Требования закона о персональных данных постоянно ужесточаются. А ответственность за нарушения в этой сфере увеличивается. Рассказываем в статье, какие требования Закон 152-ФЗ предъявляет к работодателям и как их исполнять.
Бланк приказа о назначении ответственного за обработку персданных
Образец акта об уничтожении персданных
Памятка «Позиции о том, какие сведения относят к персональным данным»
Таблицу документов для организации работы с персональными данными
Таблица новых штрафов за нарушения в работе с персданными
Чек-лист для проверки согласия на обработку персданных в связи с новыми штрафами |
Уведомить Роскомнадзор
Работодатели должны уведомить Роскомнадзор о намерении обрабатывать персональные данные (ПД) работников. Это требование 152-ФЗ о персональных данных с 1 сентября 2022 года. До этой даты это было необязательным при трудовых отношениях, но законодатели внесли изменения в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.
Конкретных сроков подачи нет. В законе написано, что это надо сделать до начала обработки ПД. Подать уведомление можно тремя способами:
- Заполнить форму на сайте Роскомнадзора, распечатать и отправить Почтой России в местное отделение ведомства.
- Отправить в электронном виде, подписав усиленной квалифицированной электронной подписью. Вам потребуется настроенный плагин КриптоПро ЭЦП Browser plug-in.
- Авторизоваться на на сайте Роскомнадзора с помощью Госуслуг и подать уведомление через Госуслуги.
Разрешения от Роскомнадзора дожидаться не нужно: сообщили и можете начинать работать с персональными данными. Ведомство само включит вашу компанию в реестр операторов ПД.
Уведомление вы подаете один раз. Но если данные по вашей компании изменятся, то надо будет обновить информацию в реестре ПД. Сделать это нужно не позднее 15-го числа следующего месяца.
Уведомление об изменении сведений направляется такими же способами, как уведомление об обработке ПД.
Если вы по каким-то причинам прекращаете обработку ПД, то сообщить об этом в Роскомнадзор нужно в течение 10 рабочих дней. Ведомство исключит вас из реестра операторов ПД.
Три основания не уведомлять Роскомнадзор о начале обработки ПД:
Основание: п. 2 ст. 22 Закона № 152-ФЗ. |
Уведомить о трансграничной передаче ПД
Если вы передаете личную информацию работников в другую страну иностранцам, иностранным организациям или органам власти, то это трансграничная передача персональных данных. Она возможна, например, когда вы направляете директора в зарубежную командировку или заключаете договор с зарубежным поставщиком.
Вы должны уведомить Роскомнадзор о трансграничной передаче до ее начала. Это требование закона о персональных данных (ст. 12 Закона № 152-ФЗ). Приведем основные правила:
- До подачи уведомления о трансграничной передаче вы должны получить от иностранца максимум информации о том, как он будет защищать ПД. При трансграничной передаче ответственность за сохранность личной информации граждан несут солидарно и оператор, и зарубежная сторона. Примерный состав информации приведен в ч. 5 ст. 12 Закона № 152-ФЗ. Не пропускайте этот шаг, потому что Роскомнадзор может запросить информацию об иностранце.
- Подать уведомление можно на сайте Роскомнадзора. Вам понадобится учетная запись Госуслуг, привязанная к организации.
- Порядок подачи уведомления и рассмотрения его Роскомнадзором приведен в Постановлении Правительства РФ от 16.01.2023 № 24. В течение 10 рабочих дней ведомство рассмотрит ваше сообщение и примет решение о разрешении либо запрете на трансграничной передачи.
Роскомнадзор может запретить трансграничную передачу персональных данных по основаниям, указанным в п. 23 Правил, утв. Постановлением № 24. Такое возможно, если работодатель, например, собрался отправить ПД в запрещенную в РФ организацию или в «неадекватную страну». Последнее поясним подробнее.
Есть список государств, обеспечивающих адекватную защиту ПД. Он утвержден Приказом Роскомнадзора от 05.08.2022 № 128. Если страны нет в этом перечне, то она «неадекватная», то есть не сможет обеспечить защиту личной информации российских граждан в соответствии закону о персональных данных.
