Яндекс.Метрика
Компания «Территория»
WhatsApp WhatsApp
Услуги
Компания
Отрасли
Контакты
Новые правила обработки персональных данных для работодателей

Новые правила обработки персональных данных для работодателей

Почему изменились требования к обработке персональных данных? Утечки информации о личных данных граждан участились в последние годы, и государство намерено тщательнее следить за обработкой и защитой таких сведений. Для этого разработаны новые правила, утвержденные Федеральным законом от 14.07.2022 г. № 266-ФЗ.

Роскомнадзор разрешил отправлять уведомления о начале обработки персональных данных, не ограничивая компании предельным сроком, которым прежде считалось 1 сентября 2022 года.

Что изменилось для работодателей

О начале обработки персональных данных сообщают все операторы — государственные или муниципальные органы, юридический или физические лица, которые собирают и обрабатывают персданные. Все они числятся в специальном открытом реестре операторов на сайте Роскомнадзора.

С 1 сентября 2022 из закона «О персональных данных» исключили шесть случаев, когда компании могли не уведомлять Роскомнадзор о скорой обработке данных (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ), и норма стала строже. Теперь большему числу работодателей нужно отчитаться перед ведомством. Это касается компаний, которые обрабатывают персданные сотрудников, подрядчиков на договорах ГПХ, клиентов компании, посетителей и других лиц, которые сообщают свои фамилию, имя и отчество.

От подачи уведомления компания освобождается только в таких ситуациях:

  • если персональные данные включены в государственные защищенные информационные системы;
  • если оператор собирает персональные данные строго без средств автоматизации: например, записывает в тетрадь от руки (бухгалтерская программа или таблицы Excel на компьютере — это уже средства автоматизации);
  • если данные обрабатывают в целях устойчивой и безопасной работы транспорта, защиты интересов личности, общества и государства в сфере транспорта согласно законам РФ.

Кто должен отправить уведомление в Роскомнадзор

Прежде всего работодателю нужно проверить, есть ли его компания в реестре Роскомнадзора. Это можно сделать на сайте ведомства в разделе «Реестр операторов». Для поиска достаточно ввести ИНН или ОГРН компании. Если организация числится в реестре, отправлять уведомление не нужно.

Если компании или ИП нет в реестре, нужно подать уведомление о начале работы с персональными данными. В течение месяца после получения уведомления Роскомнадзор добавит организацию или ИП в реестр операторов. При отправке письма в бумажном виде отсчет идет с даты его получения территориальным отделением.

В какие сроки и по какой форме подать уведомление

Сейчас уведомить о сборе личных данных можно через форму, утвержденную приказом Роскомнадзора от 30.05.2017 № 94, в тексте приказа есть и порядок заполнения формы. Перечень сведений, которые нужно указать в уведомлении, приведен в ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.

В ведомстве предупредили, что скоро будут утверждены новые формы, но до этого оператор вправе воспользоваться текущей формой (Информация Роскомнадзора от 01.09.2022).

Составить и отправить уведомление нужно в местное отделение Роскомнадзора одним из способов:

  • на бумаге заказным письмом через Почту России;
  • в электронном виде через сайт Роскомнадзора — понадобится сертификат КЭП;
  • в электронном виде через ЕСИА.

В текущей форме уведомления нет некоторых полей, которые появятся в новой форме документа согласно частям 3 и 3.1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. А значит после утверждения новой формы работодателям придется передать уведомление о внесении изменений в ранее внесенные сведения: отдельно указать категории личных данных, которые запрашиваете, а еще для каждой цели обработки данных указать категории данных и категории лиц, которым принадлежат эти данные, и пояснить, что вы делаете с этими данными и на каком правовом основании.

Роскомнадзор сообщил, что предельный срок для отправки уведомления не назван и 1 сентября 2022 — не крайний срок (информация от 01.09.2022). Вероятно, при такой трактовке ведомство не будет штрафовать тех, кто задержался с подачей уведомления. Но все же рекомендуем не откладывать эту задачу и воспользоваться текущей формой уведомления, а после утверждения новой внести дополнения в ранее переданные сведения.

В уведомлении нужно указать дату, с которой оператор начали обработку персональных данных. Специалисты Роскомнадзора разъяснили, что такой датой считается день государственной регистрации компании или ИП (информация пресс-службы ведомства от 25.08.2022).

Какие сведения еще нужно передавать

Уведомление подают один раз, не перечисляя в нем сотрудников, поэтому при найме новых работников или получении данных от новых клиентов не придется отправлять новые уведомления.

В некоторых случаях оператор должен передать дополнительные сведения:

  • при изменении в составе собираемых персональных данных: например, вы начали спрашивать сотрудников об их семейном положении, хотя раньше этого не делали — передайте по форме письма о внесении изменений в сведения (утверждено приказом Роскомнадзора от 30.05.2017 № 94);
  • при смене сотрудника, ответственного за обработку персональных данных — передайте по форме актуального уведомления;
  • при прекращении обработки данных: например, закрытии компании — передайте по форме заявления о прекращении обработки данных (утверждено приказом Роскомнадзора от 30.05.2017 № 94).

Сообщить об этих изменениях нужно в течение 10 рабочих дней (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

Также компании обязаны отвечать на запросы сотрудников и Роскомнадзора о том, какие персданные они собирают. На ответ теперь дается 10 рабочих дней, а не 30, как прежде (ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ).

Для лучшей защиты данных операторы должны взаимодействовать с ФСБ и подключиться к ГосСОПКА — системе предотвращения кибер-атак на российские информационные ресурсы. Если происходит утечка личных данных, оператор должен в течение суток уведомить об этом ГосСОПКА и назвать возможные причины, а в течение трех суток подготовить отчет о причинах и причастных лицах. Как именно подключаться к ресурсу ФСБ и что еще потребуется от оператора, определено в п. 12 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ.

Что стоит проверить в персональных данных

Закон разрешает работодателям обрабатывать личные данные только в некоторых целях. Это связано с такими ситуациями:

  • заполнение трудового договора, передача сведений в контролирующие органы;
  • содействие карьерному росту и обучению сотрудников;
  • забота о личной безопасности сотрудников;
  • контроль объемов и качества выполняемой работы;
  • сохранность имущества предприятия.

Если личные данные не связаны с этими целями, работодатель не вправе их запрашивать, даже если сотрудник не возражает. Также нельзя обрабатывать данные из особых категорий: о расовой или национальной принадлежности, религиозных и политических убеждений, личной жизни и состояния здоровья, членстве в общественных организациях.

У всех лиц, от которых вы получили персональные данные, нужно взять согласие на их обработку. В согласии указывают цель сбора данных — ясно и без размытых формулировок.

Итак, прежде всего, важно проверить, числится ли компания в реестре операторов на сайте Роскомнадзора. Если нет — подать уведомление о начале сбора и обработки персональных данных по текущей форме, в качестве даты начала обработки указать дату регистрации компании или ИП. Когда ведомство утвердит новую форму уведомления, стоит воспользоваться ею для отправки дополнительных сведений, которые не удалось указать в первый раз. Затем подключиться к ГосСОПКА и вовремя уведомлять ведомства об изменениях в обработке данных и утечках.