При каком условии оператор может получать и обрабатывать персональные данные работника

Содержание

Самое значимое правовое событие этой осени: с 1 сентября 2022 года персональные данные обрабатывают по новым правилам.

Закон 266-ФЗ (Федеральный закон от 14.07.2022 № 266-ФЗ) внес изменения в федеральный закон о персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ ). Благодаря поправкам, не только обработка персональных данных с 1 сентября 2022 года происходит по новым требованиям. Также обозначены и правила, которые нужно соблюдать с 1 марта 2023 года. Они приняты в то же время, что и правки к закону о персональных данных с 1 сентября, при этом обязательны к исполнению только с 1 марта.

Таким образом, изменения в закон о персональных данных касаются всего порядка работы с ними: от особенностей согласия и уведомления Роскомнадзора до правил трансграничной передачи, прекращения обработки и исполнения новых сроков. За нарушение этих требований грозят не только крупные административные штрафы, но и уголовная ответственность (ст. 13.11, 13.12 и 19.7 КоАП РФ, ст. 137 и 272 УК РФ).

Каковы же персональные данные – изменения 2022 и как выполнить требования, которые привнесли изменения по персональным данным в работу компаний, обсудим в статье.

Подготовьтесь к успешному прохождению инспекционной проверки Роскомнадзора – узнайте новые требования к обработке персональных данных 2022–2023 с применением (и без применения) информационных систем в нашем практическом курсе .

Скачайте образцы документов для работы:

Персональные данные: изменения 2022

Условно все изменения персональных данных с 1 сентября 2022 (кратко – ПД, персданные) можно отнести к нескольким группам. Рассмотрим основные из них. Начнем с требований, обязательных к исполнению с 1 сентября 2022 года (по 266-ФЗ ).

С 1 сентября 2022 года персональные данные обрабатывают с учетом обязательных требований статьи 18.1 Закона № 152-ФЗ , которые ранее были рекомендательными. В частности, из ее текста удалено слово «могут». Поэтому теперь работодатель не просто вправе, а обязан:

назначить ответственное лицо (структурное подразделение) за обработку ПД;
издать и опубликовать политику по персданным;
осуществлять внутренний контроль (аудит) ПД (способ контроля и подтверждение его проведения нужно прописать в отдельном ЛНА. Его предмет: соблюдение требований законодательства, политики, ЛНА организации по защите ПД);

Чек-лист, какие документы нужно проверить при аудите ПД, скачайте здесь.

оценивать вред, который может быть нанесен их субъекту (способ оценки компания выбирает самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
выполнять другие требования статьи 18.1 Закона № 152-ФЗ.

Изменения в закон о персональных данных дополнили и сам перечень обязанностей оператора (работодателя). Например, установлено правило взаимодействия с государственной системой предотвращения атак на информационные ресурсы (ч. 12-14 ст. 19 Закона № 152-ФЗ).

Новые требования к обработке персональных данных

Также предусмотрена новая обязанность оператора (работодателя) при выявлении неправомерной или случайной передаче ПД: в течение 24 часов сообщить в Роскомнадзор и в течение 72 часов отчитаться о результатах внутреннего расследования (ч. 3.1 ст. 21, ч. 10, 11 ст. 23 Закона № 152-ФЗ).

Какие правовые, организационные и технические меры с учетом изменений по персональным данным должен принимать работодатель при обработке ПД, разъяснят наши опытные консультанты .

Что считается персональными данными работника

Персональные данные — это ФИО работника, ИНН, СНИЛС, телефон, размер зарплаты и даты рождения его детей. Это любая информация, прямо или косвенно относящаяся к сотруднику, как указано в ст. 3 закона о персональных данных 152-ФЗ. Даже просто ФИО «Иванов Иван Иванович» без даты рождения или номера телефона Роскомнадзор считает персональными данными.

Кадровик сталкивается с персональными данными, когда получает резюме соискателя, сообщает охраннику данные кандидата для оформления пропуска, заполняет трудовой договор или отправляет СЗВ-ТД в Пенсионный фонд.

Любые действия кадровика с персданными работника называются обработкой персональных данных. По п. 3 ст. 3 закона о персданных обработка персданных включает в себя сбор, запись, систематизацию, использование, распространение, удаление данных.

Как наказывают работодателей за нарушения в работе с персональными данными

Как только работодатель приступил к обработке персданных, он обязан их защищать, хранить и обрабатывать по правилам закона о персональных данных, гл. 14 Трудового кодекса. Иначе Роскомнадзор оштрафует по жалобе работника или при проверке. За грубейшие нарушения возможна уголовная ответственность.

Роскомнадзор штрафует руководителя, если в компании не назначен сотрудник, ответственный за персональные данные. Переложить ответственность можно приказом о назначении или установить обязанность в должностной инструкции, трудовом договоре.

Вот популярные нарушения работодателей в работе с персданными.

Нарушение № 1. Не получают согласие работника на обработку данных, когда это нужно

Компания публикует фотографии работников на сайте компании. Это распространение информации неограниченному кругу лиц. Нужно оформить согласие работника на распространение.

Еще пример. Работодатель перечисляет зарплату работника на счет его супруги. Реквизиты счета прописаны в допсоглашении к трудовому договору с работником. Это обработка данных супруги без ее согласия. Если согласия супруги не предоставить, Роскомнадзор оштрафует при проверке.

Штраф за нарушение — до 150 тыс. рублей компании, до 40 тыс. рублей руководителю по ч. 2 ст. 13.11 КоАП РФ.

Нарушение № 2. Обрабатывают данные в непредусмотренных законом случаях

Магазин собирает и хранит справки работников об отсутствии судимости. Это обработка не предусмотренной законом информации, за которую Роскомнадзор может оштрафовать.

А вот школа имеет право запрашивать у работников такие справки и хранить их, поскольку это ее обязанность по ст. 65 ТК РФ.

Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Нарушение № 3. Получают данные для одной цели, а используют для другой

Работодатель взял копию диплома, чтобы оформить прием. А потом опубликовал его на сайте компании, чтобы подтвердить экспертность своих сотрудников. Его оштрафуют, потому что цель обработки достигнута — прием оформлен, а документ не уничтожен.

Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Нарушение № 4. Не публикуют политику обработки персональных данных

Политика обработки персданных нужна обязательно, и у работников должен быть к ней свободный доступ. Кто-то вывешивает политику на доске при входе в офис, кто-то публикует ее на сайте. Политика обязательно должна быть на сайте, если там выложены вакансии с возможностью откликнуться на них через сайт.

Штраф за нарушение до 60 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 3 ст. 13.11 КоАП РФ.

Нарушение № 5. Не вовремя реагируют на запрос гражданина о его персональных данных

Работодатель должен ознакомить работника с обрабатываемыми пересданными в день обращение или в течение 30 дней с даты получения запроса работника. Иначе оштрафуют.

Для защиты компании работодатели прописывают в политике обработки адрес для таких запросов. Это помогает избежать ситуации, когда гражданин пишет запрос на электронку отдела продаж и его запрос долго передают ответственному за обработку персданных.

Штраф за нарушение до 80 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 4 ст. 13.11 КоАП РФ.

Нарушение № 6. Не уничтожают персональные данные работника по его требованию

Гражданин и Роскомнадзор вправе письменно потребовать уточнить, заблокировать или уничтожить персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Так, одна компания размещала на сайте информацию о своих сотрудниках-специалистах. После увольнения работник потребовал удалить информацию. А компания отказалась и получила максимальный на тот момент штраф 25 тыс. рублей. С 21 марта 2021 штрафы увеличили. См.

Постановление 2 КСОЮ от 30.11.2021 № 16-9529/21.

Штраф за нарушение до 90 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 5 ст. 13.11 КоАП РФ.

Нарушение № 7. Хранят данные в базах данных, находящихся не в России

Компания Twitter, Inc. отказалась хранить данные российских пользователей на территории РФ. Ее оштрафовали на 4 млн рублей. См. Постановление 2КСОЮ 16-3770/2020 от 07.07.2020.

Штраф за нарушение до 6 млн рублей для компаний по ч. 8 ст. 13.11 КоАП РФ.

Как наказывают кадровиков за нарушения обработки персданных

Вот представьте: кадровик, ответственный за обработку персданных работников, сообщает кому-то по телефону или электронной почте о психическом заболевании работника, его частной жизни. Или айтишник допускает виновную утечку данных работников.

За такие нарушения сотрудников могут привлечь к уголовной ответственности. По ч. 2 ст. 137 УК РФ возможны штрафы до 300 тыс. рублей, лишение права заниматься определенной деятельностью и даже лишение свободы.

Отчётность в ИФНС, ПФР и ФСС в 2022 году

практическое пособие для работодателя

Получите бесплатно 62 страницы экспертного контента!

Оставьте заявку в форме ниже, и мы вышлем вам запись

По закону № 152-ФЗ оператор обязан сообщать о всех компьютерных инцидентах и утечке персональных данных в два адреса:

1. В Роскомнадзор. Оператор информирует Роскомнадзор об утечке ПД в течение 24-х часов. В том числе он сообщает о предполагаемом вреде владельцу персональных данных. В течение 72 часов оператор должен завершить расследование компьютерного инцидента и информировать о результатах Роскомнадзор.

Сообщения передают через Госуслуги, поэтому оператору понадобится подтверждённая учётная запись в ЕСИА.

На сайте Роскомнадзора описано, как информировать об утечке персональных данных

2. В НКЦКИ — Национальный координационный центр по компьютерным инцидентам ФСБ России (НКЦКИ). Это структурный элемент ГосСОПКА. С 1 сентября 2022 года с ней должны взаимодействовать все операторы, которые используют автоматизированную обработку ПД.

ИП и компании, которые относятся к субъектам критической инфраструктуры по ст. 2 закона от 26.07.2017 № 187-ФЗ , уже знают про ГосСОПКА. Для них ничего не изменилось. Прочие операторы ПД должны учитывать приказ ФСБ от 24.07.2018 № 367 . В нём сказано, какие данные и в каком порядке надо передавать в НКЦКИ. Подключаться к ГосСОПКА физически не обязательно.

Информацию можно сообщать по e-mail или телефону.

На сайте НКЦКИ указано, по каким каналам оператор может передать сведения о компьютерных инцидентах

В сообщении указывают:

дату, время, место происшествия;
наличие связи между инцидентом и компьютерной атакой;
связь с другими происшествиями — при наличии;
технические параметры компьютерного инцидента;
последствия.

Информацию нужно передать в НКЦКИ в течение 24-х часов с момента обнаружения компьютерного инцидента.

В приказе № 367 не упомянуты конкретно «операторы ПД». Но они всё равно руководствуются этим документом. ГосСОПКА по закону № 187-ФЗ — открытая система, взаимодействовать с которой могут все заинтересованные в защите информации лица.

Оператор может разработать свой регламент работы с НКЦКИ и Роскомнадзором или издать приказ, в котором назначить ответственных за взаимодействие, указать сроки передачи информации. Так он всегда может доказать, что выполняет требование закона о персональных данных в части сообщений о компьютерных инцидентах. И у него будет документально закреплён порядок действий, который сможет выполнять любой назначенный работник.

В этом же документе рекомендуем указать порядок подготовки ответов на запросы Роскомнадзора по ч. 4 ст. 20 Закона № 152-ФЗ . Оператор обязан направлять информацию по запросам в течение 10 рабочих дней.

Должен ли работодатель уведомлять Роскомнадзор

По ч. 1 ст. 22 закона о персданных все компании обязаны уведомить Роскомнадзор о своем намерении обрабатывать данные.

Но работодатель может не уведомлять Роскомнадзор, если обрабатывает данные:

в соответствие с трудовым законодательством;
для однократного пропуска на территорию;
на основании согласия работника на обработку данных, разрешенных им для распространения (не путайте с согласием на обработку);
в иных случаях, указанных в ч. 2 ст. 22 того же закона.

Например, работодатель получает номер паспорта для приема на работу, может не уведомлять. Но должен уведомить Роскомнадзор, если запрашивает у работников справки о судимости. В первом случае работодатель собирает информацию «в соответствии с трудовым законодательством», во втором «на основании согласия на обработку данных» (но не согласия на обработку данных, разрешенных для распространения).

