Требования к работе с персональными данными с 1 сентября 2022

Что такое персональные данные?

Любые данные о человеке, с помощью которых можно его опознать, найти, выйти с ним на связь, в том числе ФИО, пол, возраст, местожительства, контакты и т. п.

Устраивается человек на работу — представляет целый пакет документов, в которых содержатся персональные данные (ПД): паспорт, трудовая книжка или сведения о стаже (СТД-Р, СТД-ПФР), СНИЛС, документы об образовании, квалификации и т. п. Таким образом работодатель становится оператором ПД, и любая операция с ними — это уже обработка ПД.

Есть еще биометрические ПД (ст. 11 закона о ПД), т. е. сведения, которые помогают идентифицировать человека по физиологическим и биологическим особенностям (голос, тесты ДНК, отпечатки пальцев и проч.).

Любые операции с ПД требуют согласия человека, поэтому мы подписываем с сотрудниками согласие на обработку и распространение персональных данных.

А что изменится с 1 сентября? С этой даты вступают в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», внесенные законом от 14.07.22 № 266-ФЗ.

Биометрия не обязательна

Предоставлять работодателю биометрические персональные данные работник не обязан. И если он не хочет подписывать согласие на их обработку, то работодатель обрабатывать данные не вправе.

К примеру, вести за работником видеонаблюдение или требовать его фотографию.

Проверьте политику обработки ПД

В политике обработки персональных данных для каждой цели обработки следует указывать:

• категории и перечень обрабатываемых ПД;
• категории субъектов, данные которых обрабатываются;
• способы, сроки их обработки и хранения;
• порядок уничтожения ПД при достижении целей их обработки.

Проводим аудит, определяем цели, которые преследуем, и работаем по каждой цели. И не забываем о штрафах за обработку ПД, несовместимую с целями их сбора (2 000 — 6 000 руб. — для граждан, 10 000 — 20 000 руб. — для должностных лиц, от 60 000 — 100 000 руб. — для юридических лиц).

Отметим, что если сбор данных реализован на сайте (например, на нем можно заполнить анкету соискателя), то теперь политику обработки ПД недостаточно просто вывесить на сайте. Ее надо опубликовать именно на тех веб-страницах, на которых собираются данные. Разумеется, в политике не должно быть положений, ограничивающих права субъектов ПД.

Важно! Если ПД получены не от самого субъекта, а из другого источника, то следует до начала обработки предоставить их список субъекту.

Сообщите Роскомнадзору

Приготовьтесь к тому, что с 1 сентября придется уведомлять Роскомнадзор о намерении обрабатывать ПД персонала — даже если речь идет о пропуске на вашу территорию или заключении договора ГПХ. Поэтому прямо сейчас имеет смысл проверить: а вы вообще зарегистрированы в реестре Роскомнадзора? Это можно сделать тут.

Если ничего не найдено, то немедленно регистрируйтесь как оператор ПД, это надо сделать до 1 сентября 2022 года.

Уведомлять о планах обрабатывать ПД необходимо не только сотрудников, которым принадлежат ПД, но и:

• Контрагентов, а вы используете эти ПД для исполнения договоров или заключения новых соглашений с теми же гражданами. ПД не распространяются и не передаются третьим лицам без согласия субъектов.
• Граждан, которым оформляется пропуск (в т.ч. однократный) на вашу территорию.

Определитесь со способом представления уведомления

Вариант первый: можно отправить уведомление в традиционном бумажном виде (заполнить можно тут), после чего распечатать и отправить в свой территориальный орган Роскомнадзора.

Второй вариант: сформировать уведомление в электронном виде, используя УКЭП на сайте Роскомнадзора. В бумажном виде дублировать уже не понадобится. Для этого необходим настроенный плагин криптозащиты.

Третий вариант: сформировав электронное уведомление, можно отправить его с использованием средств аутентификации ЕСИА. Авторизуетесь на «Госуслугах», заполняете форму, отправляете — все. Необходимы подтвержденная учетная запись руководителя организации, к которому привязана организации на портале.

Надо подготовиться к более оперативной отправке уведомлений, поскольку срок подачи уведомления сокращен до 10 календарных дней (было 30).

Исправить (и проверить) Согласие на обработку ПД

Поскольку, согласно новой редакции ч. 1 статьи 9 закона о ПД, такое согласие должно быть «конкретным, предметным, информированным, сознательным и однозначным», то, скорее всего, надо проверить, чтобы в тексте согласия все было сформулировано так, чтобы не допускать разнообразия толкований. Полагаем, что не обязательно включать в текст все эти слова (особенно новое «однозначно»), но формулировки должны быть на 100% точными и понятными.

Подключите Астрал iКЭДО — облачный сервис кадрового делопроизводства с дистанционным выпуском УНЭП для всех сотрудников. Облегчите жизнь: себе — максимальная экономия ресурсов, минимум затрат на внедрение, и сотрудникам — исключение походов в отдел кадров или на почту, возможность быстро подписать и отправить любой документ, в т. ч. Согласие на обработку ПД.

Подготовиться к оперативной реакции на запросы

С 30 до 10 рабочих дней уменьшен срок ответа на запросы сотрудника относительно собственных ПД и их обработки. Ответ дается в той же форме, что и запрос, но сотрудник может попросить об ином. Например, в электронном виде запросить бумажный ответ. Срок для отправки ответа может быть продлен на пять рабочих дней при условии отправки мотивированного уведомления лицу, отправившему запрос.

Важно! На поступивший запрос Роскомнадзора также надо ответить не позднее 10 дней.

Если сотрудник или иной субъект ПД потребует прекращения обработки своих данных, то придется не позднее 10 рабочих дней с даты получения требования, прекратить их обработку или обеспечить ее прекращение.

Будьте готовы сообщать об утечках

Если имел место факт неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, оператор обязан с момента выявления уведомить Роскомнадзор в течение 24 часов относительно:

• самого факта произошедшего инцидента;
• предполагаемых его причин;
• предполагаемого вреда;
• принятых мер по устранению последствий инцидента,

а также предоставить сведения о лице, которое он уполномочил контактировать с сотрудниками Роскомнадзора по этому инциденту.

В течение 72 часов необходимо:

• отчитаться перед Роскомнадзором о результатах внутреннего расследования выявленного инцидента;
• представить (при наличии) сведения о виновных лицах.

Подключиться к ГосСОПКА

Судя по тому, что новая редакция закона обязывает операторов ПД взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, необходимо подключиться к ГосСОПКА.

После чего туда надо будет направлять информацию обо всех инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.

В заключение отметим, что  предусматривает штрафы за нарушение законодательства РФ в области персональных данных, а  — за непредставление сведений (информации) в виде предупреждение или штрафов: 100 — 300 руб. (для частных лиц), 300 — 500 руб. (для должностных лиц), 3 000 — 5 000 руб. (для юридических лиц).

Отправляйте документы в 1 клик!

Существенная экономия времени.

Расскажем все о кадровом электронном документообороте!

Оставьте контактные данные, наши специалисты свяжутся с вами и расскажут все о кадровом электронном документообороте:

Имя^*

E-mail^*

Телефон^*

Отправить

Принимаю оферту и даю согласие на сбор персональных данных и их распространение