Здравствуйте, в этой статье мы постараемся ответить на вопрос: «24.03.2021. Новые правила работы с персональными данными». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.
Что входит в обязанности работодателя
С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).
Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).
Что обязан сделать работодатель:
- назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
- издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
- проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
- оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
- ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
- соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.
Что изменится с 1 марта 2023
Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).
В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.
Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).
Порядок и условия обработки персональных данных
В этом разделе перечислите действия, которые будет совершать компания с пересданными. Укажите способы обработки, сроки обработки и хранения. Действия, совершаемые с персональными данными:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
При составлении текста выберите те действия, которые совершает ваша компания с данными. Обычно в Политике перечисляют все способы.
Способ обработки пересданных может быть:
- автоматизированным (с использованием средств вычислительной техники);
- неавтоматизированным (вручную).
В Политике необходимо указать способ, который используют в компании. Чаще всего указывают оба.
Отзыв согласия на обработку и распространение общедоступных персональных данных
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
Что конкретно изменится для бизнеса и покупателей
Если раньше обращение с персональными данными регулировалось «Законом о персональных данных», теперь добавился ещё и закон «О защите прав потребителей».
Покупатель может запросить, с какой целью собираются его персональные данные. Если обращение устное, продавец обязан дать ответ немедленно, если подано письменно, в электронной или иной форме, на разъяснение даётся семь дней. Контролем вопроса займётся Роспотребнадзор.
Когда можно требовать ПД
Персональные данные для заключения договора можно потребовать в двух случаях.
- Если без них продавец не может выполнить свои обязательства по договору. Например, необходимы адрес и телефон для доставки товара или адрес электронной почты, чтобы отправить на него билеты на мероприятие, если скачать их напрямую с сайта нельзя.
- В установленных законом случаях. Например, при заключении договора с мобильным оператором, банком, микрофинансовой организацией, при продаже ювелирных украшений на сумму свыше 40 000 рублей.
Когда нельзя
Вне закона окажутся требования предъявить паспорт при возврате денег за товар, указать ФИО или электронную почту при покупке товара. Все эти данные можно получить и использовать только с согласия покупателя.
На сколько оштрафуют
Для бизнеса новый закон выливается в появление ещё одного контролирующего органа в лице Роспотребнадзора и ещё одного возможного штрафа.
За одно нарушение оштрафуют:
- организацию — от 30 до 50 тысяч рублей;
- должностное лицо организации и ИП — от 5 до 10 тысяч рублей.
Как утвердить положение о персональных данных работников?
Для этого надо издать приказ, который обычно подписывает руководитель компании.
Возможные названия приказа:
- «Об утверждении положения о персональных данных работников»,
- «Об утверждении положения об обработке и защите персональных данных работников»,
- «Об утверждении положения о защите персональных данных работников».
В приказе содержится не только информация об утверждении положения, но и дата, с которой оно действует. Например, с конкретного числа или с даты подписания приказа.
Также в приказе обычно:
- назначают лиц, которые должны ознакомить работников организации с положением о защите персональных данных (образец 2022) – как это сделать, мы объясним ниже,
- определяют для этого разумный срок.
Формирование и утверждение перечня допущенных лиц
Требование: Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
(применимо для УЗ — 1-4)
Возможные способы выполнения:
-
разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
Регистрация изменения полномочий в электронном журнале безопасности
Требование:
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе:
(применимо для УЗ — 1)
Возможные способы выполнения:
-
обеспечение ИС автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИС;
-
отражение в электронном журнале безопасности полномочий сотрудников оператора ПДн по доступу к ПДн, содержащимся в ИС. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;
-
назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям.
Изменение № 4: сократились сроки реагирования на запросы
Как было раньше. Если Роскомнадзор или субъект ПДн писал компании запрос с просьбой предоставить какие-то сведения, которые касаются обработки личных данных, на ответ давалось 30 дней.
Как сейчас. Время на ответ сократили до десяти дней с возможностью продления этого срока ещё на пять дней, если нужно время на сбор данных. Такой же срок установлен и для запросов о прекращении обработки ПДн. Если человек просит удалить его из базы, это нужно сделать тоже за десять дней.
Что это значит. Реагировать на запросы органов и граждан придётся быстрее. В документах ничего менять не нужно.
Каждая организация вправе самостоятельно разработать Положение, законодатель не устанавливает его строгой формы. Обязательным является наличие следующих разделов:
- Общие положения.
Раздел должен содержать цели, для которых документ составлен, а также перечисление данных, которые относятся к персональным. Все формулировки можно перенести из ст. 3 Закона.
- Основные понятия и состав персональных данных.
Руководствуйтесь при составлении этого раздела ст. 3 Закона. Укажите также документы работников, в которых содержатся их ПД:
- документы, на основании которых оформляется трудовой контракт;
- трудовые книжки;
- личные дела работников;
- отчетность налоговая, статистическая и т.д.;
- приказы по организации и их копии.
- Обработка персональных данных.
Перечислите все условия, которые необходимо соблюдать при обращении с ПД. Соотнесите их с теми, что указаны в ст. 6 Закона.
- Передача персональных данных.