Автосалон не подал уведомление и ошибся

Один автосалон не отправлял уведомление в Роскомнадзор, считал, что подпадает под исключения из ч. 2 ст. 22 закона о персданных, поскольку:

обрабатывает данные работников только в пределах трудового законодательства;
получает данные клиентов только в рамках договоров купли — продажи машины;
пропускает на территорию по разовым пропускам.

Роскомнадзор потребовал подать уведомление. Автосалон не учел следующее:

Работники автосалона в программе передают дилерам свои персональные данные и данные покупателей.

На передачу данных нужно согласие и уведомление Роскомнадзора.

Онлайн-магазин не подавал уведомление и был прав

Еще пример. Онлайн-магазин подпадает под исключения ч. 2 ст. 22 закона 152-ФЗ, поскольку:

использует резюме кандидатов, полученные от кадровых агентств, и обрабатывает персданные соискателей в пределах трудового законодательства;
обрабатывает сведения о работниках, пусть и в информационной системе, но в пределах трудового законодательства;
применяет программы для обработки данных клиентов при дистанционной продаже товаров;
получает данные покупателей в рамках договоров купли-продажи;
не рассылает покупателям рекламные рассылки.

Не нужно уведомлять Роскомнадзор.

Когда уведомлять Роскомнадзор и как

Уведомлять нужно до начала обработки данных. До получения первого резюме и до приема работников. На момент написания статьи штраф за несвоевременное уведомление невысокий — до 500 рублей для руководителя и до 5 тыс. рублей для компании по ст. 19.7 КоАП РФ.

Уведомление заполняют на сайте Роскомнадзора. Отправляют на бумаге или электронно. После получения уведомления Роскомнадзор включает компанию в реестр операторов. Правила уведомления описаны в методических рекомендациях, утвержденных приказом Роскомнадзора 94 от 30.05.2017.

Когда не нужны согласия на обработку персональных данных

По ч. 1 ст. 6, ст. 9 закона 152-ФЗ компании должны запрашивать у граждан согласие на обработку персданных, как только получают к ним доступ.

Но есть ситуации, когда компании работодателей могут не получать согласия работников на обработку персданных:

Обрабатывают данные для исполнения заключенного с работником трудового договора (пп. 5 ч. 1 ст. 6 закона 152-ФЗ). Без согласия кадровик внесет паспортные данные в трудовой договор, а бухгалтер сохранит номер карты для перечисления зарплаты. Но согласие потребуется, если компания сообщает данные работника в банк для открытия зарплатной карты.
Обрабатывают данные для исполнения возложенных на работодателя обязанностей, функций и полномочий (пп. 2 ч. 1 ст. 6 закона 152-ФЗ). Информацию о размере одежды сварщиков работодатель обрабатывает без согласия, потому что по требованиям охраны труда обязан выдавать им средства индивидуальной защиты. А если компания собирает размеры для выдачи рубашек корпоративного цвета, тогда нужно согласие работников. Без согласия работодатель передает данные работника в налоговую, Пенсионный фонд, ФСС, трудовую инспекцию и военный комиссариат. Но должен получить у работника письменное согласие для передачи данных водителя-работника своему контрагенту (ч. 2 ст. 88 ТК РФ).
Обработка сведений о состоянии здоровья работника связана с возможностью выполнения трудовой функции (п. 2.3 и 3 ч. 2 ст. 10 закона 152-ФЗ). Школа обрабатывает данные о психическом здоровье учителей без согласия, поскольку обязана это делать по ч. 2 ст. 331 ТК РФ. Кафе обрабатывает данные о медосмотрах поваров, поскольку иначе не может допустить их к работе. В остальных случаях нужно получить согласие работников.
Данные нужны по условиям коллективного договора, ПВТР или других локальных нормативных актов компании (абз. 2 п. 5 разъяснений Роскомнадзора). Завод обрабатывает данные работников для организации пропускного режима без согласия, если порядок организации предусмотрен ЛНА работодателя.
Обязанность по опубликованию данных в сети Интернет предусмотрена законом (п. 1 разъяснений Роскомнадзора). Больница без согласия врачей публикует на сайте данные об их образовании, потому что обязана это делать в силу закона. А вот кафе может рассказывать об образовании шеф-повара только с его согласия.
Обрабатываются данные близких родственников работника для заполнения карточки Т-2, оформления соцвыплат, получения алиментов (п. 2 разъяснений Роскомнадзора). Но нельзя без согласия работников собирать сведения о датах рождения детей для вручения подарков к Новому году. Нельзя без согласия разглашать сведения о доходах сотрудника, даже если об этом просит его бывшая супруга для взыскания алиментов.
Обрабатываются данные уволенных работников для выполнения требований налогового, бухгалтерского учета (п. 5 разъяснений Роскомнадзора). Работодатели без согласия хранят заявления уволенных работников о предоставлении налоговых вычетов с копиями свидетельств о рождении детей. Поскольку по ч. 3 ст. 24 НК РФ работодатели, как налоговые агенты, обязаны 5 лет хранить документы, необходимые для исчисления налогов.

2 вида согласий работников на обработку персданных

Выше мы выявили случаи, когда можно обрабатывать данные без согласия работников. Во всех остальных ситуациях согласие нужно.

Есть 2 вида согласий на обработку:

Согласие на обработку персональных данных.
Согласие на обработку персданных, разрешенных работником для распространения.

Согласие на обработку персональных данных

Это «то самое, основное» согласие, про которое многие знают. В текст включают перечень персональных данных и список действий работодателя, которые он может делать с данными. Тут важно упомянуть нужные и не написать лишние данные, которые работодателю не нужны. Поэтому текст согласия для работников отличается от согласий для клиентов компании.

В этом же документе при необходимости прописывают согласия на обработку специальных категорий персональных данных (о национальности, состоянии здоровья, религиозных взглядах), биометрических (отпечатки пальцев, фотографии, видеоизображения) и на трансграничную передачу данных (передача данных кандидата на согласование учредителю компании заграницей).

Текст согласия можно оформить в виде отдельного документа или включить в состав трудового договора, п. 5 разъяснений Роскомнадзора. Его составляют по правилам ст. 9 закона о персональных данных.

Когда нужно

Работодатель должен получить согласие на обработку в следующих случаях:

Запрашивает данных больше, чем ему нужно по трудовому законодательству. Сравните:Нужно согласие Не нужно

Личный телефон работника для корпоративных визиток	ФИО и паспортные данные. Они нужны для оформления трудового договора
Фотография для пропуска	Номер диплома об образовании. Нужен для заполнения карточки Т-2
Личный электронный адрес для внутреннего справочника работодателя	Личный электронный адрес для выпуска неквалифицированной электронной подписи при кадровом ЭДО

Согласие на обработку персданных, разрешенных работником для распространения

Оно потребуется, если работодатель предоставляет данные работника неограниченному кругу лиц. Например, публикует фотографию работника на доске почета или на сайте компании.

Это самостоятельный документ, он оформляется отдельно от предыдущего согласия по требованиям ст. 10.1. закона о ПД и приказа Роскомнадзора 18 от 24.02.2021. Шаблон согласия можно составить онлайн, на сайте Роскомнадзора.

Когда нужно

Работодатель должен получить у работника согласие на обработку персональных данных, разрешенных работником для распространения, если раскрывает персональные данные работников неопределенному кругу лиц, п. 5 ст. 3 закона о ПД. И согласие не нужно, если распространение происходит по требованию закона.

Информация о дипломе на сайте компании

Нужно согласие работников на публикацию на сайте их ФИО, данных об образовании.

Без согласия врачей больница публикует ФИО медработников, их должности, даты выдачи диплома об образовании, специальности, квалификации, срока действия сертификата специалиста. Поскольку обязана это делать по подп. 7 ч. 1 ст. 79 закона 323-ФЗ от 21.11.2011 Об основах охраны здоровья граждан.

Без согласия учителей школа публикует на сайте ФИО, должность, преподаваемые предметы и информацию об образовании педагогического работника. Поскольку обязана это делать по п. 11 Правил, утв. Постановлением Правительства 1802 от 20.11.2021.

Публикация ФИО и телефона

Нужно согласие менеджера на публикацию его ФИО, электронной почты, телефона.

Но без согласия администрация города публикует ФИО и телефон должностного лица, которое обязано вести приемы граждан. Это предусмотрено пп. б ч. 1 ст. 13 закона 8-ФЗ от 09.02.2009 об обеспечении доступа к информации о деятельности госорганов и ОМСУ.

Предоставление персданных по запросу адвоката

Нужно согласие работника на передачу его данных третьим лицам, в том числе адвокату.

Но согласие не нужно, если адвокат действует по поручению работника. Например, по доверенности от этого работника, на основании соглашения об оказании юридической помощи с этим работником или ордера на оказание услуг этому работнику. См. п. 1 ст. 6.1 закона 63-ФЗ от 31.05.2002 «Об адвокатской деятельности и адвокатуре в РФ», Постановление Костромского областного суда 4А-97/2018 от 21.03.2018.

Предоставление персданных по запросу полиции

Нужно согласие, если запрос полицейского не соответствует закону, не содержит нужных реквизитов, подписан неуполномоченным лицом.

Но без согласия работника работодатель обязан передать персональные данные полиции, если запрос корректно оформлен и поступил в связи с расследованием уголовных дел, административных правонарушений, проверкой зарегистрированных сообщений о преступлениях (ч. 1 ст. 13 закона о полиции 3-ФЗ от 07.02.2011).

Работодатели обязаны предоставлять персональные данные граждан по запросам госорганов в случаях, установленных федеральными законами (п. 2 ст. 88 ТК РФ).

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

в течение трех рабочих дней с момента обращения;
или в срок, указанный в постановлении суда;
или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

Оформление согласия

Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, разработаны Роскомнадзором, но не утверждены. Пока шаблон согласия не утвержден, приведем образец с учетом этих требований. Об изменениях будем держать вас в курсе.

Категория персональных данных	Перечень персональных данных	Разрешаю к распространению (да/нет)	Разрешаю к распространению не-ограниченному кругу лиц (да/нет)	Условия и запреты	Дополнительные условия
Общие персональные данные	Фамилия	Да	Да
	Имя	Да	Да
	Отчество	Да	Да
	Год рождения	Нет	Нет
	Месяц рождения	Да	Да
	Дата рождения	Да	Да
	Место рождения	Да	Нет
	Адрес	Нет	Нет
	Семейное положение	Да	Нет	Только сотрудникам отдела кадров
	Образование	Да	Нет
	Профессия	Да	Нет
	…	…	…
Специальные категории персональных данных	Состояние здоровья	Да	Нет	Только сотрудникам отдела кадров
	Сведения о судимости	Да	Нет	Только сотрудникам отдела кадров
	…	…	…
Биометрические персональные данные	Цветное цифровое фотографическое изображение лица	Да	Да
Биометрические персональные данные	…	…	…

Сведения об информационных ресурсах Оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных:

Настоящее согласие дано мной добровольно и действует с 01.03.2021 по 31.12.2021.

Оставляю за собой право потребовать прекратить распространять мои персональные данные. В случае получения требования Оператор обязан немедленно прекратить распространять мои персональные данные, а также сообщить перечень третьих лиц, которым персональные данные были переданы.

«01» марта 2021 г. Иванов Иванов И. И.

Роскомнадзор отметил, что указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку данных, согласия на их обработку в соответствии с требованиями ст. 9 – 11 Закона № 152-ФЗ.

Подчеркнем, что в согласии должен быть отражен конкретный срок его действия (определенный период времени или дата окончания срока действия). При этом не допускается ни указание об автоматической пролонгации срока действия согласия, ни определение срока его действия путем установления бессрочного статуса или указания на событие, наступление которого возможно в долгосрочной перспективе.

Итак, если вы размещаете информацию о работниках в открытом доступе и еще не получили от них согласие, срочно его запросите. Ведь требования к защите персональных данных становятся жестче, поправки в ст. 13.11 «Нарушение законодательства РФ в области персональных данных» КоАП РФ вступят в силу 27 марта 2021 года (Федеральный закон от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»).

Так, обработка персональных данных без письменного согласия повлечет за собой уже двойные штрафы:

6 000 – 10 000 руб. для граждан;
20 000 – 40 000 руб. для должностных лиц;
30 000 – 150 000 руб. для организаций.

Если нарушение повторится, штраф составит:

10 000 – 20 000 руб. для граждан;
40 000 – 100 000 руб. для должностных лиц;
300 000 – 500 000 руб. для организаций.

Защита персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Конкретный перечень документов, регламентирующих порядок обработки персональных данных работников, законом не установлен. При этом есть обязательный минимум документов, которые должны быть у всех работодателей.

Положение о персональных данных

Как правило, организации издают положение о персональных данных или иной локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. Важно утвердить положение приказом руководителя и ознакомить с ним работников под подпись (ст. 88 ТК РФ, п. 15 Положения об обработке персональных данных).

Форму положения утверждает сама организация. Определите в документе для каждой цели обработки:

категории и перечень персональных данных;
категории субъектов персональных данных;
способы и сроки обработки и хранения данных;
порядок уничтожения персональных данных, когда достигли цели их обработки или наступили иные законные основания.

Большинство организаций используют электронные системы хранения и обработки персональных данных.

Чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, работодателю достаточно:

обезопасить от неконтролируемого проникновения помещения, в которых размещена информационная система;
обеспечить сохранность носителей персональных данных;
защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.

Политика обработки персональных данных

Если клиенты регистрируются на сайте организации и оставляют свои персональные данные, то в таком случае политика обработки персональных данных становится обязательным документом. Потребуется разработать и опубликовать на сайте организации документ, который определяет политику в отношении защиты и обработки персональных данных.

Организация должна обеспечить доступ через интернет к сведениям о том, какие меры принимает, чтобы защитить персональные данные (ч. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).

В политику обработки персональных данных в том числе включают:

основные понятия, которые используют в документе;
сведения о цели обработки персональных данных;
основания обработки данных;
категории обрабатываемых данных и их субъектов;
порядок и условия обработки данных;
права и обязанности субъектов данных и прочее.

Положение о защите персональных данных

С 1 сентября 2022 г. каждый работодатель обязан разработать и утвердить локальный акт, который определит процедуры по предотвращению, выявлению и устранению последствий нарушения закона о персональных данных.

Меры защиты, которые принимаются, чтобы предотвратить, выявить и устранить нарушения закона о персональных данных, нужно установить в локальном акте организации. Например, в положении о защите персональных данных.

К таким мерам можно отнести, например, установку антивирусных программ или назначение ответственных за защиту персональных данных в компании. Выбор мер защиты зависит от того, каким способом работодатель обрабатывает персональные данные – вручную или через компьютерные программы.

Приказ о назначении ответственного за обработку персональных данных

Работодатель обязан назначить сотрудника, который будет отвечать за обработку персональных данных (ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ). Чаще всего для этой роли выбирают сотрудника кадровой службы организации. Для этого необходимо издать соответствующий приказ. Скачайте образец приказа.

При этом ответственным за обработку персональных данных в компании может быть только один человек. Будет считаться нарушением назначение ответственным за персональные данные сотрудников кадрового специалиста, а за данные клиентов компании, например, начальника отдела продаж. Организация за такое нарушение будет оштрафована. Информацию об ответственном нужно не забыть подать в реестр Роскомнадзора.

Приказ о назначении ответственного за обработку персональных данных составляется по форме, которую разрабатывает организация и отдается ему на подпись. В приказе необходимо прописать обязанности лица, ответственного за организацию обработки персональных данных:

проведение внутреннего контроля за тем, как работодатель и другие сотрудники соблюдают закон о персональных данных, в том числе требования к их защите;
доведение до сведения сотрудников организации положения закона о персональных данных, локальных актов по вопросам обработки данных, требований к их защите;
организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей, контроль приема и обработки таких обращений и запросов.

В законе предусмотрена возможность работодателя поручить обработку персональных данных другому лицу, которое не является сотрудником организации. В этом случае ответственность перед сотрудником за действия такого лица будет нести сам работодатель. Лицо, которое осуществляет обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед ним (ч. 3, 5 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

Чтобы ответственный мог выполнять свои обязанности, работодатель обязан передать ему необходимые сведения. К ним относятся:

наименование, адрес работодателя;
цель обработки персональных данных;
категории персональных данных;
категории субъектов, персональные данные которых обрабатывают;
правовое основание обработки персональных данных;
перечень действий с персональными данными, общее описание способов обработки данных;
описание мер по обработке данных, в том числе сведения о шифровальных средствах и др.

Обязательство о неразглашении персональных данных

Работодатель должен обеспечить защиту персональных данных сотрудников от их неправомерного использования или утраты. С сотрудниками, которые имеют доступ к персональным данным, нужно оформить обязательство об их неразглашении.

При этом привлечь к ответственности за неразглашение таких данных можно в случае, если они стали известны им в связи с исполнением трудовых обязанностей и работники обязались не разглашать такие сведения (п. 7 ст. 86 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2). Условие о неразглашении закрепляется в дополнительном соглашении к трудовому договору.

Документы внутреннего контроля

При возможной проверке инспекторы могут поинтересоваться, есть ли у организации документы внутреннего контроля. Поэтому нужно заранее озаботиться разработкой документов внутреннего контроля обработки персональных данных. Например, это могут быть протоколы, планы внутреннего аудита, правила внутреннего контроля, а также материалы проверочных мероприятий.

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Журналы учета персональных данных

Работодатель обязан соблюдать режим конфиденциальности персональных данных своих сотрудников. Следует ограничить и регламентировать состав работников, функциональные обязанности которых требуют доступа к персональным данным других работников. Не лишним также будет вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.

В журнале учета внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов, срок пользования, цели выдачи, наименование выдаваемых документов. Лицо, которое возвращает документ, должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Помимо этого, также следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника.

Требования к помещению, где хранятся персональные данные

Работодатель может предусмотреть в локальном нормативном акте требования к помещениям, в которых находятся носители информации (например, компьютеры с базами данных, документы на бумажных носителях), содержащие персональные данные работников.

Обращаем внимание, что Закон о персональных данных и Трудовой кодекс РФ не устанавливают каких-либо требований к упомянутым помещениям. Представляется, что работодатель может определить особый порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных, требования к оборудованию, определить состав работников, имеющих право доступа в данные помещения.

Определить новые сроки работы с обращениями субъектов ПД

сообщать информацию по запросу субъекта ПД или его представителя, либо дать письменный отказ в предоставлении информации по законным основаниям в течение 10 рабочих дней;
актуализировать ПД по обращению гражданина в течение 7 рабочих дней;
уничтожить полученные незаконно или не являющиеся необходимыми для заявленной цели персональные данные в течение 7 рабочих дней после получения требования субъекта ПД или его представителя;
незамедлительно блокировать ПД по информации от гражданина о неправомерной обработке, а при выявлении факта неправомерной обработки прекратить её в течение 3 рабочих дней и уничтожить ПД в течение 10 рабочих дней.

Отдельные сроки установлены для случаев, когда субъект ПД отозвал согласие . Если личная информация использовалась в рекламных целях или для политической агитации, то её обработку нужно прекращать немедленно с момента получения требования гражданина.

В остальных случаях у оператора есть 30 дней с момента отзыва согласия на то, чтобы прекратить использование ПД и уничтожить их. Другие сроки могут быть установлены только договором с гражданином или нормами права.

Конкретные сроки для действий оператора появились в законе о персональных данных с 1 сентября 2022 года. Поэтому нужно внести соответствующие изменения в локальные акты и ознакомить с ними тех сотрудников, которые работают с персональными данными.

С 1 марта 2023 года вступит в силу новый порядок трансграничной передачи ПД по ст. 12 закона 152-ФЗ . Он касается случаев, когда оператор отдаёт какие-то персональные данные российских граждан в иностранные государства.

До 1 марта 2023 года ИП и компании должны будут уведомить Роскомнадзор о своём намерении осуществлять трансграничную передачу данных. Это отдельная форма сообщения, не связанная с включением в Реестр операторов.