В компаниях ежедневно происходит работа с персональными данными сотрудников: информацию собирают, обрабатывают, хранят. Если это делать неправильно, то при проверке Роскомнадзор оштрафует, а суммы штрафов внушительные. Из статьи узнаете, что входит в персональные данные, как правильно обращаться с ними, чтобы избежать претензий ведомства и какие изменения учесть с сентября 2022 года.
Грамотно внедрить все изменения по персональным данным и внести корректировки в документы компании, поможет наш курс «Персональные данные: новые требования 2022–2023».
|
Содержание
Что относится к персональным данным Как строится работа с персональными данными |
Что относится к персональным данным
Персональные данные — это сведения о человеке, которые помогают его идентифицировать. Согласно Федеральному закону 152-ФЗ — это любая информация, прямо или косвенно связанная с конкретным физическим лицом.
Является ли ФИО персональными данными, по закону да, хотя на основании только этих сведений идентифицировать человека бывает сложно. Помимо однофамильцев встречаются и полные тезки, поэтому только ФИО без привязки к другой информации суды не считают персональными данными. Также как и абстрактный номер телефона или адрес электронной почты.
Работодатели при приеме на работу используют не только ФИО, но и другую информацию о работнике: дата рождения, домашний адрес и номер телефона, семейное положение и сведения об образовании, и даже биометрические данные. Поэтому такой комплекс сведений уже входит в определение персональных данных.
В законе не закреплен какой-либо определенный перечень персональных данных, но чтобы их классифицировать, выделяют несколько категорий.
Согласно Постановлению Правительства РФ №1119 от 01.11.2012 г. определяют следующие категории персональных данных:
Название категории | Виды персональных данных |
Общие |
Сюда относят базовые данные: ФИО, домашний адрес, место работы, номер телефона, e-mail. Эти сведения могут публиковаться в интернете
|
Специальные |
Раса и национальность, политические взгляды, приверженность к той или иной религии, сведения о здоровье и интимной жизни, судимости. Эти данные — личное дело человека и сообщать их кому-то он не обязан
|
Биометрические |
Это биологические и физиологические сведения: группа крови, отпечатки пальцев, фото. Фотография считается биометрическими персональными данными, если служит для идентификации человека, например, если в компании для допуска установлена система распознавания лиц. Если фото просто прикрепили к личному делу работника, то это не персональные данные
|
Иные |
Сюда входит то, что нельзя отнести к предыдущим группам. Например, бухгалтерская информация по зарплате |
Важно! До марта 2021 года существовали общедоступные персональные данные в РФ. После внесли поправку в закон, теперь они называются «персональные данные, разрешенные субъектом для распространения». То есть даже если сам субъект разместит где-то свои данные публично, брать их и публиковать можно только с его согласия. |
Как строится работа с персональными данными
Когда организация получает персональные данные работника, корректирует их, систематизирует, использует, хранит — это называется обработка, а сама организация является оператором персональных сведений.
Работодатель обязан разработать и утвердить локальный акт, который устанавливает порядок сбора и использования персональной информации трудоустроенных и потенциальных сотрудников. В акте нужно закрепить перечень сведений, которые будут запрашивать при приеме на работу, и внести данные о тех, кто будет иметь доступ персональным данным.
Обратите внимание! Работодатель может осуществлять сбор только тех персональных данных, которые требуются для трудовой деятельности. При этом, даже если компания обрабатывает персданные сотрудников в соответствии с трудовым законодательством, необходимо подавать в Роскомнадзор уведомление об обработке персональных данных. Это новое требование закона. |
Изменения в Законе о персональных данных 2022
В июле 2022 года вступил в силу Федеральный закон № 266-ФЗ от 14.07.2022 г., который вносит поправки в Закон о персональных данных. Некоторые из них применяют с сентября 2022 года.
Новый закон о персональных данных внес изменения, большая часть которых касается обработки персональной информации:
- вводится принцип экстерриториальности. Это означает, что если иностранная компания заключила договор с гражданином России, то она становится оператором персональных данных и обязана соблюдать Закон 152-ФЗ наравне с российскими организациями. А если российский работодатель поручил обрабатывать личные данные работника иностранной компании, то отвечать перед ним обязаны и оператор персональных данных и компания-обработчик;
- все операторы персональных данных теперь обязаны сообщать об утечках информации в госсистему обнаружения и ликвидации последствий компьютерных атак (ГосСОПКА). Если произойдет утечка личной информации, то компания обязана в течение 24 часов сообщить об этом в Роскомнадзор и в течение 72 часов провести расследование, найти виновных и доложить о результатах в ГосСОПКА;
- уменьшится срок взаимодействия компании и сотрудника по вопросу персональных данных. Если ранее работник просил предоставить информацию об обработке его личных данных или прекратить их обрабатывать, то компания давала ответ в течение 30 дней. Теперь этот срок равняется 10 рабочим дням. Столько же дней отводится на то, чтобы отреагировать на запрос Роскомнадзора.
Подробнее, какие изменения внес закон о персональных данных с 1 сентября 2022 года и как действовать работодателям в связи с этим, узнайте в нашем экспресс-курсе.
|
Персональные данные в организации. Алгоритм работы с ними
Правильно организовать работу с персональной информацией поможет следующая инструкция:
Шаг 1. Сформируйте Положение о персональных данных, в котором зафиксируйте правила обработки и хранения персональных сведений. По новому закону теперь компания должна для каждой цели обработки указывать:
-
какие категории персональных данных она будет обрабатывать и их перечень;
-
категории субъектов, данные которых обрабатываются;
-
как и сколько будут обрабатываться и храниться данные;
-
как будут уничтожаться данные, если достигли цели обработки и информация больше не нужна.
Шаг 2. Издайте приказ об утверждении Положения и ознакомьте с ним всех сотрудников под подпись.
Шаг 3. Назначьте ответственного за работу с персональной информацией и составьте допсоглашение к трудовому договору с этим сотрудником, где пропишите новые обязанности. Также определите, у кого из сотрудников будет доступ к персональным сведениям. Выбранные работники должны подписать соглашение о неразглашении данных.
Шаг 4. Попросите всех сотрудников компании дать согласие на обработку персональных данных. Согласно изменениям в законе теперь согласие на обработку персональных данных помимо конкретного, сознательного и информированного должно быть еще предметным и однозначным. (ст. 9 Закона № 152-ФЗ). Это означает, что из текста документа должно быть понятно, зачем компания собирает персональные сведения, а работник должен ясно выразить, что он не против.
Важно! Если работник молчит или бездействует, это не считаются согласием на обработку персональной информации. Согласие обрабатывать личные сведения, разрешенные для распространения, нужно оформлять отдельно. В нем можно запретить передачу данных неограниченному кругу лиц. |
Как правильно составить согласие на распространение персональных данных читайте в статье.
Шаг 5. Храните данные так, чтобы к ним имели доступ только уполномоченные сотрудники. Если персональная информация на бумаге, то хранить стоит в сейфах, несгораемых шкафах или специальном помещении.
Какие особенности учесть при хранении персональных данных читайте в статье.
Шаг 6. Обратитесь в Роскомнадзор, если еще этого не сделали. По новым правилам не сообщать ведомству о том, что вы оператор персональных данных можно теперь только в двух случаях:
- если личные сведения включаются в государственные информационные системы персданных, созданные в целях защиты безопасности государства и общественного порядка;
- когда компания обрабатывает персональную информацию вручную, без автоматизации.
Чтобы уверенно работать с персональными данными узнайте о новых требованиях 2022–2023 года в нашем курсе.
|