Сверху под шапкой
8 (800) 775 29 55
Заказать звонок
Войти
Мы в соцсетях
127410, Москва, муниципальный округ Отрадное, ш. Алтуфьевское, д. 41А, стр. 1
Институт Профессионального Кадровика
👑 Кадровый форум
Экосистема - скидка в июле
Мастер-класс по премиям
Обучение
Мероприятия
О компании
Библиотека кадровика
Статьи
Курсы для HR
Корпоративное обучение
О нас
    Сверху под шапкой
    Институт Профессионального Кадровика
    👑 Кадровый форум
    Экосистема - скидка в июле
    Мастер-класс по премиям
    Обучение
    Мероприятия
    О компании
    Библиотека кадровика
    Статьи
    Курсы для HR
    Корпоративное обучение
    О нас
      Институт Профессионального Кадровика
      0
      • 👑 Кадровый форум
      • Экосистема - скидка в июле
      • Мастер-класс по премиям
      • Обучение
      • Мероприятия
      • О компании
      • Библиотека кадровика
      • Статьи
      • Курсы для HR
      • Корпоративное обучение
      • О нас
      • Статьи
      • Другие
      • Кадры
      • Трудовые отношения
      • Условия труда
      • Персональные данные: как соблюсти требования закона
      Все статьи
      Вопросы и ответы Кадровые процедуры Кадровые документы Отдельные категории работников Воинский учет Оплата труда / пособия Проверки Отчеты Режим работы Персональные данные КЭДО Охрана труда Хранение и уничтожение документов Другие Другое
      Вопросы и ответы
      Кадровые процедуры
      Прием
      Увольнение
      Перевод/Перемещение
      Отпуск
      Командировки/РХТ
      Аудит
      Дисциплина труда
      Кадровые документы
      ЛНА
      Приказы
      Другие документы
      Отдельные категории работников
      Беременные/сотрудники с детьми
      Дистанционные работники
      Инвалиды
      Водители
      Иностранные работники
      Совместители
      Мобилизованные/ветераны боевых действий
      Другие категории
      Воинский учет
      Оплата труда / пособия
      Проверки
      Отчеты
      Режим работы
      Вахтовая работа
      Сверхурочная работа
      СУРВ
      Графики работы
      Персональные данные
      КЭДО
      Охрана труда
      Хранение и уничтожение документов
      Другие
      Кадры
      Управление персоналом
      Другое

      Персональные данные: как соблюсти требования закона

      Сквозной баннер
      Ближайшие мероприятия
      22 июля
      Вебинар экосистемы
      Особенности трудовых отношений с участием иностранных граждан в 2025 году
      Подробнее ›››
      29 июля
      Вебинар экосистемы
      ЛНА об электронном документообороте: УНЭП
      Подробнее ›››
      5 августа
      Вебинар экосистемы
      Кадровый обзор. Изменения за июль
      Подробнее ›››
      Все мероприятия ›››
      Рекламный блок
      Узнайте, как рассчитывать зарплату, графики работы и нормы выработки при суммированном учете рабочего времени в новой методичке
      Получить
      Скачайте бесплатно документы популярные
      у кадровиков
      Бланк приказа о назначении ответственного за обработку персданных
      Скачать ›››
      325
      Примерная форма политики по персданным
      Скачать ›››
      326
      Статьи по теме
      Ежемесячное пособие по уходу за ребенком: как рассчитать и оформить
      3874
      Доставка работников до работы: как организовать и учесть расходы
      16044
      Как считают и что входит в стаж для больничного
      9548
      Рубрикатор
      • Вопросы и ответы
      • Кадровые процедуры
        • Прием
        • Увольнение
        • Перевод/Перемещение
        • Отпуск
        • Командировки/РХТ
        • Аудит
        • Медосмотры
        • Дисциплина труда
      • Кадровые документы
        • Договоры
        • ЛНА
        • Приказы
        • Другие документы
      • Отдельные категории работников
        • Беременные/сотрудники с детьми
        • Дистанционные работники
        • Инвалиды
        • Водители
        • Иностранные работники
        • Совместители
        • Мобилизованные/ветераны боевых действий
        • Другие категории
      • Воинский учет
      • Оплата труда / пособия
      • Проверки
      • Отчеты
      • Режим работы
        • Вахтовая работа
        • Сверхурочная работа
        • СУРВ
        • Графики работы
        • Рабочее время
      • Персональные данные
      • КЭДО
      • Охрана труда
        • Гражданская оборона
        • Несчастные случаи и профзаболевания
        • Обучение, инструктажи
        • Питание
        • Пожарная безопасность
        • СИЗ
        • Служба охраны труда
        • Спецоценка
      • Хранение и уничтожение документов
      • Другие
        • Кадры
        • Управление персоналом
      • Другое
      8 сентября
      78783
      Распечатать
      Время прочтения 7 мин

