Требования к обработке персональных данных которые должны быть закреплены в документах организации
Перейти к содержимому

Требования к обработке персональных данных которые должны быть закреплены в документах организации

  • автор:

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

Федеральным законом от 30 июня 2006 г. N 90-ФЗ в статью 86 настоящего Кодекса внесены изменения, вступающие в силу по истечении 90 дней после дня официального опубликования названного Федерального закона

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

ГАРАНТ:

См. Энциклопедии и другие комментарии к статье 86 ТК РФ

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

Информация об изменениях:

Федеральным законом от 2 июля 2013 г. N 185-ФЗ в пункт 1 статьи 86 настоящего Кодекса внесены изменения, вступающие в силу с 1 сентября 2013 г.

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

Информация об изменениях:

Федеральным законом от 7 мая 2013 г. N 99-ФЗ пункт 4 статьи 86 настоящего Кодекса изложен в новой редакции

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

ГАРАНТ:

См. Положение о персональных данных военнослужащих, сотрудников ФПС и федеральных государственных гражданских служащих в Центральном региональном центре МЧС России, утвержденное приказом МЧС России от 15 июня 2011 г. N 250

Статья 86 ТК РФ. Общие требования при обработке персональных данных работника и гарантии их защиты (действующая редакция)

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

  • URL
  • HTML
  • BB-код
  • Текст

Комментарий к ст. 86 ТК РФ

1. Согласно ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Приведенные положения соответствуют важнейшим международным актам о защите прав и свобод человека:

— Международному пакту о гражданских и политических правах (1996 г.), ст. 17 которого предусматривает, что никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию.

Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств;

— Конвенции о защите прав человека и основных свобод (1950 г.), ст. 8 которой устанавливает, что каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции.

Не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц;

— Конвенции Содружества Независимых Государств о правах и основных свободах человека (1995 г.), ст. 9 которой определяет, что каждый человек имеет право на уважение его личной и семейной жизни, на неприкосновенность жилища и тайну переписки.

Не должно быть никакого вмешательства со стороны государственных органов в пользовании этим правом, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах государственной и общественной безопасности, общественного порядка, охраны здоровья и нравственности населения или защиты прав и свобод других лиц.

2. 19.12.2005 Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 с поправками, одобренными Комитетом министров Совета Европы 15.06.1999, подписанную от имени Российской Федерации в г. Страсбурге 07.11.2001.

Целью Конвенции является обеспечение на территории каждой из Сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных (защита данных).

Для целей данной Конвенции термин «персональные данные» означает информацию, касающуюся конкретного или могущего быть идентифицированным лица (субъекта данных); термин «автоматизированная база данных» означает любой набор данных, к которым применяется автоматическая обработка; автоматическая обработка персональных данных включает в себя операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических и/или арифметических операций с такими данными, их изменение, стирание, восстановление или распространение; контролер базы данных есть физическое или юридическое лицо, государственный орган, ведомство или любая другая организация, которая в соответствии с национальным правом наделена полномочиями решать, для какой цели создается автоматизированная база данных, какие категории персональных данных будут накапливаться и какие операции с ними будут осуществляться.

3. На 14-м пленарном заседании Межпарламентской Ассамблеи государств — участников СНГ (Постановление от 16.10.1999 N 14-19) принят Модельный закон о персональных данных, который определяет операции с персональными данными и их правовой режим с учетом общепризнанных норм международного права и обязательств по международным договорам.

Целью Закона является защита прав человека в отношении его персональных данных и операций с ними, определение правового режима использования персональных данных и функций их держателей.

В соответствии с этим Законом персональные данные — информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие.

Материальные носители — материальные объекты (в т.ч. физические поля), в которых персональные данные находят свое отображение в виде символов, образов и сигналов.

Субъект персональных данных (субъект) — человек, к которому относятся соответствующие персональные данные.

Держатель персональных данных (держатель) — органы государственной власти и органы местного самоуправления, юридические и физические лица, осуществляющие действия с персональными данными на законных основаниях.

Действия (операции) держателя с персональными данными — сбор, хранение, уточнение, передача, блокирование, обезличивание и уничтожение персональных данных.

Сбор персональных данных — документально оформленная процедура получения держателем персональных данных от субъектов этих данных.

Передача персональных данных — предоставление держателем персональных данных третьим лицам в соответствии с законом и международными договорами.

Трансграничная передача персональных данных — передача держателем персональных данных этих данных держателям, которые находятся под юрисдикцией другого государства.

Уточнение персональных данных — оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными национальным законодательством.

Блокирование персональных данных — временное прекращение передачи, уточнения и уничтожения персональных данных.

Уничтожение персональных данных — действия держателя персональных данных по приведению последних в состояние, не позволяющее восстановить их содержание.

