Как работать с персональными данными сотрудников по новым правилам

Что измененилось в Законе о персональных данных

Первое нововведение – это поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» Федеральным законом от 14.07.2022 № 266-ФЗ. Большинство изменений уже применяется с 1 сентября 2022 года. Часть поправок вступит в силу только 1 марта 2023 года. Размеры штрафов за нарушение порядка работы с персональными данными – значительные. Поэтому компаниям необходимо знать новые обязанности, предусмотренные Законом 152-ФЗ в новой редакции.

1. Уведомление Роскомнадзора об обработке персональных данных работников

Ранее работодатели имели право не уведомлять Роскомнадзор об обработке персональных данных сотрудников в том случае, когда такая обработка осуществлялась в рамках трудового законодательства. Это исключение предусматривал подп. 1 п. 2 ст. 22 Закона 152-ФЗ. 

С 1 сентября 2022 года норма утратила силу. Сейчас, даже если работодатель обрабатывает персональные данные сотрудников исключительно в целях соблюдения трудового законодательства, обязательно нужно уведомить об этом Роскомнадзор.

Изменился и перечень сведений, содержащихся в уведомлении (п. 3.1 ст. 22 закона 152-ФЗ). Оператор указывает для каждой цели обработки персональных данных (далее – ПДн):

  • категории ПДн;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое обоснование обработки ПДн;
  • перечень действий с ПДн;
  • способы обработки ПДн.

2. Форма уведомления

Форму уведомления определит позднее Роскомнадзор (п. 8 ст. 22 Закона 152-ФЗ). На данный момент форма уведомления еще не утверждена, поэтому стоит использовать форму из приложения 1 к Методическим рекомендациям, утвержденным приказом Роскомнадзора от 30.05.2017 № 94.

Рекомендация Роскомнадзора – использовать электронную форму уведомления, размещенную на официальном сайте ведомства (письмо Роскомнадзора от 19.08.2022 № 08-75348).

3. Требования к содержанию локальных актов

Для соблюдения положений 152- ФЗ операторы должны издавать:

  • документ, определяющий политику в отношении обработки ПДн;
  • локальные акты по вопросам обработки ПДн.

С 1 сентября 2022 года сформирован перечень вопросов, подлежащих отражению в локальных актах. Так, эти акты должны содержать для каждой цели обработки ПДн:

  • категории и перечень обрабатываемых ПДн;
  • категории субъектов, персональные данные которых обрабатываются;
  • способы, сроки обработки и хранения ПДн;
  • порядок уничтожения ПДн после того, как цели обработки достигнуты (подп. 2 п. 1 ст. 18.1 закона 152-ФЗ).

При этом в локальные акты нельзя включать:

  • ограничения прав субъектов ПДн;
  • полномочия и обязанности оператора, не предусмотренные законодательством.

Политику в отношении обработки персональных данных следует опубликовать на сайте, через который оператор собирает эти данные (п. 2 ст. 18.1 Закона 152-ФЗ).

4. Согласие на обработку персональных данных

Согласие на обработку ПДн должно быть конкретным, информированным, сознательным, предметным и однозначным (п. 1 ст. 9 Закона 152-ФЗ).

В случае, если субъект ПДн обратился к оператору с требованием прекратить обработку ПДн, то оператор должен выполнить требование в течение 10 рабочих дней. Срок можно продлить еще на 5 рабочих дней, но обязательно направить субъекту ПДн уведомление, разъясняющее причины продления срока (п. 5.1. ст. 21 Закона 152-ФЗ).

5. Предоставление информации в Роскомнадзор и субъекту ПДн

Раньше у оператора была обязанность предоставлять запрашиваемую информацию в Роскомнадзор в течение 30 дней с даты получения запроса. Этот срок сократили до 10 рабочих дней (п. 4 ст. 20 закона 152-ФЗ). Можно продлить срок еще на 5 рабочих дней, но для этого оператор должен направить в Роскомнадзор мотивированное уведомление, с указанием причин продления срока.

Оператор должен предоставить субъекту ПДн информацию об обрабатываемых персональных данных, если субъект обратится с соответствующим запросом. До изменений срок для предоставления информации установлен не был. Сейчас на это дается 10 рабочих дней (п. 3 ст. 14 закона 152-ФЗ). Срок также можно продлить на 5 рабочих дней при условии предоставления субъекту уведомления о причинах продления срока.

Оператор должен представить запрашиваемые сведения по той же форме, по которой субъект направил запрос. Это правило действует, если субъект ПДн в запросе самостоятельно не определил, в какой форме он планирует получить информацию.


Компания «Такском» предлагает сотрудникам организаций и гражданам (физлицам) электронные подписи для любых задач. Также у «Такском» есть решения для кадрового электронного документооборота между сотрудниками и работодателем. А еще – сервис для удаленного выпуска и администрирования работодателем электронных подписей сотрудников.

Партнерский материал

Читайте также:

Расскажите коллегам:
Комментарии
Участники дискуссии: Никита Гуцал
Системный аналитик, Екатеринбург

Этот монстр когда-нибудь наесться? От того, что ему все отчитываются - сливов баз что-то меньше не становиться... а геморра бизнесу всё больше и больше, зато чиновники довольны всё большим влиянием

Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Эрнст Мальцев
  На это просто напрашивается цитата из повести Хольма ван Зайчика "Дело жадного варвара" (комм...
Все дискуссии
HR-новости
Исследование: что доводит сотрудников до выгорания

Большинство респондентов регулярно испытывают нехватку ресурсов, сталкиваются с размытыми задачами, переработками, а также ощущают давление негласных корпоративных правил.

Большинство россиян считают работу в креативной индустрии привлекательной

76% хотели бы попробовать себя в роли креативного продюсера, при этом у половины из них нет четкого представления, чем занимается этот специалист.

Средние зарплаты в отрасли туризма и гостеприимства выросли на 52% за год

Рост внутреннего туризма стимулирует спрос на кадры, а конкуренция за них меняет подходы работодателей.