Юрстатус

Правовая защита граждан

Что меняется в обработке персональных данных с 1 сентября 2022 года

Опубликовано: 17 июня, 2023 Категория: Трудовое право Комментариев нет

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что меняется в обработке персональных данных с 1 сентября 2022 года». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Передача персональных данных за границу
2. Как подтвердить уничтожение персональных данных
3. Как передать обработку ПД третьим лицам
4. Рекомендации по составлению Политики
5. Изменения в правилах работы с персональными данными сотрудников в 2023 году
6. Обязанности лиц, которые осуществляют обработку персональных данных по поручению оператора
7. Контроль и ответственность операторов персональных данных за нарушения
8. Новые требования к трансграничной передаче персональных данных
9. Кому нужно защищать персональные данные
10. Основные этапы защиты ПДн
11. Формирование и ведение личного дела
12. Формирование личных дел сотрудников в 2022 году
13. Является ли ваша организация оператором персональных данных?
14. Какими нормативными актами нужно руководствоваться при разработке и внедрении документов по обработке персональных данных?

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Передача персональных данных за границу

Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных. А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут. Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

Средняя степень вреда присваивается, если:

  • ПД распространяются на сайте оператора или неограниченному кругу лиц;
  • цель обработки ПД отличается от первоначальной;
  • используются базы персональных данных других операторов с целью продвижения своих товаров, работ, услуг;
  • получено согласие на обработку ПД на сайте оператора, который не предусматривает дальнейшую идентификацию и аутентификацию субъекта персональных данных;
  • осуществляется обработка персональных данных с получением согласия на передачу права их обработки третьими лицам в целях, которые несовместимы с целями сбора таких данных.

Как подтвердить уничтожение персональных данных

Правила подтверждения факта уничтожения персональных данных утверждены приказом Роскомнадзора от 28.10.2022 № 179, вступившим в силу с 1 марта 2023 года. По новым правилам, если обработка персональных данных осуществляется вручную, без применения компьютеров, то уничтожение персональных данных нужно подтверждать специальным актом об уничтожении. Если же компания обрабатывает персональные данные с использованием компьютерной техники, то она по завершении уничтожения данных должна представить и соответствующий акт, и выгрузку из журнала регистрации событий в информационной системе персональных данных. То же самое касается и случаев, когда обработка персональных сведений в компании производится и вручную и с применением компьютерной техники.

Никакой специальной формы для акта об уничтожении персональных данных законодательством не предусмотрено. Компания может составить его в произвольной форме. Главное, чтобы акт содержал следующие реквизиты и сведения:

  • наименование организации или ФИО предпринимателя и их адрес местонахождения;
  • ФИО лиц, чьи персональные данные были уничтожены;
  • ФИО и должность лица, уничтожившего персональные данные, а также его подпись;
  • перечень категорий уничтоженных персональных данных;
  • наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных вручную);
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае их обработки на компьютере);
  • способ уничтожения персональных данных;
  • причину уничтожения данных и дату уничтожения.

Выгрузка из журнала регистрации должна содержать:

  • ФИО лиц, чьи персональные данные были уничтожены;
  • перечень категорий уничтоженных персональных данных;
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
  • причину уничтожения персональных данных и дату их уничтожения.

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

  • перечень обрабатываемых персональных данных;
  • обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
  • обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
  • обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Рекомендации по составлению Политики

Итак, поскольку обязанность по созданию Политики существует давно, в большинстве организаций она разработана, правда, не факт, что опубликована. Иногда Политику публикуют так, что ее сложно найти. Поэтому организациям следует рассмотреть этот документ с учетом Рекомендаций и при необходимости внести изменения путем утверждения нового документа, разместив его в соответствии с требованиями законодательства. А работодателям, у которых этого документа нет, следует его срочно составить, руководствуясь Рекомендациями.

Обратите внимание: рекомендации изданы в целях выработки унифицированного подхода к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных.

Итак, исходя из Рекомендаций, в Политику надо включить такие разделы:

Изменения в правилах работы с персональными данными сотрудников в 2023 году

В 2023 году произошли законодательные изменения, которыми было утверждено, что согласие на обработку данных, разрешенных гражданином к передаче, необходимо оформлять отдельно от иных видов согласий. То есть стандартного документа от работника уже недостаточно, для этого необходимо отдельное согласие, даже в том случае, если человек указал в стандартном документе, что он не против передачи его сведений другим лицам.

Читайте также:  Приказ от 24 декабря 2021 г. № МКЭ-ОД/21-100

Случаи, когда необходимо отдельное согласие физического лица:

  1. Организация занимается распространением данных неограниченному кругу лиц.
  2. Организация занимается передачей информации третьим лицам.

К примеру, если компания намерена разместить данные сотрудника на своем сайте, то ей необходимо получить у человека отдельное согласие на передачу такой информации.

Обязанности лиц, которые осуществляют обработку персональных данных по поручению оператора

В случае, если оператор персональных данных поручает обработку персональным данным другим физическим или юридическим лицам, то такие лица обязаны принять меры по обеспечению соблюдения требований 152-ФЗ. Оператор персональных данных вправе запросить у таких лиц документы и иную информацию, которая подтверждает соблюдение этими лицами требований 152-ФЗ. В случае возникновения инцидентах, которые могут повлечь нарушение прав субъектов персональных данных, лица, обрабатывающие персональные данные по поручению оператора, обязаны уведомить оператора об инциденте и о мерах, принятых по предотвращению повторных инцидентов и устранению его последствий.
В новой редакции лица, обрабатывающие персональные данные по поручению оператора (в том числе если они являются иностранными физическими или юридическими лицами), несут ответственность перед субъектами персональных данных вместе с оператором.

Контроль и ответственность операторов персональных данных за нарушения

Роскомнадзор контролирует операторов персональных данных в рамках контрольных мероприятий трёх типов:

  • инспекционный визит;
  • документарную проверку;
  • выездную проверку.

За невыполнение обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, организацию могут привлечь к административной ответственности. Например, максимальный штраф для организации:

  • за невыполнение в установленные сроки требования субъекта персональных данных (его представителя) либо Роскомнадзора об уточнении персональных данных в случае, когда они являются неполными, устаревшими, неточными, составляет 90 тыс. руб., за повторное правонарушение – 500 тыс. руб. (ч. 5, 5.1 ст. 13.11 КоАП РФ);
  • за невыполнение при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обязанности обеспечить, в частности, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, составляет 6 млн руб., за повторное правонарушение – 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП РФ).
    Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.

Новые требования к трансграничной передаче персональных данных

Изменения в части трансграничной передачи данных вступают в силу 1 марта 2023 года

Как осуществлять трансграничную передачу данных. Наиболее обсуждаемыми стали изменения, касающиеся трансграничной передачи. Тут новый закон действительно меняет ситуацию коренным образом. Оператор до того, как начнет трансграничную передачу, обязан уведомить об этом Роскомнадзор. Операторы, которые уже занимаются такой работой, обязаны подать уведомление не позднее 1 марта 2023 года. Новелла прямо требует направлять его отдельно от уведомления об обработке персональных данных.

Закон подробно описывает, какую информацию должно содержать уведомление. Более того, обязывает оператора получать от иностранных госорганов или лиц, которым будут передавать данные, сведения об уровне защиты прав субъектов персональных данных в этом государстве. Сделать это необходимо до того, как компания подаст в Роскомнадзор уведомление.

П. 5 ст. 6 Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона „О банках и банковской деятельности“»

Сейчас многие компании должны выбрать: подать уведомление до 1 марта 2023 года или отложить подачу, чтобы собрать информацию и проследить, как будет развиваться практика. Пока что нет ответственности за неподачу уведомления в срок. Поэтому второй подход, хотя и рискованный, может оказаться разумным в некоторых случаях.

Однако важно помнить, что в уведомлении об обработке персональных данных компании также указывают, осуществляют ли они трансграничную передачу. Следовательно, операторы, подавшие указанное уведомление и включенные в реестр операторов персональных данных, не смогут «подождать». Оператор, когда направит уведомление, может осуществлять трансграничную передачу только в странах, которые указал в уведомлении и которые Роскомнадзор признал обеспечивающими адекватную защиту прав субъектов. Это, в частности, государства-стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Когда Роскомнадзор не признал, что страны из уведомления обеспечивают адекватную защиту, оператор сможет передавать данные, если Роскомнадзор рассмотрит уведомление и не вынесет решение о запрете или об ограничении такой передачи. Роскомнадзор должен рассмотреть уведомление в течение 10 рабочих дней. Этот срок могут продлить, если Роскомнадзор направит запрос оператору.

Кому нужно защищать персональные данные

Любое предприятие или организация для своей работы взаимодействует как минимум с бухгалтерией и кадрами, а также поддерживает клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону должны обязательно защищать ПДн.

Защищать персональные данные нужно как минимум, чтобы обеспечить выполнение требований регуляторов, чтобы в результате проверок не понести наказание за отклонения от требований. Но кроме этого мотива нужно помнить, что количество киберугроз и выявленных инцидентов растёт год от года, и это при том, что почти все компании и организации переводят в формат онлайн многие бизнес-процессы. Защита персональных данных – отличный повод создать эффективную систему защиты своего бизнеса от кибератак.

Основные этапы защиты ПДн

Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:

  1. обследование;

  2. моделирование угроз;

  3. разработка технического задания;

  4. проектирование системы защиты;

  5. реализация технической части системы защиты;

  6. реализация организационных мер;

  7. оценка эффективности принятых мер;

  8. аттестация;

  9. поддержание необходимого уровня защиты в процессе эксплуатации.

Читайте также:  Как вернуть деньги за отмененный тур: пошаговый алгоритм действий от эксперта

Формирование и ведение личного дела

Личные дела могут вестись на всех сотрудников или только на определенных (например, на руководящий состав, сотрудников бухгалтерии, материально ответственных лиц и т. п.). Оформлением личного дела в большинстве случаев занимается сотрудник отдела кадров, назначенный ответственным за их ведение и хранение. В обязанности данного работника обычно входит формирование личного дела, внесение в него различных записей, помещение и изъятие документов, заверка копий, ведение внутренней описи, периодическая проверка состояния дел и т. д.

Формирование личного дела начинается в момент приема сотрудника на работу и ведется в течение всей его трудовой деятельности в данной организации. Каждое личное дело должно храниться в отдельной папке, на титульном листе которой указываются:

  • наименование организации;
  • структурное подразделение, в котором сотрудник работает;
  • номер личного дела;
  • заголовок, то есть Ф. И. О. сотрудника;
  • дата начала ведения личного дела (обычно это дата издания приказа о приеме на работу);
  • дата окончания его ведения (дата издания приказа об увольнении);
  • количество листов самого дела (лучше всего данную графу заполнять при сдаче лчного дела в архив);
  • срок хранения (прописывается при закрытии личного дела).

Бланк титульного листа приведен в приложении 11 к Основным правилам работы архивов организаций (далее – Правила), одобренным решением Коллегии Росархива от 06.02.2002 г.

После заполнения титульного листа в папку помещаются все необходимые документы в хронологическом порядке. Однако очень часто возникают вопросы о порядке расположения документов, предъявляемых работником, и бумаг, фиксирующих факт трудоустройства. Связано это с тем, что на них практически всегда стоит одна и та же дата. В большинстве случаев данные бумаги располагаются следующим образом:

  • личная карточка по форме Т-2;
  • анкета;
  • резюме;
  • заявление о приеме на работу;
  • копия приказа о приеме на работу;
  • трудовой договор;
  • копии паспорта, СНИЛС, ИНН (при наличии), документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу) и т. д.

Одновременно с личным делом начинают вести его внутреннюю опись, которая составляется на отдельном листе и прикрепляется к делу. Опись составляется для учета документов постоянного и временного (свыше 10 лет) хранения. Внутренняя опись заполняется на протяжении всего времени ведения личного дела. В ней фиксируются поступления новых документов либо изъятие бумаг (например, срок хранения закончился), а также замена подлинников копиями. Бланк внутренней описи приведен в приложении 10 к Правилам и должен содержать:

  • номер и заголовок (Ф. И. О. работника) личного дела, к которому она составляется;
  • графу «порядковый номер документа»;
  • графу «индекс документа» (заполняется при наличии);
  • графу «дата документа»;
  • графу «заголовок документа»;
  • графу «дата включения документа в личное дело»;
  • графу «примечание», в которой обычно отражается изменение состава документов дела (изъятия, замена копиями и т. д.).

Все личные дела регистрируются в журнале учета. Форма журнала не утверждена, и его можно изготовить самостоятельно. Чаще всего в графы заносятся номера личных дел, даты их заведения, заголовки, даты закрытия.

Формирование личных дел сотрудников в 2022 году

Ни в Трудовом кодексе, ни в других нормативных актах Российской Федерации не содержится обязательного требования вести кадровую документацию исключительно с помощью личных дел, заводимых на каждого сотрудника. Поэтому такое оформление данных о персонале вовсе не является обязательным или даже рекомендованным.

ВАЖНО! Законами РФ для юридических лиц или индивидуальных предпринимателей ведение личных дел на своих сотрудников не запрещается.

Если руководство организации или ИП приняли решение ввести у себя обязательность заполнения личных дел, это надо закрепить в учетной политике, прописав процедуру во внутренних нормативных актах. Как правило, делопроизводители не «изобретают велосипед», а пользуются регламентом, разработанным для государственных служащих.

Несмотря на то что никакие требования не определяют и не ограничивают состав личного дела и порядок его ведения, практика этой отрасли делопроизводства показывает несомненное удобство для руководителя этой формы хранения личной информации. Именно по этой причине повсеместная распространенность личных дел в кадровой службе сформировала миф об их обязательности.

Положительный эффект от внедрения личного учета кадров очевиден:

  • своевременный учет всей документации о сотруднике;
  • отслеживание карьерной динамики;
  • учет данных о возможных полагающихся льготах;
  • оценка перспектив профессионального роста;
  • сохранность и упорядоченность личной документации;
  • оперативный доступ ко всей совокупности кадровой информации.

Однозначно можно ответить на этот вопрос только в отношении государственных служащих: на всех, поскольку того требует закон.

Поскольку для частных предпринимателей ведение личных дел не обязательно, они сами могут решать, на каких сотрудников вести эту документацию, а какие могут обойтись и без такого подробного кадрового учета. Часть руководителей, практикующих эту систему, предпочитает вести личный учет на весь персонал, чтобы систематизировать данные на каждого сотрудника. Но некоторые в целях экономии времени организовывают ведение личных дел только на некоторые категории сотрудников.

На сотрудников каких должностей обычно заводят личные дела:

  • руководящее звено;
  • заместители руководителей разных уровней;
  • ключевые специалисты;
  • сотрудники, несущие материальную ответственность;
  • кадровый резерв и др.

К СВЕДЕНИЮ! На таких сотрудников целесообразно завести личное дело вне зависимости от формы и времени его трудоустройства – по совместительству или на основной работе он трудится, по срочному трудовому договору или на постоянной основе.

Реже обеспечиваются личными делами должности, для которых не предусмотрены образовательные, квалификационные или другие специальные требования, например, уборщица, вахтер, дворник и т.п.

Как правило, впервые личное дело заводится на сотрудника после подписания приказа о его трудоустройстве и его ознакомления с этим приказом.

Читайте также:  Ипотека для молодой семьи 2023 в Великом Новгороде

Личное дело ведется, пополняется документацией, обновляется в течение всего времени работы сотрудника на данного работодателя. В отличие от личных дел на государственной службе, у частных предпринимателей не принято предавать личные дела при смене рабочего места. Актуальность личного дела длится до его передачи в архив вследствие увольнения сотрудника.

Корректное оформление личных дел существенно облегчает работу с кадровой документацией. Практика выработала ряд рекомендаций относительно эффективного формирования личных дел:

  1. Документы собираются под одной обложкой, чаще всего это папка, реже просто файл или скоросшиватель. Для каждого сотрудника они должны быть отдельными.

    2. ПОМНИТЕ! Архивы принимают на хранение личные дела только в картонных папках. Скоросшиватели и файлы для этой цели неприемлемы, они могут быть только для внутреннего использования.

  2. Нецелесообразно формировать дела толще 4 см.
  3. Документы для постоянного хранения не должны быть смешаны с временными документами.
  4. В личном деле могут быть как оригиналы документов, так и их заверенные копии.
  5. Важные документы постоянного хранения для личного дела предпочтительнее заменить копиями.
  6. В рамках одного личного дела не принято хранить по несколько экземпляров одного и того же документа.
  7. Если документ предусматривает приложения, их нужно хранить вместе с соответствующими бумагами.
  8. Документы в деле должны располагаться по хронологическому принципу, то есть по мере их возникновения.

Личное дело представляет собой совокупность большого количества документов, что диктует обязательность какого-либо способа легкого поиска нужной информации. Принято систематизировать сведения из личного дела на титульном листе (обложке). Удобно пользоваться требованиями к оформлению обложки, которые остались неизменными с 17.07.1972 года (ГОСТ17914-72):

  • сверху оставляется место для будущего архивного штампа;
  • сверху по центру располагается полное и сокращенное наименование организации;
  • ниже указывается структурное подразделение (нужно оставить несколько строк для отражения информации о возможной перемене отдела);
  • номер дела (по номенклатуре, принятой в фирме);
  • фамилия, имя и отчество сотрудника, на которого заводится дело;
  • правый нижний угол несет информацию о сроках ведения дела: дате открытия, то есть дня приема на работу, и дате закрытия (приказа об увольнении);
  • здесь же пишется количество листов в деле на момент описи;
  • срок хранения дела.

Документы личного дела отражают трудовые отношения работника и работодателя. Эти документы выполняют функцию доказательства в спорных случаях, подтверждают законность действий работодателя, а также защищают социальные (в т.ч. пенсионные) права работника.

Является ли ваша организация оператором персональных данных?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Какими нормативными актами нужно руководствоваться при разработке и внедрении документов по обработке персональных данных?

  • Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»;
  • Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ;
  • Постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»;
  • Постановление Правительства от 1 ноября 2012 г. № 1119;
  • Постановление Правительства от 15 сентября 2008 г. № 687;
  • Приказ ФСТЭК России от 18 февраля 2013 г. № 21;
  • Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»;
  • Приказ Министерства связи и массовых коммуникаций РФ от 21.12.2011 № 346 (ред. от 28.08.2015) «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»;
  • Федеральная служба по надзору в сфере связи и массовых коммуникаций от 27 июля 2017 года «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
  • Приказ ФСБ России от 10 июля 2014 г. N 378;
  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 15.02.2008, № 1679 дсп от 25.03.2008;
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 14.02.2008, № 1682 дсп от 25.03.2008.

Обращаем Ваше внимание (!): необходимо следить за изменениями в законодательстве и использовать актуальные редакции нормативных документов.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *