Все работодатели являются операторами персональных данных (ОПД). У них есть ряд обязанностей по Закону №152-ФЗ «О защите персональных данных» и Трудовому кодексу в части действий с личной информацией граждан.
Одна из них — издать политику в отношении обработки персональных данных и другие локальные акты в этой сфере.
Разбираемся с перечнем и содержанием документов работодателя по 152-ФЗ с учетом нового закона о персональных данных 2022 года.
 |
Важно! Время использования типовых шаблонов по работе с персданными прошло. Все «могут быть», «какие-то мероприятия по защите персданных» и общие формулировки заменены на требование конкретизировать субъектов, персональные данные и действия под конкретные цели. Использовать типовые шаблоны с общими формулировками опасно. |
Рекомендуем разрабатывать Политику по обработке персональных данных и Положение по персданным и другие документы исключительно под свою компанию, учитывая ее специфику и бизнес-процессы. Если у вас возникнут сложности, наши эксперты помогут вам разработать документы или провести аудит составленных вами ЛНА.
Какие локальные акты по персональным данным должны быть у работодателя
Перечень и содержание конкретных документов всегда зависят от специфики деятельности организации, например:
- сколько у нее видов деятельности;
- с какими категориями граждан она работает — только работники или еще клиенты, посетители и другие физлица;
- в каком объеме организация собирает личную информацию о них;
- как она обрабатывает персональные данные (ПД) — неавтоматизированным способом или с помощью информационной системы;
- работает ли компания с информацией о гражданах самостоятельно или передала их обработку другому лицу.
Но есть ряд обязательных документов по персональным данным в организации в 2022 году. Это локальные нормативные акты, которые нужно принимать с учетом мнения профсоюза, и локальные акты, которые утверждаются работодателем без согласования с профсоюзом.
Таблица. Обязательные локальные акты по персональным данным согласно нормативным документам
| Название | Согласование с профсоюзом (да/нет) | Нормативные требования | Краткое описание |
| Политика об обработке персональных данных | нет | п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ | Основополагающий документ, который объясняет принципы работы компании с личными данными клиентов, работников и других физлиц |
| Положение о персональных данных работников | да | п. 8 ст. 86, ст. 88 ТК РФ | Устанавливает порядок обработки, а также права и обязанности работодателя, работника в сфере защиты ПД |
| Локальные акты по вопросам обработки персональных данных | нет | п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ | Определяют для каждой цели обработки ПД:
|
| Документированные процедуры по предотвращению и выявлению нарушений законодательства о ПД, устранению последствий нарушений | нет | п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ | Устанавливают способы и средства защиты ПД, порядок действий при утечках личной информации и других инцидентах |
Руководитель компании самостоятельно определяет конечный перечень документов по защите персональных данных, не игнорируя законодательные требования. Например, список локальных актов для интернет-магазина, где есть наемные работники, может выглядеть так:
- политика об обработке персональных данных;
- регламент (порядок, положение) обработки ПД;
- положение об обработке персональных данных работников;
- перечень должностей сотрудников, имеющих доступ к ПД, и объем доступа;
- реестр ПД;
- положение о защите персональных данных в информационной системе — веб-сайте;
- формы согласия на обработку ПД, договора-оферты с покупателем;
- приказ о назначении ответственного за организацию обработки персональных данных.
| |
Важно! Правила в локальных актах не могут ограничивать права субъекта ПД, а также давать оператору не предусмотренные законодательно полномочия и обязанности — п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ. |
Как составить Политику обработки и защиты персональных данных
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к Политике обработки ПД — ст. 18.1 Закона №152-ФЗ. Документ размещают на сайте компании, если он есть. То есть в сети Интернет можно найти образцы локальных актов в сфере персональных данных, в том числе Политику оператора.
Но мы не советуем их использовать, поскольку каждая организация имеет свою специфику. То, что применимо и проверено в одной компании, может не работать в другой. И Политика обработки персональных данных изначально не будет выполняться.
Для разработки собственного документа воспользуйтесь рекомендациями Роскомнадзора и Законом №152-ФЗ. Учитывайте также Закон №266-ФЗ от 14.07.2022 о новых требованиях к работе с ПД.
Скачайте Рекомендации Роскомнадзора здесь.
Политика об обработке ПД состоит из разделов:
- Общие положения;
- Цели сбора персональных данных;
- Правовые основания обработки ПД;
- Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;
- Порядок и условия обработки ПД;
- Актуализация, исправление, удаление и уничтожение ПД.
Рассмотрим их примерное содержание.
Примерную структуру Политики по обработке ПД, скачайте по ссылке.
| Прежде чем корректировать документы или разрабатывать новые под требования закона №266-ФЗ от 14.07.2022, проведите аудит. Как это сделать, узнаете на курсе. |
Общие положения
Здесь описывают назначение документа, а также приводят основные термины и определения по ст. 3 Закона №152-ФЗ. Также в разделе приводят права, обязанности оператора и субъекта ПД.
Для описания назначения Политики можно использовать формулировку «Защита прав субъектов персональных данных при обработке их персональных данных. Установление принципов работы компании с ПД».
 |
Обратите внимание! При описании обязанностей оператора по обработке персональных данных не забудьте про новые требования по ст. 1 закона 266-ФЗ:
|
Цели сбора персональных данных
В этом разделе указывают, для чего оператору нужна личная информация физических лиц: работников, клиентов, посетителей. Цели обработки определяют исходя из видов деятельности компании и ИП по учредительным документам, их бизнес-процессов, требований законодательства.
| |
Важно! Обработка ПД должна ограничиваться достижением конкретных, заранее определенных целей (ст. 5 Закона №152-ФЗ). Оператор не может требовать от физического лица избыточную личную информацию, которая не связана с исполнением условий договора с ним или законодательных требований. Например, информация о вероисповедании работника не нужна для ведения кадрового учета. Адреса e-mail или страницы в соцсетях нельзя требовать как обязательные сведения при оказании услуг по ремонту мебели. |
Некоторые компании при описании целей ограничиваются одним предложением «Организация собирает и использует персональные данные для своей уставной деятельности и выполнения требований законодательства РФ». Это универсальная формулировка, но к ней могут быть претензии у тех же субъектов ПД. Оператор нужно будет доказывать, что он не собирает избыточную личную информацию.
Правовые основания обработки персональных данных
Здесь указывают законы и нормативные акты, в соответствии с которыми нужна личная информация граждан при осуществлении определенного вида деятельности. Например, сведения о работниках собирают по требованиям Трудового кодекса, Налогового кодекса, законов о социальном страховании и бухгалтерском учете, нормативных актов по воинскому учету.
Также правовым основанием могут служить уставные документы оператора, договор между ним и клиентом, согласие на обработку персональных данных.
| |
Обратите внимание! Закон №152-ФЗ к правовым основаниям обработки ПД не относится. Он описывает требования к самой процедуре. |
Объем и категории обрабатываемых ПД, категории субъектов ПД
Здесь указывайте группы физических лиц, с которыми вы взаимодействуете, и чьи данные собираете. Субъектами персональных данных могут быть:
- работники;
- посетители компании;
- клиенты;
- представители контрагентов;
- подрядчики — ИП и самозанятые.
| |
Важно! Новый закон о защите персональных данных 2022 года ввел требование об указании категорий субъектов ПД и категорий ПД в уведомлении Роскомнадзора по каждой цели обработки — ч. 3.1 ст. 22 Закона №152-ФЗ в редакции с 01.09.2022. |
Например, по категории «посетители организации» указывайте как такие группы ПД, как Ф.И.О., паспортные данные, биометрические данные (если используете видеокамеры на входе).
Порядок и условия обработки персональных данных
В этом разделе подробно опишите:
- перечень действий с персональными данными (сбор, передача третьим лицам, хранение и другое);
- способы обработки (например, автоматизирования или без источников автоматизации);
- сроки совершения действий с ПД;
- условия передачи ПД третьим лицам;
- сведения о соблюдении требований конфиденциальности;
- условия и сроки хранения ПД.
Оператор имеет право поручить обработку персональных данных другому лицу по договору. Но это не избавляет его от ответственности перед субъектом ПД.
Если вы передаете личную информацию клиентов третьим лицам, опишите в этом разделе названия и местонахождение этих лиц. Например, ИП поручил ведение учета бухгалтерии на аутсорсинге. В этом случае он указывает как Центр обработки персональных данных (ЦОД) компанию-подрядчика.
Здесь же отразите случаи, когда передача ПД происходит без согласия субъекта. Это ситуации выполнения требований законодательства: направление сведений в пенсионный фонд, военкомат, налоговую инспекцию, взаимодействие с органами дознания и другое.
По общему правилу обработка персональных данных должна быть прекращена после достижения указанных целей обработки, отзыва согласия субъектом ПД, а также при выявлении неправомерной обработки — ст. 21 Закона №152-ФЗ. С 1 сентября 2022 года установлен срок в 10 рабочих дней на эту процедуру при обращении гражданина. Это тоже нужно отразить в Политике.
| |
Важно! Роскомнадзор рекомендует документировать уничтожение персональных данных. Чаще всего оформляют соответствующий акт или делают запись в соответствующем Журнале. Форму акта, Журнала и порядок их заполнения оператор определяет самостоятельно. |
| Что обязательно включить в политику по обработке персональных данных в связи с новыми требованиями закона 266-ФЗ, подскажем на нашем курсе. |
Что писать в Положении о защите персональных данных работников
При разработке локального нормативного акта руководствуйтесь требованиями главы 14 ТК РФ и Законом №152-ФЗ. Учитывайте также следующие особенности нормативного регулирования трудовых отношений:
- Обработка персональных данных работников может проходить только на территории РФ, поскольку действие Трудового кодекса не распространяется за пределы страны. Все действия с ПД должны быть обусловлены нормативными требованиями, содействием профессиональному развитию сотрудника, обеспечением его личной безопасности, контролем за выполняемой работой и сохранностью имущества работодателя.
- Всю личную информацию о работнике нужно получать только у него самого. Запрашивать ее у третьих лиц можно при условии уведомления и письменного согласия сотрудника.
- Специальные категории ПД работника (ст. 10 Закона №152-ФЗ) по общему правилу обрабатывать запрещено, если иное не указано в законодательстве. Например, информацию о состоянии здоровья сотрудника можно получать только в связи с установлением медицинских противопоказаний к определенной трудовой деятельности.
- Обработка ПД работников часто попадает под условия обязательного раскрытия информации в соответствии с федеральными законами: передача отчетности в ФНС, внебюджетные фонды и тому подобное. Все случаи передачи персональных данных третьим лицам нужно указать в Положении, чтобы сотрудник имел полную информацию о действиях с его данными.
| |
Важно! Положение о защите персональных данных работников 2022 — обязательный локальный нормативный акт, от разработки которого освобождены только работодатели-физические лица без статуса ИП, а также микропредприятия. Но все условия обработки ПД работника они должны указать в трудовом договоре. |
Как разработать локальные акты по процедурам предотвращения нарушений законодательства при работе с ПД
Средства обеспечения безопасности персональных данных зависят от способа их обработки:
- автоматизированного;
- без использования средств автоматизации;
- смешанного.
Для каждого способа оператор должен определить угрозы безопасности ПД, организационные и технические меры по обеспечению безопасности ПД, средства защиты информации, правила доступа к ПД, а также другие правила по ч. 2 ст. 19 Закона №152-ФЗ. По сути, в этой норме перечислено, что должно содержаться в локальных актах организации по предотвращению нарушений законодательства.
 |
Совет При разработке локальных актов руководствуются требованиями к защите ПД в информационных системах по Постановлению Правительства РФ от 01.11.2012 № 1119 |
Как составить Политику оператора персональных данных в 2022 году
Оператор может собирать личную информацию граждан только на законных основаниях. Один из принципов — обрабатывать только те персональные данные (ПД), которые отвечают целям их обработки (ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О защите персональных данных»).
Для применения 152-ФЗ под целью понимается определенный результат деятельности оператора, для достижения которого ему нужна информация о гражданине. И вот здесь начинается путаница. Конечная цель любого предпринимателя — получение прибыли, но для обработки персональных данных такую формулировку применять нельзя.
Цели должны быть конкретные, заранее определенные и законные (ч. 2 ст. 5 152-ФЗ). Роскомнадзор рекомендует при их формулировке анализировать правовые акты по деятельности оператора, уставную деятельность и бизнес-процессы. Также практически у всех операторов есть бухгалтерский учет, социальное и пенсионное страхование, кадровое делопроизводство.
Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!
Попробовать
Например, компания оказывает услуги по организации корпоративов. У нее в штате и по договорам ГПХ работает шесть человек. Компания может собирать персональные данные в целях:
- исполнения договора с заказчиками по организации праздничного мероприятия и взаимодействия с представителями заказчика;
- проведения рекламных кампаний;
- ведения кадрового делопроизводства;
- обязательного пенсионного, социального и медицинского страхования работников и т.д.
Все цели обработки персональных данных условно можно разделить на две группы. Первая — выполнять требования законов и нормативных правовых актов. Это, например, сдача отчетности в ФНС, внебюджетные фонды. Вторая — исполнять обязательства перед субъектом персональных данных, в том числе по трудовым и гражданским договорам.
Оператор не может собирать избыточную личную информацию, которая не относится к целям обработки (ч. 5 ст. 5 152-ФЗ). Например, при приеме на работу кадровик не может запрашивать у гражданина его отношение к политическим партиям или адрес страницы в социальной сети, если это напрямую не связано с трудовой деятельностью. Или ИНН пациента будет избыточным при сдаче клинических анализов.
С 1 сентября 2022 года в Политике оператора указывают по каждой цели обработки перечень ПД, категории ПД и субъектов ПД, способы, сроки обработки и хранения, порядок уничтожения (ч. 10 ст. 1 Федерального закона от 14.07.
2022 № 266-ФЗ). Это одна из норм Закона, которая защищает гражданина от вмешательства в его частную жизнь.
В то же время и оператору будет проще показать субъекту персональных данных, для чего он собирает и использует его личную информацию.
В 152-ФЗ нет точного перечня информации, которая относится к персональным данным. Это любые сведения, которые позволяют прямо или косвенно определить конкретное физическое лицо — субъекта персональных данных (ст. 3 152-ФЗ). Законом определены только категории ПД:
- Общедоступные — информация, которая с согласия физического лица включается в общедоступные справочники и базы данных (ст. 8 152-ФЗ). Это, например, Ф.И.О., номер телефона, адрес, год рождения, должность.
- Специальные — сведения о расовой и национальной принадлежности, состоянии здоровья, интимной жизни, политических взглядах, философских убеждениях, религии (ст. 10 152-ФЗ).
- Биометрические — сведения, которые характеризуют физиологические и биологические особенности человека (ст. 11 152-ФЗ). Это, в первую очередь, данные из Единой биометрической системы. Подробнее об этой категории ПД смотрите разъяснения Роскомнадзора.
- Иные — те сведения, которые не отнесены к первым трем категориям персональных данных.
Совет. Соберите все внутренние регламенты, инструкции, договоры и выпишите из них сведения о физических лицах, которые вам нужны для выполнения обязательств компании перед ними или государственными органами. Это будет Реестр ПД. Затем разбейте его по категориям. Так вы не упустите виды отдельных ПД.
Категорий субъектов персональных данных, по большому счету, всего две: состоящие в трудовых отношениях с оператором и не состоящие с ним в трудовых отношениях. Роскомнадзор в своих рекомендациях 2017 года в качестве варианта предлагает:
- работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
- клиенты и контрагенты оператора (физические лица);
- представители/работники клиентов и контрагентов оператора (юридических лиц).
Оператор может выбрать свою классификацию. Например: работники и бывшие работники; клиенты; посетители; пациенты; представители контрагентов — юридических лиц. Степень детализации по категориям субъектов ПД оператор определяет самостоятельно.
Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки
Отчитаться
Правовые основания обработки персональных данных. Не надо ссылаться на 152-ФЗ — он определяет требования к работе с ПД, а не причину.
Правовые основания прямо связаны с целями обработки информации о физическом лице. Это те нормативные документы, которые регулируют конкретный вид деятельности оператора. Например, ст.
65 Трудового кодекса устанавливает перечень документов для трудоустройства.
Способы обработки персональных данных. В Законе 152-ФЗ таких способов всего два: с использованием средств автоматизации и исключительно без средств автоматизации (ст. 3 152-ФЗ). На практике бывает смешанная форма, когда часть информации о физлице обрабатывается вручную, а часть — на компьютере.
Перечень действий с персональными данными составляют исходя из определения обработки персональных данных (ст. 3 152-ФЗ). Оператор указывает в Политике сроки для каждого из них.
По общему правилу персональные данные хранятся не дольше, чем это требуют цели их обработки, если иное не установлено законом или условиями договора с субъектом ПД (ч. 7 ст. 5 152-ФЗ).
Роскомнадзор рекомендует также указывать в Политике порядок актуализации, исправления, уничтожения сведений граждан, регламент ответов на их запросы.
Взаимодействие с Роскомнадзором и ГосСОПКА лучше оформить отдельным локальным актом. Политика должна быть общедоступна (ч. 2 ст. 18.1 152-ФЗ), а порядок передачи ответов на запросы ведомства или сведений об утечке персональных данных — не та информация, которой нужно делиться со всеми.
В Законе 152-ФЗ нет требования оформлять документ как локальный нормативный акт, то есть с учетом мнения профсоюза, либо согласовывать ее с Роскомнадзором. Порядок действий будет типовой для разработки и утверждения локального акта:
- Назначить разработчика. Как правило, это ответственный за организацию обработки персональных данных.
- Оформить, согласовать и утвердить Политику. Примерная структура приведена в рекомендациях Роскомнадзора, но их нужно адаптировать под требования 2022 года по срокам ответов на запросы субъекта ПД, содержания сведений по каждой цели обработки ПД (ст. 1 266-ФЗ).
- Ознакомить всех работников с Политикой обработки персональных данных под личную подпись. Этого требования нет в 152-ФЗ, но сотрудники относятся к субъектам ПД.
Оператор должен обеспечить неограниченный доступ к Политике. Если у него есть свой сайт, то он публикует ее в сети Интернет (ч. 2 ст. 18.1 152-ФЗ). За нарушение этого требования оператора привлекут к административной ответственности со штрафом до 60 000 рублей (п. 3 ст. 13.11 КоАП РФ).
В заключение отметим, что Политику разрабатывают только юридические лица. Однако это не значит, что ИП и самозанятым из категории операторов ничего делать в этой сфере не нужно.
По запросу физического лица они обязаны представить ему сведения по ч. 7 ст. 14 152-ФЗ, которые по структуре почти совпадают с Политикой.
За невыполнение этого требования ИП и граждан тоже привлекут к ответственности (п. 3 ст. 13.11 КоАП РФ).
Photo by Majid Gheidarlou on Unsplash
Изменения в законодательстве о персональных данных с 1 сентября 2022 г. (обзор Федерального закона от 14 июля 2022 г. N 266-ФЗ) (подготовлено экспертами компании "Гарант", август 2022 г.)
Изменения в законодательстве о персональных данных с 1 сентября 2022 г.(обзор Федерального закона от 14 июля 2022 г. N 266-ФЗ)
август 2022 г.
1) Действие Закона о ПД распространено за границы России:
Ранее законодатель не конкретизировал государственную принадлежность операторов ПД, деятельность которых подпадает под действие Закона о ПД: в числе таких субъектов назывались просто юридические и физические лица, под которыми в силу общеправового принципа территориальности законов понимались российские лица.
Но с 1 сентября положения Закона о ПД будут применимы к обработке ПД российских граждан, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договоров с российскими гражданами либо на основании согласия последних на обработку их ПД (ч. 1.1 ст. 1 Закона о ПД в новой ред.
).
Очевидно, это сделано с целью усилить защиту ПД граждан РФ. Но остается непонятным, почему, если законодатель решил ввести принцип экстерриториальности Закона о ПД, он ограничился только обработкой на основании договора с субъектом ПД или с его согласия, оставив «за бортом» случаи несанкционированной (внедоговорной) обработки ПД российских граждан.
Как следует из пояснительной записки к законопроекту, данные изменения были предложены как раз в связи с угрозой, которую представляют нелегальные сервисы в иностранном сегменте сети Интернет, распространяющие незаконно собранную личную информацию о гражданах РФ. Но буквальный текст закона не позволит Роскомнадзору вмешиваться в такую обработку ПД.
2) Уточнены полномочия Роскомнадзора:
Отныне государственные органы, Банк России, органы местного самоуправления обязаны согласовывать с Роскомнадзором свои нормативные правовые акты, если они касаются трансграничной передачи ПД, обработки специальных категорий ПД, биометрических ПД, ПД несовершеннолетних, предоставления, распространения ПД, полученных в результате обезличивания (ч. 3.1 ст. 4 Закона о ПД в новой ред.).
Роскомнадзор всегда был уполномочен вносить в Правительство РФ предложения о совершенствовании нормативного правового регулирования в области защиты прав субъектов ПД — с 1 сентября это полномочие дополнено возможностью предложений о нормотворчестве в области деятельности по обработке ПД (п. 8 ч. 3 ст. 23 Закона о ПД в новой ред.). Очевидно, это просто техническая правка, т.к. ведомство и ранее вносило соответствующие предложения под эгидой защиты прав субъектов ПД.
Закреплено, что права и обязанности Роскомнадзора по защите прав субъектов ПД осуществляются им непосредственно и не могут быть переданы иным органам государственной власти (ч. 5.2 ст. 23 Закона о ПД в новой ред.). Правда, случаи такой передачи ранее в практике неизвестны.
3) Зафиксированы требования к договору, в связи с заключением или исполнением которого обработка ПД возможна без согласия субъекта ПД:
Такой договор, заключаемый с субъектом ПД, не может ограничивать права и свободы субъекта ПД, допускать обработку ПД несовершеннолетних (иное может быть предусмотрено законодательством РФ), а также не может предусматривать бездействие субъекта ПД в качестве условия заключения договора (п. 5 ч. 1 ст. 6 Закона о ПД в новой ред.).
Очевидно, что такие условия договора не будут недействительными, но при их включении в договор для обработки ПД будет требоваться отдельное согласие субъекта ПД, несмотря на то, что обработка будет необходима для заключения / исполнения договора, стороной которого является субъект ПД.
4) Уточнены обязанности обработчика ПД (напомним, что это лицо, осуществляющее обработку ПД по поручению оператора) и сфера ответственности иностранного обработчика:
Ранее Закон о ПД возлагал на обработчика лишь обязанность соблюдать принципы и правила обработки ПД, предусмотренные законом; обязанность соблюдать конфиденциальность ПД должна была предусматриваться договором между оператором и обработчиком.
С 1 сентября сам закон возлагает на обработчика обязанности соблюдать конфиденциальность ПД (эта обязанность удивительным образом остается и в числе договорных) и принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом.
А в круг обязанностей обработчика, которые должны быть предусмотрены его договором с оператором, добавлены требования:
— при сборе ПД по общему правилу использовать базы данных, находящиеся на территории РФ,
— соблюдать предписания ст. 18.1 Закона о ПД,
— предоставлять по запросу оператора ПД (в течение срока действия поручения) документы и иную информацию, подтверждающие принятие мер и соблюдение требований закона,
— уведомлять оператора о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД (ч. 3 ст. 6 Закона о ПД в новой ред.).
Поскольку переходные положения не устанавливают, что действие изменений распространяется на отношения, возникшие из ранее заключенных договоров, мы полагаем, что ранее заключенные договоры между операторами и обработчиками сохраняют свое действие; изменение их содержания возможно только по соглашению сторон. Но договоры, которые будут заключаться начиная с 1 сентября, в обязательном порядке должны предусматривать вышеназванные обязанности обработчика (ст. 422 ГК РФ).
Изначально фигура обработчика задумывалась законодателем в статусе посредника, фактически выполняющего обработку, но не несущего ответственности перед субъектом ПД (ответственность перед субъектом ПД несет оператор, а обработчик отвечает лишь перед оператором). Но с 1 сентября исключение сделано для иностранных обработчиков (физических и юридических лиц): такие лица отвечают перед субъектом ПД наряду с оператором (ч. 6 ст. 6 Закона о ПД в новой ред.).
До конца неясно, что означает эта новая формулировка для случаев возмещения имущественного вреда: предполагает ли она солидарную ответственность оператора и иностранного обработчика или все же долевую. Как мы знаем солидарная обязанность (ответственность) должна быть прямо предусмотрена законом или договором (п. 1 ст. 322 ГК РФ).
И очевидно, что сам Закон о ПД не упоминает солидарную ответственность. Применение же к данным отношениям норм о совместном причинении вреда (ст. 1080 ГК РФ), на наш взгляд, сомнительно. Поэтому мы полагаем, что ответственность оператора и иностранного обработчика все же должна быть долевой.
Посмотрим, как интерпретируют новую норму правоприменительные органы в своей практике.
5) Предусмотрены дополнительные требования к согласию на обработку ПД:
Ранее от согласия на обработку ПД требовалось быть конкретным, информированным и сознательным. Теперь оно должно быть еще и предметным, а также однозначным (ч. 1 ст. 9 Закона о ПД в новой ред.).
Пока не сложится практика применения данной нормы, сложно сказать, в чем существенное отличие нового регулирования. Пояснительная записка к законопроекту не освещает это изменение.
На наш взгляд, понятие конкретности согласия настолько тесно связано с его предметностью и однозначностью, что и до этого согласие субъекта ПД предполагалось дающимся в отношении определенных видов ПД и определенных видов их обработки (предметность) и не допускающим различного толкования (однозначность).
6) Расширен круг случаев, на которые не распространяются особенности обработки ПД, разрешенных субъектом ПД для распространения:
Такие особенности, установленные ст. 10.1 Закона о ПД, ранее не распространялись на обработку ПД федеральными и региональными органами исполнительной власти, а также органами местного самоуправления при исполнении их функций, полномочий и обязанностей. С 1 сентября круг этих лиц пополнится организациями, подведомственными таким органам (ч. 15 ст. 10.1 Закона о ПД в новой ред.).
7) Операторам по общему правилу запрещено требовать предоставления биометрических ПД и обусловливать оказание услуг их предоставлением:
С 1 сентября предоставление биометрических ПД не может быть обязательным, за исключением случаев, когда обработка биометрических ПД может осуществляться без согласия субъекта.
Оператор также не вправе отказывать в обслуживании в случае отказа субъекта ПД предоставить биометрические ПД и (или) дать согласие на их обработку, если в соответствии с федеральным законом получение оператором согласия на обработку ПД не является обязательным (ч. 3 ст. 11 Закона о ПД в новой ред.).
8) Более подробно урегулировано право субъекта ПД получать от оператора информацию, касающуюся обработки его ПД:
В перечень сведений, которые субъект ПД может запросить у оператора, включена информация о способах исполнения оператором обязанностей, установленных ст. 18.1 Закона о ПД (п. 9.1 ч. 7 ст. 14 Закона о ПД в новой ред.).
Кроме того, наконец-то установлен срок и порядок ответа оператора на запрос субъекта ПД: сведения должны быть предоставлены субъекту ПД (его представителю) в течение десяти рабочих дней с момента обращения (получения оператором соответствующего запроса).
Указанный срок может быть продлен не более чем на пять рабочих дней по мотивированному уведомлению, которое оператор должен направить в адрес субъекта ПД. Сведения предоставляются в той форме, в которой направлено соответствующее обращение (запрос), если в нем не указано иное (ч. 3 ст.
14 Закона о ПД в новой ред.).
9) Дополнены обязанности оператора при сборе персональных данных:
— оператор обязан разъяснить субъекту ПД юридические последствия не только отказа предоставить его ПД (ныне действующая норма), но и отказа дать согласие на их обработку, если в соответствии с федеральным законом получение оператором согласия на обработку ПД является обязательным (ч. 2 ст. 18 Закона о ПД в новой ред.),
— в круг сведений, которые оператор обязан предоставить субъекту ПД до начала обработки, если ПД получены от третьих лиц, включен сам перечень ПД (п. 2.1 ч. 3 ст. 18 Закона о ПД в новой ред.).
- 10) Изменены требования к локальным актам по вопросам обработки ПД:
- Во-первых, уточнены требования к содержанию документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД:
- — в них должны определяться для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований,
— запрещено включать в них положения, ограничивающие права субъектов ПД, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности (п. 2 ч. 1 ст. 18.1 Закона о ПД в новой ред.).
Во-вторых, конкретизировано, где именно в соответствующей информационно-телекоммуникационной сети оператор, осуществляющий сбор ПД с использованием таких сетей, обязан опубликовать документ, определяющий его политику в отношении обработки ПД, и сведения о реализуемых требованиях к защите ПД — а именно, на страницах принадлежащего оператору сайта в интернете, с использованием которых осуществляется сбор ПД (ч. 2 ст. 18.1 Закона о ПД в новой ред.). Однако формулировка «в том числе» указывает, что это не исключительный способ опубликования сведений.
11) Перечень предлагаемых законодателем мер, которые обязан принимать оператор, из рекомендательного стал обязательным:
Частью 1 ст. 18.1 Закона о ПД закреплено, что оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень таких мер по общему правилу самостоятельно определяет сам оператор.
При этом ранее Закон о ПД указывал, что «к таким мерам могут, в частности, относиться»: назначение ответственных за обработку ПД лиц, издание оператором политики и локальных актов по вопросам обработки ПД, применение правовых, организационных и технических мер по обеспечению безопасности ПД, осуществление внутреннего контроля и (или) аудита соответствия обработки ПД законодательству, политике и локальным актам оператора, оценка возможного вреда, соотношение его и принимаемых оператором мер, ознакомление работников оператора, непосредственно осуществляющих обработку ПД, с законодательством и локальными актами по вопросам обработки ПД. С 1 сентября формулировка ч. 1 ст. 18.1 Закона о ПД меняется: вышеприведенные меры в силу прямого указания закона «относятся» к тем, которые оператор обязан принимать.
Таким образом, за оператором сохраняются полномочия по определению необходимых мер. Но шесть мер, прямо названных в ч. 1 ст. 18.1 Закона о ПД, он реализовывать обязан.
12) Введена абсолютно новая обязанность оператора по взаимодействию с ГосСОПКА:
Такое название носит Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории РФ, в дипломатических представительствах и (или) консульских учреждениях РФ), созданная в соответствии с Федеральным законом от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
С 1 сентября оператор обязан в порядке, определенном ФСБ, обеспечивать взаимодействие с ГосСОПКА, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Поступившая от оператора информация передается органами ФСБ в Роскомнадзор в согласованном ими порядке (ч. 12-14 ст. 19 Закона о ПД в новой ред.).
Новые правила по сбору и обработке персональных данных с 1 сентября 2022 — Контур.Бухгалтерия
С 1 сентября 2022 вступили в силу новые правила по сбору и обработке персональных данных. Из-за этого многие работодатели теперь должны отправить в Роскомнадзор особое уведомление. Расскажем, в какие сроки его отправлять, надо ли ждать утверждения новой формы уведомления и какие правила теперь действуют для работы с персданными.
Легко считайте зарплату, НДФЛ, взносы, заводите кадровые документы. Контур.Бухгалтерия сама сделает расчеты, подготовит платежки и создаст отчеты.
Попробовать бесплатно
В последние годы личные данные граждан попадают в руки мошенников все чаще. Государство решило бороться с утечками: тщательнее следить за тем, как персональные данные обрабатываются и защищаются. Новые правила по работе с данными утверждены Федеральным законом от 14.07.2022 г. № 266-ФЗ.
За нормами и их соблюдением будет следить ФСБ с помощью системы по профилактике кибератак на российские информационные ресурсы ГосСОПКА (п. 12 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ).
При утечках персданных лица и органы, которые занимаются обработкой данных, должны сообщать в ГосСОПКА о событии в течение 24 часов, а затем в течение 72 часов представлять отчет о причинах и связанных лицах.
Все, кто собирает и обрабатывает персональные данные граждан, относятся к операторам персональных данных. Это могут быть муниципальные и государственные органы, юридические и физические лица. Роскомнадзор на своем сайте ведет особый реестр операторов персданных: он открытый, кто угодно может в него заглянуть и найти любого участника реестра.
Закон «О персональных данных» действует в РФ с 2006 года, с момента принятия в него несколько раз вносили изменения и дополнения. Последние изменения внесены Федеральным законом от 14.07.
2022 №266-ФЗ и вступили в силу с 1 сентября 2022.
С этого момента работодателям нужно более строго работать с персданными, а многим еще и придется подать уведомление в Роскомнадзор для включения в реестр операторов.
С 1 сентября из закона исключили шесть ситуаций, когда операторы могли не сообщать Роскомнадзору о начале обработки данных(ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Теперь в реестре операторов должны числиться все компании и ИП, которые обрабатывают персданные таких лиц:
- сотрудники на трудовых договорах;
- подрядчики на договорах ГПХ;
- клиенты компании, которые сообщают свои личные данные для заключения договора или обработки заказа;
- посетители, которым выписывают разовый пропуск для прохода на территорию компании;
- другие лица, сообщающие компании свои имя, отчество и фамилию.
Есть случаи, когда даже при работе с перечисленными данными можно не уведомлять об этом Роскомнадзор, но их мало:
- если обрабатываемые персданные находятся в государственных защищенных информсистемах;
- если данные собирают и обрабатывают не с помощью компьютеров и программ, а вручную — например, в бумажной тетради;
- если данные обрабатывают с целью безопасной работы транспорта.
Отчеты за сотрудников, по бухгалтерскому и налоговому учету, в Росстат. Онлайн-бухгалетрия сама заполнит отчетность по данным учета.
Попробовать бесплатно
Первое, что стоит сделать, — зайти на сайт Роскомнадзора в раздел «Реестр операторов» и поискать свою компанию по названию, ИНН или ОГРН. Если вы в реестре — все хорошо, можно пока ничего не отправлять в ведомство.
Если вы не нашли себя в реестре, нужно уведомить Роскомнадзор о начале работы с персданными. К слову о начале работы.
Большинство из тех, кто будет подавать уведомление после 1 сентября 2022, уже давно обрабатывает персданные. В уведомлении нужно будет указать дату начала обработки данных.
Роскомнадзор разъяснил, что этой датой нужно считать день регистрации компании или ИП (информация пресс-службы Роскомнадзора от 25.08.2022).
Сейчас для подачи уведомления о начале работы с персданными есть форма, утвержденная приказом Роскомнадзора от 30.05.2017 № 94, а в тексте этого документа прописан и порядок заполнения формы. Список сведений, которые вписывают в поля уведомления, приведен в ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.
Роскомнадзор планирует утвердить новую форму уведомления, через которое можно будет более полно передать сведения. В ведомстве сообщили, что до этого момента операторы могут заполнить текущую форму. А еще обозначили, что 1 сентября 2022 не является крайним сроком подачи уведомления и предельный срок для этого действия пока не определен (Информация Роскомнадзора от 01.09.2022).
Из этого можно сделать вывод, что операторов, которые не подали уведомление до 1 сентября 2022, штрафовать не будут. Но все же мы рекомендуем не откладывать эту задачу и уведомить территориальное отделение Роскомнадзора по текущей форме. Для этого есть три способа:
- отправить бумажную заполненную и заверенную форму заказным письмом;
- заполнить форму на сайте Роскомнадзора и заверить квалифицированной электронной подписью;
- заполнить форму в подтвержденном аккаунте на Портале Госуслуг, который связан с организацией, и тоже заверить КЭП.
В новой форме уведомления появятся поля для передачи данных, которые невозможно передать по текущей форме. Это значит, что после утверждения новой формы, вероятно, придется воспользоваться ею, чтобы внести изменения в ранее переданные сведения.
Новые поля в будущей форме касаются категорий собираемых персданных, категорий лиц и их данных для каждой цели обработки сведений, самих целей сбора и правовых оснований для сбора.
Мы рассчитываем, что после появления нового бланка уведомления ведомство даст новые разъяснения.
Уведомление отправляют только один раз. В нем не нужно перечислять лиц, у которых вы собираете персданные, так что не придется подавать дополнительные уведомления при найме новых сотрудников или работе с новыми клиентами.
Но если в работе оператора с персданными происходят существенные изменения, придется сообщить об этом Роскомнадзору:
- если изменится состав персданных, которые вы собираете: например, вы узнаете о семейном положении работников, — сообщите об этом информационным письмом о внесении изменений в сведения (форма утверждена приказом Роскомнадзора от 30.05.2017 № 94);
- если сменится работник, отвечающий за обработку персданных — его ФИО передайте по форме уведомления, которое будет актуальным на этот момент;
- если вы прекращаете собирать и обрабатывать персданные, обычно это связано с реорганизацией или ликвидацией предприятия — сообщите об этом в заявлении о прекращении обработки данных (форма утверждена приказом Роскомнадзора от 30.05.2017 № 94).
А еще оператор обязан отвечать на запросы Роскомнадзора и работников по поводу обработки персданных. Ответить на запрос или сообщить об изменениях в работе с персданными теперь нужно не в течение 30, а только в течение 10 рабочих дней (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
Авторасчет зарплаты, НДФЛ и взносов в несколько кликов. Отпускные, пособия, удержания. Платежки и отчеты онлайн.
Попробовать бесплатно
Собирать и обрабатывать персданные можно только для определенной цели, и перечень таких целей ограничен (ст. 86 ТК РФ):
- для выполнения законов: например, для оформления трудового договора или отправки персданных работника в отчете для контролирующих органов;
- для помощи сотрудникам в обучении, повышении квалификации и карьерном росте;
- для личной безопасности работников;
- для контроля за качеством и объемом выполняемой работы;
- для сбережения имущества компании.
Если сведения служат этим целям, работодатель может их запрашивать. В противном случае — нет, даже если сотрудник согласен их предоставить.
А еще не запрашивайте сведения из особых категорий: о национальности, расовой принадлежности, политических пристрастиях, религиозном исповедании, философских предпочтениях, личной жизни и здоровье.
Сведения о членстве сотрудников в профсоюзе или общественных организациях тоже не обрабатывайте.
Изменились нормы работы с биометрическими данными: теперь сотрудник может отказаться передать биометрию — скажем, фото на пропуск. Работодатель не вправе требовать такие данные и не должен отказывать оформлять пропуск и другие документы, в которых требуется фото.
Соберите у сотрудников согласия на обработку персданных, укажите в согласии цель сбора данных: она должна быть сформулирована ясно и просто, без разночтений.
Убедитесь, что в текущих согласиях нет моментов, которые противоречат ст. 86 ТК РФ.
Если передаете персданные для обработки, защиты и хранения другой организации, это тоже должно быть отражено в согласии как передача данных третьим лицам.
Если вы оформляете пропуска для посетителей компании, это тоже обработка персональных данных. Но если пропускной режим организует сама компания, то согласия на обработку не нужно, так разъяснил Роскомнадзор. Главное, чтобы у компании был оформлен документ о правилах посещения организации и чтобы посетителя с ним ознакомили.
В законе нет четкого перечня документов, которые диктовали бы порядок обработки персданных сотрудников, клиентов и посетителей. Но обязательный минимум таких документов для работодателя назван (ст. 86 ТК РФ, 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Расскажем о всех возможных документах для регламентации обработки персданных в компании.
Контур.Бухгалтерия рассчитает суммы на основе данных учета, подготовит платежки и отчеты, напомнит об уплате и отправке.
Попробовать бесплатно
Положение о персональных данных
Один из обязательных локальных актов организации — документ с правилами, по которым ведется обработка персданных. Это может быть положение о работе с персональными данными работников.
В документе определите цели обработки данных, а для каждой цели назначьте:
- категории и перечень персданных;
- категории лиц, у которых собираете данные;
- методы и сроки обработки и хранения сведений;
- порядок уничтожения данных, когда они больше не нужны.
Убедитесь, что в положении нет пунктов, которые ущемляют права работников или вменяют им обязанности, которые в законе не прописаны. Скажем, вы не можете обязать сотрудника предоставить паспорт в течение 5 дней после смены фамилии.
Составьте положение, утвердите его приказом директора. Если в компании есть профсоюз, документ принимают с учетом его мнения (ст. 372 ТК РФ).
Политика обработки персональных данных
Если вы обрабатываете персданные на сайте организации, скажем, когда клиенты оформляют заказы, придется принять еще один документ — политику защиты и обработки персональных данных. Этот документ нужно будет разместить на сайте, так как организация обязана сообщить гражданам, что она делает для защиты их данных (п. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).
Роскомнадзор установил требования к такому документу (рекомендация от 27.07.2017). В политику обработки включают такие пункты:
- основные понятия документа;
- цели обработки данных;
- правовые основания обработки;
- категории данных и категории субъектов (лиц);
- способы, сроки и условия обработки;
- права и обязанности субъектов персданных и пр.
Положение о защите данных
Для защиты данных нужна надежная система, чтобы не допустить их разглашения. Нужно описать меры защиты: что вы делаете, чтобы предотвратить, обнаружить и устранить нарушения закона о персданных. Это можно сделать в отдельном локальном акте или включить правила в любое другое положение компании.
Пропишите, какие антивирусные программы вы устанавливаете, назначьте ответственных за защиту данных. Утвердите положение приказом директора и ознакомьте с ним работников под роспись. Если в компании есть профсоюз — он участвует в обсуждении положения.
Автоматизируйте работу с сотрудниками, сдавайте отчеты и ведите учет в Контур.Бухгалтерии без авралов и рутины.
Попробовать бесплатно
Приказ о назначении ответственного
В каждой компании должен быть сотрудник, который отвечает за обработку персданных. Он может быть только один.
Нельзя назначить ответственным за данные работников одного специалиста, а за данные клиентов другого. Это запрещает Роскомнадзор и штрафует за нарушения.
К тому же нужно передать ведомству ФИО ответственного лица для реестра операторов, и внести двух специалистов в одно поле не получится.
Ответственного сотрудника назначает приказом руководитель — обычно из числа работников кадровой службы. В приказе прописывают обязанности ответственного лица:
- вести внутренний контроль того, как компания и работники соблюдают закон о персданных и выполняют требования по их защите;
- знакомить работников с положениями закона о персданных, внутренних документов компании по обработке данных и их защите;
- обеспечить прием и обработку запросов от субъектов персданных — работников, клиентов, посетителей — контролировать прием и обработку таких запросов.
После издания приказа ответственный сотрудник расписывается в нем.
Обязательство о неразглашении персданных
Чтобы защищать данные сотрудников или клиентов, нужно установить обязательство об их неразглашении. Такие обязательства нужно оформить с работниками, которые имеют доступ к данным. Можно закрепить условие о неразглашении персданных в допсоглашении к трудовому договору.
Важный нюанс: ответственность за разглашение данных для сотрудника наступает, если сведения он получил при исполнении трудовых обязанностей, а не в другой ситуации (п. 7 ст. 86 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2).
Регламент допуска
Закрепите список работников, которые обрабатывают персданные или имеют к ним доступ. Обычно это бухгалтер, кадровик, секретарь компании. Каждому сотруднику должны быть доступны только те данные, которые нужны для выполнения его трудовой функции (ст. 88 ТК).
В законе не прописан порядок допуска к персданным, так что придется установить его самостоятельно и закрепить в локальном акте компании, например в Регламенте допуска работников к обработке персональных данных.
Кроме самого регламента издайте приказ, в котором пропишите ФИО и должности сотрудников вместе с закрепленными за ними данными для обработки (п. 13 положения, утв. постановлением Правительства от 15.09.2008 № 687).
Ведите учет в удобной онлайн-бухгалтерии: учет, расчет зарплаты и пособий, отправка отчетности в ФНС, ПФР и ФСС, Росстат.
Попробовать
Документы внутреннего контроля
Чтобы более полно защитить компанию, оформите документы внутреннего контроля за обработкой персданных: это правила внутреннего контроля и аудита, протоколы, материалы для проверочных мероприятий. Такие документы могут запросить инспекторы при проверке.
Что изменилось в работе с персональными данными с 1 сентября 2022?
С 1 сентября 2022 закон «О персональных данных» стал строже: из него исключили шесть случаев, когда работодатель не должен был уведомлять Роскомнадзор о начале обработки персданных. Теперь большинству работодателей нужно это делать.
Какое уведомление нужно отправить в Роскомнадзор в связи с персональными данными с 1 сентября 2022?
Сейчас для подачи уведомления о начале работы с персданными есть форма, утвержденная приказом Роскомнадзора от 30.05.2017 № 94. Скоро ведомство утвердит новую форму, с помощью которой можно будет передать более детальную информацию.
Будет ли штраф за опоздание с отправкой уведомления в реестр Роскомнадзора?
Роскомнадзор сообщил, что предельная дата для отправки уведомления не определен, и 1 сентября 2022 — это не крайний срок. Вероятно, штрафовать за отправку уведомлений в более поздние сроки не будут. Но лучше уведомить Роскомнадзор в ближайшее время по текущей форме.
Какие изменения появились в законе 152-ФЗ «О персональных данных»?
С 1 сентября закон 152-ФЗ стал строже, чтобы защитить от утечки данные граждан. Теперь почти все работодатели должны сообщать Роскомнадзору о начале обработки персданных в организации и сотрудничать с системой ФСБ по предотвращению кибератак на российские информресурсы ГосСОПКА.
Что такое реестр операторов персональных данных Роскомнадзора?
Реестр операторов персданных — это список всех работодателей, других лиц и органов, которые собирают и обрабатывают персональные данные граждан. Чтобы попасть в этот список, компания или ИП должны отправить в ведомство уведомление о начале сбора персданных. Начало этой деятельности — день регистрации организации или ИП.
Когда отправить в Роскомнадзор уведомление об обработке персональных данных?
Роскомнадзор сообщил на своем сайте, что 1 сентября 2022 не является крайним сроком для отправки уведомления, а предельный срок для его подачи не определен. Но рекомендуется уведомить Роскомнадзор в ближайшее время.
Легко считайте зарплату, НДФЛ, взносы, заводите кадровые документы. Контур.Бухгалтерия сама сделает расчеты, подготовит платежки и создаст отчеты.
Попробовать бесплатно