Персональные данные с 01 сентября 2022 года

К персональным данным сотрудника относятся ФИО работника, ИНН, СНИЛС, телефон, доходы, даты рождения его детей и т.п. Это может быть любая информация, которая относится к сотруднику в соответствии со ст. 3 закона о персональных данных 152-ФЗ. Даже простое указание ФИО «Иванов Иван Иванович» без даты рождения или номера телефона Роскомнадзор считает персональными данными.  Но при этом, некоторые сведения без привязки к ФИО уже не будут относится к персональным данным, например, адрес или телефон без указания ФИО.

Кадровый специалист часто работает с персональными данными (другими словами:  обрабатывает персональные данные), например при получении резюме от кандидата, при оформлении трудовых договоров и пропусков, при формировании пенсионных отчетов и т.д. Другими словами, это работа называется «обработка персональных данных» в соответствии с п.3 ст.3 152-ФЗ.  Документы по персональным данным описываются в законе №152 –ФЗ и главе 14 ТК РФ.

Организации и ИП, у кого есть сотрудники,  являются операторами персональных данных, так как при работе с сотрудниками обрабатывается информация о физических лицах. С 1 сентября необходимо уведомлять Роскомнадзор о намерении обрабатывать ПД персонала всем организациям и ИП с сотрудниками. Даже если речь идет о пропуске на вашу территорию или заключении договора ГПХ. Для этого необходимо быть зарегистрированным в реестре Роскомнадзора как оператор персональных данных (https://pd.rkn.gov.ru/operators-registry/operators-list/).

 

Получение  персональных данных от третьей стороны с 1 сентября 2022 года

В большинстве случаев, сотрудник сам предоставляет персональные данные работодателю. Но на практике бывают ситуации, что текущий работодатель должен получить информацию с бывшего места работы или учебного заведения, где учился кандидат или сотрудник. В таком случае необходимо уведомить работника (или кандидата) о планируемом сборе персональных данных от третьих лиц. Единого шаблона такого уведомления нет, в документе «уведомление о необходимости получить персональные данные от третьих лиц» нужно перечислить следующую информацию:

• Наименование и реквизиты третьей стороны, у кого запрашивают сведения;
• Правовое основание и цель данного запроса к третьей стороне;
• Указание видов запрашиваемых персональных данных;
• Кому будут передана полученная информация (пользователи персональных данных);
• Права работника;
• Описание последствий отказа работником в данном запросе в сторону третьей стороны.

Новые моменты в документах «согласие на обработку» и «согласие на распространение персональных данных» с 1 сентября 2022 года

Документ «согласие на обработку персональных данных» должен включать однозначные формулировки без абстрактных общих фраз. Описание целей обработки должно быть подробным и конкретным.

Рассмотрим два примера:

1. В «согласии на обработку персональных данных» при приеме на работу описание целей возьмите из статьи 86 ТК.
2. В «согласии на предоставлении данных» самостоятельно формулируйте цели. Например, вместо ссылки на соблюдение нормативных актов и законов, указывайте четкую формулировку «в целях перечисления заработной платы». Второй пример, вместо общей фразы «для передачи в банк» применяйте формулировку с указанием наименования банка.

С 1 сентября 2022 года нельзя обрабатывать персональные данные, если они не относятся к целям сбора в соответствии с законом. Например, если должность требует наличия определенной степени образования, то работодатель может обрабатывать сведения по диплому или аттестату кандидата.

Биометрические персональные данные

К т.н. «биометрическим персональным данным» относятся  фотографии, отпечатки пальцев, группа крови, генетическая информация. Это физиологические или биологические особенности человека. биометрические данные применяются для цифровой идентификации людей. В частности, банки собирают такие данные для того, чтобы предоставлять на удаленном расстоянии свои услуги. Например, для того чтобы у вас была возможность в более упрощенной форме открыть счет либо взять кредит. Ранее для этого было необходимо личное присутствие в банке, то теперь многое можно сделать, пользуясь интернетом.

Наличие информации о биометрических персональных данных обязательно  в документах на согласия. Если в согласиях на обработку и предоставлении не указаны биометрические данные, то необходимо получить отдельное согласие на обработку биометрических данных. Причем сотрудник может отказаться от подписания такого согласия. В таком случае работодатель не имеет права проводить фото и видеосъемку сотрудника. Эти правила регулируются части 3 статьи 11 Федерального закона от 17.07.2006 № 152-ФЗ.

Работник имеет право спросить работодателя об обработке персональных данных

Если сотрудник запросил информацию об обработке его персональных данных, то работодатель должен отправить ответ работнику в течение 10 дней (до 1 сентября 2022 года срок ответа был до 30 дней). Сотрудник также имеет право запросить просмотр документов с его персональными данными. Если закон позволяет отказать сотруднику, то работодатель должен оформить официальный и мотивированный отказ в доступе к подобным документам.

Защита персональных данных с 1 сентября 2022 года

С 1 сентября каждый работодатель обязан предпринимать следующие действия для организации защиты персональных данных:

1. Приготовить новый локальный акт «Положение о защите персональных данных», в котором описываются меры защиты с указанием типов угроз защищенности персональных данных. Сведения для данного акта можно применить из части 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ и Требований, утвержденных постановлением Правительства от 01.11.2012 № 1119.
2. Проводить контрольные проверки контроля защищенности персональных данных (как минимум один раз в три года). Данные проверки можно проводить с привлечением сторонних организаций или ИП (при наличии у них соответствующей лицензии на осуществление деятельности по технической защите конфиденциальной информации).
3. Взаимодействовать с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы. Если обнаружено нарушение защиты персональных данных и передача их третьим лицам, необходимо информировать Роскомназдор в течение 24 часов.

