Как работать с персональными данными в компании: новые требования 2022

С 1 сентября 2022 года работать с персональными данными (ПД) нужно по новым правилам. Федеральным законом от 14.07.2022 № 266-ФЗ внесли поправки в Закон от 27.07.2006 № 152-ФЗ «О персональных данных». Они коснулись порядка и правил работы с персональными данными, получения согласия, прекращения обработки, уведомления Роскомнадзора.

С 1 сентября 2022 года работать с персональными данными (ПД) нужно по новым правилам. Федеральным законом от 14.07.2022 № 266-ФЗ внесли поправки в Закон от 27.07.2006 № 152-ФЗ «О персональных данных». Они коснулись порядка и правил работы с персональными данными, получения согласия, прекращения обработки, уведомления Роскомнадзора.

Что входит в обязанности работодателя

С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).

Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).

Что обязан сделать работодатель:

  • назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
  • издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
  • проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
  • оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
  • ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
  • соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

  • персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
  • персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Как поступить при утечке данных

Если работодатель установит факт случайной или неправомерной передачи, предоставление и распространение ПД, он должен в установленном порядке сообщить об этом в Роскомнадзор (ч. 3.1 ст. 21Закона № 152-ФЗ):

  • в течение 24 часов — о выявленных инцидентах, предполагаемых причинах и возможном вреде;
  • в течение 72 часов — о результатах внутреннего расследования внутреннего инцидента.

О компьютерных сбоях, которые повлекли неправомерную передачу персональных данных, следует сообщать через государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ч. 12-14 ст. 19 Закона № 152-ФЗ).

Какие есть требования к согласию на обработку ПД

Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:

  • цели обработки персональных данных;
  • перечня персональных данных, на обработку которых даёт согласие их субъект;
  • наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
  • перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
  • срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!

Для каждой цели обработки персональных данных нужно отдельно указывать:

  • категории и перечень персональных данных
  • категории субъектов, персональные данные которых обрабатываются;
  • способы и сроки хранения персональных данных;
  • порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

  • перечень обрабатываемых персональных данных;
  • обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
  • обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
  • обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Правила обработки ПД работают и в отношении иностранных организаций и физлиц (ч. 1.1 ст. 1 Закона № 152-ФЗ). Положения закона применяются к случаям, когда ПД граждан РФ обрабатываются на основании договора (соглашения) или на основании согласия гражданина на обработку ПД.

Ответственность перед субъектом ПД при этом несёт как само обрабатывающее ПД лицо, так и оператор ПД (ч. 6 ст. 6 Закона № 152-ФЗ).

Когда следует прекратить обработку ПД

По общему правилу, оператор ПД должен в течение 10 рабочих дней обеспечить прекращение обработки ПД при обращении субъекта ПД с таким требованием.

Срок можно продлить, но не более чем на пять рабочих дней. Для этого оператор должен направить в адрес субъекта ПД мотивированное уведомление с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ).

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

17.02.25   |   Москва
Семинар

Как организовать работу с персональными данными в компании: новые требования законодательства, ответственность за несоблюдение, претензии Роскомнадзора

С 1 марта 2023 года произошли очередные значительные изменения по работе с персональными данными. Изменения коснулись трансграничной передачи, утечки и уничтожения персональных данных.

Смотрите также:

Заказать обратный звонок

×

Сайт УЦ Финконт использует cookies. Подробнее »

Продолжая работу с сайтом, Вы выражаете своё согласие на обработку Ваших персональных данных.

Отключить cookies Вы можете в настройках своего браузера.

http://www.finkont.ru/blog/kak-rabotat-s-personalnymi-dannymi-v-kompanii-novye-trebovaniya-2022/