⚡ Воинский учет. Подробнее
8 (800) 775 29 55
Заказать звонок
Войти
Мы в соцсетях
Арбат, пер. Калошин, д. 4, стр. 1, ком. 29, 30, 33
Институт Профессионального Кадровика
⚡Воинский учет
Кадровый обзор
Обучение
Мероприятия
О компании
Магазин
Статьи
Корпоративное обучение
Курсы для HR
Кадровый форум октябрь 2023
Итоги года-2023
    Институт Профессионального Кадровика
    ⚡Воинский учет
    Кадровый обзор
    Обучение
    Мероприятия
    О компании
    Магазин
    Статьи
    Корпоративное обучение
    Курсы для HR
    Кадровый форум октябрь 2023
    Итоги года-2023
      Институт Профессионального Кадровика
      0
      • ⚡Воинский учет
      • Кадровый обзор
      • Обучение
      • Мероприятия
      • О компании
      • Магазин
      • Статьи
      • Корпоративное обучение
      • Курсы для HR
      • Кадровый форум октябрь 2023
      • Итоги года-2023
      Все статьи
      Кадры Вебинары Вопросы и ответы Главное сейчас Трудовой кодекс РФ Управление персоналом
      Кадры
      Вебинары
      Вопросы и ответы
      Главное сейчас
      Дисциплина труда
      Кадровое делопроизводство Договоры Другие обязательные документы Локальные акты Организация документооборота Отчеты Регистрация, хранение и уничтожение Трудовые книжки
      Охрана труда
      Проверки
      Спецпроекты
      Трудовой кодекс РФ
      Трудовые отношения Выход на пенсию Оплата труда Отдельные категории работников Отпуска Прием на работу Рабочее время Увольнение Условия труда
      Управление персоналом
      Организация службы персонала HR-идеи
      Функции службы персонала Адаптация и наставничество Мотивация Оценка персонала Подбор

      Персональные данные с 1 сентября 2022: какие требования теперь предъявляет закон

      31 мая
      68599

      Самое значимое правовое событие этой осени: с 1 сентября 2022 года персональные данные обрабатывают по новым правилам.

      Закон 266-ФЗ (Федеральный закон от 14.07.2022 № 266-ФЗ) внес изменения в федеральный закон о персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ). Благодаря поправкам, не только обработка персональных данных с 1 сентября 2022 года происходит по новым требованиям. Также обозначены и правила, которые нужно соблюдать с 1 марта 2023 года. Они приняты в то же время, что и правки к закону о персональных данных с 1 сентября, при этом обязательны к исполнению только с 1 марта.

      Таким образом, изменения в закон о персональных данных касаются всего порядка работы с ними: от особенностей согласия и уведомления Роскомнадзора до правил трансграничной передачи, прекращения обработки и исполнения новых сроков. За нарушение этих требований грозят не только крупные административные штрафы, но и уголовная ответственность (ст. 13.11, 13.12 и 19.7 КоАП РФ, ст. 137 и 272 УК РФ).

      Каковы же персональные данные – изменения 2022 и как выполнить требования, которые привнесли изменения по персональным данным в работу компаний, обсудим в статье.

      Подготовьтесь к успешному прохождению инспекционной проверки Роскомнадзора – узнайте новые требования к обработке персональных данных 2022–2023 с применением (и без применения) информационных систем в нашем практическом курсе.

      Содержание

       

      Персональные данные: изменения 2022

      Обязанности оператора (работодателя)

      Уведомление в Роскомнадзор

      Содержание согласия на обработку ПД

      Требования к политике в отношении обработки ПД

      Правила прекращения обработки ПД

      Требования закона о персональных данных: изменения с 1 марта 2023 года

      Форма уведомления Роскомнадзора и сроки подачи

      Порядок работы с инцидентами в области ПД

      Ограничения при трансграничной передаче

      Скачайте образцы документов для работы:

      Алгоритм действий при трансграничной передаче персданных

      Перечень обязательных НПА для обработки персданных

      Чек-лист для аудита документов по персданным

      Персональные данные: изменения 2022

      Условно все изменения персональных данных с 1 сентября 2022 (кратко – ПД, персданные) можно отнести к нескольким группам. Рассмотрим основные из них. Начнем с требований, обязательных к исполнению с 1 сентября 2022 года (по 266-ФЗ).

      Обязанности оператора (работодателя)

      С 1 сентября 2022 года персональные данные обрабатывают с учетом обязательных требований статьи 18.1 Закона № 152-ФЗ, которые ранее были рекомендательными. В частности, из ее текста удалено слово «могут». Поэтому теперь работодатель не просто вправе, а обязан:

      • назначить ответственное лицо (структурное подразделение) за обработку ПД;

      • издать и опубликовать политику по персданным;

      • осуществлять внутренний контроль (аудит) ПД (способ контроля и подтверждение его проведения нужно прописать в отдельном ЛНА. Его предмет: соблюдение требований законодательства, политики, ЛНА организации по защите ПД);

      Чек-лист, какие документы нужно проверить при аудите ПД, скачайте здесь.