Взаимодействие с Роскомнадзором с 1 сентября 2022 года

С 1 сентября необходимо уведомлять Роскомнадзор о намерении обрабатывать ПД персонала всем организациям и ИП с сотрудниками. Даже если речь идет о пропуске на вашу территорию или заключении договора ГПХ. Для этого необходимо быть зарегистрированным в реестре Роскомнадзора как оператор персональных данных (https://pd.rkn.gov.ru/operators-registry/operators-list/).

Уведомлять о планах обрабатывать ПД необходимо не только сотрудников, которым принадлежат ПД, но также:

• Контрагентов, а вы используете эти ПД для исполнения договоров или заключения новых соглашений с теми же гражданами. ПД не распространяются и не передаются третьим лицам без согласия субъектов.
• Граждан, которым оформляется пропуск (в т.ч. однократный) на вашу территорию.

 С 1 сентября 2022 года уменьшен срок ответа до 10 дней на запрос Роскомнадзора (ранее срок ответа был до 30 дней).

Обновление Положения о персональных данных с 1 сентября 2022 года

Положение о персональных данных должно соответствовать ст. 18.1 Закона о персональных данных. Каждая цель обработки должна содержать:

• Категории и перечень данных;
• Категории субъектов персональных данных;
• Способы и сроки обработки данных;
• Порядок уничтожения.

До 1 сентября 2022 года таких требований не было. Также из нормативных актов по персональным данным должны быть исключены положения об ограничении прав работников, а также обязанностей, которых нет в законах. Например, описание обязанности сотрудника принести новый паспорт необходимо перенести их локального акта по персональным данным в другие локально-нормативные акты.

Хранение и уничтожение персональных данных с 1 сентября

В зависимости от формата и способа хранения персональных данных различают правила:

• Для бумажных документов с персональными данными: хранение в сейфах или металлических несгораемых шкафах. Для доступа к документам устанавливается определенный список сотрудников. Данные сотрудники должны подписать письменное обязательство о неразглашении персональных данных.
• Для электронных документов: необходимо запретить доступ к ним сторонних лиц. Для этого нужно решить вопросы информационной безопасности и резервного копирования баз данных сотрудников. Хранить электронные копии личных документов сотрудников в открытых файлах закон также не позволяет. Если Роскомнадзор при проверке обнаружит сканы, например, паспортов, дипломов и военных билетов, компанию оштрафуют так же, как если бы вы хранили эти копии на бумаге. Наилучшим способом будет применение специальной программы с доступом по паролю и хранению в данной программе всех файлов по кандидатам и сотрудникам. Причем хранить данные лучше в рамках локальной сети организации, а не на облачных сервисах.

Порядок хранения персональных данных и требования к местам хранения закрепите в локальном акте, например, в "Положении о порядке хранения и защиты персональных данных пользователей".

Уничтожение персональных данных регулируется пунктом 3 статьи 21, статье 21 Федерального закона от 14.07.2022 № 266-ФЗ. Ниже перечислены примеры оснований для уничтожения документов с персональными данными:

• истечение срока хранения;
• отсутствие цели обработки персональных данных;
• незаконная обработка данных;
• отзыв сотрудников согласия на обработку и распространение персональных данных;

Ответственность за нарушение правил работы с персональными данные с 1 сентября 2022 года

Существуют четыре вида ответственности при работе с персональными данными:

1. К дисциплинарной ответственности можете привлечь сотрудников компании, которые отвечают за работу с персданными. За незначительное нарушение можете объявить замечание или выговор. Если сотрудник разгласил персональные данные коллег, можете его за это сразу уволить. Перед тем как привлекать сотрудников к дисциплинарной ответственности, проверьте, есть ли у них полномочия работать с персональными данными. Если таких полномочий не было, но вы требовали, чтобы сотрудник работал с персональными данными, то наказывать его нельзя. Такие правила установили в подп. «в» п. 6 ч. 1 ст. 81, ст. 192 ТК.
2. Материальная ответственность наступает, если сотрудник нарушил правила работы с персональными данными и причинил компании прямой действительный ущерб. В таком случае вы вправе взыскать с него этот ущерб в размере среднего заработка.
3. К административной ответственности за нарушение работы с персональными данными привлекает Роскомнадзор. Ведомство имеет право наказать и компанию, и сотрудников, которые нарушили правила работы с персональными данными. Штрафовать будут за каждое нарушение отдельно по статье 13.11 КоАП.
4. Уголовную ответственность за нарушения в работе с персональными данными могут применить к руководителю организации, а также к ее должностным лицам и сотрудникам. Наказание для нарушителей установили в статье 137 УК. Кроме того, сотрудник, персональные данные которого вы разгласили, имеет право взыскать с вашей компании компенсацию морального вреда. Такой вред возмещают независимо от возмещения имущественного вреда и убытков сотрудника (ч. 2 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ).

Кроме того, сотрудник, персональные данные которого вы разгласили, имеет право взыскать с вашей компании компенсацию морального вреда. Такой вред возмещают независимо от возмещения имущественного вреда и убытков сотрудника (ч. 2 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ).