Тема про новый закон о персональных данных 2022 – одна из самых актуальных за последнее время. Прямо сейчас расскажем, что это за закон, и какие важные изменения он повлечет для граждан и компаний. А также детально разберем все новые правила работы с персональными данными.
Вопрос: Кто должен уведомить Роскомнадзор об обработке персональных данных
Ответ: Из Закона о персональных данных исключили большинство случаев, когда компаниям не нужно было уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные.
Таким образом, следует проинформировать ведомство, если компания собирается обрабатывать, в частности, персональные данные (ссылки ведут на утратившие силу нормы о случаях, когда уведомление не требовалось):
— клиентов (когда данные о них нужны исключительно для заключения и исполнения договоров);
— физлиц, которые разрешили их распространять;
— физлиц — только в части Ф.И.О.;
— физлиц — для однократного пропуска на территорию или в аналогичных целях.
Если для обработки персональных данных не используют средства автоматизации, уведомлять ведомство не нужно. Например, данные о посетителях организации записывают в бумажный журнал при выдаче им разовых пропусков.
Роскомнадзор указал: уведомление нужно подать также и тем, кто уже обрабатывал персональные данные в ситуациях, которые ранее считались исключением. Крайний срок подачи уведомления не определен.
Где найти ответ?
Обзор: «Персональные данные: какие изменения учесть компаниям с 1 сентября 2022 года» (КонсультантПлюс, 2022)
Вопрос: Когда нужно уведомить Роскомнадзор об обработке персональных данных?
Ответ: Предельный срок уведомления Роскомнадзора об обработке персональных данных не определен. Таким образом, 1 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных.
Где найти ответ?
<Информация> Роскомнадзора от 01.09.2022 «Об изменениях в законодательстве о персональных данных»
Вопрос: Как заполнить уведомление об обработке персональных данных?
Ответ: Уведомление рекомендуется оформлять на бланке оператора (п. 3.1.13 Рекомендаций). Оно может быть составлено и направлено в уполномоченный орган как на бумажном носителе, так и в электронной форме (ч. 3 ст. 22 Закона, п. 3.2 Рекомендаций). Об особенностях заполнения и представления уведомления в электронной форме см. в разделе о представлении уведомления в уполномоченный орган.
В уведомлении указываются следующие сведения.
1. Наименование (Ф.И.О.), адрес оператора.
Операторы — юридические лица отражают в этой графе (п. 3.1.1.1 Рекомендаций):
— полное наименование с указанием организационно-правовой формы, а также сокращенное наименование;
— для юридических лиц с филиальной структурой — наименование филиалов (представительств), осуществляющих обработку персональных данных;
— адрес оператора.
Следует отметить, что в силу п. 2 ст. 54 ГК РФ место нахождения определяется местом государственной регистрации на территории РФ путем указания лишь населенного пункта (муниципального образования). Сведения об адресе юридического лица в пределах данного населенного пункта содержатся в ЕГРЮЛ (абз. 1 п. 3 ст. 54 ГК РФ). В связи с этим адрес организации необходимо отразить в соответствии с данными ЕГРЮЛ;
— ИНН;
— ОГРН.
Операторы — физические лица указывают (п. 3.1.1.2 Рекомендаций):
— фамилию, имя, отчество (при наличии);
— адрес оператора;
— данные документа, удостоверяющего личность, дату выдачи, наименование органа, выдавшего документ;
— ИНН (при наличии).
Операторы — государственные и муниципальные органы указывают (п. 3.1.1.3 Рекомендаций):
— полное и сокращенное наименования;
— наименование территориальных органов, осуществляющих обработку персональных данных;
— адрес оператора;
— ИНН;
— ОГРН.
Кроме того, при указании наименования (фамилии, имени, отчества), адреса оператора, а также направления деятельности рекомендуется использовать ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).
2. Правовое основание обработки персональных данных.
В этой графе рекомендуется указать весь перечень нормативных правовых актов, которые закрепляют основания и порядок обработки оператором персональных данных и соответствуют его полномочиям. Не рекомендуется указывать в качестве правового основания ч. 1 ст. 6 Закона N 152-ФЗ.
В случае осуществления лицензируемого вида деятельности следует также указать номер, наименование лицензии на осуществляемый вид деятельности и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся субъектов персональных данных) (при наличии такого запрета).
3. Цель обработки персональных данных.
Согласно п. 3.1.2 Рекомендаций в этой графе следует указать цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.
4. Категории персональных данных.
В этой графе рекомендуется учитывать все категории персональных данных, подлежащих обработке (п. 3.1.3 Рекомендаций).
К ним могут быть отнесены (п. п. 2.5 — 2.7 Рекомендаций):
— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных): фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация;
— специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни). Случаи, когда допускается обработка специальных категорий персональных данных, установлены ч. 2, ч. 2.1 ст. 10 Закона;
— биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных). К ним относятся физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, голос и др.), а также иные физиологические или биологические характеристики человека, в том числе его изображения (фотография и видеозапись) (Письма Минцифры России от 17.07.2020 N ОП-П24-070-19433, Роскомнадзора от 10.02.2020 N 08АП-6782). Биометрические персональные данные могут обрабатываться оператором только при наличии письменного согласия субъекта персональных данных (за исключением случаев, установленных в ч. 2 ст. 11 Закона) (ч. 1 ст. 11 Закона).
5. Категории субъектов, персональные данные которых обрабатываются.
Согласно п. 3.1.4 Рекомендаций в этой графе указываются категории субъектов и виды отношений с ними (физическими лицами), например:
— работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором);
— физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором).
6. Перечень действий с персональными данными, общее описание используемых оператором способов их обработки.
В этой графе указываются действия оператора и описания используемых способов обработки персональных данных (п. 3.1.6 Рекомендаций):
— неавтоматизированная обработка персональных данных;
— исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
— смешанная обработка персональных данных.
При автоматизированной либо смешанной обработке персональных данных желательно отразить, передается полученная в ходе обработке информация по внутренней сети оператора (информация доступна лишь для строго определенных сотрудников), с использованием сети Интернет либо вообще не передается (п. 3.1.6 Рекомендаций). На практике уполномоченный орган может потребовать четкого указания в уведомлении соответствующих вариантов:
— «информация передается по внутренней сети юридического лица»;
— «информация не передается по внутренней сети юридического лица»;
— «информация доступна лишь для строго определенных сотрудников»;
— «информация передается с использованием сети общего доступа Интернет»;
— «без передачи полученной информации».
7. Описание мер, предусмотренных ст. ст. 18.1 и 19 Закона.
В этой графе оператор приводит (п. 3.1.7 Рекомендаций) описание мер, предусмотренных ст. ст. 18.1 и 19 Закона, предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
В ст. 18.1 Закона содержится перечень мер, направленных на обеспечение выполнения оператором обязанностей, установленных Законом. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения этих обязанностей (если иное не предусмотрено Законом или иными федеральными законами). К таким мерам могут относиться, в частности, следующие (ч. 1 ст. 18.1 Закона):
— назначение оператором-организацией лица, ответственного за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1 Закона);
— издание оператором-организацией документов, определяющих его политику в отношении обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1 Закона). Следует отметить, что Роскомнадзором разработаны Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных». При этом согласно разъяснениям Роскомнадзора к компетенции оператора отнесено определение структурного и содержательного наполнения политики в отношении обработки персональных данных (Письмо Роскомнадзора от 19.10.2021 N 08-71063);
— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона (п. 3 ч. 1 ст. 18.1 Закона);
| См. продолжение перечня — осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора (п. 4 ч. 1 ст. 18.1 Закона); — оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение его с принимаемыми оператором мерами (п. 5 ч. 1 ст. 18.1 Закона); — ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к их защите, документами, определяющими политику оператора в отношении их обработки, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников (п. 6 ч. 1 ст. 18.1 Закона). |
В уведомлении следует перечислить конкретные меры, которые будут приниматься оператором в соответствии со ст. 18.1 Закона.
В ст. 19 Закона предусмотрены возможные меры по обеспечению безопасности персональных данных при их обработке. Оператор должен принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий (ч. 1 ст. 19 Закона).
Примерный перечень таких мер приведен в ч. 2 ст. 19 Закона.
В уведомлении следует перечислить конкретные меры, которые будут приниматься оператором в соответствии со ст. 19 Закона. Необходимо отметить, что на практике уполномоченный орган особое внимание обращает на наличие в уведомлении конкретного перечня организационных и технических мер. К организационным мерам, в частности, можно отнести принятие организацией локальных нормативных актов (внутренних документов — приказов, положений, регламентов). К техническим мерам, например, относятся:
— защита от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах);
— защита паролем компьютеров с персональными данными;
— использование системы паролей при работе в сети (на портале);
— ограничение доступа к компьютерной технике для определенных категорий работников.
При смешанной обработке персональных данных уполномоченный орган может потребовать, чтобы перечень мер по обеспечению безопасности персональных данных был приведен отдельно для персональных данных на бумажных носителях и на электронных носителях.
В случае использования оператором шифровальных (криптографических) средств в уведомлении также указываются следующие сведения (п. 3.1.7 Рекомендаций):
— наименование используемых криптографических средств;
— класс средств криптографической защиты информации.
Такая информация предоставляется в соответствии с Приказом ФСБ России от 10.07.2014 N 378.
Кроме того, в данной графе оператор указывает фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты (п. 3.1.8 Рекомендаций).
Оператор-организация должен назначить лицо, ответственное за организацию обработки персональных данных (ч. 1 ст. 22.1 Закона). Оно должно получать указания непосредственно от исполнительного органа оператора и быть ему подотчетно (ч. 2 ст. 22.1 Закона). Обязанности лица, ответственного за обработку персональных данных, установлены в ч. 4 ст. 22.1 Закона.
8. Дата начала обработки персональных данных.
В этой графе рекомендуется указывать конкретную дату (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными (как правило, это дата начала осуществления оператором деятельности, закрепленной в уставных документах) (п. 3.1.9 Рекомендаций).
9. Срок или условие прекращения обработки персональных данных.
В этой графе указывается конкретная дата (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных (п. 3.1.10 Рекомендаций).
Таким основанием может являться, например, ликвидация юридического лица, аннулирование лицензии на осуществление соответствующего вида деятельности, вступившее в законную силу решение суда о прекращении оператором обработки персональных данных.
10. Сведения о наличии или отсутствии трансграничной передачи персональных данных.
В названной графе указываются сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки. При трансграничной передаче персональные данные передаются на территорию иностранного государства его органу власти, иностранному физическому или юридическому лицу (п. 11 ст. 3 Закона). В этом случае предполагается привести перечень иностранных государств, на территорию которых передаются персональные данные (п. 3.1.11 Рекомендаций).
Условия, при которых допускается трансграничная передача персональных данных, установлены в ст. 12 Закона.
11. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ.
В соответствии с п. 3.1.12 Рекомендаций в этой графе приводятся:
— наименование стран размещения базы данных;
— конкретные адреса местонахождения базы данных.
Согласно форме уведомления нужно указать наименование информационной системы (базы данных).
12. Сведения об обеспечении безопасности персональных данных.
Согласно п. 3.1.13 Рекомендаций в данной графе рекомендуется указать сведения об обеспечении безопасности персональных данных в соответствии с требованиями к их защите, установленными Правительством РФ. Правительством РФ утверждены, в частности:
— Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства РФ от 01.11.2012 N 1119);
— Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства РФ от 15.09.2008 N 687), в разд. III которого приведены меры по обеспечению безопасности персональных данных при такой обработке.
Уведомление рекомендуется оформлять на бланке оператора по форме, определенной Приложением 1 к Рекомендациям, и направлять в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе.
Уведомление должно быть подписано уполномоченным лицом (ч. 3 ст. 22 Закона).
Рекомендация: ни в Законе, ни в Рекомендациях не конкретизируется, какое именно лицо должно подписать уведомление. О возможном варианте (руководитель организации, лицо, наделенное такими полномочиями по доверенности) целесообразно уточнить в уполномоченном органе.
Где найти ответ?
Вопрос: Как обрабатывать персональные данные работников?
Ответ: Персональные данные работника — любая информация о человеке, имеющаяся у работодателя. Это Ф.И.О. и другие паспортные данные, ИНН, СНИЛС, номер телефона, сведения об образовании, доходах и др. (ст. 3 Закона N 152-ФЗ, Письмо Минкомсвязи от 28.08.2020 N ЛБ-С-074-24059).
Работодатели являются операторами персональных данных и с 01.09.2022 обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников. Организациям, еще не включенным в реестр операторов персональных данных, нужно направить уведомление об обработке персональных данных. А тем, кто уже есть в реестре, нужно уведомить Роскомнадзор о новой цели обработки персональных данных — обработке в рамках трудовых отношений (ст. 22 Закона N 152-ФЗ, Разъяснения Роскомнадзора).
В положении о защите персональных данных работников установите порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов. Утвердите положение приказом руководителя и ознакомьте с ним работников под роспись (ст. 88 ТК РФ, п. 15 Положения об обработке персональных данных).
Приказ об утверждении положения о защите персональных данных
ООО «Альфа» Приказ об утверждении Положения о защите персональных данных
На основании гл. 14 ТК РФ и Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»: 1. Утвердить Положение о защите персональных данных работников и ввести его в действие с 12.01.2022. 2. Утвердить перечень должностей работников, имеющих право доступа к персональным данным. 3. Начальнику отдела кадров Фролову Н.С. не позднее 19.01.2022: · ознакомить всех работников с Положением о защите персональных данных; · оформить с работниками, имеющими право доступа к персональным данным, письменное обязательство о неразглашении персональных данных работников.
Приложения: · Положение о защите персональных данных работников ООО «Альфа» · Перечень должностей работников, имеющих право доступа к персональным данным
Генеральный директор Иванов Иванов И.И. С приказом ознакомлен: Начальник отдела кадров Фролов Фролов Н.С. 12.01.2022 |
Назначьте ответственного за обработку персональных данных, с него и с остальных лиц, имеющих к ним доступ, возьмите обязательство о неразглашении.
Приказ о назначении ответственного за обработку персональных данных
ООО «Альфа» Приказ о назначении ответственного за обработку персональных данных
Назначить ответственным за организацию обработки персональных данных работников начальника отдела кадров Фролова Н.С.
Генеральный директор Иванов Иванов И.И. С приказом ознакомлен Фролов Фролов Н.С. 12.01.2022 |
Обязательство о неразглашении персональных данных
Обязательство о неразглашении персональных данных Я, Никанорова Елена Алексеевна (паспорт 45 19 727511, выдан 08.07.1999 ОВД «Восточное Дегунино» г. Москвы), понимаю, что получаю доступ к персональным данным работников ООО «Альфа» (ОГРН 1127785195230, ИНН 7722345678) и осуществляю их обработку в связи с исполнением своих обязанностей. Подтверждаю, что за исключением случаев, предусмотренных законодательством, не имею права передавать третьим лицам любые персональные данные работников ООО «Альфа», включая, но не ограничиваясь сведениями: · о паспортных данных; · образовании; · составе семьи; · воинском учете; · заработной плате; · адресе, телефоне; · месте работы или учебы членов семьи; · данных банковских счетов и карт. Я ознакомлена с Положением о защите персональных данных работников ООО «Альфа» и предупреждена, что за разглашение персональных данных работника я могу быть привлечена к ответственности, предусмотренной трудовым, гражданским, административным и уголовным законодательством.
Главный бухгалтер Никанорова Никанорова Е.А. 18.01.2022 |
При приеме на работу оформите согласие работника на обработку персональных данных. Можно сделать отдельный документ или включить условие о согласии в трудовой договор.
Срок действия согласия закон не ограничивает, поэтому можно указать любой срок. Например, до дня его отзыва (ст. 9 Закона N 152-ФЗ).
Согласие на обработку персональных данных
Генеральному директору ООО «Альфа» Иванову И.И. от бригадира цеха N 1 Петрова П.П. Согласие на обработку персональных данных Я, Петров Петр Петрович (паспорт 45 13 356201, выдан 23.05.2013 отделением УФМС России по г. Москве по району Обручевский, место жительства — г. Москва, ул. Профсоюзная, д. 94, кв. 56), в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» даю свое согласие работодателю — ООО «Альфа» (ОГРН 1127785195230, ИНН 7722345678, адрес — г. Москва, шоссе Энтузиастов, д. 9) на обработку, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, следующих персональных данных в документальной и/или электронной форме: · фамилия, имя, отчество; · дата и место рождения; · пол; · гражданство; · паспортные данные; · адрес места жительства; · семейное положение и сведения о членах семьи; · номер телефона, адрес электронной почты; · идентификационный номер налогоплательщика; · номер страхового свидетельства государственного пенсионного страхования; · сведения о воинском учете; · фотография; · сведения об образовании; · сведения о владении иностранными языками; · сведения о месте работы, в том числе о предыдущих; · размер зарплаты; · сведения о состоянии здоровья, связанные с возможностью выполнения трудовой функции. Согласие дается мною для следующих целей: · обеспечение соблюдения законов и иных нормативных правовых актов; · предоставление сведений кредитной организации для оформления банковской карты и перечисления зарплаты и других выплат; · предоставление сведений третьим лицам для заключения договора добровольного страхования со мной в качестве застрахованного; · предоставление сведений работникам ООО «Альфа» и третьим лицам, необходимых для выполнения моей трудовой функции. Настоящее согласие действует со дня его подписания до дня его отзыва мною в письменной форме.
Петров 17.01.2022 |
При изменении персональных данных изменения в личную карточку и другие кадровые документы вносят по заявлению работника или на основании подтверждающих документов. Менять данные в трудовом договоре не обязательно, но при желании можете оформить соответствующее допсоглашение. Изменения в трудовую книжку вносите при смене Ф.И.О., даты рождения и сведений об образовании (п. п. 7, 8 Порядка ведения трудовых книжек).
Персональные данные без согласия работника можно передать третьим лицам только в установленных законом случаях, например, в налоговый орган, ПФР и ФСС. В других ситуациях надо получить письменное согласие работника (ст. 88 ТК РФ, Разъяснения Роскомнадзора).
Согласие на передачу персональных данных
Генеральному директору ООО «Альфа» Иванову И.И. от менеджера Потапова А.Н. Согласие на передачу персональных данных Я, Потапов Алексей Николаевич (паспорт 45 19 757622, выдан 07.08.1999 ОВД «Выхино» г. Москвы, место жительства — г. Москва, улица Ферганская, д. 11, к. 1, кв. 45), даю согласие ООО «Альфа» (ОГРН 1127785195230, ИНН 7722345678, адрес — г. Москва, шоссе Энтузиастов, д. 9) на передачу Донскому филиалу ПАО «Сбербанк России» (ОГРН 1027700132195, ИНН 7707083893, адрес — г. Москва, ул. Б. Якиманка, д. 18) следующих персональных данных для рассмотрения вопроса о выдаче мне кредита: Ф.И.О., дата и место рождения, серия, номер, дата выдачи паспорта и наименование выдавшего его органа, адрес регистрации по месту жительства, размер среднемесячного заработка, должность в ООО «Альфа» и дата приема на работу. Настоящее согласие действительно до 22.05.2022.
Потапов 22.03.2022 |
| Штраф за передачу персональных данных без согласия работника для малых и микропредприятий — от 20 000 до 75 000 руб., для других организаций — от 30 000 до 150 000 руб., для должностного лица — от 20 000 до 40 000 руб. (ч. 2, 3 ст. 4.1.2, ст. 13.11 КоАП РФ). |
Где найти ответ?
Типовая ситуация:
Как обрабатывать персональные данные работников (Издательство «Главная книга», 2022)
Вопрос: Что делать в случае утечка персональных данных?
Ответ: Согласно изменениям, оператор, допустивший утечку персональных данных, обязан в течение 24 часов сообщить об этом в Роскомнадзор, а в течение 72 часов предоставить в ведомство результаты внутреннего расследования инцидента с указанием причины и виновных лиц.
Где найти ответ?
<Информация> Роскомнадзора «На сайте Роскомнадзора доступны формы для подачи уведомлений от операторов персональных данных»
Читайте также Каковы обязанности оператора персональных данных?
