Новые обязанности иностранных работников с 29 декабря 2022 по Закону от 01.07.2022 № 274-ФЗ

Получить консультацию специалиста

Новые обязанности иностранных работников с 29 декабря 2022 по Закону от 01.07.2022 № 274-ФЗ

Новые обязанности иностранцев по ФЗ №274

С 29 декабря 2021 года в силу вступили изменения по ФЗ №274 от 01.07.2021. Теперь к обязательным действиям въезжающих в Россию иностранцев, которые хотят надолго остаться в РФ, добавилось еще три:

  • медосмотр;
  • дактилоскопия;
  • фотографирование.

Примечание редакции: подробнее о том, как проходит медосмотр и какими документами его можно подтвердить, читайте в статье Базы знаний «Медицинская комиссия и медицинские заключения».

Прохождение всех этих процедур иностранец должен подтвердить документально: медосмотр – медицинскими заключениями и справками, а фотографирование и дактилоскопию – особым документом, который называется зеленой картой.

Форма документа, подтверждающего прохождение дактилоскопии и фотографирования, утверждена Приказом МВД от 02.11.2021 №800. Это карта, которая содержит фото и данные об иностранце.

Примечание редакции: подробнее о дактакартах читайте в статье «Зеленые карты для мигрантов».

Так как фотографирование и дактилоскопию иностранцы проходят один раз, то и карточка выдается единожды.

В интересах работодателя

Прохождение медосмотра, дактилоскопии и фотографирования теперь обязательно для всех иностранных работников, за исключением белорусов. Всем остальным, кто уклоняется от этой обязанности, могут сократить сроки пребывания в РФ, даже если все остальные документы у него в порядке.

Коснется это и работодателя: он может лишиться сотрудника, который не захотел, например, повторно пройти медосмотр или забыл об этом и вовремя не принес подтверждающие документы в МВД.

Поэтому мы рекомендуем работодателям:

  • информировать сотрудников о необходимости прохождения медосмотра, дактилоскопии и фотографирования. И о рисках при уклонении от этого требования;
  • проверять и контролировать, чтобы не только новые, но и выезжающие из РФ и возвращающиеся назад сотрудники в срок прошли медосмотр, дактилоскопию и фотографирование.

У работодателей с нового года добавилось работы с документами иностранцев.

Если быстро вникнуть в изменения и справиться с большим количеством документов не получается, рекомендуем доверить документооборот миграционным специалистам.

Наши специалисты могут взять на себя всю работу с иностранными сотрудниками. Подробнее о миграционном сопровождении в нашей компании читайте на сайте «Отдела миграционного сопровождения».

Иностранные работники 2023: какие изменения учесть работодателям

В 2023 году вступит в силу ряд поправок в Федеральный закон о правовом положении иностранных граждан в РФ и отдельные законодательные акты РФ (Федеральный закон от 14.07.

2022 № 357-ФЗ, Федеральный закон от 14.07.2022 № 237-ФЗ).

Порядок приёма и оформления на работу иностранных граждан несколько изменится, появятся новые правовые статусы, новые виды документов, требования к содержанию трудовых договоров.

Временно пребывающие в РФ иностранцы получат право на ОМС

С 1 января 20223 года временно пребывающие в РФ работники-иностранцы получат право на обязательное медицинское страхование (ОМС). С этой даты работодатели больше не обязаны требовать от таких работников полис ДМС или обеспечивать их платной медицинской помощью.

Прежние правила будут действовать только для высококвалифицированных специалистов (ст. 8, 12 Закона от 14.07.2022 № 237-ФЗ).

По желанию руководителя компании смогут и далее обеспечивать иностранным работникам платную медицинскую помощь на тех же условиях, что и остальных сотрудников.

С введением новых правил, 1 января 2023 года за временно пребывающих на территории РФ иностранцев, за исключением иностранцев со статусом ВКС, потребуется платить взносы на ОМС (ст. 12 Закона № 237-ФЗ).

Памятка — с кого из иностранных работников требовать при трудоустройстве полис ДМС, за кого платить взносы на ОМС до и после 1 января 2023 года приведена в таблице 1.

Таблица 1. Полисы ДМС и страховые взносы на иностранных работников в 2022 и 2023 годах

Статус иностранных работников Полис ДМС при приёме на работу Страховые взносы на ОМС
До 01.01.23 После 01.01.23 До 01.01.23 После 01.01.23
Временно пребывающие в РФ иностранцы (по визе или без неё) + +
Временно или постоянно проживающие в РФ иностранцы (на основании разрешения на временное проживание или вида на жительство) + +
Высококвалифицированные специалисты + +

Право обращаться в государственные клиники полису ОМС временно пребывающие в РФ иностранцы получат не сразу, а лишь посоле того, как в течение трёх лет работы работодатели выплатят за них взносы в ФОМС (п. 3 ст. 12 Закона № 237-ФЗ). В течение этого времени страхователями могут быть разные работодатели. А работники должны самостоятельно заботиться о том, как попасть на приём к врачу.

Появится новый документ — РВПО

С 1 января 2023 года принимать на работу иностранцев, которые учатся по очной форме в государственных образовательных или научных организациях можно будет вне квоты (п. 5 ст. 1 Закона от 14.07.2022 № 357-ФЗ).

В целях получения образования, иностранцы-студенты смогут получить разрешение на временное проживание в РФ, а также возможность оформить вид на жительство вне зависимости от времени нахождения в России на основании разрешения на временное проживание.

Поскольку право на временное или постоянное проживание в РФ позволяет иностранным работникам трудоустраиваться вне квоты (ч. 4 ст. 13 Закона от 25.07.2002 № 115-ФЗ), то для привлечения их к работе не потребуется разрешение от МВД.

При приёме на работу иностранцы-студенты могут представить новый документ — разрешение на временное проживание в целях получения образования (РВПО). Его реквизиты нужно указать в трудовом договоре (ст. 1 Закона от 14.07.2022 № 349-ФЗ).

Справка! РВПО — это разрешение на временное проживание в России в упрощённой форме для иностранцев, проходящих обучение по имеющим государственную аккредитацию программам бакалавриата, специалитета, магистратуры, ординатуры, ассистентуры-стажировки или по программе подготовки научных и научно-педагогических кадров в аспирантуре (адъюнктуре).

РВПО будет выдаваться по заявлению иностранного гражданина на срок обучения в государственной образовательной или научной организации и последующие 180 календарных дней. По истечении срока действия РВПО или его аннулирования, трудовой договор с сотрудником следует расторгнуть.

Озвучены квоты на иностранных работников 2023

Квоты на трудоустройство иностранных работников в 2023 году Правительство РФ утвердило постановлением от 03.10.2022 № 1751.

Квоты для основных видов деятельности приведены в таблице 2.

Таблица 2. Квоты на трудоустройство иностранных работников 2023

Вид экономической деятельности (код по ОКВЭД) Размер квоты (в % от общей численности работников) Примечания
47.73 Розничная торговля лекарственными средствами в специализированных магазинах (аптеках) 0%
47.8 Розничная торговля в нестационарных торговых объектах и на рынках 0%
47.99 Прочая розничная торговля вне магазинов, палаток и рынков 0%
47.25.1 Розничная торговля алкогольными напитками, включая пиво, в специализированных магазинах 15%
47.26 Розничная торговля табачными изделиями в специализированных магазинах 15%
49.3 Деятельность прочего сухопутного пассажирского транспорта 24% Краснодарский край — 0% Приморский край — 15% Для хозяйствующих субъектов, осуществляющих на территории Удмуртской Республики деятельность сухопутного пассажирского транспорта: перевозки пассажиров в городском и пригородном сообщении (код 49.31) и деятельность легкового такси и арендованных легковых автомобилей с водителем (код 49.32)- 0%;
49.41 Деятельность автомобильного грузового транспорта 24% На территории Краснодарского края — 0%. На территории Приморского края −10%.
93.19 Деятельность в области спорта 25%
01.13.1 Выращивание овощей 50%
  • Ограничение не действует на территории Астраханской области и Волгоградской области.
  • На территории Удмуртской Республики — 0%.
  • На территории Приморского края — 40%
16 Обработка древесины и производство изделий из дерева и пробки, кроме мебели, производство изделий из соломки и материалов для плетения 50%
02 Лесозаготовки и лесоводство 50% На территории Приморского края — 20%
46.73.1 Оптовая торговля древесным сырьём и необработанными лесоматериалами 50%
46.73.2 Оптовая торговля пиломатериалами 50%
68.32 Управление недвижимым имуществом за вознаграждение или на договорной основе 70%
81 Деятельность по обслуживанию зданий и территорий 70%
Строительство (Раздел F) 80% Ограничение не действует на территории Республики Бурятия, Амурской области и г. Москвы. На территории Республики Дагестан и Краснодарского края — 50%
Деятельность в сфере обрабатывающего производства (раздел С) Для хозяйствующих субъектами, осуществляющих деятельность на территории Рязанской области — 90%

Важно! Привести численность используемых иностранных работников в соответствие с новым постановлением необходимо до 1 января 2023 года.

Напомним, потребность в иностранных работниках определяется и формируется ежегодно на основании предложений регионов и с учётом ситуации на рынке труда, демографии, принципа приоритетного использования национальных трудовых ресурсов.

Не забудьте внести корректировки в локальные документы

Ввиду вносимых изменений компаниям нужно подкорректировать локальные нормативные акты, в частности — правила внутреннего трудового распорядка (ПВТР).

Нужно внести правки в пункты о предоставляемых работникам-иностранцам гарантиях, в раздел о приёме на работу, отстранении и увольнении.

Правила о том, что работники-иностранцы обязаны приобрести ДМС или об обеспечении их платной медицинской помощью за счёт работодателя следует исключить.

Если в трудовом договоре есть условие о праве работодателя оплачивать работникам-иностранцам медуслуги, такое условие можно оставить и в ПВТР.

Подготовьте приказ о внесении изменений в ПВТР. Учтите мнение профсоюза (при его наличии). Ознакомьте всех сотрудников под подпись с новой редакцией ПВТР.

Изменения в оплате госпошлины

09:30, 10 декабря 2021

С 29 декабря 2021 года иностранные граждане в РФ обязаны будут проходить медосвидетельствование, дактилоскопию и фотографирование

Согласно закону, с 29.12.

2021 некоторые категории иностранных граждан обязаны будут проходить медицинское освидетельствование, дактилоскопическую регистрацию и фотографирование, а МВД будет выдавать иностранным гражданам карты с чипом, на которых будут указаны идентификационные номера, ФИО, дата рождения, пол, сведения о гражданстве, а также информация о прохождении дактилоскопии и фотографирования.

Обратите внимание, что с 29 декабря 2021 года дактилоскопия и фотографирование будет обязательной для следующих категорий иностранных граждан:

  • Для иностранных граждан, в том числе несовершеннолетних, которые прибыли в Россию на срок более 90 дней.
  • Для иностранных граждан, которые прибыли в РФ для осуществления трудовой деятельности.

При этом иностранные граждане, которые прибыли в Россию на работу, подлежат обязательной государственной дактилоскопической регистрации и фотографированию в течение 30 календарных дней с момента въезда в Россию, либо при обращении с заявлением при оформлении патента на работу или при получении разрешения на работу в России. Что касается иностранных граждан, которые прибыли в Россию в целях, не связанных с осуществлением трудовой деятельности, на срок более 90 календарных дней, подлежат обязательной государственной дактилоскопической регистрации и фотографированию в течение 90 календарных дней с момента въезда в Россию. Для прохождения обязательной государственной дактилоскопической регистрации и фотографирования иностранному гражданину необходимо будет лично обратиться в территориальный орган МВД либо в уполномоченную организацию.

Читайте также:  Начальник хозяйственного отдела

С собой необходимо иметь:

  • документ, удостоверяющий личность.
  • сертификат об отсутствии заболевания, вызываемого вирусом иммунодефицита человека (ВИЧ-инфекции), и иные документы, подтверждающие прохождение медицинского освидетельствования.

Таким образом, иностранные граждане, которые прибыли в РФ на работу, обязаны пройти медицинское освидетельствование в течение 30 календарных дней со дня въезда в страну.

Иностранные граждане, которые прибыли в РФ в целях, не связанных с работой, на срок, превышающий 90 календарных дней, обязаны пройти медицинское освидетельствование в течение 90 календарных дней со дня въезда в РФ.

Важно! Иностранные граждане, в течение 30 календарных дней со дня истечения срока действия медицинских документов, которые подтверждают прохождение медицинского освидетельствования, обязаны повторно пройти медосвидетельствование и представить документы в МВД лично, либо в форме электронного документа через единый портал государственных и муниципальных услуг, либо через подведомственное предприятие или уполномоченную организацию.

Важно! Требования по прохождению данных процедур не распространяются на граждан Беларуси и иностранных граждан, не достигших возраста 6 лет.

В случае неисполнения иностранными гражданами обязанностей по прохождению обязательной дактилоскопии, фотографирования или медицинского освидетельствования:

  • Будет сокращен срок временного пребывания иностранных граждан в России.
  • Может быть принято решение о нежелательности пребывания (проживания) иностранца в Российской Федерации.

Также в отношении иностранного гражданина может быть принято решение о запрете на въезд в РФ, если:

  • иностранец не пройдет дактилоскопическую регистрацию, фотографирование, медицинское освидетельствование в установленные сроки;
  • будет выявлен факт употребления наркотических или психотропных средств либо установлено, что данные иностранные граждане страдают ВИЧ- инфекцией либо одним из опасных заболеваний для окружающих инфекционным заболеванием.

Уральский федеральный университет — один из ведущих вузов России, который в 2020 году отметил 100-летие. УрФУ расположен в Екатеринбурге.

Университет выступает инициатором создания и выполняет функции проектного офиса Уральского межрегионального научно-образовательного центра мирового уровня «Передовые производственные технологии и материалы», который призван решить задачи национального проекта «Наука».

Что меняется в обработке персональных данных с 1 сентября 2022 года

  1. Главная →
  2. Журнал →
  3. Бизнес →
  4. Риски

В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ. Он должен повысить ответственность операторов персональных данных, сделать более прозрачной их деятельность и защитить личные данные россиян. Разберемся, что нового он несет предпринимателям.

Замглавы Роскомнадзора Милош Вагнер сообщил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян. Было скомпрометировано свыше 300 миллионов записей.

Его слова подтверждаются громкими новостями из открытых источников.

Еще в мае стало известно о слитых в открытый доступ базах данных клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна», «Гемотест».

С 1 сентября требования к работе с персональными данными в очередной раз ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.

Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки

Отчитаться

В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:

  • Ф.И.О.;
  • дата рождения;
  • адрес регистрации и адрес проживания;
  • паспортные данные, СНИЛС, ИНН;
  • номер телефона;
  • e-mail;
  • адрес страницы в соцсетях;
  • контакт в мессенджере.

То есть к персональным данным (ПД) относится любая информация, которая позволяет определить конкретного человека — субъекта ПД. 

По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД).

ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п.

 3 ст. 6 152-ФЗ).

ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ).

Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ.

По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.

С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).

С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.

  1. В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ). 
  2. Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
  3. Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
  4. Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
  5. Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
  6. Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
  7. ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
  8. Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).

Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.

Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД.

В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).

Кто и когда должен уведомить Роскомнадзор об обработке персональных данныхНапомним, что раньше таких ситуаций по ст. 22 152-ФЗ было девять. Например, можно было не уведомлять Роскомнадзор об обработке ПД штатных сотрудников. С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД.

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

За невыполнение требований законодательства в области обработки ПД предприниматели могут получить штраф от 60 до 100 тыс. рублей (ст. 13.11 КоАП РФ).

С 1 сентября 2022 года устанавливается административная ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных. Штраф за нарушение для ИП и юрлиц составит от 30 до 50 тыс. рублей (Федеральный закон от 28.05.2022 № 145-ФЗ).

Предприниматель по Закону от 01.05.

2022 № 135-ФЗ имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Например, покупатель выбирает доставку курьером, но не указывает адрес доставки. В этом случае продавец не будет нести ответственности за отказ в заключении договора.

Штраф по 145-ФЗ касается случаев избыточности требований о предоставлении ПД потребителем. Не секрет, что многие компании собирают много личной информации от клиентов, чтобы, как минимум, отправлять им рекламные рассылки.

Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.

Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).

Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).

Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.

До -50% на популярные тарифы. Подключите сервис интернет-отчетности по самой выгодной цене.

Выбрать скидку→

Разъяснения к Федеральному закону о внесении изменений в ФЗ “О персональных данных” (№ 266 от 14.07.2022)

Федеральный закон № 266-ФЗ от 14 июля 2022 вносит множество изменений в основной закон о работе с персональными данными № 152-ФЗ. Изменения касаются всех участников процесса — от операторов и сторонних обработчиков персональных данных (ПДн) до регуляторов и органов государственной власти.

Читайте также:  Главный бухгалтер по совместительству: трудовой договор

Закон № 266-ФЗ о внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее № 266-ФЗ) получился достаточно объёмным — 46 страниц.

При этом одни нововведения радикально меняют правила игры для компаний, другая часть имеет второстепенный характер и не потребует существенных изменений в процессах, третья — так или иначе уже вошла в практику, но была зафиксирована «в бумаге». В этой статье мы проанализируем пункты, которые абсолютно точно должны учитывать компании в своей деятельности.

Их не очень много, но общую картину подходов к защите персональных данных они поменяли достаточно заметно.

1. Необходимо детализировать перечень персональных данных

Одно из первых изменений в законе касается состава персональных данных, которые оператор получает от субъекта и передаёт на обработку третьим лицам. Если раньше закон требовал указывать только действия, которые будут совершаться с данными, и цели обработки, то теперь нужно чётко прописывать перечень данных.

Это касается и поручений на обработку ПДн, которые оператор даёт третьим лицам, и прямого взаимодействия с субъектом данных — ему теперь нужно сообщить состав обрабатываемых персональных данных, если они получены не от самого субъекта.

Это достаточно логичное нововведение — субъект должен быть в курсе, с какими именно его данными проводятся операции. В рамках нашей проектной практики мы всегда рекомендовали заказчикам указывать такой перечень, теперь это нужно делать в обязательном порядке.

2. Роскомнадзор должен знать обо всех случаях обработки ПДн

Это коснётся практически всех — меняется логика уведомлений Роскомнадзора, которые раньше во многих случаях можно было не отправлять.

Самые частые кейсы — при обработке данных сотрудников и при заключении с субъектом договора, который не предусматривает распространение и передачу персональных данных третьим лицам.

Кроме того, предусматривались случаи, когда ПДн включали в себя только ФИО субъекта или оператор собирал данные для организации однократного пропуска на территорию оператора и др.

Всё это теперь исключается из закона. Новая редакция оставляет всего два сценария, когда обрабатывать данные можно без ведома Роскомнадзора:

  1. Работа государственных информационных систем по охране безопасности и общественного порядка.
  2. Обработка ПДн без каких-либо средств автоматизации.

Эти ситуации такие редкие, что их можно опустить. Абсолютному большинству компаний следует подготовить новые уведомления.

3. Логика документации исходит от целей обработки

Это очень важное нововведение, которое потребует значительных изменений у многих организаций.

Теперь, когда оператор разрабатывает документы, определяющие его политику в отношении обработки персональных данных, например, локальные акты или организационно-распорядительную документацию, то для каждой цели обработки следует перечислять целый набор сведений — от перечня ПДн и сроков их обработки до порядка их уничтожения. Полный список сведений достаточно обширный и приведён в пункте 10 № 266-ФЗ.

Мы же можем только порадоваться за своих заказчиков, поскольку iTPROTECT уже 5 лет разрабатывает документы именно по таким «лекалам».

Другим компаниям следует внимательно пересмотреть свою документацию и удостовериться, что она расписана в соответствии с целями обработки ПДн.

Наша практика показывает, что в большинстве случаев документация формируется в связи с субъектами или же всё отдельно — субъекты, цели, действия. Теперь Роскомнадзор, инициатор изменений, явно указал, какой подход является предпочтительным и верным.

Кстати, это касается и уведомлений из предыдущего пункта. Они теперь тоже зависят от целей — категории персональных данных и субъектов, правовые основания обработки, перечень действий с ПДн в документ включать не нужно. Здесь тоже есть много деталей, которые можно почитать в пункте 14 (б) № 266-ФЗ.

4. Последствия нарушений и борьба с утечками

Новый закон устанавливает порядок оценки негативных последствий, которые могут наступить для субъектов ПДн из-за нарушений № 152-ФЗ «О персональных данных» от 27.07.2006.

Раньше единого взгляда на такую оценку не было, операторы с интеграторами разрабатывали собственные методы. Теперь в законе прописано, что проводить её нужно по требованиям Роскомнадзора.

Конкретные требования пока не анонсированы — будем следить за новостями от регулятора.

В пункте 11 мы видим воплощение в реальность давних ожиданий всего рынка. Теперь оператор персональных данных обязан обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

При этом необязательно интегрироваться технически — как нам сообщает регламент самой ГосСОПКА, сообщить об инциденте можно и по телефону, и по почте.

Порядок передачи информации в дальнейшем определят совместно федеральные органы исполнительной власти и уполномоченные органы безопасности.

Возможность введения штрафов пока только обсуждается, но в любом случае всем операторам ПДн лучше обновить свои инструкции для ответственных за обработку персональных данных лиц. Что считать инцидентом, а что нет, — этот вопрос пока открыт, так как здесь ситуация может сильно отличаться от одной компании к другой.

Также, наконец, произошло то, о чём много говорили в последние месяцы: необходимо сообщать Роскомнадзору обо всех утечках в течение 24 часов. А в течение 72 часов оператор персональных данных обязан уведомить о результатах внутреннего расследования по инциденту и виновниках утечки, если таковые есть. Последствия пока не обозначены, но почти наверняка будут определены позднее.

Также стоит отметить, что перед регулятором нужно отчитываться об устранении фактов противоправной обработки ПДн. Этот момент тоже необходимо отразить в инструкциях.

5. Ужесточается трансграничная обработка ПДн

Седьмой пункт № 266-ФЗ кардинально меняет вопрос регулирования передачи персональных данных за границу, и эти обновления нужно внимательно изучить всем компаниям, которые в своих процессах сталкиваются с такими задачами. Здесь много важных деталей. Например, что оператор может / не может / должен делать до начала обработки ПДн или как Роскомнадзор решает, куда можно / нельзя передавать данные.

Например, добавляется обязанность оператора запрашивать у иностранных обработчиков персданных сведения об их защите. Также нужно отдельно уведомлять Роскомнадзор о трансграничной обработке ПДн.

Это самостоятельный документ, выступает в качестве дополнения к стандартному оповещению о самом факте обработки, в нём необходимо прописывать даты обработки персданных и оценку условий по сохранению конфиденциальности данных за рубежом.

Форму документа, обязанности ответственного, например, по подготовке и отправке его регулятору и другие, связанные с трансграничной передачей данных, тоже нужно прописывать в организационных документах.

Здесь же отмечу, что в законе появляется новая шестая статья: если оператор поручает обработку иностранным физическим и юридическим лицам, эти третьи лица тоже несут ответственность перед субъектом.

Какие последствия эта ответственность понесёт для иностранных юрлиц, пока непонятно, ведь федеральный закон не является трансграничным и не распространяется на другие страны.

Но тем не менее, такая норма теперь есть.

6. Взаимодействие со сторонними обработчиками ПДн

Детализированы меры, которые оператор может принимать в отношении третьих лиц, которым он передаёт персональные данные — появляется утверждённая законом возможность убедиться, что данные остаются в безопасности при обработке.

Теперь такие организации обязаны в течение периода работы с ПДн по запросу оператора «предоставлять документы и иную информацию» для подтверждения того, что меры по защите действительно были приняты.

Это касается и иностранных лиц из предыдущего пункта.

В прежней редакции № 152-ФЗ «О персональных данных» устанавливалась следующая цепочка ответственности: оператор отвечает за безопасность данных перед субъектом, а сторонние обработчики — перед оператором. Теперь же сказано, что сторонний разработчик обязан обеспечивать безопасность ПДн при обработке, и что он должен уведомлять оператора о случаях неправомерной обработки данных.

Основной вывод для компаний — ранее составленные поручения на обработку персданных нужно скорректировать.

7. Срок ответа субъектам ПДн становится меньше

Пункт 8 устанавливает, насколько быстро нужно ответить субъекту ПДн на запрос по поводу «уточнения его персональных данных, их блокирования или уничтожения».

Теперь отреагировать на них необходимо в течение 10 рабочих дней (до этого статья 20 № 152-ФЗ позволяла готовить ответ в течение 30 дней). При этом уточняется, что обозначенный срок можно продлить, направив «мотивированное уведомление с указанием причины».

Ещё одно небольшое нововведение заключается в том, что субъект теперь может, помимо прочего, запрашивать информацию о способах исполнения оператором своих обязанностей.

В своей проектной практике мы всегда готовим для заказчиков отдельный регламент работы с субъектами персональных данных, в котором прописывается порядок ответов на запросы и предоставления такой информации. Соответственно, при наличии подобных регламентов в организации — необходима их корректировка.

Читайте также:  Чиновники обсуждают очередной шаг к отмене зарплатного рабства: зарплата по номеру телефона

8. Изменение работы с биометрическими данными 

Пункт под номером 6 дополняет статью 11 № 152-ФЗ, которая касается биометрических данных. Теперь оператор не вправе отказывать в обслуживании субъекту, если тот отказывается предоставлять свою биометрию.

На это нововведение стоит обратить особое внимание банкам, которые используют в своих приложениях вход по отпечатку пальца или FaceID. Если клиент не желает это использовать, отказать в услугах нельзя.

К тому же нередко биометрические данные собираются для контроля доступа, например, на территорию предприятия — теперь заставлять сотрудников сдавать свои отпечатки пальцев или создавать 3D-модель лица официально нельзя.

На практике этот момент можно с легкостью обойти, поэтому данный пункт можно отнести к не самым существенным. Однако на уровне согласия на обработку персданных лучше прописывать необязательность сдачи биометрических данных.

Если в вашей организации этот момент уже учтён, то и документы менять не придётся.

Когда мы начнём жить по-новому

Изменения вступают в силу не сразу и не одновременно.

Изменения в регулировании трансграничной передачи ПДн, сроках подтверждения факта удаления ПДн, введение новых механизмов уведомлений, оценки последствий по методике Роскомнадзора начнут действовать с 1 марта 2023 года. Другие нормы заработают уже 1 сентября. Подробности о том, когда какие пункты станут актуальными — написано в статье 6 этого закона.

Подводя итог, можно отметить, что времени остаётся не очень много, но и работа тоже предстоит вполне подъёмная. По своему опыту могу сказать, что значительная часть требований так или иначе уже была реализована в практических процессах. По крайней мере, мы в своих проектах зачастую уже работали по логике, которая теперь закреплена законодательно.

С 1 сентября 2022 года обрабатывать персональные данные нужно будет по новым правилам

В законе о персональных данных ( Федеральный закон от 27.07.2006 № 152-ФЗ ) прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД (персональные данные) относятся (вместе и даже по отдельности):

  • ФИО.
  • дата рождения.
  • адрес. телефон.
  • электронный адрес.
  • фотография.
  • ссылка на персональный сайт.
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы.

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

Построение систем защиты информационных систем персональных данных, аттестация ИСПДн. Подготовка к проверкам Роскомнадзора, ФСТЭК, ФСБ. Узнать больше.

Что нового с 1 сентября 2022 года

Согласно Федеральному закону от 14.07.2022 N 266-ФЗ с 1 сентября нужно будет уведомлять Роскомнадзор о планах обрабатывать, в т. ч. сведения:

  • о сотрудниках — в целях, предусмотренных трудовым законодательством;
  • необходимые для однократного пропуска гражданина на территорию работодателя;
  • полученные в связи с заключением договора, стороной которого является субъект персональных данных, и используемые для исполнения этого договора или заключения новых соглашений с тем же гражданином.
  • Сейчас при работе с этими данными уведомление не требуется.
  • Оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.

Кроме того, нужно будет работать с госсистемой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ (см. ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»). В частности, через нее придется сообщать об инцидентах, из-за которых произошла утечка личных сведений.

Операторам запретили отказывать физлицу в услугах, если оно не хочет предоставлять биометрические сведения или соглашаться на обработку персональные данных, если по закону получать согласие на нее необязательно.

Форма уведомления уполномоченного органа об обработке (о намерении осуществлять обработку) персональных данных утверждена приказом Роскомнадзора от 30.05.2017 № 94.

Также с 1 сентября сокращается срок на сообщение Роскомнадзору данных по его запросу — с 30 дней до 10 рабочих дней.

Поправки вступят в силу 1 сентября 2022 г., кроме отдельных положений, которые начнут применять с 1 марта 2023 г.

Массовая проверка всей клиентской базы.

Запретят собирать персональные данные покупателей и навязывать допуслуги

С 1 сентября 2022 года продавец не сможет отказать в продаже товаров или услуг из-за того, что покупатель не предоставил свои персональные данные. Соответствующие поправки в закон о защите прав потребителей внесены Федеральным законом от 01.05.22 № 135-ФЗ.

Как пояснили в Госдуме, сейчас при совершении покупок или оплате услуг у людей под разными предлогами собирают номера телефонов, адреса электронной почты и другие личные сведения.

Делается это даже в тех случаях, когда предоставление такой информации не является обязательным. Прежде всего это касается онлайн-торговли.

Принятие соответствующих поправок позволит дополнительно защитить права потребителей.

Согласно комментируемому закону, продавец (исполнитель, владелец агрегатора) не сможет отказать в заключении, исполнении, изменении или расторжении договора потребителю, который не готов предоставить свои персональные данные. Исключение — случаи, когда обязанность сообщать такие данные предусмотрена законодательством или связана с исполнением договора.

Кроме этого, в законе № 135-ФЗ прописан перечень недопустимых условий договора, которые ущемляют права потребителей. В частности, к таким условиям относятся:

  • оказание дополнительных услуг за плату без получения согласия потребителя;
  • ограничение право потребителя на выбор способа и формы оплаты товаров (работ, услуг);
  • уменьшение размера законной неустойки;
  • установление обязательного досудебного порядка рассмотрения споров, если такой порядок не предусмотрен законом.

Cоздайте корпоративный портал в своей организации.

Что конкретно изменится для бизнеса и покупателей

Если раньше обращение с персональными данными регулировалось «Законом о персональных данных», теперь добавился ещё и закон «О защите прав потребителей».

Покупатель может запросить, с какой целью собираются его персональные данные. Если обращение устное, продавец обязан дать ответ немедленно, если подано письменно, в электронной или иной форме, на разъяснение даётся семь дней. Контролем вопроса займётся Роспотребнадзор.

Когда можно требовать ПД.

Персональные данные для заключения договора можно потребовать в двух случаях.

  • Если без них продавец не может выполнить свои обязательства по договору. Например, необходимы адрес и телефон для доставки товара или адрес электронной почты, чтобы отправить на него билеты на мероприятие, если скачать их напрямую с сайта нельзя.
  • В установленных законом случаях. Например, при заключении договора с мобильным оператором, банком, микрофинансовой организацией, при продаже ювелирных украшений на сумму свыше 40 000 рублей.

Когда нельзя.

Вне закона окажутся требования предъявить паспорт при возврате денег за товар, указать ФИО или электронную почту при покупке товара. Все эти данные можно получить и использовать только с согласия покупателя.

Новые нормы касаются потребителей, покупающих товары для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности. Например, если вы покупаете самокат для индивидуального использования, поправки действуют. А если покупаете 30 самокатов для организации кикшеринга — уже нет.

Новшество не затронет компании, работающие B2B, но на них по-прежнему будет распространяться закон о персональных данных.

Экономьте на курьерской
доставке, бумаге и хранении. Рассчитать экономию.

Штраф для нарушителей

Федеральным законом от 28.05.2022 № 145-ФЗ внесены поправки в статью 14.8 КоАП. В ней установлены штрафы за отказ магазина заключить договор с потребителем, который не сообщил персональные данные (исключение — случаи, когда обязанность сообщить такие данные предусмотрена законодательством или связана с непосредственным исполнение договора). Размеры санкций такие:

  • для должностных лиц — от 5 000 до 10 000 рублей;
  • для юридических лиц — от 30 000 до 50 000 рублей.

Определить вероятность выездной налоговой проверки и получить рекомендации по налоговой нагрузке.

Как работать с рассылками после 1 сентября 2022 года

На e-mail и других видах рассылок поправки существенно не отразятся. По-прежнему нужно придерживаться правил.

Четыре табу: что нельзя

  • Требовать указать адрес и дать согласие на рассылку в качестве обязательного условия сделки.
  • Предустанавливать галочки в чекбоксах, пользователь должен сделать это добровольно сам.
  • «Вшивать» и прятать согласие на рассылку в другие документы.
  • Объединять согласие на обработку персональных данных и согласие на рассылку. Это два отдельных действия. Их контролируют разные ведомства: Роскомнадзор и ФАС соответственно.

Если пользователь хочет отписаться от рассылки, отключите и уведомьте его об этом. В противном случае это может закончиться объяснениями с ФАС и штрафом. Это касается как обезличенных, так и личных писем. Обращение по ФИО в письме не спасёт. Антимонопольщики придерживаются мнения, что даже с применением такой «хитрости» письмо останется рекламным.

Новые требования будут распространяться на все договоры, в том числе те, которые были заключены раньше 1 сентября 2022 года. При этом если для соблюдения новых условий пришлось изменить договор, а покупатель понёс убытки, продавец должен полностью их компенсировать.

Учтите все новые требования законодательства и работайте с клиентами без ошибок и штрафов.

Учёт «в одной коробке»: налоги, бухгалтерия, кадры, торговля и управление финансами. Попробовать бесплатно.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

3359
3349
3347