Определите правила передачи и получения ПД как внутри организации, так и третьим лицам. Здесь же укажите, как и где они хранятся (обычно это отдел кадров и бухгалтерия, где сведения о работниках хранятся в бумажном и электронном виде).
- Доступ к персональным данным.
Доступ к ПД сотрудников строго ограничен кругом лиц, которые используют их в процессе осуществления своих должностных полномочий. Перечислите должности, кто вправе получать и обрабатывать такие сведения, и их действия с ПД.
- Ответственность за нарушение норм в отношении обработки и защиты персональных данных.
Закрепите меру ответственности за работниками в случае нарушений правил данного Положения. Степень ответственности избирается в соответствии со ст. 90 ТК РФ.
Положение о персональных данных вводится в действие на основании приказа руководителя.
Обязательным является ознакомление с текстом Положения всех сотрудников организации, в том числе вновь принимаемых (ч. 2 ст. 22, ст. 68 ТК). Подтверждается этот факт одним из способов:
- личной подписью в трудовом договоре, где содержится отсылка на действующее Положение;
- личной подписью в листе ознакомления к Положению или журнале ознакомлений с приказами и распоряжениями.
При несоблюдении порядка обращения с персональными данными, если отсутствует Положения или не ознакомлен сотрудник с ним, руководитель может быть привлечен к административной ответственности в соответствии со ст. 5.27 КоАП.
Как и когда необходимо информировать Роскомнадзор об утечке данных
У операторов появится новая обязанность: взаимодействовать с ГОССОПКА и информировать госорганы о компьютерных инцидентах, которые повлекли утечку персональных данных. В отношении ГОССОПКА пока не ясно, что именно будут требовать от операторов персональных данных. Порядок взаимодействия и обязанности должна будет установить ФСБ.
Ч. 12 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Конкретные требования закон установил к тому, как уведомлять госорганы о неправомерной или случайной передаче персональных данных. Оператор, если выявил такой факт, обязан в течение 24 часов уведомить Роскомнадзор об инциденте.
В таком уведомлении необходимо указать предполагаемые причины и вред, перечислить, какие меры приняла компания, чтобы устранить последствия. Также следует предоставить сведения о лице, которое будет взаимодействовать с Роскомнадзором.
В течение 72 часов с момента, когда выявили инцидент, оператор должен уведомить Роскомнадзор о результатах внутреннего расследования, а также предоставить сведения о лицах, чьи действия стали причиной инцидента.
Требование информировать госорганы об утечке персональных данных — новелла для российского законодательства. Однако похожие требования уже есть в законодательстве об объектах критической информационной инфраструктуры.
КоАП предусматривает штраф до 500 тыс. руб. для субъектов КИИ, если они не проинформируют об инцидентах.КоАП-1 Поэтому есть вероятность, что для операторов персональных данных тоже введут повышенный штраф. Однако пока что оператора, который не уведомит чиновников об утечке, можно оштрафовать до 5 тыс. руб. по общей норме Ко АП о непередаче сведений госорганам.
Контроль и ответственность операторов персональных данных за нарушения
Роскомнадзор контролирует операторов персональных данных в рамках контрольных мероприятий трёх типов:
- инспекционный визит;
- документарную проверку;
- выездную проверку.
За невыполнение обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, организацию могут привлечь к административной ответственности. Например, максимальный штраф для организации:
- за невыполнение в установленные сроки требования субъекта персональных данных (его представителя) либо Роскомнадзора об уточнении персональных данных в случае, когда они являются неполными, устаревшими, неточными, составляет 90 тыс. руб., за повторное правонарушение – 500 тыс. руб. (ч. 5, 5.1 ст. 13.11 КоАП РФ);
- за невыполнение при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обязанности обеспечить, в частности, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, составляет 6 млн руб., за повторное правонарушение – 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП РФ).
Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.
Что относится к персональным данным работника
Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.
К персональным данным относятся:
- фамилия, имя, отчество;
- пол, возраст;
- паспортные данные, СНИЛС, ИНН;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
- деловые и иные личные качества, которые носят оценочный характер;
- номер телефона или электронная почта;
- прочие сведения, которые могут идентифицировать человека.
Хранение и использование персональных данных
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.
Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).
Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.
Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.
Как составить положение о персональных данных работников
Если просто, то персональные данные — это сведения о человеке. Закон № 152-ФЗ от 26.07.2006 дает более длинную формулировку, где человек именуется субъектом, который определяется по четким критериям правовых норм. Также вопрос регламентирован главой 14 Трудового кодекса Российской Федерации и Конституцией Российской Федерации.
В первую очередь тема важна для работодателей, так как трудовые правоотношения напрямую связаны с обработкой сведений о персонале. Именно поэтому на каждом предприятии утверждается Положение о работе с персональными данными работников. К этим данным относятся:
- место жительства (регистрации);
- номер телефона;
- данные о документе, удостоверяющем личность;
- доходы (зарплата, налоги);
- наличие детей;
- семейное положение;
- образование;
- состояние здоровья;
- количество проработанных лет (стаж).
Утверждая Положение об обработке и защите персональных данных, вы можете дополнить или детализировать перечень.