Новые правила по работе с персональными данными сотрудников

Что измененилось в Законе о персональных данных

Первое нововведение – это поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» Федеральным законом от 14.07.2022 № 266-ФЗ. Большинство изменений уже применяется с 1 сентября 2022 года. Часть поправок вступит в силу только 1 марта 2023 года. Размеры штрафов за нарушение порядка работы с персональными данными – значительные. Поэтому компаниям необходимо знать новые обязанности, предусмотренные Законом 152-ФЗ в новой редакции.

1. Уведомление Роскомнадзора об обработке персональных данных работников

Ранее работодатели имели право не уведомлять Роскомнадзор об обработке персональных данных сотрудников в том случае, когда такая обработка осуществлялась в рамках трудового законодательства. Это исключение предусматривал подп. 1 п. 2 ст. 22 Закона 152-ФЗ.

С 1 сентября 2022 года норма утратила силу. Сейчас, даже если работодатель обрабатывает персональные данные сотрудников исключительно в целях соблюдения трудового законодательства, обязательно нужно уведомить об этом Роскомнадзор.

Изменился и перечень сведений, содержащихся в уведомлении (п. 3.1 ст. 22 закона 152-ФЗ). Оператор указывает для каждой цели обработки персональных данных (далее – ПДн):

категории ПДн;
категории субъектов, персональные данные которых обрабатываются;
правовое обоснование обработки ПДн;
перечень действий с ПДн;
способы обработки ПДн.

2. Форма уведомления

Форму уведомления определит позднее Роскомнадзор (п. 8 ст. 22 Закона 152-ФЗ). На данный момент форма уведомления еще не утверждена, поэтому стоит использовать форму из приложения 1 к Методическим рекомендациям, утвержденным приказом Роскомнадзора от 30.05.2017 № 94.

Рекомендация Роскомнадзора – использовать электронную форму уведомления, размещенную на официальном сайте ведомства (письмо Роскомнадзора от 19.08.2022 № 08-75348).

3. Требования к содержанию локальных актов

Для соблюдения положений 152- ФЗ операторы должны издавать:

документ, определяющий политику в отношении обработки ПДн;
локальные акты по вопросам обработки ПДн.

С 1 сентября 2022 года сформирован перечень вопросов, подлежащих отражению в локальных актах. Так, эти акты должны содержать для каждой цели обработки ПДн:

категории и перечень обрабатываемых ПДн;
категории субъектов, персональные данные которых обрабатываются;
способы, сроки обработки и хранения ПДн;
порядок уничтожения ПДн после того, как цели обработки достигнуты (подп. 2 п. 1 ст. 18.1 закона 152-ФЗ).

При этом в локальные акты нельзя включать:

ограничения прав субъектов ПДн;
полномочия и обязанности оператора, не предусмотренные законодательством.

Политику в отношении обработки персональных данных следует опубликовать на сайте, через который оператор собирает эти данные (п. 2 ст. 18.1 Закона 152-ФЗ).

4. Согласие на обработку персональных данных

Согласие на обработку ПДн должно быть конкретным, информированным, сознательным, предметным и однозначным (п. 1 ст. 9 Закона 152-ФЗ).

В случае, если субъект ПДн обратился к оператору с требованием прекратить обработку ПДн, то оператор должен выполнить требование в течение 10 рабочих дней. Срок можно продлить еще на 5 рабочих дней, но обязательно направить субъекту ПДн уведомление, разъясняющее причины продления срока (п. 5.1. ст. 21 Закона 152-ФЗ).

5. Предоставление информации в Роскомнадзор и субъекту ПДн

Раньше у оператора была обязанность предоставлять запрашиваемую информацию в Роскомнадзор в течение 30 дней с даты получения запроса. Этот срок сократили до 10 рабочих дней (п. 4 ст. 20 закона 152-ФЗ). Можно продлить срок еще на 5 рабочих дней, но для этого оператор должен направить в Роскомнадзор мотивированное уведомление, с указанием причин продления срока.

Оператор должен предоставить субъекту ПДн информацию об обрабатываемых персональных данных, если субъект обратится с соответствующим запросом. До изменений срок для предоставления информации установлен не был. Сейчас на это дается 10 рабочих дней (п. 3 ст. 14 закона 152-ФЗ). Срок также можно продлить на 5 рабочих дней при условии предоставления субъекту уведомления о причинах продления срока.

Оператор должен представить запрашиваемые сведения по той же форме, по которой субъект направил запрос. Это правило действует, если субъект ПДн в запросе самостоятельно не определил, в какой форме он планирует получить информацию.

Компания «Такском» предлагает сотрудникам организаций и гражданам (физлицам) электронные подписи для любых задач. Также у «Такском» есть решения для кадрового электронного документооборота между сотрудниками и работодателем. А еще – сервис для удаленного выпуска и администрирования работодателем электронных подписей сотрудников.

Партнерский материал

Читайте также: