПД несовершеннолетних, если иное не предусмотрено законодательством РФ; – допускают в качестве условия заключения договора бездействие субъекта ПД |
|
Подпункт «б» п. 3 ст. 1 Федерального закона 266-ФЗ |
Поручение (договор) на обработку ПД другому лицу (например, когда кадровый или бухгалтерский учет ведет аутсорсинговая компания) |
В поручении нужно указать: – перечень ПД и действий с ними, которые будет совершать данное лицо; – цели обработки ПД; – обязанность этого лица соблюдать конфиденциальность ПД и требования ст. 18 и 18.1 Федерального закона № 152-ФЗ; – обязанность предоставлять оператору документы и иную информацию, подтверждающую принятие мер по безопасности ПД; – требования к защите ПД в соответствии со ст. 19, ч. 3.1 ст. 21 Федерального закона № 125-ФЗ |
|
Пункт 4 ст. 1 Федерального закона № 266-ФЗ |
Согласие на обработку ПД |
Теперь оно должно быть не просто конкретным, информированным и сознательным, а также «предметным» и «однозначным» (однако смысл новых терминов в законе не уточняется) |
|
Пункт 6 ст. 1 Федерального закона № 266-ФЗ |
ЛНА, регулирующий пропускной режим |
Нельзя включать положения о том, что сдача биометрических данных (отпечатки пальцев, цифровое фото, 3D-модель лица) обязательна. Работодатель не вправе отказывать в приеме на работу или в доступе на рабочее место, если субъект ПД отказался предоставить биометрические ПД или дать согласие на их обработку |
|
Пункты 8, 12, 13 ст. 1 Федерального закона № 266-ФЗ |
– Положение о ПД; – Политика обработки ПД; – инструкция ответственного за ПД |
Значительно сократились сроки реагирования оператора на запросы субъекта ПД. Теперь в течение 10 рабочих дней (ранее — 30 дней), начиная с момента обращения или получения запроса, нужно: – предоставить субъекту ПД информацию, касающуюся обработки его ПД; – предоставить возможность субъекту ознакомиться с его ПД, находящимися у оператора, либо дать письменный отказ в предоставлении такой информации; – предоставить в Роскомнадзор запрошенные этим органом сведения; – прекратить обработку ПД по требованию субъекта ПД.
Этот срок может быть продлен, но не более чем на пять рабочих дней, если оператор направит лицу, сделавшему запрос, мотивированное уведомление с указанием причин продления срока. Направлять сведения и информацию субъекту ПД нужно в той же форме, в какой был получен запрос, или в форме, указанной в запросе |
|
Пункты 9, 11, 13 ст. 1 Федерального закона № 266-ФЗ |
Расширен круг обязанностей оператора ПД. Теперь он обязан: – разъяснять субъекту ПД юридические последствия отказа предоставить ПД и (или) дать согласие на их обработку, если предоставление этих ПД или согласие являются обязательными; – предоставить субъекту ПД информацию о том, какие данные о нем он будет обрабатывать, если эти ПД получены не от субъекта ПД; – обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Порядок информирования будет установлен позднее; – уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов ПД, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий инцидента. Оценка вреда будет проводиться в соответствии с требованиями Роскомнадзора (пока не установлены); –- в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки ПД |
|
|
Пункт 10 ст. 1 Федерального закона № 266-ФЗ |
– Положение о ПД; – Политика обработки ПД; – приказы по вопросам ПД |
Теперь необходимые и достаточные меры, которые для выполнения требований Федерального закона № 152-ФЗ должен принимать каждый работодатель, окончательно стали обязательными. Уточнено, что в ЛНА для каждой цели обработки ПД должны указываться: – категории и перечень обрабатываемых ПД; – способы и сроки обработки и хранения данных; – порядок уничтожения ПД |
А. Н. Славинская,
специалист по кадрам
Для физических лиц
Для юридических лиц
Подписка по каталогам