Только за 2022 год произошла утечка не менее 40 баз с персональными данными россиян, сообщает «Коммерсант». В сеть также попали данные пользователей «Ростелеком», «Ozon», «СДЭК»,«Почты России» и других компаний.
С 1 сентября 2022 года заработают новые правила работы с персональными данными. Правительство надеется, что принятые меры обеспечат сохранность личных данных россиян.
Что подразумевают под персональными данными
Персональные данные, или ПД, — это любые сведения о человеке, по которым можно его идентифицировать. Например, ФИО, пол, возраст, адрес проживания, номер телефона и прочее. Если человек устраивается на работу в организацию, то подает в кадровый отдел набор документов, по которым можно его узнать:
- паспорт;
- трудовая книжка;
- свидетельство о пенсионном страховании — СНИЛС;
- диплом или другие документы, подтверждающие образование и квалификацию;
- документы воинского учета — для лиц, которых могут призвать в армию.
На основе этих документов работодатель может начислять ему зарплату, заполнить трудовую книжку и отчитаться в налоговую инспекцию и внебюджетные фонды. В этом случае работодатель становится оператором персональных данных. А любые действия с личными данными сотрудника — обработкой персданных. По закону нельзя обрабатывать, хранить и распространять информацию о человеке без его ведома. Поэтому работодатель обязан подписать с сотрудником согласие на обработку и распространение ПД.
С 1 сентября 2022 года работа с персональными данными изменится. Регулируют нововведения федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты РФ.
Что изменилось с 1 сентября
Придется чаще уведомлять Роскомнадзор о планах обрабатывать персданные персонала. Даже в рамках трудового законодательства, если, например, нужно оформить пропуск на территорию работодателя или заключить гражданско-правовой договор. Желательно проверить, зарегистрирована ли ваша компания в реестре Роскомнадзора на сайте ведомства.
Пример проверки организации в Роскомнадзоре
Если вас до сих пор там нет, то надо зарегистрироваться как оператор, который осуществляет обработку персональных данных. Уведомление в Роскомнадзор следует отправить до 01 сентября 2022 года.
Уведомление рекомендуется оформить на бланке Роскомнадзора, составить и отправить на бумажном носителе или в электронной форме.
Передать уведомление можно через официальный сайт, сервис Госуслуги или по Почте России.
Сократят срок подачи уведомления с 30 суток до 10 календарных дней. Помните, что ответы должны быть достоверными. Если ваши ответы не устроят чиновников несколько раз в течение года, к вам могут прийти с внеплановой проверкой.
Запретят биометрическую обработку персональных данных подростков. Биометрические ПД —это фото, видеозапись, результаты тестов ДНК, отпечатки пальцев и прочее. Если в штате числятся работники младше 18 лет, например взяли на лето школьников по ученическому договору, желательно удалить их фото, видео и записи голоса. Также запрещено использовать их фото на пропуске и в личном деле, видео на сайте и в соцсетях, диктофонные записи и телефонные разговоры.
Рядовой работник компании также может отказаться предоставлять биометрию работодателю, и последний обязан учесть пожелания.
Появятся новые требования к документам по ПД. Согласие сотрудника на обработку должно быть конкретным, информированным, сознательным, предметным и однозначным. Это значит, что формулировки целей в согласии должны быть максимально точными и понятными. Особенно в документах, которые вы оформляете как дополнение к стандартным при приеме на работу.
Важно! При обработке биометрических персональных данных обязательно нужно отметить это в согласии. Если сотрудник отказывается подписывать этот документ, работодатель не вправе запрашивать фото сотрудника даже для пропуска на территорию.
Уменьшат срок ответа на запросы персонала. Если кто-то из сотрудников запросит информацию о том, как работодатель обрабатывает его персданные, то нужно ответить ему в течение десяти рабочих дней.
Ответ следует подготовить в той форме, в которой к вам обратился сотрудник, если в запросе работник не просит предоставить информацию иначе. Кроме того, сотрудник сможет обратиться к вам с запросом, есть ли у работодателя конкретные персональные данные о нем. Ответить или подготовить мотивированный отказ придется за 10 рабочих дней.
Если у работодателя есть уважительные причины, по которым ему нужно больше времени, следует отправить сотруднику мотивированное уведомление. Тогда срок увеличится еще на пять рабочих дней, чтобы доработать ответ.
Следует чаще сообщать об инцидентах. Инцидент — это случайная утечка персональных данных. Если работодатель обнаружил, что к ПД его сотрудников получили доступ третьи лица и нарушили их права, он обязан сообщить в Роскомнадзор в течение 24 часов. А в течение 72 часов — провести расследование инцидента и сообщить о его результатах. В сообщении нужно указать, кто именно из сотрудников компании виноват в происшествии и какие меры приняли. Кроме того, Роскомнадзор будет вести реестр таких инцидентов и передавать информацию в ФСБ. Если этого не сделать, работодателя могут оштрафовать на сумму от 3000 до 5000 рублей.
Подключение к ГосСОПКе. ГосСОПКа — это Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Она расследует инциденты кибератак, выявляет уязвимости информационных систем безопасности. Если в организации произошло что-то из перечисленного, то обязана передать сведения в ГосСОПКу.
Чтобы не запутаться в новых правилах, все изменения мы собрали в таблицу.
Что изменилось в обязанностях по работе с персональными данными с 1 сентября 2022 года:
|
Обязанность |
Как было |
Как стало |
|
Уведомить Роскомнадзор о начале обработки персданных |
Во всех случаях, кроме указанных в ч. 2 ст. 22 Закона № 152-ФЗ «О персональных данных» |
Во всех без исключения случаях. Если уже начали обработку персданных, то уведомить до 1 сентября 2022 года |
|
Уведомить Роскомнадзор, если сведения из уведомления о начале обработки персданных изменились |
В течение 10 рабочих дней |
До 15 числа месяца, следующего за месяцем, когда произошли изменения |
|
Уведомить Роскомнадзор о прекращении обработки персональных данных |
В течение 10 рабочих дней |
В течение 10 рабочих дней |
|
Ответить на запрос сотрудника, как обрабатывают его персданные |
Срок не установлен |
В течение 10 рабочих дней, с продлением на 5 рабочих дней |
|
Показать работнику документы с его персональными данными |
В течение 30 дней |
В течение 10 рабочих дней, с продлением на 5 рабочих дней |
|
Прекратить обрабатывать персданные по требованию работника |
В течение 30 дней |
В течение 10 рабочих дней, с продлением на 5 рабочих дней |
|
Уведомить Роскомнадзор о неправомерном доступе третьих лиц к персданным сотрудников |
Таких требований не было |
В течение 24 часов |
|
Отчитаться в Роскомнадзор об итогах расследования по факту доступа третьих лиц к персданным сотрудников |
Таких требований не было |
В течение 72 часов |
Какие документы по персданным поменяются с 1 сентября
Новые требования к политике конфиденциальности и локальным актам
Теперь в вашей политике для каждой цели обработки необходимо прописать:
- категории и перечень ПД;
- категории субъектов персональных данных;
- способы, сроки их обработки и хранения;
- порядок порядок уничтожения;
Эти же требования относятся и к Положению о персональных данных в организации. Раньше к положению таких требований не было. Сотрудник подписывал вариант, который предоставлял ему работодатель.
Важно! Если у вас есть сайт, где собирается информация о пользователях, вы обязаны разместить политику конфиденциальности на каждой странице сайта, на которой собираются ПД.
В ЛНА по персональным данным не может быть положений, которые ограничивают права работников, а также полномочия и обязанности, которых нет в законах. Поэтому, например, в Положении о персданных нельзя закрепить обязанность сотрудника приносить вам новый паспорт и другие документы.
Согласие на обработку персданных
Напомним, что по новым правилам согласия на обработку персональных данных должны быть предметными и однозначными, а не только конкретными, информированными и сознательными.
Сейчас в ни в законе, ни в практике нет четкого определений этих понятий. Мы предполагаем, что предметность — определение цели сбора ПД или перечень действий с персональными данными. Однозначность — на что человек дает однозначное согласие при использовании его ПД. Поэтому в формулировках согласия не должно быть абстракций.
Например, если организация передает персданные сотрудника в банк, не надо писать «в целях соблюдения законов и нормативных актов». По-новому будет так: «Для перечисления мне заработной платы даю согласие ООО «Оптимика» на обработку моих персональных данных и предоставление их в Сбербанк».
Уведомление, чтобы запросить персданные у третьей стороны
Все персональные данные о сотруднике следует получать от него самого. Бывает, что работодателю требуются сведения о работнике от третьих лиц, например данные от бывшего работодателя, государственных органов или вуза. Перед тем как посылать запрос в другую организацию, следует предварительно уведомить об этом сотрудника.
Уведомление нужно разработать самостоятельно. Есть определенные пункты, которые нужно указать:
- наименование организации или ФИО ИП-работодателя;
- цель обработки персданных и ее правовое основание;
- перечень персональных данных, которые запросите у третьей стороны;
- предполагаемых пользователей персональных данных;
- права работника.
Новые правила защиты ПД
Работодателю придется составить и утвердить положение о защите персональных данных. В документе важно определить, какая категория риска у каждого документа или электронного носителя персданных и есть ли угрозы того, что информацию получат те, у кого доступа к данным не должно быть. Раньше закон рекомендовал утверждать такой документ — теперь это обязанность.
Как хранить и уничтожать персональные данные
Способ хранения зависит от того, в каком формате представлены данные — на бумажном или цифровом носителе. Бумажные ПД следует держать в сейфах или металлических несгораемых шкафах с замками или в специально оборудованных помещениях. В помещении нужно установить пропускной режим или карточную систему доступа в кабинет и утвердить перечень сотрудников, которые могут заходить в такие помещения. Обычно это работники, которые обрабатывают персональные данные — кадровики и бухгалтеры.
Хранение электронных ПД следует обеспечить так, чтобы посторонние лица не могли получить к ним доступ. Об этом лучше проконсультироваться с IT-специалистами. Они подскажут, как правильно хранить документы в электронном виде с учетом специфики компании. Главное — чтобы у сотрудников, которые обрабатывают персданные, были индивидуальный логин и пароль.
Порядок хранения персональных данных и требования к местам хранения нужно закрепить в локальном акте.
Уничтожить ПД можно только в строго оговоренных случаях, которые указаны в пункте 3 статьи 21, статье 21 Федерального закона от 14.07.2022 № 266-ФЗ:
- когда закончился срок хранения документа;
- цель обработки достигнута или больше нет необходимости их обрабатывать;
- неправомерно обрабатываете персданные;
- сотрудник отозвал согласие, потребовав прекратить обрабатывать и распространять его персданные.
Способ уничтожения в законе не прописан. Каждый работодатель сам разрабатывает порядок и фиксирует его в локальном акте, например в положении о порядке уничтожения персональных данных. Главное — прописать, в каких случаях компания уничтожает персональные данные, и определить способы. В некоторых компаниях, бумажные ПД просто уничтожают в шредере или сжигают
Дальнейшие изменения
С 1 марта 2023 года будут введены новые требования к трансграничной передаче ПД. Если компания передает ПД за границу, необходимо направить Роскомнадзору отдельное уведомление. Роскомнадзор будет решать, запретить или разрешить передачу ПД иностранному лицу.
Ответственность
Еще в 2021 года штрафы увеличены в два раза по сравнению с предыдущей редакцией ст. 13.11 КоАП. Установлена повышенная ответственность за повторные правонарушения.
|
Обязанности работодателя |
Штраф за обработку персональных данных, тыс. рублей |
|||
|
Организация |
Организация |
Должностное лицо |
Должностное лицо |
|
|
Первое нарушение |
Повторное нарушение |
Первое нарушение |
Повторное нарушение |
|
|
В случаях, не предусмотренных законом |
60–100 |
100–300 |
10-20 |
20–50 |
|
Если обработка несовместима с целями сбора данных |
60–100 |
100–300 |
60–100 |
20–50 |
|
Если нет письменного согласия субъекта, когда оно обязательно |
30–150 |
300–500 |
20-40 |
40-100 |
Наказание за нарушения в работе с персональными данными — одни из самых серьезных. Даже при незначительной огласке ответственный сотрудник может получить замечание, выговор или увольнение. Кроме того, работник, чьи персональные данные были разглашены, вправе подать на работодателя в суд и взыскать компенсацию морального вреда.
Кроме того, с 1 сентября 2022 года добавились административные штрафы, если не уведомили Роскомнадзор о намерении обрабатывать персональные данные. Они составляют:
- 100—300 рублей — для физлиц;
- 300—500 рублей — для должностных лиц;
- 3000—5000 рублей — для юрлиц.
