Электронный журнал «Трудовые споры»
Новости
ещё
свернуть
Все статьи номера
9
Сентябрь 2022года
Специфика
Главная тема

Правила обработки персональных данных ужесточили. Что изменилось и как с этим работать

Елена Агаева, советник АБ «Егоров, Пугинский, Афанасьев и партнеры»
Елена Квартникова, юрист АБ «Егоров, Пугинский, Афанасьев и партнеры»

В статье рассказали, что юристам и кадровикам нужно делать в связи с изменениями с 1 сентября в правилах обработки персональных данных. Узнайте, как нововведения повлияют на вашу работу, какие новые обязанности появились у компаний и чего больше нельзя делать при обработке персональных данных. Главное в статье Скрыть


Важно

В законе прописали, что предоставление биометрических персональных данных не может быть обязательным, за некоторыми исключениями (ч. 3 ст. 11 Закона № 152-ФЗ). Отказать в обслуживании, если человек не хочет предоставить такие данные или не дает согласие на их обработку, когда оно нужно, нельзя. Это значит, что работодатель не вправе отказать работнику в пропуске на территорию компании, если тот не фотографируется на пропуск.

Уведомите Роскомнадзор о намерении обрабатывать персональные данные в соответствии с трудовым законодательством

Законодатель существенно сократил перечень случаев, когда оператор вправе обрабатывать персональные данные без уведомления Роскомнадзора. Раньше в списке было девять пунктов, теперь осталось три (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ). Главное в этом для работодателей — их обязали уведомлять Роскомнадзор о намерении обрабатывать персональные данные в соответствии с трудовым законодательством. Раньше такое основание подпадало под исключения.

По-прежнему не направлять уведомление могут работодатели, которые обрабатывают персональные данные работников исключительно без использования средств автоматизации. Условие — иные случаи обработки персональных данных в компании не требуют направления уведомления (ст. 22 Закона № 152-ФЗ). Остальные компании должны направить уведомление в бумажном или электронном виде. При этом возможны несколько ситуаций.

Компания уже направляла уведомление и указывала в нем на намерение обрабатывать персональные данные в соответствии с трудовым законодательством, а также раскрывала все иные случаи обработки. В такой ситуации дополнительно делать ничего не нужно.

В ранее направленном уведомлении не были указаны все случаи обработки персональных данных (например, не были указаны случаи, которые до 1 сентября подпадали под исключения). В такой ситуации направьте информационное письмо о внесении изменений в сведения об операторе. Укажите в нем все случаи обработки данных.

Открывается новое юрлицо или компания ранее не направляла в Роскомнадзор уведомление, так как обрабатывала только персональные данные — исключения. В таких случаях направьте в Роскомнадзор уведомление с указанием всех случаев обработки, в том числе в соответствии с трудовым законодательством. Если открывается новое юрлицо, сделайте это до начала обработки персональных данных.

Формы уведомления и информационного письма используйте старые, утвержденные приказом Роскомнадзора от 30.05.2017 № 94. Новые проходят общественное обсуждение на regulation.gov.ru.

От редакции
Разъяснения Роскомнадзора о нововведениях

1 сентября Роскомнадзор на своем сайте разъяснил, что предельный срок уведомления об обработке персональных данных не определен. 1 сентября им не является. Главное — направить уведомление. Пока новые формы уведомлений не утверждены, нужно использовать форму из приказа Роскомнадзора от 30.05.2017 № 94. Также форму можно заполнить на портале персональных данных ведомства.

 


Важно

Дополнили перечень сведений, которые нужно предоставить работнику, если запрашиваете информацию о нем у третьих лиц, например у прежнего работодателя или в вузе, где учился работник. Теперь нужно сообщать работнику в том числе перечень персональных данных, которые хотите запросить (п. 2.1 ч. 3 ст. 18 Закона № 152‑ФЗ).

Проверьте согласия на обработку персональных данных

По новым правилам согласия на обработку персональных данных должны быть предметными и однозначными, а не только конкретными, информированными и сознательными (ч. 1 ст. 9 Закона № 152-ФЗ). Какое согласие считается предметным и однозначным, закон не расшифровывает. На наш взгляд, это означает, что из согласия должно быть очевидно, какие данные, как и в каких целях работник разрешает использовать, а также кому он разрешает их передать. Поэтому проверьте, чтобы из шаблонов согласий эта информация была ясна. Например, если собираетесь передать персональные данные работника в вуз для повышения квалификации, убедитесь, что в согласии четко прописана указанная цель и конкретный вуз. Главное в статье Скрыть

Пример формулировки
«В целях организации повышения моей квалификации даю согласие ООО „Лютик“ на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных (перечень данных), а именно на предоставление указанных персональных данных в Московский государственный университет им. М. В. Ломоносова (г. Москва, Ленинские горы, д. 1)».

Сообщайте в Роскомнадзор об утечке персональных данных и в ФСБ о кибератаках

Компании обязали сообщать в Роскомнадзор о неправомерной или случайной передаче персональных данных. Причины утечки при этом не важны. Сообщать нужно об утечке, которая произошла как по недосмотру ответственных работников, так и в результате хакерской атаки (ч. 3.1 ст. 21 Закона № 152-ФЗ). Чтобы направить уведомление, у вас будет 24 часа с момента обнаружения утечки. Формы уведомления пока нет, но есть требования к его содержанию. В уведомлении нужно указать:

  • сведения об инциденте;
  • предполагаемые причины утечки персональных данных;
  • предполагаемый вред работникам, клиентам и правам других субъектов персональных данных;
  • принятые меры по устранению последствий инцидента;
  • сведения о лице, которое уполномочено взаимодействовать с Роскомнадзором по инциденту (ч. 3.1 ст. 21 Закона № 152-ФЗ).


Обратите внимание

Расширили требования к содержанию поручения оператора на обработку персональных данных. В документе, которым оператор поручает обработку персональных данных другому лицу, нужно указывать новую информацию: перечень персональных данных, цели их обработки, обязанность по запросу оператора предоставлять документы и информацию, обязанность уведомлять оператора о случаях неправомерной или случайной передачи персональных данных и некоторые иные сведения (ч. 3 ст. 6 Закона № 152-ФЗ).

Также при утечке нужно провести внутреннее расследование и сообщить в Роскомнадзор о результатах и лицах, действия которых стали причиной инцидента, если они есть. Срок — 72 часа с момента обнаружения происшествия (ч. 3.1 ст. 21 Закона № 152-ФЗ).

Помимо этого, все компании должны теперь обеспечить взаимодействие с ФСБ через госсистему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА). В том числе через эту систему нужно сообщать о кибератаках, повлекших утечку персональных данных. Что еще потребуется от компаний и как именно взаимодействовать с ГосСОПКА, определит ФСБ (ч. 12 ст. 19 Закона № 152-ФЗ).

Пока порядок предоставления информации в ГосСОПКА установлен в приказе ФСБ от 24.07.2018 № 367 (далее — Приказ № 367). Исходя из преамбулы приказа, он распространяется на объекты критической инфраструктуры, которые и раньше должны были сообщать о кибератаках. Однако фактически в приказе также предусмотрен порядок предоставления информации, связанной с кибератаками, иными организациями (п. 6 приложения № 1 к Приказу № 367). Поэтому, если кибератака, повлекшая утечку персональных данных, произойдет до того, как ФСБ установит новый порядок взаимодействия, действуйте так, как указано в п. 7–9 приложения № 2 к Приказу № 367, а именно: направьте информацию о произошедшем в Национальный координационный центр по компьютерным инцидентам.

Кстати
Расширили сферу применения Закона № 152-ФЗ

Нововведения установили экстерриториальное действие Закона № 152-ФЗ. Теперь этот закон применяется и к иностранным лицам, если те обрабатывают персональные данные граждан РФ на основании договоров и соглашений, стороной которых являются россияне, либо на основании согласия на обработку персональных данных. Это значит, что с 1 сентября иностранные компании, получающие личные данные работников российских дочерних обществ, обязаны соблюдать все требования Закона № 152-ФЗ, в том числе о локализации персональных данных граждан РФ. Это может потребовать существенных затрат на адаптацию бизнес-процессов и информационных систем.

 


К слову сказать

Роскомнадзор и ранее исходил из того, что оператор должен утвердить политику и иные документы, регулирующие обработку персональных данных. Рекомендации по составлению политики ведомство публиковало на своем сайте. Также на практике Роскомнадзор фактически требовал, чтобы в политике была информация, которую сейчас прописали в п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ. Но до 1 сентября закон эти моменты строго не регламентировал.

Актуализируйте локальные акты

Законодатель уточнил, что должно содержаться в ЛНА по вопросам обработки персональных данных (ч. 1 ст. 18.1 Закона № 152-ФЗ). Проверьте, чтобы в положении (политике) о персональных данных для каждой цели обработки были прописаны:

  • категории и перечень обрабатываемых персональных данных;
  • категории субъектов, данные которых обрабатываются;
  • способы, сроки обработки и хранения персональных данных;
  • порядок уничтожения персональных данных.

Посмотрите, прописано ли в документах компании, какие действия она предпринимает для предотвращения и выявления нарушений законодательства о персональных данных и как будет устранять последствия нарушений. Такие процедуры должны прописать в локальных актах все юрлица (ч. 1 ст. 18.1 Закона № 152-ФЗ). Если указанной информации в документах нет, можете включить ее в действующий акт или принять новое положение о защите персональных данных.

Также убедитесь, что документы не содержат положений, которые ограничивают права работников или возлагают на них полномочия и обязанности, которых нет в законе. Запрет на наличие таких положений в документах компании прямо прописали в законе (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ). Если документы не соответствуют изменениям, утвердите их в новой редакции. Ознакомьте с изменениями работников под роспись.

Отвечайте на запросы в более сжатые сроки

Уменьшили срок, в который нужно отвечать на запросы Роскомнадзора, работника или другого субъекта персональных данных. С 1 сентября он составляет 10 рабочих дней. При необходимости срок можно продлить на пять рабочих дней. Для этого нужно направить мотивированное уведомление с указанием причин продления срока (ст. 20 Закона № 152-ФЗ). Ранее срок для ответа на запрос составлял 30 календарных дней.

Обратите внимание, что теперь компания обязана раскрывать субъекту персональных данных по его запросу информацию о правовых, организационных и технических мерах, которые компания принимает для обеспечения безопасности персональных данных (п. 9.1 ч. 7 ст. 14 Закона № 152-ФЗ). Главное в статье Скрыть

Три изменения в правилах обработки персональных данных, которые вступят в силу 1 марта 2023 года

Читать по теме:
 Как «Аэрофлот» оспорил устоявшуюся практику Роскомнадзора и что это значит для бизнеса
 Законный интерес. Как его использовать, чтобы обрабатывать данные без письменного согласия
 Соглашение о неразглашении (NDA). Как защитить секреты компании без режима коммерческой тайны
 Видеонаблюдение в офисе. Когда претензии работников обоснованные, а когда — нет

Микрообучение
Тест  0  / 0
Практика разрешения трудовых конфликтов
О журнале
Архив номеров с 2008 года, встроенная правовая база, книги и удобные электронные сервисы для специалистов по трудовым спорам
Способы подписки
Позвоните по номеру 8 (800) 511-20-91
или подпишитесь в интернет-магазине
Подписаться
Ознакомительный номер
Все материалы номера открыты
для просмотра без регистрации
Читать