Регистрация на форум
Регистрация на мероприятие
Проверить сотрудника
Регистрация
Регистрация
Регистрация
Вступление в реестр
Заполните форму, мы свяжемся с Вами
Вход в личный кабинет
Регистрация
Регистрация
Вступить в организацию
Вступить в реестр
Регистрация на форум (offline)
Регистрация на форум (offline)
Ваша заявка принята

Спасибо за регистрацию!
Скоро с Вами свяжется наш специалист!

Подписывайтесь на наш ТГ-канал:
https://t.me/kadrovik_online

Регистрация на форум (online)
Найти специалиста
Ваши данные:

Отправляя форму, вы подтверждаете свое согласие с условиями предоставления услуг (пользовательское соглашение)

Кадровик Онлайн - универсальный помощник по кадровым вопросам
ОБЩЕРОССИЙСКАЯ ОБЩЕСТВЕННАЯ ОРГАНИЗАЦИЯ КАДРОВЫЙ РАБОТНИК

Требования к работе с персональными данными с 1 сентября 2022

30 августа 2022

Утечка персональных данных стала обыденностью, но государство не собирается с этим мириться. Поэтому с 1 сентября у всех операторов персональных данных — да, и у вас тоже, если имеется хотя бы один сотрудник, — появляется несколько новых повинностей. Штрафы за нарушения тоже будут.

Что такое персональные данные?

Любые данные о человеке, с помощью которых можно его опознать, найти, выйти с ним на связь, в том числе ФИО, пол, возраст, местожительства, контакты и т. п.

Устраивается человек на работу — представляет целый пакет документов, в которых содержатся персональные данные (ПД): паспорт, трудовая книжка или сведения о стаже (СТД-Р, СТД-ПФР), СНИЛС, документы об образовании, квалификации и т. п. Таким образом работодатель становится оператором ПД, и любая операция с ними — это уже обработка ПД.

Есть еще биометрические ПД (ст. 11 закона о ПД), т. е. сведения, которые помогают идентифицировать человека по физиологическим и биологическим особенностям (голос, тесты ДНК, отпечатки пальцев и проч.).

Любые операции с ПД требуют согласия человека, поэтому мы подписываем с сотрудниками согласие на обработку и распространение персональных данных.

А что изменится с 1 сентября? С этой даты вступают в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», внесенные законом от 14.07.22 № 266-ФЗ.

Биометрия не обязательна

Предоставлять работодателю биометрические персональные данные работник не обязан. И если он не хочет подписывать согласие на их обработку, то работодатель обрабатывать данные не вправе.

К примеру, вести за работником видеонаблюдение или требовать его фотографию.

Проверьте политику обработки ПД

В политике обработки персональных данных для каждой цели обработки следует указывать:

Проводим аудит, определяем цели, которые преследуем, и работаем по каждой цели. И не забываем о штрафах за обработку ПД, несовместимую с целями их сбора (2 000 — 6 000 руб. — для граждан, 10 000 — 20 000 руб. — для должностных лиц, от 60 000 — 100 000 руб. — для юридических лиц).

Отметим, что если сбор данных реализован на сайте (например, на нем можно заполнить анкету соискателя), то теперь политику обработки ПД недостаточно просто вывесить на сайте. Ее надо опубликовать именно на тех веб-страницах, на которых собираются данные. Разумеется, в политике не должно быть положений, ограничивающих права субъектов ПД.

Важно! Если ПД получены не от самого субъекта, а из другого источника, то следует до начала обработки предоставить их список субъекту.
Сообщите Роскомнадзору

Приготовьтесь к тому, что с 1 сентября придется уведомлять Роскомнадзор о намерении обрабатывать ПД персонала — даже если речь идет о пропуске на вашу территорию или заключении договора ГПХ. Поэтому прямо сейчас имеет смысл проверить: а вы вообще зарегистрированы в реестре Роскомнадзора? Это можно сделать тут.

Если ничего не найдено, то немедленно регистрируйтесь как оператор ПД, это надо сделать до 1 сентября 2022 года.

Уведомлять о планах обрабатывать ПД необходимо не только сотрудников, которым принадлежат ПД, но и:

Определитесь со способом представления уведомления

Вариант первый: можно отправить уведомление в традиционном бумажном виде (заполнить можно тут), после чего распечатать и отправить в свой территориальный орган Роскомнадзора.

Второй вариант: сформировать уведомление в электронном виде, используя УКЭП на сайте Роскомнадзора. В бумажном виде дублировать уже не понадобится. Для этого необходим настроенный плагин криптозащиты.

Третий вариант: сформировав электронное уведомление, можно отправить его с использованием средств аутентификации ЕСИА.

Авторизуетесь на «Госуслугах», заполняете форму, отправляете — все. Необходимы подтвержденная учетная запись руководителя организации, к которому привязана организации на портале.

Надо подготовиться к более оперативной отправке уведомлений, поскольку срок подачи уведомления сокращен до 10 календарных дней (было 30).

Исправить (и проверить) Согласие на обработку ПД

Поскольку, согласно новой редакции ч. 1 статьи 9 закона о ПД, такое согласие должно быть «конкретным, предметным, информированным, сознательным и однозначным», то, скорее всего, надо проверить, чтобы в тексте согласия все было сформулировано так, чтобы не допускать разнообразия толкований. Полагаем, что не обязательно включать в текст все эти слова (особенно новое «однозначно»), но формулировки должны быть на 100% точными и понятными.

Подключите Астрал iКЭДО — облачный сервис кадрового делопроизводства с дистанционным выпуском УНЭП для всех сотрудников. Облегчите жизнь: себе — максимальная экономия ресурсов, минимум затрат на внедрение, и сотрудникам — исключение походов в отдел кадров или на почту, возможность быстро подписать и отправить любой документ, в т. ч. Согласие на обработку ПД.

Подготовиться к оперативной реакции на запросы

С 30 до 10 рабочих дней уменьшен срок ответа на запросы сотрудника относительно собственных ПД и их обработки. Ответ дается в той же форме, что и запрос, но сотрудник может попросить об ином. Например, в электронном виде запросить бумажный ответ. Срок для отправки ответа может быть продлен на пять рабочих дней при условии отправки мотивированного уведомления лицу, отправившему запрос.

Важно! На поступивший запрос Роскомнадзора также надо ответить не позднее 10 дней.

Если сотрудник или иной субъект ПД потребует прекращения обработки своих данных, то придется не позднее 10 рабочих дней с даты получения требования, прекратить их обработку или обеспечить ее прекращение.

Будьте готовы сообщать об утечках

Если имел место факт неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, оператор обязан с момента выявления уведомить Роскомнадзор в течение 24 часов относительно:

В течение 72 часов необходимо:

Подключиться к ГосСОПКА

Судя по тому, что новая редакция закона обязывает операторов ПД взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, необходимо подключиться к ГосСОПКА.

После чего туда надо будет направлять информацию обо всех инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.

В заключение отметим, что ст. 13.11 КоАП предусматривает штрафы за нарушение законодательства РФ в области персональных данных, а ст. 19.7 — за непредставление сведений (информации) в виде предупреждение или штрафов: 100 — 300 руб. (для частных лиц), 300 — 500 руб. (для должностных лиц), 3 000 — 5 000 руб. (для юридических лиц).

 

Яндекс.Метрика