Важно! Изменения в законе о персональных данных по трансграничной передаче действуют с 1 марта 2023 года. Если до этой даты вы уже осуществляли трансграничную передачу, то вам нужно было подать до 1 марта 2023 года уведомление об осуществлении трансграничной передачи. В 2024 году такой документ не применяется. С 1 марта 2023 года все операторы подают уведомление о намерении осуществлять трансграничную передачу данных. |
Назначить ответственных за организацию обработки персональных данных
Назначить ответственного за персональные данные – эта обязанность распространяется только на организации. ИП-работодатели единолично несут ответственность за организацию обработки ПД.
Что может входить в обязанности ответственного работника с учетом ст. 22.1 Закона № 152-ФЗ:
- разрабатывать и представлять на утверждение руководству локальные акты в сфере защиты персональных данных – Политику оператора, Порядок обработки персональных данных работников (ст. 86 ТК РФ) и иные документы;
- оценивать вред от нарушений при обработке ПД;
- проводить внутренний аудит выполнения требований законодательства о персональных данных;
- взаимодействовать с Роскомнадзором, системой ГосСопка;
- ознакамливать работников, обрабатывающих ПД, с требованиями законодательства и локальных актов.
Закрепите эти обязанности в должностной инструкции или трудовом договоре работника. Тогда вы сможете привлечь ответственного сотрудника к дисциплинарной ответственности при их невыполнении.
Читайте по теме статью на сайте: Ответственный за персональные данные: кого и как назначить
Разработать и утвердить документы
В главе 4 Закона № 152-ФЗ перечислены общие обязанности оператора персональных данных. Дополнительные требования к работодателям при обработке ПД работников указаны в главе 14 ТК РФ.
Уже на основании этих норм можно составить минимально необходимый список документов, которые нужны для организации работы с персональными данными в компании:
- Политика оператора персональных данных (ст. 18.1 Закона № 152-ФЗ);
- приказ о назначении ответственного за организацию работы с персональными данными (ст. 18.1 Закона № 152-ФЗ);
- реестр персональных данных (ст. 18.1 Закона № 152-ФЗ);
- порядок уничтожения ПД (ст. 18.1 Закона № 152-ФЗ);
- положение об обработке ПД (ст. 18.1 Закона № 152-ФЗ, ст. 86 ТК РФ);
- регламент работы с компьютерными инцидентами, в том числе взаимодействия с ГосСопка (ст. 21 Закона № 152-ФЗ);
- акт об оценке вреда от нарушения требований к защите ПД (ст. 18.1 Закона № 152-ФЗ, ст. 86 ТК РФ);
- формы согласия на обработку персональных данных, на распространение персональных данных (ст. 9, 10.1 Закона № 152-ФЗ).
Перечисленные документы, по большей части, касаются организаций. У ИП, как минимум, должны быть Политика оператора (ч. 2 ст. 18.1 Закона № 152-ФЗ, ч. 3 ст. 13.11 КоАП РФ) и Положение об обработке ПД с порядком обработки ПД работников (ст. 86 ТК РФ).
У каждого работодателя будет свой перечень необходимых документов для организации работы с ПД. Например, где-то информация о работниках обрабатывается вручную, и регламенты по компьютерным инцидентам не нужны.
Скачать расширенный перечень документов по организации работы с персональными данными можно здесь.
Локализовать базы с ПД на территории РФ
По требованиям закона о персональных данных обрабатывать ПД граждан РФ можно только в базах данных на территории России. (ч. 5 ст. 18 Закона № 152-ФЗ). Речь идет о таких действиях, как:
- запись, систематизация,
- накопление,
- хранение,
- уточнение (обновление, изменение),
- извлечение ПД.
Это значит, что вы должны использовать те компьютерные программы, электронные архивы и облачные хранилища которых размещены в РФ. Так за нарушение требований к локализации ПД компания Google LLC была оштрафована на 15 млн рублей, компания Likeme Pte. ltd. – на 1,5 млн рублей.
Важно! Из требования о локализации ПД есть четыре исключения: пункты 2, 3, 4 и 8 ч. 1 ст. 6 Закона № 152-ФЗ. Но к обработке персональных данных в трудовых отношениях они не относятся. |
Провести оценку вреда
По требованиям закона о персональных данных оператор обязан провести оценку вреда, который может быть причинен гражданину при утечке его ПД. Порядок проведения этой процедуры приведен в Приказе Роскомнадзора от 27.10.2022 № 178.
Всего есть три степени вреда:
- высокая – например, при обработке биометрии или ПД несовершеннолетних;
- средняя;
- низкая.
Вы проводите оценку вреда по каждой позиции в перечне персональных данных. Если какая-то информация попадает под критерии разной степени, то ей присваивается более высокая степень вреда.
Результаты оформите актом оценки. Требования к его содержанию приведены в п. 4–5 Требований, утв. Приказом № 178.
Уведомлять об утечках персональных данных
Операторы ПД обязаны сообщать в Роскомнадзор и через систему «ГосСопка» в ФСБ России о компьютерных инцидентах, которые могут привести к утечкам ПД – ч. 12 ст. 19 Закона № 152-ФЗ.
Есть конкретные сроки уведомления:
- в течение 24 часов – сообщить об инциденте и об ответственном работнике, который будет взаимодействовать с Роскомнадзором и ФСБ;
- в течение 72 часов – уведомить о результатах внутреннего расследования.
Основание: ч. 3.1 ст. 21 Закона № 152-ФЗ.
Порядок взаимодействия с «ГосСопка» приведен в Приказе ФСБ России от 13.02.2023 № 77. По нему есть два варианта.
- Оператор относится к субъектам критической информационной инфраструктуры (КИИ) и имеет соглашение с Национальным координационным центром по компьютерным инцидентам (НКЦКИ). В этом случае он сообщает о компьютерных инцидентах в течение 24 часов по каналам связи в НКЦКИ.
- Оператор не имеет соглашения с НКЦКИ. Он сообщает о компьютерных инцидентах через специальную форму на сайте Роскомнадзора. Для этого нужна учетная запись организации на Госуслугах. Роскомнадзор сам передаст информацию в «ГосСопка».
Если НКЦКИ пришлет запрос на дополнительную информацию по утечке ПД, ответить на него нужно в течение 24 часов.
Информировать Роскомнадзор
Если вы получите запрос информации от Роскомнадзора, ответить на него нужно в течение 10 рабочих дней – это тоже требования закона о персональных данных (ч. 4 ст. 20 Закона № 152-ФЗ). Срок можно продлить по уважительным причинам еще на пять рабочих дней. Для этого нужно направить письмо в Роскомнадзор до того, как пройдет время для ответа.
Информировать субъекта персональных данных
Работники или другие физические лица имеют право запросить сведения о том, что вы делаете с их личной информацией, в том числе:
- в каких целях обрабатываете;
- сколько храните;
- как защищаете;
- кому передаете и др.
Вы обязаны ответить на запрос в течение 10 рабочих дней в той форме, в какой получен запрос, или какая указана в обращении гражданина. Срок можно продлить по уважительным причинам еще на пять рабочих дней, если вы сообщите об этом субъекту ПД.
Основание: ст. 14, ч. 1 ст. 20 Закона № 152-ФЗ.
Важно! Когда вы направляете субъекту ПД ответ на запрос, следите, чтобы в документ не попали ПД других граждан. Например, если работник запросил копию штатного расписания, сделайте ему выписку в части, которая касается только его самого. Копировать все штатное расписание с данными других работников будет нарушением. |
Уничтожить персональные данные при прекращении обработки
В Законе № 152-ФЗ описаны ситуации, когда оператор обязан прекратить обработку ПД и уничтожить их:
- поступил запрос от субъекта ПД, что его личная информация получена оператором незаконно;
- достигнуты цели обработки ПД;
- субъект персональных данных отозвал свое согласие.
Прекращение обработки означает блокирование любых действий с персональными данными. Уничтожение ПД проходит по специальному порядку, приведенному в Приказе Роскомнадзора от 28.10.2022 № 179.
Читайте на сайте статью по теме: Уничтожение персональных данных: как соблюсти новые требования
Какую ответственность несет оператор
Основные санкции за нарушения в обработке ПД приведены в ст. 13.11 КоАП РФ. Например, за отсутствие Политики оператора компанию оштрафуют на сумму от 30 000 до 60 000 рублей. А вот обработка данных без письменного согласия обойдется организации уже в 300 000 – 700 000 рублей.