Как работать с персональными данными работников в 2023 году

Опубликовано

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как работать с персональными данными работников в 2023 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Обработка персональных данных в 2023 году
2. Уничтожение персональных данных: новые правила
3. Что входит в обязанности работодателя
4. Как передать обработку ПД третьим лицам
5. Рекомендации по составлению Политики
6. Разработка документов по персональным данным в организации согласно действующим правовым нормативам
7. Контроль и ответственность операторов персональных данных за нарушения
8. Как и когда необходимо информировать Роскомнадзор об утечке данных
9. Кому нужно защищать персональные данные
10. Обработка персональных данных
11. Согласие работника на обработку персональных данных
12. Формирование и ведение личного дела
13. Документы для личного дела работника и его формирование
14. Уведомление Роскомнадзора об обработке персональных данных работников
15. Уничтожение персональных данных: новые правила

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Обработка персональных данных в 2023 году

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.

Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве. Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.

Уничтожение персональных данных: новые правила

Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о персональных данных. В документе прописаны порядок и требования к данной процедуре.

Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.

Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала, где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом. В нём дописывают недостающую информацию. Срок хранения акта 3 года.

Что входит в обязанности работодателя

С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).

Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).

Что обязан сделать работодатель:

  • назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
  • издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
  • проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
  • оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
  • ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
  • соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

  • перечень обрабатываемых персональных данных;
  • обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
  • обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
  • обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).
Читайте также:  Когда можно повторно встать на биржу труда в 2023 году

Рекомендации по составлению Политики

Итак, поскольку обязанность по созданию Политики существует давно, в большинстве организаций она разработана, правда, не факт, что опубликована. Иногда Политику публикуют так, что ее сложно найти. Поэтому организациям следует рассмотреть этот документ с учетом Рекомендаций и при необходимости внести изменения путем утверждения нового документа, разместив его в соответствии с требованиями законодательства. А работодателям, у которых этого документа нет, следует его срочно составить, руководствуясь Рекомендациями.

Обратите внимание: рекомендации изданы в целях выработки унифицированного подхода к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных.

Итак, исходя из Рекомендаций, в Политику надо включить такие разделы:

Разработка документов по персональным данным в организации согласно действующим правовым нормативам

Центр безопасности данных является высокопрофессиональным интегратором систем защиты персональных данных. В штате нашей компании присутствуют как специалисты технического, так и юридического профиля, которые в синтезе дают прекрасное сочетание для разработки различных комплектов документации, соответствующих предъявляемым техническим требованиям и правовым нормам.

Подготовка документации по ПДн осуществляется на основе тщательного изучения положений не только ФЗ-152, но и Постановлений Правительства и других нормативных актов, регулирующих вопросы обеспечения безопасности личных сведений граждан при их хранении и обработке. Наш центр разрабатывает документы с учетом Приказа ФСТЭК РФ № 21 от 18 февраля 2013 года и Постановления Правительства № 1119 от 01.11.2012. Как лицензиат Федеральной службы по техническому и экспортному контролю мы точно знаем, какие требования предъявляются данной организацией, что позволяет эффективно помогать компаниям, нацеленным на прохождение аттестации.

Пакет документов, регламентирующих вопросы обработки и защиты персональных данных, разрабатывается индивидуально для вашей компании и состоит из более чем 40 документов от концепций и положений до шаблонов уведомлений и образцов писем.

Контроль и ответственность операторов персональных данных за нарушения

Роскомнадзор контролирует операторов персональных данных в рамках контрольных мероприятий трёх типов:

  • инспекционный визит;
  • документарную проверку;
  • выездную проверку.

За невыполнение обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, организацию могут привлечь к административной ответственности. Например, максимальный штраф для организации:

  • за невыполнение в установленные сроки требования субъекта персональных данных (его представителя) либо Роскомнадзора об уточнении персональных данных в случае, когда они являются неполными, устаревшими, неточными, составляет 90 тыс. руб., за повторное правонарушение – 500 тыс. руб. (ч. 5, 5.1 ст. 13.11 КоАП РФ);
  • за невыполнение при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обязанности обеспечить, в частности, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, составляет 6 млн руб., за повторное правонарушение – 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП РФ).
    Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.

Как и когда необходимо информировать Роскомнадзор об утечке данных

У операторов появится новая обязанность: взаимодействовать с ГОССОПКА и информировать госорганы о компьютерных инцидентах, которые повлекли утечку персональных данных. В отношении ГОССОПКА пока не ясно, что именно будут требовать от операторов персональных данных. Порядок взаимодействия и обязанности должна будет установить ФСБ.

Ч. 12 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Конкретные требования закон установил к тому, как уведомлять госорганы о неправомерной или случайной передаче персональных данных. Оператор, если выявил такой факт, обязан в течение 24 часов уведомить Роскомнадзор об инциденте.

В таком уведомлении необходимо указать предполагаемые причины и вред, перечислить, какие меры приняла компания, чтобы устранить последствия. Также следует предоставить сведения о лице, которое будет взаимодействовать с Роскомнадзором.

В течение 72 часов с момента, когда выявили инцидент, оператор должен уведомить Роскомнадзор о результатах внутреннего расследования, а также предоставить сведения о лицах, чьи действия стали причиной инцидента.

Требование информировать госорганы об утечке персональных данных — новелла для российского законодательства. Однако похожие требования уже есть в законодательстве об объектах критической информационной инфраструктуры.

КоАП предусматривает штраф до 500 тыс. руб. для субъектов КИИ, если они не проинформируют об инцидентах.КоАП-1 Поэтому есть вероятность, что для операторов персональных данных тоже введут повышенный штраф. Однако пока что оператора, который не уведомит чиновников об утечке, можно оштрафовать до 5 тыс. руб. по общей норме Ко АП о непередаче сведений госорганам.

Кому нужно защищать персональные данные

Любое предприятие или организация для своей работы взаимодействует как минимум с бухгалтерией и кадрами, а также поддерживает клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону должны обязательно защищать ПДн.

Читайте также:  Обеспечение жильем молодых семей

Защищать персональные данные нужно как минимум, чтобы обеспечить выполнение требований регуляторов, чтобы в результате проверок не понести наказание за отклонения от требований. Но кроме этого мотива нужно помнить, что количество киберугроз и выявленных инцидентов растёт год от года, и это при том, что почти все компании и организации переводят в формат онлайн многие бизнес-процессы. Защита персональных данных – отличный повод создать эффективную систему защиты своего бизнеса от кибератак.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

    Формирование и ведение личного дела

    Личные дела могут вестись на всех сотрудников или только на определенных (например, на руководящий состав, сотрудников бухгалтерии, материально ответственных лиц и т. п.). Оформлением личного дела в большинстве случаев занимается сотрудник отдела кадров, назначенный ответственным за их ведение и хранение. В обязанности данного работника обычно входит формирование личного дела, внесение в него различных записей, помещение и изъятие документов, заверка копий, ведение внутренней описи, периодическая проверка состояния дел и т. д.

    Формирование личного дела начинается в момент приема сотрудника на работу и ведется в течение всей его трудовой деятельности в данной организации. Каждое личное дело должно храниться в отдельной папке, на титульном листе которой указываются:

    • наименование организации;
    • структурное подразделение, в котором сотрудник работает;
    • номер личного дела;
    • заголовок, то есть Ф. И. О. сотрудника;
    • дата начала ведения личного дела (обычно это дата издания приказа о приеме на работу);
    • дата окончания его ведения (дата издания приказа об увольнении);
    • количество листов самого дела (лучше всего данную графу заполнять при сдаче лчного дела в архив);
    • срок хранения (прописывается при закрытии личного дела).

    Бланк титульного листа приведен в приложении 11 к Основным правилам работы архивов организаций (далее – Правила), одобренным решением Коллегии Росархива от 06.02.2002 г.

    После заполнения титульного листа в папку помещаются все необходимые документы в хронологическом порядке. Однако очень часто возникают вопросы о порядке расположения документов, предъявляемых работником, и бумаг, фиксирующих факт трудоустройства. Связано это с тем, что на них практически всегда стоит одна и та же дата. В большинстве случаев данные бумаги располагаются следующим образом:

    • личная карточка по форме Т-2;
    • анкета;
    • резюме;
    • заявление о приеме на работу;
    • копия приказа о приеме на работу;
    • трудовой договор;
    • копии паспорта, СНИЛС, ИНН (при наличии), документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу) и т. д.

    Одновременно с личным делом начинают вести его внутреннюю опись, которая составляется на отдельном листе и прикрепляется к делу. Опись составляется для учета документов постоянного и временного (свыше 10 лет) хранения. Внутренняя опись заполняется на протяжении всего времени ведения личного дела. В ней фиксируются поступления новых документов либо изъятие бумаг (например, срок хранения закончился), а также замена подлинников копиями. Бланк внутренней описи приведен в приложении 10 к Правилам и должен содержать:

    • номер и заголовок (Ф. И. О. работника) личного дела, к которому она составляется;
    • графу «порядковый номер документа»;
    • графу «индекс документа» (заполняется при наличии);
    • графу «дата документа»;
    • графу «заголовок документа»;
    • графу «дата включения документа в личное дело»;
    • графу «примечание», в которой обычно отражается изменение состава документов дела (изъятия, замена копиями и т. д.).
    Читайте также:  Капитал «Семья» для ульяновцев: кому, как получить и на что потратить

    Все личные дела регистрируются в журнале учета. Форма журнала не утверждена, и его можно изготовить самостоятельно. Чаще всего в графы заносятся номера личных дел, даты их заведения, заголовки, даты закрытия.

    Документы для личного дела работника и его формирование

    После увольнения работника его личное дело передается на хранение. На основании Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденного Приказом Минкультуры РФ от 25.08.2010 № 558, личные дела должны храниться в учреждении 75 лет.

    Однако прежде, чем передать дело на хранение после увольнения работника, оттуда следует изъять копии паспорта, СНИЛС, документов об образовании и других предоставленных работником документов, содержащих его персональные данные (п. 7 ст. 5 Закона № 152-ФЗ). Эти данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Поэтому в личном деле оставляют только оригиналы и копии документов, которые касаются работы в учреждении. На них также составляются описи.

    Из документов личного дела извлекаются все скрепки и скобы степлера.

    При передаче дел в архив, если они небольшие, допускается сшивать их в «наряды». В этом случае составлять внутренние описи к каждому личному делу не обязательно. Но в начале наряда необходимо поместить общую внутреннюю опись вошедших в него личных дел – после обложки.

    * * *

    Остается отметить, что если вы решили оформлять на работников личные дела, то для начала желательно установить порядок их формирования, хранения, использования и защиты локальным актом организации. Кроме этого, возможно, придется приобрести специальные шкафы или сейфы. Ну и конечно, не следует забывать о том, что к работнику, осуществляющему обработку персональных данных и ответственному за их хранение, и к организации могут быть применены меры административной ответственности по ст. 13.11 КоАП РФ, согласно которой обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями их сбора, влечет предупреждение или наложение административного штрафа: на должностных лиц – от 5 000 до 10 000 руб., на юридических лиц – от 30 000 до 50 000 руб.

    Уведомление Роскомнадзора об обработке персональных данных работников

    Ранее компании-работодатели вправе были не уведомлять Роскомнадзор об обработке персональных данных работников, в том случае, когда такая обработка происходила в соответствии с трудовым законодательством. Данное исключение было предусмотрено подп. 1 п. 2 ст. 22 Закона 152-ФЗ.

    С 1 сентября 2022 года данная норма утратила силу. Соответственно, даже если компания обрабатывает персональные данные своих сотрудников исключительно в целях соблюдения трудового законодательства, необходимо уведомить об этом Роскомнадзор.

    Изменился и состав сведений, которые должно содержать уведомление (п. 3.1 ст. 22 закона 152-ФЗ). Оператор должен указать для каждой цели обработки персональных данных (далее – ПДн):

    • категории ПДн;
    • категории субъектов, персональные данные которых обрабатываются;
    • правовое обоснование обработки ПДн;
    • перечень действий с ПДн;
    • способы обработки ПДн.

    Уничтожение персональных данных: новые правила

    Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о персональных данных. В документе прописаны порядок и требования к данной процедуре.

    Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.

    Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала, где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом. В нём дописывают недостающую информацию. Срок хранения акта 3 года.


    Похожие записи:

    Добавить комментарий