Обезличивание персональных данных — изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.

База персональных данных — упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных).

Режим конфиденциальности персональных данных — нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных.

Как видим, нормы комментируемой главы о защите персональных данных работника полностью соответствуют международным нормам и приняты в соответствии с обязательствами Российской Федерации.

4. Режим защиты информации устанавливается:

— в отношении сведений, отнесенных к государственной тайне — уполномоченными органами на основании Закона о государственной тайне;

— в отношении конфиденциальной документированной информации — собственником информационных ресурсов или уполномоченным лицом;

— в отношении персональных данных — Законом о персональных данных, ТК и иными нормативными правовыми актами.

5. В соответствии с указанным Законом о персональных данных персональные данные есть любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных):

— оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

— трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

6. В комментируемой статье законодатель определяет общие требования при обработке персональных данных работника и гарантии их защиты со стороны работодателя и его представителей в целях обеспечения прав и свобод человека и гражданина.

В п. 1 этой статьи сформулированы цели, для осуществления которых возможна обработка персональных данных — обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получении образования, обучении и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества.

В иных целях обработка указанных данных не допускается.

7. Исходя из названных целей, предусматривается, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК и иными федеральными законами.

К иным федеральным законам, о которых упоминается в ст. 86, относится прежде всего Закон о персональных данных, который регулирует отношения, связанные с обработкой персональных данных. Далее следует назвать Закон о государственной гражданской службе, где названы документы, представляемые гражданином при поступлении на государственную службу (ст. 26), и порядок ведения личных дел государственных служащих (ст. 42).

В соответствии с указанным Законом издан Указ Президента РФ от 30.05.2005 N 609, которым утверждено Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела.

В этом Положении определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных государственного гражданского служащего Российской Федерации (далее — гражданский служащий), а также ведения его личного дела в соответствии со ст. 42 Закона о государственной гражданской службе.

Под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело в соответствии с вышеупомянутым Положением.

Представитель нанимателя в лице руководителя государственного органа либо его представителя, осуществляющих полномочия нанимателя от имени Российской Федерации или субъекта Российской Федерации (далее — представитель нанимателя), обеспечивает защиту персональных данных гражданских служащих, содержащихся в их личных делах, от неправомерного их использования или утраты.

Представитель нанимателя определяет лиц, как правило, из числа работников кадровой службы государственного органа, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных гражданских служащих в государственном органе и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

При получении, обработке, хранении и передаче персональных данных гражданского служащего кадровая служба государственного органа обязана соблюдать следующие требования:

а) обработка персональных данных гражданского служащего осуществляется в целях обеспечения соблюдения Конституции РФ, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия гражданскому служащему в прохождении государственной гражданской службы Российской Федерации (далее — гражданская служба), в обучении и должностном росте, обеспечения личной безопасности гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества государственного органа, учета результатов исполнения им должностных обязанностей;

б) персональные данные следует получать лично у гражданского служащего. В случае возникновения необходимости получения персональных данных гражданского служащего у третьей стороны следует известить об этом гражданского служащего заранее, получить его письменное согласие и сообщить гражданскому служащему о целях, предполагаемых источниках и способах получения персональных данных;

в) запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего не установленные федеральными законами персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в т.ч. в профессиональных союзах;

г) при принятии решений, затрагивающих интересы гражданского служащего, запрещается основываться на персональных данных гражданского служащего, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

д) защита персональных данных гражданского служащего от неправомерного их использования или утраты обеспечивается за счет средств государственного органа в порядке, установленном федеральными законами;

е) передача персональных данных гражданского служащего третьей стороне не допускается без письменного согласия гражданского служащего, за исключением случаев, установленных федеральным законом.

В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:

а) получать полную информацию о своих персональных данных и об обработке этих данных (в т.ч. автоматизированной);

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных федеральным законом;

в) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением вышеназванного Закона. Гражданский служащий при отказе представителя нанимателя или уполномоченного им лица исключить или исправить персональные данные гражданского служащего имеет право заявить в письменной форме представителю нанимателя или уполномоченному им лицу о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера гражданский служащий имеет право дополнить заявлением, выражающим его собственную точку зрения;

г) требовать от представителя нанимателя или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные гражданского служащего, обо всех произведенных в них изменениях или исключениях из них;

д) обжаловать в суд любые неправомерные действия или бездействие представителя нанимателя или уполномоченного им лица при обработке и защите персональных данных гражданского служащего.

Гражданский служащий, виновный в нарушении норм, регулирующих получение, обработку, хранение и передачу персональных данных другого гражданского служащего, несет ответственность в соответствии с настоящим Федеральным законом и другими федеральными законами.

8. Комментируемая статья предусматривает общий порядок получения персональных данных непосредственно от самого работника. Запрещены, как правило, получение и обработка персональных данных работника о его убеждениях (политических, религиозных и иных), частной жизни, членстве в общественных объединениях или профсоюзной деятельностью. При обработке персональных данных работника работодатель обязан следовать требованиям, установленным ст. 86 ТК, в частности:

— получать и обрабатывать персональные данные работников в соответствии с требованиями законов и других нормативных правовых актов и только для целей, установленных комментируемой статьей;

— получать персональные данные исключительно у работника. В том случае, если персональные данные работника могут быть получены только у третьих лиц, то необходимо уведомить об этом работника и получить его письменное согласие.

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных законом, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные законом права субъекта персональных данных;

5) источник получения персональных данных.

Оператор освобождается от обязанности предоставить субъекту персональных данных вышеуказанные сведения в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

9. Важной обязанностью работодателя является обязанность обеспечить за счет собственных средств защиту персональных данных от неправомерного использования и утраты. С этой целью работодатель обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством и принятыми в соответствии с ним нормативными правовыми актами. Работодатель самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим законодательством и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения работодателем возложенных на него обязанностей;

6) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в т.ч. с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

10. Работодатель с согласия работника вправе поручить обработку его персональных данных (ведение кадрового, бухгалтерского учета и проч.) другому лицу. Однако это не освобождает его от ответственности перед работником (ч. 3 ст. 6 Закона о персональных данных). Отметим, что ответственность перед работником за действия указанного лица несет работодатель (ч. 5 ст. 6 Закона о персональных данных).

11. Согласие работника на обработку персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес работника; реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;

2) при получении согласия от представителя работника — его фамилию, имя, отчество, адрес; реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе; реквизиты доверенности или иного документа, подтверждающего полномочия представителя;

3) наименование или фамилию, имя, отчество и адрес работодателя;

4) цель обработки персональных данных;

5) перечень персональных данных, которые подлежат обработке;

6) фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;

7) перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;

8) срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;

9) подпись работника.

12. Согласие на обработку персональных данных в некоторых случаях должно быть получено не только у работника, но и у лица, ищущего работу. На практике нередки случаи, когда от имени лица, ищущего работу, действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в сети Интернет, сделав его доступным неограниченному кругу лиц, тогда согласие на обработку его персональных данных не требуется.

Согласие не требуется и в тех случаях, когда:

— обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий;

— это предусмотрено коллективным договором, соглашением, а также локальными актами работодателя, принятыми в установленном ст. 372 ТК порядке;

— обязанность по обработке предусмотрена законодательством, в т.ч. для опубликования и размещения персональных данных работников в сети Интернет;

— обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции;

— обработка персональных данных специальных категорий проводится органами прокуратуры при проведении надзорных мероприятий;

— обработка персональных данных близких родственников работника проводится в объеме, предусмотренном личной карточкой, а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др.;

— обработка персональных данных связана с выполнением работником своих трудовых обязанностей;

— обработка персональных данных проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений;

— персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами;

— обработка персональных данных осуществляется в отношении уволенных работников, например, в рамках бухгалтерского и налогового учета.

13. Обработка персональных данных может производиться без использования средств автоматизации. Порядок такой обработки персональных данных определяется Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 N 687.

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать: сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; имя (наименование) и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Обработка персональных данных, проводимая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются работодателем.

14. Законодательством предусмотрена возможность обработки персональных данных с использованием средств автоматизации. Закон о персональных данных определяет автоматизированную обработку персональных данных как обработку данных с помощью средств вычислительной техники. Необходимо учитывать, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в информационной системе персональных данных либо были извлечены из нее.

Персональные данные работников обрабатывает уполномоченный на это представитель работодателя. Следовательно, он должен руководствоваться правилами, предусмотренными для обработки персональных данных без использования средств автоматизации.

В равной мере ст. 86 ТК запрещает работодателю при принятии решений, затрагивающих интересы работника, основываться на его персональных данных, полученных исключительно в результате их автоматизированной обработки или от электронных носителей информации.

Наконец, комментируемая статья Кодекса предусматривает обязанность работодателя обеспечить защиту персональных данных от их неправомерного использования или утраты и устанавливает, что работники не должны отказываться от своих прав на сохранение и защиту тайны.

Положения ст. 86 получают дальнейшее развитие в последующих статьях этой главы.

Обработка персональных данных работодателем

Обработка персональных данных работодателем Обработка персональных данных работодателем

Содержание:

С 1 сентября 2022 года вступили в силу изменения в работе с персональными данными. В данной статье мы разберем, какие новые обязанности и запреты появились у работодателей при обработке персональных данных своих сотрудников.

Что относится к персональным данным работника

Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.

К персональным данным относятся:

  • фамилия, имя, отчество;
  • пол, возраст;
  • паспортные данные, СНИЛС, ИНН;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • номер телефона или электронная почта;
  • прочие сведения, которые могут идентифицировать человека.

Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора. Когда при заключении трудового договора работодатель запрашивает паспортные данные и другие сведения у работников, тем самым он проводит обработку персональных данных.

Сбор информации о соискателях, необходимой для принятия решения о вступлении с ними в трудовые отношения, также подпадает под обработку персональных данных. В данных ситуациях работодатель выступает в роли оператора персональных данных.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Основные правила обработки персональных данных

  1. обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей (например, если обработка проводится для трудоустройства работника, подачи сведений в ПФР и другие госорганы или обеспечения сохранности имущества);
  2. обработке подлежат только те персональные данные, которые отвечают целям обработки;

Согласие работника на обработку персональных данных

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

Следует убедиться, что работник подписал документ. Тогда при необходимости вы без труда сможете доказать, что работник действительно давал вам согласие на получение своих персональных данных у третьей стороны.

Изменения в правилах обработки персональных данных с 1 сентября 2022 г.

C 1 сентября 2022 г. работодатели обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников, даже если обрабатывают их в целях трудового законодательства. Все работодатели должны проверить, есть ли они в реестре Роскомнадзора. Организациям, еще не включенным в реестр операторов персональных данных, необходимо направить уведомление об обработке персональных данных. Это можно сделать на сайте Роскомнадзора. Организациям, кто уже включен в реестр операторов, не позднее 15 сентября 2022 г. рекомендуется уведомить Роскомнадзор о новой цели обработки персональных данных — обработке в рамках трудовых отношений (ст. 22 Закона N 152-ФЗ в редакции, действующей с 01.09.2022). Уведомление нужно подать разово, чтобы данные работодателя попали в реестр. Если данные из уведомления поменяются, нужно подать об этом информационное письмо.

Были изменены требования к содержанию уведомления о необходимости получить персональные данные от третьих лиц. Теперь дополнительно в уведомлении нужно указывать категории персональных данных сотрудника, которые будете запрашивать (п. 2.1 ч. 3 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ).

В дальнейшем работодателю также нужно будет сообщать в Роскомнадзор о случаях утечки, либо неправомерной передаче персональных данных сотрудников третьим лицам.

Защита персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Конкретный перечень документов, регламентирующих порядок обработки персональных данных работников, законом не установлен. При этом есть обязательный минимум документов, которые должны быть у всех работодателей.

Положение о персональных данных

Как правило, организации издают положение о персональных данных или иной локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. Важно утвердить положение приказом руководителя и ознакомить с ним работников под подпись (ст. 88 ТК РФ, п. 15 Положения об обработке персональных данных).

Форму положения утверждает сама организация. Определите в документе для каждой цели обработки:

  • категории и перечень персональных данных;
  • категории субъектов персональных данных;
  • способы и сроки обработки и хранения данных;
  • порядок уничтожения персональных данных, когда достигли цели их обработки или наступили иные законные основания.

Большинство организаций используют электронные системы хранения и обработки персональных данных.

Чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, работодателю достаточно:

  1. обезопасить от неконтролируемого проникновения помещения, в которых размещена информационная система;
  2. обеспечить сохранность носителей персональных данных;
  3. защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
  4. издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.

Политика обработки персональных данных

Если клиенты регистрируются на сайте организации и оставляют свои персональные данные, то в таком случае политика обработки персональных данных становится обязательным документом. Потребуется разработать и опубликовать на сайте организации документ, который определяет политику в отношении защиты и обработки персональных данных.

Организация должна обеспечить доступ через интернет к сведениям о том, какие меры принимает, чтобы защитить персональные данные (ч. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).

В политику обработки персональных данных в том числе включают:

  • основные понятия, которые используют в документе;
  • сведения о цели обработки персональных данных;
  • основания обработки данных;
  • категории обрабатываемых данных и их субъектов;
  • порядок и условия обработки данных;
  • права и обязанности субъектов данных и прочее.

Положение о защите персональных данных

С 1 сентября 2022 г. каждый работодатель обязан разработать и утвердить локальный акт, который определит процедуры по предотвращению, выявлению и устранению последствий нарушения закона о персональных данных.

Меры защиты, которые принимаются, чтобы предотвратить, выявить и устранить нарушения закона о персональных данных, нужно установить в локальном акте организации. Например, в положении о защите персональных данных.