      • оценивать вред, который может быть нанесен их субъекту (способ оценки компания выбирает самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);

      • выполнять другие требования статьи 18.1 Закона № 152-ФЗ.

      Изменения в закон о персональных данных дополнили и сам перечень обязанностей оператора (работодателя). Например, установлено правило взаимодействия с государственной системой предотвращения атак на информационные ресурсы (ч. 12-14 ст. 19 Закона № 152-ФЗ). Также предусмотрена новая обязанность оператора (работодателя) при выявлении неправомерной или случайной передаче ПД: в течение 24 часов сообщить в Роскомнадзор и в течение 72 часов отчитаться о результатах внутреннего расследования (ч. 3.1 ст. 21, ч. 10, 11 ст. 23 Закона № 152-ФЗ).

      Какие правовые, организационные и технические меры с учетом изменений по персональным данным должен принимать работодатель при обработке ПД, разъяснят наши опытные консультанты.

      Уведомление в Роскомнадзор

      В новой редакции Закона № 152-ФЗ утратили силу положения о возможности работать с персданными без уведомления Роскомнадзора (п. 1 – 6 ч. 2 ст. 22). Теперь даже при их обработке во исполнение закона нужно в Роскомнадзор подать уведомление, чтобы попасть в реестр операторов ПД (Письмо Роскомнадзора от 19.08.2022 № 08-75348). Такое уведомление однократное. Его не нужно предоставлять по каждому работнику.

      Новые требования к содержанию уведомления в Роскомнадзор о персональных данных согласно Федеральному закону 266-ФЗ


      В уведомлении больше не указывают общие сведения о:


      • категории ПД;

      • категории субъектов ПД;

      • правовое основание обработки ПД;

      • перечень действий с ПД, общее описание используемых оператором способов обработки ПД.

      Перечисленные пункты описывают по отношению к каждой цели обработки. Также в уведомление в Роскомнадзор – 2022 добавили новый пункт: фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПД, которые содержатся в государственных и муниципальных информационных системах (ч. 3 ст. 22 Закона №152-ФЗ).

      Уведомление направляют в управление ведомства в субъекте России по месту регистрации работодателя в налоговом органе (Письмо Роскомнадзора от 19.08.2022 № 08-75348, далее – Письмо № 08-75348). Сделать это можно через портал Роскомнадзора: в виде электронного уведомления, подписанного УКЭП, с помощью средств аутентификации ЕСИА, а также – на бумажном носителе. Также допустимо составить уведомление по старой форме (по Приказу Роскомнадзора от 30.05.2017 № 94). При появлении новой формы отправьте информационное письмо о внесении изменений в реестр (Письмо № 08-75348).

      Ждать решения Роскомнадзора не нужно. Порядок уведомительный – обрабатывать ПД можно после получения сведений ведомством.

      В Роскомнадзор подать уведомление об обработке персданных не потребуется, если (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ):

      • оператор обрабатывает данные без автоматизации (например, компания с численностью до 25 человек);

      • ПД содержатся в информационных системах по защите безопасности государства и общественного порядка;

      • ПД используют по закону о транспортной безопасности.

      Сокращенные сроки


      Закон 266-ФЗ сократил сроки, в течение которых оператор должен предоставить субъекту ПД информацию об их обработке: 10 рабочих дней вместо 30. Все сведения предоставляют, ориентируясь на форму запроса (ч. 3 и 7 ст. 14, ст. 20 Закона № 152-ФЗ). В итоге, сокращены сроки на (ст. 20 Закона № 152-ФЗ):


      • ответ на запросы субъекта ПД;

      • отказ субъекту в предоставлении ПД;

      • ответ на запросы Роскомнадзора.

      Содержание согласия на обработку ПД

      Федеральный закон 266-ФЗ ввел дополнительные требования к содержанию согласия на обработку ПД. Теперь оно должно быть «предметным» и «однозначным». Новые требования относятся к таким условиям согласия (ч. 1 ст. 9 Закона № 152-ФЗ):

      • цель обработки персональных данных;

      • перечень ПД, на обработку которых дается согласие их субъекта;

      • наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);

      • перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;

      • срок, в течение которого действует согласие субъекта ПД и способу его отзыва.

      Если субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).