      Требования закона о персональных данных постоянно ужесточаются. А ответственность за нарушения в этой сфере увеличивается. Рассказываем в статье, какие требования Закон 152-ФЗ предъявляет к работодателям и как их исполнять.

      Содержание

       

      Уведомить Роскомнадзор

      Уведомить о трансграничной передаче ПД

      Назначить ответственных за организацию обработки персональных данных

      Разработать и утвердить документы

      Локализовать базы с ПД на территории РФ

      Провести оценку вреда

      Уведомлять об утечках персональных данных

      Информировать Роскомнадзор

      Информировать субъекта персональных данных

      Уничтожить персональные данные при прекращении обработки

      Какую ответственность несет оператор

      Бланк приказа о назначении ответственного за обработку персданных


      Образец акта об уничтожении персданных


      Памятка «Позиции о том, какие сведения относят к персональным данным»


      Таблицу документов для организации работы с персональными данными


      Таблица новых штрафов за нарушения в работе с персданными


      Чек-лист для проверки согласия на обработку персданных в связи с новыми штрафами

      Уведомить Роскомнадзор

      Работодатели должны уведомить Роскомнадзор о намерении обрабатывать персональные данные (ПД) работников. Это требование 152-ФЗ о персональных данных с 1 сентября 2022 года. До этой даты это было необязательным при трудовых отношениях, но законодатели внесли изменения в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.

      Конкретных сроков подачи нет. В законе написано, что это надо сделать до начала обработки ПД. Подать уведомление можно тремя способами:

      1. Заполнить форму на сайте Роскомнадзора, распечатать и отправить Почтой России в местное отделение ведомства.
      2. Отправить в электронном виде, подписав усиленной квалифицированной электронной подписью. Вам потребуется настроенный плагин КриптоПро ЭЦП Browser plug-in.
      3. Авторизоваться на на сайте Роскомнадзора с помощью Госуслуг и подать уведомление через Госуслуги.

      Разрешения от Роскомнадзора дожидаться не нужно: сообщили и можете начинать работать с персональными данными. Ведомство само включит вашу компанию в реестр операторов ПД.

      Уведомление вы подаете один раз. Но если данные по вашей компании изменятся, то надо будет обновить информацию в реестре ПД. Сделать это нужно не позднее 15-го числа следующего месяца.

      Уведомление об изменении сведений направляется такими же способами, как уведомление об обработке ПД.

      Если вы по каким-то причинам прекращаете обработку ПД, то сообщить об этом в Роскомнадзор нужно в течение 10 рабочих дней. Ведомство исключит вас из реестра операторов ПД.

      Три основания не уведомлять Роскомнадзор о начале обработки ПД:


      1. Данные включены в ГИС, созданные в целях защиты безопасности государства и общественного порядка, – например, «АДИС-МВД» с данными по дактилоскопии;
      2. Оператор обрабатывает ПД без использования средств автоматизации;
      3. Данные обрабатываются в соответствии с законом о транспортной безопасности – это, например, записи камер видеонаблюдения на вокзалах, в аэропортах.

      Основание: п. 2 ст. 22 Закона № 152-ФЗ.

      Уведомить о трансграничной передаче ПД

      Если вы передаете личную информацию работников в другую страну иностранцам, иностранным организациям или органам власти, то это трансграничная передача персональных данных. Она возможна, например, когда вы направляете директора в зарубежную командировку или заключаете договор с зарубежным поставщиком.

      Вы должны уведомить Роскомнадзор о трансграничной передаче до ее начала. Это требование закона о персональных данных (ст. 12 Закона № 152-ФЗ). Приведем основные правила:

      1. До подачи уведомления о трансграничной передаче вы должны получить от иностранца максимум информации о том, как он будет защищать ПД. При трансграничной передаче ответственность за сохранность личной информации граждан несут солидарно и оператор, и зарубежная сторона. Примерный состав информации приведен в ч. 5 ст. 12 Закона № 152-ФЗ. Не пропускайте этот шаг, потому что Роскомнадзор может запросить информацию об иностранце.
      2. Подать уведомление можно на сайте Роскомнадзора. Вам понадобится учетная запись Госуслуг, привязанная к организации.
      3. Порядок подачи уведомления и рассмотрения его Роскомнадзором приведен в Постановлении Правительства РФ от 16.01.2023 № 24. В течение 10 рабочих дней ведомство рассмотрит ваше сообщение и примет решение о разрешении либо запрете на трансграничной передачи.

      Роскомнадзор может запретить трансграничную передачу персональных данных по основаниям, указанным в п. 23 Правил, утв. Постановлением № 24. Такое возможно, если работодатель, например, собрался отправить ПД в запрещенную в РФ организацию или в «неадекватную страну». Последнее поясним подробнее.

      Есть список государств, обеспечивающих адекватную защиту ПД. Он утвержден Приказом Роскомнадзора от 05.08.2022 № 128. Если страны нет в этом перечне, то она «неадекватная», то есть не сможет обеспечить защиту личной информации российских граждан в соответствии закону о персональных данных.

      Важно! Изменения в законе о персональных данных по трансграничной передаче действуют с 1 марта 2023 года. Если до этой даты вы уже осуществляли трансграничную передачу, то вам нужно было подать до 1 марта 2023 года уведомление об осуществлении трансграничной передачи. В 2024 году такой документ не применяется. С 1 марта 2023 года все операторы подают уведомление о намерении осуществлять трансграничную передачу данных.

      Назначить ответственных за организацию обработки персональных данных

      Назначить ответственного за персональные данные – эта обязанность распространяется только на организации. ИП-работодатели единолично несут ответственность за организацию обработки ПД.

      Что может входить в обязанности ответственного работника с учетом ст. 22.1 Закона № 152-ФЗ:

      • разрабатывать и представлять на утверждение руководству локальные акты в сфере защиты персональных данных – Политику оператора, Порядок обработки персональных данных работников (ст. 86 ТК РФ) и иные документы;
      • оценивать вред от нарушений при обработке ПД;
      • проводить внутренний аудит выполнения требований законодательства о персональных данных;
      • взаимодействовать с Роскомнадзором, системой ГосСопка;
      • ознакамливать работников, обрабатывающих ПД, с требованиями законодательства и локальных актов.

      Закрепите эти обязанности в должностной инструкции или трудовом договоре работника. Тогда вы сможете привлечь ответственного сотрудника к дисциплинарной ответственности при их невыполнении.

      Читайте по теме статью на сайте: Ответственный за персональные данные: кого и как назначить

      Разработать и утвердить документы

      В главе 4 Закона № 152-ФЗ перечислены общие обязанности оператора персональных данных. Дополнительные требования к работодателям при обработке ПД работников указаны в главе 14 ТК РФ.

      Уже на основании этих норм можно составить минимально необходимый список документов, которые нужны для организации работы с персональными данными в компании:

      • Политика оператора персональных данных (ст. 18.1 Закона № 152-ФЗ);
      • приказ о назначении ответственного за организацию работы с персональными данными (ст. 18.1 Закона № 152-ФЗ);
      • реестр персональных данных (ст. 18.1 Закона № 152-ФЗ);
      • порядок уничтожения ПД (ст. 18.1 Закона № 152-ФЗ);
      • положение об обработке ПД (ст. 18.1 Закона № 152-ФЗ, ст. 86 ТК РФ);
      • регламент работы с компьютерными инцидентами, в том числе взаимодействия с ГосСопка (ст. 21 Закона № 152-ФЗ);
      • акт об оценке вреда от нарушения требований к защите ПД (ст. 18.1 Закона № 152-ФЗ, ст. 86 ТК РФ);
      • формы согласия на обработку персональных данных, на распространение персональных данных (ст. 9, 10.1 Закона № 152-ФЗ).

      Перечисленные документы, по большей части, касаются организаций. У ИП, как минимум, должны быть Политика оператора (ч. 2 ст. 18.1 Закона № 152-ФЗ, ч. 3 ст. 13.11 КоАП РФ) и Положение об обработке ПД с порядком обработки ПД работников (ст. 86 ТК РФ). 

      У каждого работодателя будет свой перечень необходимых документов для организации работы с ПД. Например, где-то информация о работниках обрабатывается вручную, и регламенты по компьютерным инцидентам не нужны.

      Скачать расширенный перечень документов по организации работы с персональными данными можно здесь. 

      Локализовать базы с ПД на территории РФ

      По требованиям закона о персональных данных обрабатывать ПД граждан РФ можно только в базах данных на территории России. (ч. 5 ст. 18 Закона № 152-ФЗ). Речь идет о таких действиях, как:

      • запись, систематизация, 
      • накопление, 
      • хранение, 
      • уточнение (обновление, изменение), 
      • извлечение ПД.

      Это значит, что вы должны использовать те компьютерные программы, электронные архивы и облачные хранилища которых размещены в РФ. Так за нарушение требований к локализации ПД компания Google LLC была оштрафована на 15 млн рублей, компания Likeme Pte. ltd. – на 1,5 млн рублей.

      Важно! Из требования о локализации ПД есть четыре исключения: пункты 2, 3, 4 и 8 ч. 1 ст. 6 Закона № 152-ФЗ. Но к обработке персональных данных в трудовых отношениях они не относятся.

      Провести оценку вреда

      По требованиям закона о персональных данных оператор обязан провести оценку вреда, который может быть причинен гражданину при утечке его ПД. Порядок проведения этой процедуры приведен в Приказе Роскомнадзора от 27.10.2022 № 178.

      Всего есть три степени вреда:

      • высокая – например, при обработке биометрии или ПД несовершеннолетних;
      • средняя;
      • низкая.

      Вы проводите оценку вреда по каждой позиции в перечне персональных данных. Если какая-то информация попадает под критерии разной степени, то ей присваивается более высокая степень вреда.

      Результаты оформите актом оценки. Требования к его содержанию приведены в п. 4–5 Требований, утв. Приказом № 178.

      Уведомлять об утечках персональных данных

      Операторы ПД обязаны сообщать в Роскомнадзор и через систему «ГосСопка» в ФСБ России о компьютерных инцидентах, которые могут привести к утечкам ПД – ч. 12 ст. 19 Закона № 152-ФЗ.

      Есть конкретные сроки уведомления:

      • в течение 24 часов – сообщить об инциденте и об ответственном работнике, который будет взаимодействовать с Роскомнадзором и ФСБ;
      • в течение 72 часов – уведомить о результатах внутреннего расследования.

      Основание: ч. 3.1 ст. 21 Закона № 152-ФЗ.

      Порядок взаимодействия с «ГосСопка» приведен в Приказе ФСБ России от 13.02.2023 № 77. По нему есть два варианта.

      1. Оператор относится к субъектам критической информационной инфраструктуры (КИИ) и имеет соглашение с Национальным координационным центром по компьютерным инцидентам (НКЦКИ). В этом случае он сообщает о компьютерных инцидентах в течение 24 часов по каналам связи в НКЦКИ.
      2. Оператор не имеет соглашения с НКЦКИ. Он сообщает о компьютерных инцидентах через специальную форму на сайте Роскомнадзора. Для этого нужна учетная запись организации на Госуслугах. Роскомнадзор сам передаст информацию в «ГосСопка».

      Если НКЦКИ пришлет запрос на дополнительную информацию по утечке ПД, ответить на него нужно в течение 24 часов.

      Информировать Роскомнадзор

      Если вы получите запрос информации от Роскомнадзора, ответить на него нужно в течение 10 рабочих дней – это тоже требования закона о персональных данных (ч. 4 ст. 20 Закона № 152-ФЗ). Срок можно продлить по уважительным причинам еще на пять рабочих дней. Для этого нужно направить письмо в Роскомнадзор до того, как пройдет время для ответа.

      Информировать субъекта персональных данных

      Работники или другие физические лица имеют право запросить сведения о том, что вы делаете с их личной информацией, в том числе:

      • в каких целях обрабатываете;
      • сколько храните;
      • как защищаете;
      • кому передаете и др.

      Вы обязаны ответить на запрос в течение 10 рабочих дней в той форме, в какой получен запрос, или какая указана в обращении гражданина. Срок можно продлить по уважительным причинам еще на пять рабочих дней, если вы сообщите об этом субъекту ПД.

      Основание: ст. 14, ч. 1 ст. 20 Закона № 152-ФЗ.

      Важно! Когда вы направляете субъекту ПД ответ на запрос, следите, чтобы в документ не попали ПД других граждан. Например, если работник запросил копию штатного расписания, сделайте ему выписку в части, которая касается только его самого. Копировать все штатное расписание с данными других работников будет нарушением.

      Уничтожить персональные данные при прекращении обработки

      В Законе № 152-ФЗ описаны ситуации, когда оператор обязан прекратить обработку ПД и уничтожить их:

      • поступил запрос от субъекта ПД, что его личная информация получена оператором незаконно;
      • достигнуты цели обработки ПД;
      • субъект персональных данных отозвал свое согласие.

      Прекращение обработки означает блокирование любых действий с персональными данными. Уничтожение ПД проходит по специальному порядку, приведенному в Приказе Роскомнадзора от 28.10.2022 № 179.

      Читайте на сайте статью по теме: Уничтожение персональных данных: как соблюсти новые требования

      Какую ответственность несет оператор

      Основные санкции за нарушения в обработке ПД приведены в ст. 13.11 КоАП РФ. Например, за отсутствие Политики оператора компанию оштрафуют на сумму от 30 000 до 60 000 рублей. А вот обработка данных без письменного согласия обойдется организации уже в 300 000 – 700 000 рублей.


      Читайте на сайте статьи по теме


      Ответственный за персональные данные: кого и как назначить


      Трансграничная передача персональных данных по новым требованиям


      Согласие на обработку персональных данных: последние требования закона


      Аудит персональных данных: как провести по новым правилам


      Ответственность за разглашение персональных данных


      Уничтожение персональных данных: как соблюсти новые требования


      Биометрические персональные данные: понятие и правила обработки

      • Комментарии
      ...Загрузка комментариев...

      Назад к списку Следующая статья
       
      Компания
      О нас
      Сведения об организации
      Отзывы клиентов
      Наши спикеры
      Подарочные сертификаты
      Карьера с ИПК
      Достижения наших учеников
      Программа лояльности
      Обработка и защита персональных данных
      Продукты
      Курсы для кадровиков
      Курсы для HR
      Корпоративные программы
      Мероприятия
      Статьи
      Кадры
      Управление персоналом
      Оставайтесь на связи
      Наши контакты

      8 (800) 775 29 55
      Будни: с 9:00 до 18:00
      127410, Москва, муниципальный округ Отрадное, ш. Алтуфьевское, д. 41А, стр. 1
      support@profkadrovik.ru
      © 2025 profkadrovik.ru. При использовании материалов сайта ссылка на первоисточник обязательна.
      0

      Корзина

      Ваша корзина пуста
      Нажмите здесь, чтобы продолжить покупки

      Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies