Е-Офис 24
Защита персональных данных

Приказ вступил: с 1 марта все работодатели должны учесть изменения и подписать новый акт для обработки персональных данных

С начала марта вступают в силу сразу несколько значимых для всех работодателей изменений в работе с персональными данными.
Приказ вступил: с 1 марта все работодатели должны учесть изменения и подписать новый акт для обработки персональных данных
Иллюстрация: Вера Ревина/Клерк.ру

Организаций и ИП касается ряд нововведений, которые придётся учитывать в работе с персональными данными сотрудников уже с 1 марта 2023 года.

Они затрагивают вопросы изменения личной информации персонала, допустимости передачи её третьим лицам за рубеж, уничтожения хранящихся данных и оценки вреда из-за их вероятной утечки.

Поправки в основной закон утверждаются Федеральным законом № 266-ФЗ, принятым 14 июля 2022 и вступающим в силу 1 марта 2023.

Новые требования к оценке вреда в случае утечки персональных данных сотрудника

В документе 18.1 ФЗ «О персональных данных» указывается на то, что оператор (работодатель) должен сам определять меры, которые смогут обеспечить надлежащее исполнение им законодательства о хранении и защите персональных данных.

В числе прочего, одной из таких обязательных мер является оценка возможного вреда, который может быть нанесён сотруднику из-за несанкционированного попадания его данных к третьим лицам.

В дополнение к этому пункту закона с марта 2023 года в силу вступают конкретные требования, на основании которых должна проводиться и оформляться такая оценка на предприятиях. Правила утверждаются приказом № 178, принятым Роскомнадзором 27 октября 2022 и начинающим действие с 1 марта 2023.

Документ, который с 1 марта должны составить и подписать все работодатели

Роскомнадзор обязывает работодателей самостоятельно организовать комиссию для оценки вреда от потери данных работников и оформлять результат в виде акта за подписью ответственных сторон.

В ходе оценки оператор (работодатель) должен присвоить одну из степеней, отражающую уровень вреда, который может быть причинён субъекту персональных данных (сотруднику) в случае потери контроля над их хранением.

Может быть выбрана одна из трёх степеней вреда:

  1. Высокая степень.

  2. Средняя степень.

  3. Низкая степень.

Высокая степень вреда должна быть присвоена в том случае, если работодатель располагает следующими персональными данными сотрудников:

  • биометрические данные для идентификации лиц;

  • информация личного характера и других особых категорий, таких как религия, национальность, политические взгляды, интимная жизнь, здоровье, наличие судимостей;

  • данные лиц, не достигших совершеннолетнего возраста;

  • обезличенные персональные данные;

  • персональные данные, обработкой которых занимается иностранное лицо;

  • данные, сбор которых осуществляется иностранными базами данных за пределами страны.

Средняя степень вреда определяется, если в распоряжении организации оказываются такие сведения:

  • персданные, распространяемые через сайт компании, которые может увидеть неограниченное число лиц;

  • данные, фактическая цель использования которых отличается от первоначально заявленной;

  • информация, применяемая в целях продвижения товаров организации и услуг среди вероятных покупателей, взятая из базы общего доступа.

Также средней степенью считаются:

  • личные данные людей, согласие на использование которых получено на сайте компании, но не предполагают проверку подлинности;

  • данные, полученные с согласия на обработку по положению, содержащему разные, не совместимые между собой цели.

Низкая степень указывается организацией-работодателем, если:

  • персданные хранятся по согласию сотрудника в общедоступной базе;

  • ответственность за работу с данными официально закреплена за сторонним физическим или юридическим лицом, а не за штатным сотрудником.

Если личные данные относятся к нескольким степеням, то в акте прописывается наивысшая из них.

Как оформить правильно акт о степени вреда

Форма акта, который должен оформляться в результате оценки степени вреда, официально не утверждена. Документ составляется в свободной, но строгой форме, и должен содержать перечисленные в приказе № 178 требования:

  1. название или Ф.И.О. оператора (организации или ИП), его адрес;

  2. дату, когда был создан Акт;

  3. дату, когда проводилась оценка вреда;

  4. Ф.И.О. и должность лица или лиц, проводивших оценку, их подписи;

  5. присвоенная степень оценки вреда.

Документ оценки может быть составлен как в бумажном, так и в электронном виде с применением цифровой подписи.

Если по истечении времени состав сведений, составляющих персональные данные, дополняется информацией, которая относится уже к более высокой степени вреда, то акт оценки должен быть составлен заново.

Пример, как может выглядеть акт оценки на предприятии.

Другие изменения в работе с персданными, которые начинают действовать с 1 марта 2023

Наряду с оценкой степени вреда из-за возможной утечки, в основной закон о персональных данных внесены и другие немаловажные для работодателей поправки:

  1. О трансграничной (международной) передаче данных.

    Компании, которые планируют передавать персональные данные за границу, обязаны заранее уведомить об этом Роскомнадзор, после чего контролирующий орган должен разрешить или запретить такую деятельность в течение 10 дней.

  2. Об изменениях в хранящихся данных сотрудников.

    При изменении персданных работника организация обязана уведомить об этом контролирующий орган до 15 числа последующего месяца.

  3. Об уничтожении сведений, относящихся к персональным данным.

    Уничтожение персданных должно подтверждаться актом об уничтожении и выгрузкой из журнала регистрации событий, если данные обрабатывались с помощью автоматизированных систем.

  4. Об инцидентах по утечке персданных.

    Все случаи, связанные с незаконной передачей данных третьим лицам, будут заноситься службой Роскомнадзора в единый реестр инцидентов.

Узнать подробнее обо всех вводимых с начала марта изменениях можно из официальных законодательных актов, ссылки на которые представлены выше в статье.

Реклама: ООО «Е-Офис 24», ИНН 6672281995, erid: LjN8KUc1e

Комментарии

4
  • Алекс

    Какой бред…. Когда уже фантазия прекратит такую чушь выдавать….

  • VadimBA

    Высокая степень вреда - удел большинства, как предоставляющих налоговые вычеты на детей сотрудников (данные лиц, не достигших совершеннолетнего возраста).

    И что дальше? Необходимо будет пройти какое-нибудь платное обучение, застраховать предприятие от утечки персональных данных или предоставить персональные данные Роскомнадзору, чтобы их потом куда-нибудь слили налево?

    • olga_n_kulagina

      Вроде бы речь идет об обработке ПДн несовершеннолетних в целях исполнения договора, стороной которого он является. При чем здесь налоговые вычеты? 🤔

  • Андрей
    врач

    Как же тут не вспомнить бессмертный роман Гашека

    "Римская четверка в соединении с «а» обозначала государственного изменника и петлю, в соединении с «b» – концентрационный лагерь, а с «с» – необходимость выследить и посадить.

    В письменном столе жандармского вахмистра находились всевозможные печатные распоряжения и реестры. Власти желали знать, что думает о своем правительстве каждый гражданин.

    Вахмистр Фландерка не раз приходил в отчаяние от этой «литературы», прибывавшей с каждой почтой.

    Как только завидит, бывало, знакомый пакет со штемпелем «Свободно от оплаты», «Служебное», у него начинается сердцебиение.

    А окружное жандармское управление ежедневно бомбардировало его запросами: почему до сих пор не отвечено на анкету за № , как выполняется инструкция за № , каковы практические результаты наставления за № , и т. д."(С)