Как работать с персональными данными в компании: новые требования 2022

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как работать с персональными данными в компании: новые требования 2022». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

В Федеральном законе №152-ФЗ произошли изменения. Согласно новой редакции от 14.07.22, оператор больше не вправе осуществлять сбор персональных данных без уведомления уполномоченного органа. С 1 сентября 2022 года юрлица и индивидуальные предприниматели обязаны сообщить в Роскомнадзор о том, что намерены их обрабатывать.

Изменения в Законе о персданных

По новым правилам нормы Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку. Другими словами – ​независимо от конкретного вида обработки данных. Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).

Теперь с Роскомнадзором должны быть согласованы все нормативные правовые акты РФ, затрагивающие вопросы:

• трансграничной передачи персональных данных;
• обработки специальных категорий данных (например, состояние здоровья человека);
• биометрических данных;
• персональных данных несовершеннолетних лиц;
• а также вопросы предоставления и распространения персональных данных, полученных в результате обезличивания.

У ведомства по закону будет 30 дней на согласование проекта документа.

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

• персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
• персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Что подразумевают под персональными данными

К персональным данным в этом случае относят информацию, которую:

• получают и обрабатывают в рамках ТК РФ и иных федеральных законов, касающихся трудовых отношений;
• получают при заключении договоров с физлицами, используют только внутри компании и не предоставляют данные третьим лицам;
• разрешено распространять с согласия физлица;
• будут использовать в качестве пропуска физлица на территорию компании и аналогичных ситуациях.

К ним также относятся личные сведения:

• содержащие в себе только Ф.И.О. физлица;
• касающиеся участников общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями.

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

Когда требуется согласие на обработку персональных данных?

В большинстве случаев действия, касающихся использования личных сведений граждан, требуют соответствующего согласия. Но закон 152 допускает моменты, когда этот документ не требуется. При этом обязательно соблюдение законодательства и в рамках него не допускать превышения допустимого объема обработки. Также обязательно соответствие действий достижения целей, ради которых информация используется.

Потребуется согласие гражданина и в случае, когда его контактные данные, такие как номер мобильного телефона и адрес электронной почты, могут использоваться для иных целей.

Статья 86 Трудового кодекса гласит, что персональные данные оператор должен получать непосредственно от самого работника. При этом допускаются случаи, когда их можно получить только у третьей стороны. В такой ситуации следует учитывать, что предварительно работник должен быть осведомлен об этом и дать соответствующее согласие.

Перечислим случаи, когда от работника не требуется согласие на обработку его личных данных, если они получены:

• из документов, которые он представил для оформления трудового контракта;
• в результате обязательного медосмотра, пройденного гражданином перед поступлением на работу;
• из данных, содержащихся в личной карточке работника, а также в случаях, предусмотренных законодательством в рамках п.2 Разъяснений Роскомнадзора;
• из опубликованного на открытых ресурсах сети Интернет резюме;
• когда от имени соискателя на должность, вакантную в организации, выступает кадровое агентство и представляет персональные данные потенциального работника.

Подотчетным станет сбор персональных данных:

• в ходе трудовых отношений,
• при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
• уже упомянутых ФИО,
• даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
• для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.

Кроме того, широкое распространение получили сервисы в Интернете, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных. Это адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т. п. Всё это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией РФ, но и создает реальную угрозу для преступлений и правонарушений. В том числе мошенничества с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т. п.

Вдобавок законодательство никак не ограничивало выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время такие сведения – тоже персональные данные, нуждающиеся в соответствующей защищенности.

Подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространялись требования российского законодательства о персональных данных. При этом законодательство практически не регулировало трансграничную передачу персональных данных, что также создавало существенную угрозу.

Новая обязанность операторов персданных

Они должны:

• незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти (Роскомнадзор и др.);
• обеспечивать непрерывное взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (в частности, сообщать о причинах утечки персданных).

Кроме того, уведомлять Роскомнадзор о планах обрабатывать личную информацию нужно теперь и в случаях, когда эти сведения:

• относятся к работникам;
• принадлежат контрагентам оператора, а он использует персданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
• нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.

До 01.09.2022 в этих и некоторых других случаях извещать ведомство не нужно было.

Вдобавок оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152, к таким данным относятся все сведения о человеке — от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

• Общедоступные — основные анкетные данные, включая ФИО, пол, дату и место рождения.
• Биометрические — информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
• Специальные — национальность, вероисповедание, состояние здоровья, судимости, частично — сведения о работе (причины увольнения и др.).

Где требуется предоставить персональные данные?

Согласие на обработку персональных данных может потребоваться в самых разных организациях и при самых разных обстоятельствах. Практически все финансовые операции сейчас происходят только при наличии между клиентом и финкомпанией такого соглашения. Разумеется, согласие подписывается не перед каждой операцией, а при заключении договора об обслуживании.

Запрашивает личные данные и работодатель у будущего работника. Более того, запрашивать он может (и регулярно это делает) не только сведения о самом работнике, но и о членах его семьи. Однако в данном случае гражданин может отказаться предоставлять сведения о родственниках. В этой ситуации в его анкете останутся незаполненные графы, но никаких препятствий при трудоустройстве это причинять не должно. Права по этой причине отказать в приеме на работу у компании-работодателя нет.

Куда подавать заявление?

Как уже было сказано, заявление может быть направлено организации-оператору тремя способами: бумажное заявление, составленное в двух экземплярах можно отнести непосредственно в экспедицию (место, где принимают корреспонденцию), заказным письмом с уведомлением или по электронной почте, если это допускается функционалом страницы оператора. Обычно сейчас свои официальные электронные адреса есть у всех организаций.

Отдельно стоит коротко остановиться на таком аспекте работы с персональными данными, как их отзыв у коллекторов — профессиональных взыскателей долгов. Дело в том, что коллекторы могут работать с персональными данными, не запрашивая на это согласия должника. Это допускается нормами закона № 152-ФЗ. Коллекторы приобретают базу персональных данных заемщиков у банков или МФО вместе с портфелем кредитов (займов) по договору переуступки прав требования (цессии).

Тем не менее, отзыв согласия на обработку персональных данных возможен и в данной ситуации, причем тем же самым способом — письменным. После отзыва согласия коллекторы не будут иметь возможности активно работать с данными должника (звонить ему по имеющимся номерам, писать по имеющимся электронным адресам, слать смс-сообщения).

В этом случае отзыв персональных данных называется несколько иначе — отказ от взаимодействия. После подачи отказа от взаимодействия с коллекторами они имеют право общаться с должником обычными бумажными письмами через Почту России.

Однако следует помнить, что сам долг от этого никуда не денется. И коллекторы останутся при своем праве подать на вас в суд и получить судебный приказ или полноценное решение суда. А потом передать документы судебным приставам, которые проведут полноценное исполнительное производство по розыску вашего имущества, по аресту счетов и списания с них денег. Помните — судебная практика в этом вопросе всегда на стороне тех граждан или юр лиц, которым вы задолжали деньги.

А вот после того, как вы расплатитесь с коллекторами полностью, и получите на руки документ о погашении долга — вы сможете отозвать свои персональные данные у этих кровопийцев (или рыцарей плаща и кинжала, это как уж вам удобнее их называть).

После получения заявления на отзыв оператор обязан в течение 30 дней прекратить работу с указанными данными, изъять их отовсюду (из всех своих баз) и уничтожить. Но хотя закон и говорит, что отозвать согласие можно в любое время, на самом деле в нормативных актах предусмотрен целый перечень случаев, когда обработка персональных данных после отзыва согласия продолжается и без согласия гражданина.

Закон не имеет границ

Новой нормой (ч. 1.1. ст. 1), дополнившей Федеральный закон № 152-ФЗ, закреплен принцип экстерриториальности применения указанного закона. Теперь его требования должны соблюдаться иностранными операторами в случаях, когда они обрабатывают персональные данные наших граждан на основании договора, иных соглашений либо на основании согласия гражданина Российской Федерации на их обработку. Интересно, что данная новелла схожа с аналогичными требованиями европейского законодательства.

Несмотря на то, что формально новая норма регулирует положение иностранных операторов, ее введение также может косвенно повлиять и на деятельность российских. Ведь теперь компаниям при построении отношений с зарубежными партнерами необходимо будет исходить из новых условий, в частности, принимать меры, чтобы их контрагенты заранее понимали, что обязаны соблюдать требования российского законодательства, когда обрабатывают персональные данные российских граждан.

Уточнение порядка трансграничной передачи данных

В связи с внесенными изменениями в Федерального закона № 152-ФЗ Роскомнадзором уже реализован сервис по направлению уведомления об осуществлении трансграничной передачи персональных данных по установленной форме.

Операторы, которые осуществляли трансграничную передачу до дня вступления в силу Федерального закона № 266-ФЗ и продолжают осуществлять такую передачу после дня его вступления в силу, обязаны не позднее 1 марта 2023 года направить в уполномоченный орган по защите прав субъектов персональных данных уведомления об осуществлении их трансграничной передачи. (ч. 5 ст. 6 266-ФЗ).

Далее с 1 марта 2023 года операторы обязаны сообщать о намерении осуществлять трансграничную передачу.

Также с 1 марта 2023 года планируется вступление в силу трех проектов Постановлений Правительства РФ, касающихся трансграничной передачи персональных данных (регулирующих порядок принятия решений о запрещении или об ограничении такой передачи как Роскомнадзором, так и иными уполномоченными органами, а также предусматривающих случаи, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона 152-ФЗ.

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передача (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение персональных данных.

Что следует сделать уже сейчас

1. Получите ЭП ФНС.

Она будет гарантированно работать при подаче деклараций в 2023 году и приниматься всеми госорганами.

2. Получите ЭП на полномочного сотрудника.

В случае продления срока действия такой подписи она поможет вам быть более мобильными: сдавать декларации или подписывать первичные документы с нескольких рабочих мест.

3. Получите ЭП на физическое лицо, на которое может быть оформлена МЧД.

Если руководитель организации еще не выпустил ЭП ФНС, но у него есть ЭП от коммерческого УЦ, то уже сейчас можно оформить МЧД, которая продолжит действовать в 2023 году. Если ЭП ФНС у руководителя уже есть, то ЭП физлица также поможет уже сейчас или в 2023 году оформить МЧД для отправки деклараций и подписания документов с разных (нескольких) рабочих мест.

Похожие записи:

• Новости для военных пенсионеров в 2023 году
• Будут ли продавать алкоголь в Архангельске 25 и 27 июня 2022
• Зачет и возврат переплаты на ЕНС с 2023 года