Программа добавлена в заказ
Для отправки заявки перейдите в раздел ЗАКАЗ
 
Спасибо!
За Вашим электронным адресом закреплена скидка 10%.
 



31 августа 2022 г.  

Персональные данные с 01 сентября 2022 года



К персональным данным сотрудника относятся ФИО работника, ИНН, СНИЛС, телефон, доходы, даты рождения его детей и т.п. Это может быть любая информация, которая относится к сотруднику в соответствии со ст. 3 закона о персональных данных 152-ФЗ. Даже простое указание ФИО «Иванов Иван Иванович» без даты рождения или номера телефона Роскомнадзор считает персональными данными.  Но при этом, некоторые сведения без привязки к ФИО уже не будут относится к персональным данным, например, адрес или телефон без указания ФИО.

Кадровый специалист часто работает с персональными данными (другими словами:  обрабатывает персональные данные), например при получении резюме от кандидата, при оформлении трудовых договоров и пропусков, при формировании пенсионных отчетов и т.д. Другими словами, это работа называется «обработка персональных данных» в соответствии с п.3 ст.3 152-ФЗ.  Документы по персональным данным описываются в законе №152 –ФЗ и главе 14 ТК РФ.

Организации и ИП, у кого есть сотрудники,  являются операторами персональных данных, так как при работе с сотрудниками обрабатывается информация о физических лицах. С 1 сентября необходимо уведомлять Роскомнадзор о намерении обрабатывать ПД персонала всем организациям и ИП с сотрудниками. Даже если речь идет о пропуске на вашу территорию или заключении договора ГПХ. Для этого необходимо быть зарегистрированным в реестре Роскомнадзора как оператор персональных данных (https://pd.rkn.gov.ru/operators-registry/operators-list/).

 

Получение  персональных данных от третьей стороны с 1 сентября 2022 года

В большинстве случаев, сотрудник сам предоставляет персональные данные работодателю. Но на практике бывают ситуации, что текущий работодатель должен получить информацию с бывшего места работы или учебного заведения, где учился кандидат или сотрудник. В таком случае необходимо уведомить работника (или кандидата) о планируемом сборе персональных данных от третьих лиц. Единого шаблона такого уведомления нет, в документе «уведомление о необходимости получить персональные данные от третьих лиц» нужно перечислить следующую информацию:

  • Наименование и реквизиты третьей стороны, у кого запрашивают сведения;
  • Правовое основание и цель данного запроса к третьей стороне;
  • Указание видов запрашиваемых персональных данных;
  • Кому будут передана полученная информация (пользователи персональных данных);
  • Права работника;
  • Описание последствий отказа работником в данном запросе в сторону третьей стороны.

 

Новые моменты в документах «согласие на обработку» и «согласие на распространение персональных данных» с 1 сентября 2022 года

Документ «согласие на обработку персональных данных» должен включать однозначные формулировки без абстрактных общих фраз. Описание целей обработки должно быть подробным и конкретным.

Рассмотрим два примера:

  1. В «согласии на обработку персональных данных» при приеме на работу описание целей возьмите из статьи 86 ТК.
  2. В «согласии на предоставлении данных» самостоятельно формулируйте цели. Например, вместо ссылки на соблюдение нормативных актов и законов, указывайте четкую формулировку «в целях перечисления заработной платы». Второй пример, вместо общей фразы «для передачи в банк» применяйте формулировку с указанием наименования банка.

 

С 1 сентября 2022 года нельзя обрабатывать персональные данные, если они не относятся к целям сбора в соответствии с законом. Например, если должность требует наличия определенной степени образования, то работодатель может обрабатывать сведения по диплому или аттестату кандидата.

 

Биометрические персональные данные

К т.н. «биометрическим персональным данным» относятся  фотографии, отпечатки пальцев, группа крови, генетическая информация. Это физиологические или биологические особенности человека. биометрические данные применяются для цифровой идентификации людей. В частности, банки собирают такие данные для того, чтобы предоставлять на удаленном расстоянии свои услуги. Например, для того чтобы у вас была возможность в более упрощенной форме открыть счет либо взять кредит. Ранее для этого было необходимо личное присутствие в банке, то теперь многое можно сделать, пользуясь интернетом.

Наличие информации о биометрических персональных данных обязательно  в документах на согласия. Если в согласиях на обработку и предоставлении не указаны биометрические данные, то необходимо получить отдельное согласие на обработку биометрических данных. Причем сотрудник может отказаться от подписания такого согласия. В таком случае работодатель не имеет права проводить фото и видеосъемку сотрудника. Эти правила регулируются части 3 статьи 11 Федерального закона от 17.07.2006 № 152-ФЗ.

Работник имеет право спросить работодателя об обработке персональных данных

Если сотрудник запросил информацию об обработке его персональных данных, то работодатель должен отправить ответ работнику в течение 10 дней (до 1 сентября 2022 года срок ответа был до 30 дней). Сотрудник также имеет право запросить просмотр документов с его персональными данными. Если закон позволяет отказать сотруднику, то работодатель должен оформить официальный и мотивированный отказ в доступе к подобным документам.

 

Защита персональных данных с 1 сентября 2022 года

С 1 сентября каждый работодатель обязан предпринимать следующие действия для организации защиты персональных данных:

  1. Приготовить новый локальный акт «Положение о защите персональных данных», в котором описываются меры защиты с указанием типов угроз защищенности персональных данных. Сведения для данного акта можно применить из части 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ и Требований, утвержденных постановлением Правительства от 01.11.2012 № 1119.
  2. Проводить контрольные проверки контроля защищенности персональных данных (как минимум один раз в три года). Данные проверки можно проводить с привлечением сторонних организаций или ИП (при наличии у них соответствующей лицензии на осуществление деятельности по технической защите конфиденциальной информации).
  3. Взаимодействовать с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы. Если обнаружено нарушение защиты персональных данных и передача их третьим лицам, необходимо информировать Роскомназдор в течение 24 часов.

 

Взаимодействие с Роскомнадзором с 1 сентября 2022 года

С 1 сентября необходимо уведомлять Роскомнадзор о намерении обрабатывать ПД персонала всем организациям и ИП с сотрудниками. Даже если речь идет о пропуске на вашу территорию или заключении договора ГПХ. Для этого необходимо быть зарегистрированным в реестре Роскомнадзора как оператор персональных данных (https://pd.rkn.gov.ru/operators-registry/operators-list/).


Уведомлять о планах обрабатывать ПД необходимо не только сотрудников, которым принадлежат ПД, но также:

  • Контрагентов, а вы используете эти ПД для исполнения договоров или заключения новых соглашений с теми же гражданами. ПД не распространяются и не передаются третьим лицам без согласия субъектов.
  • Граждан, которым оформляется пропуск (в т.ч. однократный) на вашу территорию.

 С 1 сентября 2022 года уменьшен срок ответа до 10 дней на запрос Роскомнадзора (ранее срок ответа был до 30 дней).

 

Обновление Положения о персональных данных с 1 сентября 2022 года

Положение о персональных данных должно соответствовать ст. 18.1 Закона о персональных данных. Каждая цель обработки должна содержать:

  • Категории и перечень данных;
  • Категории субъектов персональных данных;
  • Способы и сроки обработки данных;
  • Порядок уничтожения.

До 1 сентября 2022 года таких требований не было. Также из нормативных актов по персональным данным должны быть исключены положения об ограничении прав работников, а также обязанностей, которых нет в законах. Например, описание обязанности сотрудника принести новый паспорт необходимо перенести их локального акта по персональным данным в другие локально-нормативные акты.

Хранение и уничтожение персональных данных с 1 сентября

В зависимости от формата и способа хранения персональных данных различают правила:

  • Для бумажных документов с персональными данными: хранение в сейфах или металлических несгораемых шкафах. Для доступа к документам устанавливается определенный список сотрудников. Данные сотрудники должны подписать письменное обязательство о неразглашении персональных данных.
  • Для электронных документов: необходимо запретить доступ к ним сторонних лиц. Для этого нужно решить вопросы информационной безопасности и резервного копирования баз данных сотрудников. Хранить электронные копии личных документов сотрудников в открытых файлах закон также не позволяет. Если Роскомнадзор при проверке обнаружит сканы, например, паспортов, дипломов и военных билетов, компанию оштрафуют так же, как если бы вы хранили эти копии на бумаге. Наилучшим способом будет применение специальной программы с доступом по паролю и хранению в данной программе всех файлов по кандидатам и сотрудникам. Причем хранить данные лучше в рамках локальной сети организации, а не на облачных сервисах.


Порядок хранения персональных данных и требования к местам хранения закрепите в локальном акте, например, в "Положении о порядке хранения и защиты персональных данных пользователей".

Уничтожение персональных данных регулируется пунктом 3 статьи 21, статье 21 Федерального закона от 14.07.2022 № 266-ФЗ. Ниже перечислены примеры оснований для уничтожения документов с персональными данными:

  • истечение срока хранения;
  • отсутствие цели обработки персональных данных;
  • незаконная обработка данных;
  • отзыв сотрудников согласия на обработку и распространение персональных данных;

 

Ответственность за нарушение правил работы с персональными данные с 1 сентября 2022 года

Существуют четыре вида ответственности при работе с персональными данными:

  1. К дисциплинарной ответственности можете привлечь сотрудников компании, которые отвечают за работу с персданными. За незначительное нарушение можете объявить замечание или выговор. Если сотрудник разгласил персональные данные коллег, можете его за это сразу уволить. Перед тем как привлекать сотрудников к дисциплинарной ответственности, проверьте, есть ли у них полномочия работать с персональными данными. Если таких полномочий не было, но вы требовали, чтобы сотрудник работал с персональными данными, то наказывать его нельзя. Такие правила установили в подп. «в» п. 6 ч. 1 ст. 81, ст. 192 ТК.
  2. Материальная ответственность наступает, если сотрудник нарушил правила работы с персональными данными и причинил компании прямой действительный ущерб. В таком случае вы вправе взыскать с него этот ущерб в размере среднего заработка.
  3. К административной ответственности за нарушение работы с персональными данными привлекает Роскомнадзор. Ведомство имеет право наказать и компанию, и сотрудников, которые нарушили правила работы с персональными данными. Штрафовать будут за каждое нарушение отдельно по статье 13.11 КоАП.
  4. Уголовную ответственность за нарушения в работе с персональными данными могут применить к руководителю организации, а также к ее должностным лицам и сотрудникам. Наказание для нарушителей установили в статье 137 УК. Кроме того, сотрудник, персональные данные которого вы разгласили, имеет право взыскать с вашей компании компенсацию морального вреда. Такой вред возмещают независимо от возмещения имущественного вреда и убытков сотрудника (ч. 2 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ).

Кроме того, сотрудник, персональные данные которого вы разгласили, имеет право взыскать с вашей компании компенсацию морального вреда. Такой вред возмещают независимо от возмещения имущественного вреда и убытков сотрудника (ч. 2 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ).













Все обзоры




Скачать бесплатную версию


Новости
Обзоры


Скачать бесплатную версию











ОТДЕЛ КАДРОВ ПЛЮС - удобная программа для отдела кадров. Программа позволяет значительно повысить скорость работы отдела кадров. Эффект от использования программы в работе отдела кадров высок для предприятий с различной численностью сотрудников. Внедрение   программы существенно снижает время, необходимое на обработку     информации и оформление кадровых приказов и документов.
Есть множество программ, заявленных помочь работе отдела кадров. Некоторые из них вышли из бухгалтерских систем, другие из правовых юридических справочников. Но только ОТДЕЛ КАДРОВ ПЛЮС единственный программный продукт, который изначально создавался  для специалистов отдела кадров и воплотил в себе их пожелания.