      Важно! Когда субъект ПД – выгодоприобретатель или поручитель, допускается обработка ПД без согласия. Обработка персданных несовершеннолетних без согласия возможна в случаях, установленных законом (ч. 3.1 ст. 4, ст. 6 Закона № 152-ФЗ).

      Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Уточните алгоритм работы с персональными данными и их виды.

      Правила работы с биометрическими данными


      Закон о персональных данных 2022 ужесточил правила работы с биометрией. Теперь оператор не может требовать предоставления биометрических сведений и осуществлять их обработку без согласия субъекта.


      Исключение – случаи, предусмотренные законами по вопросам: обороны, безопасности, противодействии терроризму и коррупции, транспортной безопасности, оперативно-розыскной деятельности, государственной службы, уголовно-исполнительного законодательства России, порядка выезда и въезда в нашу страну, гражданства России и нотариата (ч. 2 и 3 ст. 11 Закона № 152-ФЗ).

      Требования к политике в отношении обработки ПД

      Новый закон о персональных данных 2022 разъяснил требования к политике в отношении обработки ПД. Теперь в этом документе для каждой цели обработки должны быть отдельно указаны (ст. ст. 18.1, 21 Закона № 152-ФЗ):

      • категории и перечень ПД;

      • категории субъектов ПД;

      • способы и сроки их обработки и хранения;

      • порядок уничтожения ПД.

      Также внесено уточнение, что размещение политики в отношении обработки ПД возможно в том числе на страницах сайта, принадлежащего оператору в информационно-телекоммуникационной сети «Интернет».

      Правила поручения обработки другому лицу


      Оператор может поручать обработку ПД другому лицу. Для этого нужно:


      • согласие субъекта;

      • договор с лицом, которому передается обработка;

      • перечень ПД в поручении;

      • документы и иная информация, которые предоставляются по запросу (в том числе до обработки) и подтверждают принятие мер и соблюдение требований закона в целях исполнения поручения оператора.

      При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ).

      Порядок обработки ПД иностранными лицами


      Иностранные лица могут обрабатывать персональные данные с 1 сентября 2022 на основании согласия гражданина России (ч. 1.1 ст. 1 Закона № 152-ФЗ).


      При передаче ПД иностранному лицу ответственность перед их субъектом – солидарная. Поэтому за нарушения при обработке переданных иностранным юридическим и физическим лицом можно привлечь к ответственности и оператора (работодателя) в том же размере, как если бы он совершил их сам (ч. 6 ст. 6 Закона № 152-ФЗ).

      Правила прекращения обработки ПД

      Установлены новые правила при обращении субъекта ПД с требованием о прекращении их обработки.

      Если такое обращение поступило, оператор по общему правилу обязан в срок 10 рабочих дней прекратить их обработку (обеспечить ее прекращение). Указанный срок может быть продлен, но не более чем на пять рабочих дней: при направлении оператором в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ, пп. «б», п. 13 ст. 1 Закона 266-ФЗ).

      Перечень нормативных правовых актов, которые обязательны при обработке ПД, скачайте по ссылке

      Совет

       

      Разработайте отдельные акты (ЛНА): по вопросам обработки ПД (под каждую цель), по процедурам выявления и предотвращения нарушений и политику в отношении обработки ПД. Проверьте, соответствуют ли ваши ЛНА требованиям Закона 266-ФЗ.

      Выясните, почему опасно использовать типовые шаблоны при работе с персданными.

      Уточните общие требования по составлению ЛНА об обработке ПД.

      Требования закона о персональных данных: изменения с 1 марта 2023 года

      С 1 марта 2023 года вступят в силу изменения по работе с ПД, которые коснутся вопросов уведомления Роскомнадзора, работы с инцидентами в области ПД, порядка уничтожения ПД и их трансграничной передачи.

      Форма уведомления Роскомнадзора и сроки подачи

      Закон 266-ФЗ предусматривает новые сроки:

      • исключения данных из реестра операторов, если оператор отправит уведомлении о прекращении обработки ПД: само исключение – в течение 30 дней, подача заявления о прекращении – в течение 10 рабочих дней (пп. «б» п. 14 ст. 1 Закона 266-ФЗ);

      • уведомления оператором в случае изменения сведений (не позднее 15 числа, следующего за месяцем, в котором возникли изменения (пп. «д» п. 14 ст. 1 Закона 266-ФЗ).

      Всего будут применяться три формы уведомлений Роскомнадзора:

      • уведомление до начала обработки ПД;

      • уведомление о прекращении обработки ПД (в течение 10 рабочих дней с даты прекращения обработки персданных);

      • уведомление об изменении данных по обработке (до 15 числа следующего месяца)

      До 1 марта 2023 года будут установлены требования к подтверждению уничтожения ПД (Проект Приказа Роскомнадзора (подготовлен 19.08.2022), пп. «г» п. 13 ст. 1 Закона 266-ФЗ).

      Порядок работы с инцидентами в области ПД

      Изменения с сентября 2022 – персональные данные нужно усиленно защищать и сообщать об их утечке. Информация о компьютерных инцидентах по случайной передаче ПД (а также – их предоставлении, распространении, доступе) будут передавать в специальный федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности по защите прав субъектов ПД (пп. «г» п. 15 ст. 1 Закона 266-ФЗ).

      Такой орган будет вести реестр учета инцидентов в области персданных и определять порядок и условия взаимодействия с операторами (работодателем) в рамках его ведения.

      Ограничения при трансграничной передаче

      Определен перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов ПД. К ним относят государства – стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД. Помимо них, будут допускаться государства – не участники при условии соответствия их норм права и применяемых мер по обеспечению конфиденциальности и безопасности при обработке ПД указанной Конвенции (п. 7 ст. 1 Закона 266-ФЗ).

      Важно! Страны, которые обеспечивают адекватную защиту прав субъектов ПД, уточните в «Конвенции о защите физических лиц при автоматизированной обработке персональных данных» (заключена в Страсбурге 28.01.1981) и в Приказе Роскомнадзора от 15.03.2013 № 274. Проводите проверку перед каждой передачей ПД.

      При намерении передать ПД трансгранично будет нужно информировать Роскомнадзор в виде отдельного уведомления, которое первоначально должно быть подано до 1 марта 2023 года (п. 7 ст. 1 Закона 266-ФЗ).

      Алгоритм действий работодателя при планируемой трансграничной передаче скачайте здесь

      Содержание уведомления в Роскомнадзор о намерении передать ПД трансгранично (п. 7 ст. 1 Закона 266-ФЗ, будущие ч. 4 ст. 12 Закона № 152-ФЗ):


      1) наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со статьей 22 настоящего Федерального закона;


      2) наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты;


      3) правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных;


      4) категории и перечень передаваемых персональных данных;


      5) категории субъектов персональных данных, персональные данные которых передаются;


      6) перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;


      7) дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.

      Право оператора на трансграничную передачу зависят от того, входит ли страна для передачи ПД в перечень Роскомнадзора. Если да, передача возможна сразу после отправки уведомления. Если нет – только по истечении 10 рабочих дней после отправки уведомления и неполучения запрета или ограничения на передачу (п. 7 ст. 1 Закона 266-ФЗ, будущие ч. 10 – 15 ст. 12 Закона № 152-ФЗ).

      Сведения от иностранной организации и органов власти до трансграничной передачи ПД:


      • данные о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПД, мерах по защите ПД и об условиях прекращения их обработки;

      • информация о правовом регулировании в области ПД иностранного государства, под юрисдикцией которого находятся его органы власти, иностранные физические и юридические лица, которым планируется трансграничная передача ПД;

      Примечание. Пункт применяется, если предполагается трансграничная передача ПД органам власти иностранного государства, иностранным физическим и юридическим лицам, которые находятся под юрисдикцией иностранного государства – не участника Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД и не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПД.


      • сведения об органах власти иностранного государства, иностранных физических и юридических лицах, которым планируют трансграничную передачу ПД (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

      При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ).

      Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Как уведомлять Роскомнадзор, что изменить в Политике по обработке персданных и в Положении о персданных, что учесть при разработке нового согласия на обработку персданных, узнаете на нашем курсе.

      • Комментарии
      ...Загрузка комментариев...

      Назад к списку Следующая статья
       
      Компания
      Основные сведения
      Структура и органы управления образовательной организации
      Документы
      Образование
      Образовательные стандарты
      Руководство. Педагогический (научно-педагогический) состав
      Материально-техническое обеспечение и оснащенность образовательного процесса
      Стипендии и иные виды материальной поддержки
      Платные образовательные услуги
      Финансово-хозяйственная деятельность
      Вакантные места для приема (перевода)
      Доступная среда
      Международное сотрудничество
      Отзывы клиентов
      Наши спикеры
      Партнеры
      Карьера с ИПК
      Достижения наших учеников
      Магазин
      Курсы
      Консультации
      Книги
      Экспресс-курсы
      Статьи
      Кадры
      Управление персоналом
      Будьте всегда в курсе
      Оставайтесь на связи
      Наши контакты

      8 (800) 775 29 55
      Будни: с 9:00 до 18:00
      Арбат, пер. Калошин, д. 4, стр. 1, ком. 29, 30, 33
      support@profkadrovik.ru
      © 2023 profkadrovik.ru. При использовании материалов сайта ссылка на первоисточник обязательна.
      0

      Корзина

      Ваша корзина пуста
      Нажмите здесь, чтобы продолжить покупки