Организаций и ИП касается ряд нововведений, которые придётся учитывать в работе с персональными данными сотрудников уже с 1 марта 2023 года.
Они затрагивают вопросы изменения личной информации персонала, допустимости передачи её третьим лицам за рубеж, уничтожения хранящихся данных и оценки вреда из-за их вероятной утечки.
Поправки в основной закон утверждаются Федеральным законом № 266-ФЗ, принятым 14 июля 2022 и вступающим в силу 1 марта 2023.
Новые требования к оценке вреда в случае утечки персональных данных сотрудника
В документе 18.1 ФЗ «О персональных данных» указывается на то, что оператор (работодатель) должен сам определять меры, которые смогут обеспечить надлежащее исполнение им законодательства о хранении и защите персональных данных.
В числе прочего, одной из таких обязательных мер является оценка возможного вреда, который может быть нанесён сотруднику из-за несанкционированного попадания его данных к третьим лицам.
В дополнение к этому пункту закона с марта 2023 года в силу вступают конкретные требования, на основании которых должна проводиться и оформляться такая оценка на предприятиях. Правила утверждаются приказом № 178, принятым Роскомнадзором 27 октября 2022 и начинающим действие с 1 марта 2023.
Документ, который с 1 марта должны составить и подписать все работодатели
Роскомнадзор обязывает работодателей самостоятельно организовать комиссию для оценки вреда от потери данных работников и оформлять результат в виде акта за подписью ответственных сторон.
В ходе оценки оператор (работодатель) должен присвоить одну из степеней, отражающую уровень вреда, который может быть причинён субъекту персональных данных (сотруднику) в случае потери контроля над их хранением.
Может быть выбрана одна из трёх степеней вреда:
Высокая степень.
Средняя степень.
Низкая степень.
Высокая степень вреда должна быть присвоена в том случае, если работодатель располагает следующими персональными данными сотрудников:
биометрические данные для идентификации лиц;
информация личного характера и других особых категорий, таких как религия, национальность, политические взгляды, интимная жизнь, здоровье, наличие судимостей;
данные лиц, не достигших совершеннолетнего возраста;
обезличенные персональные данные;
персональные данные, обработкой которых занимается иностранное лицо;
данные, сбор которых осуществляется иностранными базами данных за пределами страны.
Средняя степень вреда определяется, если в распоряжении организации оказываются такие сведения:
персданные, распространяемые через сайт компании, которые может увидеть неограниченное число лиц;
данные, фактическая цель использования которых отличается от первоначально заявленной;
информация, применяемая в целях продвижения товаров организации и услуг среди вероятных покупателей, взятая из базы общего доступа.
Также средней степенью считаются:
личные данные людей, согласие на использование которых получено на сайте компании, но не предполагают проверку подлинности;
данные, полученные с согласия на обработку по положению, содержащему разные, не совместимые между собой цели.
Низкая степень указывается организацией-работодателем, если:
персданные хранятся по согласию сотрудника в общедоступной базе;
ответственность за работу с данными официально закреплена за сторонним физическим или юридическим лицом, а не за штатным сотрудником.
Если личные данные относятся к нескольким степеням, то в акте прописывается наивысшая из них.
Как оформить правильно акт о степени вреда
Форма акта, который должен оформляться в результате оценки степени вреда, официально не утверждена. Документ составляется в свободной, но строгой форме, и должен содержать перечисленные в приказе № 178 требования:
название или Ф.И.О. оператора (организации или ИП), его адрес;
дату, когда был создан Акт;
дату, когда проводилась оценка вреда;
Ф.И.О. и должность лица или лиц, проводивших оценку, их подписи;
присвоенная степень оценки вреда.
Документ оценки может быть составлен как в бумажном, так и в электронном виде с применением цифровой подписи.
Если по истечении времени состав сведений, составляющих персональные данные, дополняется информацией, которая относится уже к более высокой степени вреда, то акт оценки должен быть составлен заново.
Другие изменения в работе с персданными, которые начинают действовать с 1 марта 2023
Наряду с оценкой степени вреда из-за возможной утечки, в основной закон о персональных данных внесены и другие немаловажные для работодателей поправки:
О трансграничной (международной) передаче данных.
Компании, которые планируют передавать персональные данные за границу, обязаны заранее уведомить об этом Роскомнадзор, после чего контролирующий орган должен разрешить или запретить такую деятельность в течение 10 дней.
Об изменениях в хранящихся данных сотрудников.
При изменении персданных работника организация обязана уведомить об этом контролирующий орган до 15 числа последующего месяца.
Об уничтожении сведений, относящихся к персональным данным.
Уничтожение персданных должно подтверждаться актом об уничтожении и выгрузкой из журнала регистрации событий, если данные обрабатывались с помощью автоматизированных систем.
Об инцидентах по утечке персданных.
Все случаи, связанные с незаконной передачей данных третьим лицам, будут заноситься службой Роскомнадзора в единый реестр инцидентов.
Узнать подробнее обо всех вводимых с начала марта изменениях можно из официальных законодательных актов, ссылки на которые представлены выше в статье.
Реклама: ООО «Е-Офис 24», ИНН 6672281995, erid: LjN8KUc1e
Комментарии
4Какой бред…. Когда уже фантазия прекратит такую чушь выдавать….
Высокая степень вреда - удел большинства, как предоставляющих налоговые вычеты на детей сотрудников (данные лиц, не достигших совершеннолетнего возраста).
И что дальше? Необходимо будет пройти какое-нибудь платное обучение, застраховать предприятие от утечки персональных данных или предоставить персональные данные Роскомнадзору, чтобы их потом куда-нибудь слили налево?
Вроде бы речь идет об обработке ПДн несовершеннолетних в целях исполнения договора, стороной которого он является. При чем здесь налоговые вычеты? 🤔
Как же тут не вспомнить бессмертный роман Гашека
"Римская четверка в соединении с «а» обозначала государственного изменника и петлю, в соединении с «b» – концентрационный лагерь, а с «с» – необходимость выследить и посадить.
В письменном столе жандармского вахмистра находились всевозможные печатные распоряжения и реестры. Власти желали знать, что думает о своем правительстве каждый гражданин.
Вахмистр Фландерка не раз приходил в отчаяние от этой «литературы», прибывавшей с каждой почтой.
Как только завидит, бывало, знакомый пакет со штемпелем «Свободно от оплаты», «Служебное», у него начинается сердцебиение.
А окружное жандармское управление ежедневно бомбардировало его запросами: почему до сих пор не отвечено на анкету за № , как выполняется инструкция за № , каковы практические результаты наставления за № , и т. д."(С)