Помогаем компаниям и людям строить
эффективные и безопасные трудовые отношения
Оставить заявку
Изменения в законе о персональных данных
Итак, 14.07.2022 подписан Федеральный закон от 14.07.2022 № 266-ФЗ, которым были внесены изменения в федеральный закон «О персональных данных». Большинство изменений вступят в силу 01.09.2022 г., отдельные положения начнут действовать с 01.03.2023 г.
Изменения с 01.09.2022 г.
Все работодатели должны уведомлять Роскомнадзор об обработке персональных данных (ПД) работников.
По поводу форм уведомлений - пока мнения разделились: одни специалисты считают, что надо уже сейчас подать уведомление согласно нормам Приказа Роскомнадзора от 30.05.2017 № 94, а другие советуют подождать новую утвержденную формы (проект уже есть). На мой взгляд, не стоит рисковать и лучше уведомить уже сейчас (если вы, конечно, решили уведомлять)))
Политика и иные локальные акты по вопросам обработки и защите ПД не могут содержать положения, которые ограничивают права работников, а также полномочия и обязанности работодателя, не предусмотренные законодательством РФ.
Кроме того, в локальных актах для каждой цели обработки следует отдельно указать категории и перечень ПД, категории субъектов, способы, сроки обработки и хранения.
По-моему мы и так все это делали, но на всякий случай стоит проверить в своих локальных актах о ПД.
При сборе ПД работнику следует разъяснять юридические последствия отказа предоставить его ПД и (или) дать согласие на их обработку.
Думаю, следует составить уведомление или другой внутренний документ (например, дописать пункт в согласии, которое подписывает работник), где разъясняются юридические последствия отказа. Такой образец мы на вебинаре рассматривали...
Как и ранее, обработка ПД осуществляется с согласия работника, за исключением случаев, предусмотренных законом, причем согласие должно быть конкретным, информированным и сознательным, а с 01.09.2022 г. — еще и предметным, и однозначным.
Но пока ни в законе, ни в практике нет ни определений для этих критериев, ни официальных разъяснений. Полагаю, следует проанализировать образец согласия в компании, хотя бы примерно, можно ли о нем сказать, что оно выглядит конкретным, информированным и сознательным, предметным, и однозначным?)) Если написаны просто общие слова, то конечно, лучше переделать (образцы согласия тоже на вебинаре рассматривали).
До начала обработки ПД работодатель обязан предоставить работнику перечень персональных данных, полученных о нем из иных источников (разумеется, если работодатель получал такие данные).
Если вы, например, у предыдущих работодателей сведения о работнике запрашиваете, то стоит подготовить образец уведомления о получении ПД работников у третьего лица и их обработке. Если ни у кого ничего о работнике не спрашивает - тогда вас это не касается)

За отказ работника предоставить биометрические ПД работодатель не имеет права отказывать ему в оформлении пропуска и иных документов, в которых есть такие данные (фотография и др.).
Поэтому на всякий случай проверьте - есть ли такая практика в организации, при наличии нужно отменить ее и проверить, есть ли в локальных актах пункты о таких отказах, при наличии исключить их из локальных актов.
Политику об обработке персональных данных необходимо разместить на каждой странице сайта, на которой осуществляется сбор ПД, а также обеспечить возможность неограниченного доступа к ней.
Поэтому проверьте, собираются ли персональных данных работников на сайте организации и на каких страницах, на всех ли страницах размещена Политика, если не на всех - нужно поручить IT-службе разместить ее.
Если, вдруг, в компании случился неприятный инцидент (нарушена конфиденциальность персональных данных) то об этом нужно сообщить в Роскомнадзор через специальную систему:
  • в течение 24 часов о произошедшем инциденте,
  • в течение 72 часов о результатах внутреннего расследования выявленного инцидента.
Надеюсь, никаких инцидентов в вашей компании не случится, но на всякий случай надо внести это в алгоритм по персональным данным, чтобы не забыть в случае чего...
Установлены новые сроки, согласно которым нужно в течение 10 рабочих дней:
  • по запросу работника предоставить сведения, касающиеся обработки его персональных данных
  • предоставить ответ на запрос Роскомнадзора
  • по требованию работника прекратить обработку персональных данных
Значит, нужно скорректировать сроки в своих локальных актах и в алгоритмах работы с персональными данными (мы на вебинаре уже новый алгоритм и новую редакцию ЛНА представили))
Законодатель возложил обязанности на третьих лиц.
Они должны соблюдать конфиденциальность персональных данных и принимать необходимые меры по их защите. Поэтому юристам организации нужно проверить, есть ли пункт, касающийся защиты персональных данных, в договорах с третьими лицами.
Изменения с 01.03.2023 г.
  1. Работодатель будет обязан проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ в соответствии с требованиями, которые установит Роскомнадзор
  2. Необходимо будет уведомлять Роскомнадзор в случаях:
    • изменения сведений, ранее указанных в уведомлении об обработке ПД, — не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения;
    • прекращения обработки ПД — в течение 10 рабочих дней с даты ее прекращения.
  3. Роскомнадзор будет вести реестр учета и определять порядок и условия взаимодействия с работодателями об инцидентах неправомерной или случайной передачи ПД.
  4. Изменения касательно трансграничной передачи персональных данных (если она у вас есть) - о намерении осуществлять трансграничную передачу ПД (до ее начала) необходимо будет отдельно уведомить Роскомнадзор. Если уже передаете данные заграницу - уведомить нужно до 01.03.2023 г.
И снова изменения в законодательстве устанавливают ряд новых обязанностей для работодателей, а значит, как обычно, большую работу придется провести и кадровым работникам...

Читать другие статьи на тему трудовых отношений

Два перечня: документы по персональным данным и отчеты в службу занятости
Коллеги, вроде все посты опубликовала, которые были запланированы до окончания учебного года)) Но вот осталось два перечня, которые, может быть, будут полезными. Решила их в один пост объединить, хотя темы разные))
Можно ли подавать документы для назначения пособия до 1,5 лет на бумажном носителе в ФСС​?
Ответ на интересный и важный вопрос.
Работнику пришла повестка о необходимости явки в военкомат для прохождения медкомиссии, как мы должны оформить этот день?​
Ответ на интересный и важный вопрос.
Работодатель заплатил за обучение работника, а работник не сдал выпускной экзамен
Ответ на интересный и важный вопрос.
Оставить заявку
Оставить заявку и получить консультацию по трудовым отношениям, на обучение или заказать абонентское обслуживание
Обучение кадровых работников
УЗНАЙТЕ БОЛЬШЕ О ТРУДОВЫХ ОТНОШЕНИЯХ - записывайтесь на мои вебинары и курсы, смотрите записи прошедших мероприятий!
Нажимайте на кнопку и читайте еще больше статей на тему трудовых отношений
Читать статьи Вконтакте