К таким мерам можно отнести, например, установку антивирусных программ или назначение ответственных за защиту персональных данных в компании. Выбор мер защиты зависит от того, каким способом работодатель обрабатывает персональные данные – вручную или через компьютерные программы.

Приказ о назначении ответственного за обработку персональных данных

Работодатель обязан назначить сотрудника, который будет отвечать за обработку персональных данных (ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ). Чаще всего для этой роли выбирают сотрудника кадровой службы организации. Для этого необходимо издать соответствующий приказ. Скачайте образец приказа.

При этом ответственным за обработку персональных данных в компании может быть только один человек. Будет считаться нарушением назначение ответственным за персональные данные сотрудников кадрового специалиста, а за данные клиентов компании, например, начальника отдела продаж. Организация за такое нарушение будет оштрафована. Информацию об ответственном нужно не забыть подать в реестр Роскомнадзора.

Приказ о назначении ответственного за обработку персональных данных составляется по форме, которую разрабатывает организация и отдается ему на подпись. В приказе необходимо прописать обязанности лица, ответственного за организацию обработки персональных данных:

  • проведение внутреннего контроля за тем, как работодатель и другие сотрудники соблюдают закон о персональных данных, в том числе требования к их защите;
  • доведение до сведения сотрудников организации положения закона о персональных данных, локальных актов по вопросам обработки данных, требований к их защите;
  • организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей, контроль приема и обработки таких обращений и запросов.

В законе предусмотрена возможность работодателя поручить обработку персональных данных другому лицу, которое не является сотрудником организации. В этом случае ответственность перед сотрудником за действия такого лица будет нести сам работодатель. Лицо, которое осуществляет обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед ним (ч. 3, 5 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

Чтобы ответственный мог выполнять свои обязанности, работодатель обязан передать ему необходимые сведения. К ним относятся:

  • наименование, адрес работодателя;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатывают;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание способов обработки данных;
  • описание мер по обработке данных, в том числе сведения о шифровальных средствах и др.

Обязательство о неразглашении персональных данных

Работодатель должен обеспечить защиту персональных данных сотрудников от их неправомерного использования или утраты. С сотрудниками, которые имеют доступ к персональным данным, нужно оформить обязательство об их неразглашении. При этом привлечь к ответственности за неразглашение таких данных можно в случае, если они стали известны им в связи с исполнением трудовых обязанностей и работники обязались не разглашать такие сведения (п. 7 ст. 86 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2). Условие о неразглашении закрепляется в дополнительном соглашении к трудовому договору.

Документы внутреннего контроля

При возможной проверке инспекторы могут поинтересоваться, есть ли у организации документы внутреннего контроля. Поэтому нужно заранее озаботиться разработкой документов внутреннего контроля обработки персональных данных. Например, это могут быть протоколы, планы внутреннего аудита, правила внутреннего контроля, а также материалы проверочных мероприятий.

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Журналы учета персональных данных

Работодатель обязан соблюдать режим конфиденциальности персональных данных своих сотрудников. Следует ограничить и регламентировать состав работников, функциональные обязанности которых требуют доступа к персональным данным других работников. Не лишним также будет вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.

В журнале учета внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов, срок пользования, цели выдачи, наименование выдаваемых документов. Лицо, которое возвращает документ, должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Помимо этого, также следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника.

Требования к помещению, где хранятся персональные данные

Работодатель может предусмотреть в локальном нормативном акте требования к помещениям, в которых находятся носители информации (например, компьютеры с базами данных, документы на бумажных носителях), содержащие персональные данные работников.

Обращаем внимание, что Закон о персональных данных и Трудовой кодекс РФ не устанавливают каких-либо требований к упомянутым помещениям. Представляется, что работодатель может определить особый порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных, требования к оборудованию, определить состав работников, имеющих право доступа в данные помещения.

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • — на граждан — от 500 до 1 000 руб.;
  • — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

  • — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
  • — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
  • — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Такие же меры предусмотрены ч. 2 ст. 13.11 КоАП РФ за обработку персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие.

При этом если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности по ч. 2 ст. 137 УК РФ, которой предусмотрено лишение свободы на срок до четырех лет.

Персональные данные с 1 сентября 2022: какие требования теперь предъявляет закон

Самое значимое правовое событие этой осени: с 1 сентября 2022 года персональные данные обрабатывают по новым правилам.

Закон 266-ФЗ (Федеральный закон от 14.07.2022 № 266-ФЗ) внес изменения в федеральный закон о персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ ). Благодаря поправкам, не только обработка персональных данных с 1 сентября 2022 года происходит по новым требованиям. Также обозначены и правила, которые нужно соблюдать с 1 марта 2023 года. Они приняты в то же время, что и правки к закону о персональных данных с 1 сентября, при этом обязательны к исполнению только с 1 марта.

Таким образом, изменения в закон о персональных данных касаются всего порядка работы с ними: от особенностей согласия и уведомления Роскомнадзора до правил трансграничной передачи, прекращения обработки и исполнения новых сроков. За нарушение этих требований грозят не только крупные административные штрафы, но и уголовная ответственность (ст. 13.11, 13.12 и 19.7 КоАП РФ, ст. 137 и 272 УК РФ).

Каковы же персональные данные – изменения 2022 и как выполнить требования, которые привнесли изменения по персональным данным в работу компаний, обсудим в статье.

Подготовьтесь к успешному прохождению инспекционной проверки Роскомнадзора – узнайте новые требования к обработке персональных данных 2022–2023 с применением (и без применения) информационных систем в нашем практическом курсе .

Скачайте образцы документов для работы:

Персональные данные: изменения 2022

Условно все изменения персональных данных с 1 сентября 2022 (кратко – ПД, персданные) можно отнести к нескольким группам. Рассмотрим основные из них. Начнем с требований, обязательных к исполнению с 1 сентября 2022 года (по 266-ФЗ ).

Обязанности оператора (работодателя)

С 1 сентября 2022 года персональные данные обрабатывают с учетом обязательных требований статьи 18.1 Закона № 152-ФЗ , которые ранее были рекомендательными. В частности, из ее текста удалено слово «могут». Поэтому теперь работодатель не просто вправе, а обязан:

назначить ответственное лицо (структурное подразделение) за обработку ПД;

издать и опубликовать политику по персданным;

осуществлять внутренний контроль ( аудит ) ПД (способ контроля и подтверждение его проведения нужно прописать в отдельном ЛНА. Его предмет: соблюдение требований законодательства, политики, ЛНА организации по защите ПД);

Чек-лист, какие документы нужно проверить при аудите ПД, скачайте здесь.

оценивать вред, который может быть нанесен их субъекту (способ оценки компания выбирает самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);

выполнять другие требования статьи 18.1 Закона № 152-ФЗ.

Изменения в закон о персональных данных дополнили и сам перечень обязанностей оператора (работодателя). Например, установлено правило взаимодействия с государственной системой предотвращения атак на информационные ресурсы (ч. 12-14 ст. 19 Закона № 152-ФЗ). Также предусмотрена новая обязанность оператора (работодателя) при выявлении неправомерной или случайной передаче ПД: в течение 24 часов сообщить в Роскомнадзор и в течение 72 часов отчитаться о результатах внутреннего расследования (ч. 3.1 ст. 21, ч. 10, 11 ст. 23 Закона № 152-ФЗ).

Какие правовые, организационные и технические меры с учетом изменений по персональным данным должен принимать работодатель при обработке ПД, разъяснят наши опытные консультанты .

Уведомление в Роскомнадзор

В новой редакции Закона № 152-ФЗ утратили силу положения о возможности работать с персданными без уведомления Роскомнадзора (п. 1 – 6 ч. 2 ст. 22). Теперь даже при их обработке во исполнение закона нужно в Роскомнадзор подать уведомление, чтобы попасть в реестр операторов ПД (Письмо Роскомнадзора от 19.08.2022 № 08-75348). Такое уведомление однократное. Его не нужно предоставлять по каждому работнику.

Новые требования к содержанию уведомления в Роскомнадзор о персональных данных согласно Федеральному закону 266-ФЗ

В уведомлении больше не указывают общие сведения о:

категории субъектов ПД;

правовое основание обработки ПД;

перечень действий с ПД, общее описание используемых оператором способов обработки ПД.

Перечисленные пункты описывают по отношению к каждой цели обработки. Также в уведомление в Роскомнадзор – 2022 добавили новый пункт: фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПД, которые содержатся в государственных и муниципальных информационных системах (ч. 3 ст. 22 Закона №152-ФЗ).

Уведомление направляют в управление ведомства в субъекте России по месту регистрации работодателя в налоговом органе (Письмо Роскомнадзора от 19.08.2022 № 08-75348, далее – Письмо № 08-75348). Сделать это можно через портал Роскомнадзора: в виде электронного уведомления, подписанного УКЭП, с помощью средств аутентификации ЕСИА, а также – на бумажном носителе. Также допустимо составить уведомление по старой форме (по Приказу Роскомнадзора от 30.05.2017 № 94). При появлении новой формы отправьте информационное письмо о внесении изменений в реестр (Письмо № 08-75348).

Ждать решения Роскомнадзора не нужно. Порядок уведомительный – обрабатывать ПД можно после получения сведений ведомством.

В Роскомнадзор подать уведомление об обработке персданных не потребуется, если (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ ):

оператор обрабатывает данные без автоматизации (например, компания с численностью до 25 человек);

ПД содержатся в информационных системах по защите безопасности государства и общественного порядка;

ПД используют по закону о транспортной безопасности.

Сокращенные сроки

Закон 266-ФЗ сократил сроки, в течение которых оператор должен предоставить субъекту ПД информацию об их обработке: 10 рабочих дней вместо 30. Все сведения предоставляют, ориентируясь на форму запроса (ч. 3 и 7 ст. 14, ст. 20 Закона № 152-ФЗ ). В итоге, сокращены сроки на (ст. 20 Закона № 152-ФЗ):

ответ на запросы субъекта ПД;

отказ субъекту в предоставлении ПД;

ответ на запросы Роскомнадзора.

Содержание согласия на обработку ПД

Федеральный закон 266-ФЗ ввел дополнительные требования к содержанию согласия на обработку ПД . Теперь оно должно быть «предметным» и «однозначным». Новые требования относятся к таким условиям согласия (ч. 1 ст. 9 Закона № 152-ФЗ ):

цель обработки персональных данных;

перечень ПД, на обработку которых дается согласие их субъекта;

наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);

перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;

срок, в течение которого действует согласие субъекта ПД и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).

Важно! Когда субъект ПД – выгодоприобретатель или поручитель, допускается обработка ПД без согласия. Обработка персданных несовершеннолетних без согласия возможна в случаях, установленных законом (ч. 3.1 ст. 4, ст. 6 Закона № 152-ФЗ).

Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Уточните алгоритм работы с персональными данными и их виды.

Правила работы с биометрическими данными

Закон о персональных данных 2022 ужесточил правила работы с биометрией. Теперь оператор не может требовать предоставления биометрических сведений и осуществлять их обработку без согласия субъекта.

Исключение – случаи, предусмотренные законами по вопросам: обороны, безопасности, противодействии терроризму и коррупции, транспортной безопасности, оперативно-розыскной деятельности, государственной службы, уголовно-исполнительного законодательства России, порядка выезда и въезда в нашу страну, гражданства России и нотариата (ч. 2 и 3 ст. 11 Закона № 152-ФЗ ).

Требования к политике в отношении обработки ПД

Новый закон о персональных данных 2022 разъяснил требования к политике в отношении обработки ПД. Теперь в этом документе для каждой цели обработки должны быть отдельно указаны (ст. ст. 18.1, 21 Закона № 152-ФЗ ):

категории и перечень ПД;

категории субъектов ПД;

способы и сроки их обработки и хранения;

порядок уничтожения ПД.

Также внесено уточнение, что размещение политики в отношении обработки ПД возможно в том числе на страницах сайта, принадлежащего оператору в информационно-телекоммуникационной сети «Интернет».

Правила поручения обработки другому лицу

Оператор может поручать обработку ПД другому лицу. Для этого нужно:

договор с лицом, которому передается обработка;

перечень ПД в поручении;

документы и иная информация, которые предоставляются по запросу (в том числе до обработки) и подтверждают принятие мер и соблюдение требований закона в целях исполнения поручения оператора.

При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ ).

Порядок обработки ПД иностранными лицами

Иностранные лица могут обрабатывать персональные данные с 1 сентября 2022 на основании согласия гражданина России (ч. 1.1 ст. 1 Закона № 152-ФЗ ).

При передаче ПД иностранному лицу ответственность перед их субъектом – солидарная. Поэтому за нарушения при обработке переданных иностранным юридическим и физическим лицом можно привлечь к ответственности и оператора (работодателя) в том же размере, как если бы он совершил их сам (ч. 6 ст. 6 Закона № 152-ФЗ).

Правила прекращения обработки ПД

Установлены новые правила при обращении субъекта ПД с требованием о прекращении их обработки.

Если такое обращение поступило, оператор по общему правилу обязан в срок 10 рабочих дней прекратить их обработку (обеспечить ее прекращение). Указанный срок может быть продлен, но не более чем на пять рабочих дней: при направлении оператором в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ, пп. «б», п. 13 ст. 1 Закона 266-ФЗ ).

Перечень нормативных правовых актов, которые обязательны при обработке ПД, скачайте по ссылке

Совет

Разработайте отдельные акты (ЛНА): по вопросам обработки ПД (под каждую цель), по процедурам выявления и предотвращения нарушений и политику в отношении обработки ПД. Проверьте, соответствуют ли ваши ЛНА требованиям Закона 266-ФЗ.

Выясните, почему опасно использовать типовые шаблоны при работе с персданными.

Уточните общие требования по составлению ЛНА об обработке ПД.

Требования закона о персональных данных: изменения с 1 марта 2023 года

С 1 марта 2023 года вступят в силу изменения по работе с ПД, которые коснутся вопросов уведомления Роскомнадзора, работы с инцидентами в области ПД, порядка уничтожения ПД и их трансграничной передачи.

Форма уведомления Роскомнадзора и сроки подачи

исключения данных из реестра операторов, если оператор отправит уведомлении о прекращении обработки ПД: само исключение – в течение 30 дней, подача заявления о прекращении – в течение 10 рабочих дней (пп. «б» п. 14 ст. 1 Закона 266-ФЗ);

уведомления оператором в случае изменения сведений (не позднее 15 числа, следующего за месяцем, в котором возникли изменения (пп. «д» п. 14 ст. 1 Закона 266-ФЗ).

Всего будут применяться три формы уведомлений Роскомнадзора:

уведомление до начала обработки ПД;

уведомление о прекращении обработки ПД (в течение 10 рабочих дней с даты прекращения обработки персданных);

уведомление об изменении данных по обработке (до 15 числа следующего месяца)

До 1 марта 2023 года будут установлены требования к подтверждению уничтожения ПД ( Проект Приказа Роскомнадзора (подготовлен 19.08.2022), пп. «г» п. 13 ст. 1 Закона 266-ФЗ).

Порядок работы с инцидентами в области ПД

Изменения с сентября 2022 – персональные данные нужно усиленно защищать и сообщать об их утечке. Информация о компьютерных инцидентах по случайной передаче ПД (а также – их предоставлении, распространении, доступе) будут передавать в специальный федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности по защите прав субъектов ПД (пп. «г» п. 15 ст. 1 Закона 266-ФЗ ).

Такой орган будет вести реестр учета инцидентов в области персданных и определять порядок и условия взаимодействия с операторами (работодателем) в рамках его ведения.

Ограничения при трансграничной передаче

Определен перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов ПД. К ним относят государства – стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД. Помимо них, будут допускаться государства – не участники при условии соответствия их норм права и применяемых мер по обеспечению конфиденциальности и безопасности при обработке ПД указанной Конвенции (п. 7 ст. 1 Закона 266-ФЗ ).

Важно! Страны, которые обеспечивают адекватную защиту прав субъектов ПД, уточните в « Конвенции о защите физических лиц при автоматизированной обработке персональных данных» (заключена в Страсбурге 28.01.1981) и в Приказе Роскомнадзора от 15.03.2013 № 274 . Проводите проверку перед каждой передачей ПД.

При намерении передать ПД трансгранично будет нужно информировать Роскомнадзор в виде отдельного уведомления, которое первоначально должно быть подано до 1 марта 2023 года (п. 7 ст. 1 Закона 266-ФЗ).

Алгоритм действий работодателя при планируемой трансграничной передаче скачайте здесь

Содержание уведомления в Роскомнадзор о намерении передать ПД трансгранично (п. 7 ст. 1 Закона 266-ФЗ , будущие ч. 4 ст. 12 Закона № 152-ФЗ ):

1) наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со статьей 22 настоящего Федерального закона;

2) наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты;

3) правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных;

4) категории и перечень передаваемых персональных данных;

5) категории субъектов персональных данных, персональные данные которых передаются;

6) перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;

7) дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.

Право оператора на трансграничную передачу зависят от того, входит ли страна для передачи ПД в перечень Роскомнадзора. Если да, передача возможна сразу после отправки уведомления. Если нет – только по истечении 10 рабочих дней после отправки уведомления и неполучения запрета или ограничения на передачу (п. 7 ст. 1 Закона 266-ФЗ , будущие ч. 10 – 15 ст. 12 Закона № 152-ФЗ).

Сведения от иностранной организации и органов власти до трансграничной передачи ПД:

данные о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПД, мерах по защите ПД и об условиях прекращения их обработки;

информация о правовом регулировании в области ПД иностранного государства, под юрисдикцией которого находятся его органы власти, иностранные физические и юридические лица, которым планируется трансграничная передача ПД;

Примечание. Пункт применяется, если предполагается трансграничная передача ПД органам власти иностранного государства, иностранным физическим и юридическим лицам, которые находятся под юрисдикцией иностранного государства – не участника Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД и не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПД.

  • сведения об органах власти иностранного государства, иностранных физических и юридических лицах, которым планируют трансграничную передачу ПД (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ ).

Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Как уведомлять Роскомнадзор, что изменить в Политике по обработке персданных и в Положении о персданных, что учесть при разработке нового согласия на обработку персданных, узнаете на нашем курсе .

Похожие публикации:
  1. 627 схема мдлп что это
  2. Арест машины судебными приставами за долги какие действия
  3. Кому принадлежат дороги в коттеджном поселке
  4. Что входит в инженерную инфраструктуру

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *