Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что меняется в обработке персональных данных с 1 сентября 2022 года». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).
Какие есть требования к согласию на обработку ПД
Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:
- цели обработки персональных данных;
- перечня персональных данных, на обработку которых даёт согласие их субъект;
- наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
- перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
- срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.
Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!
Для каждой цели обработки персональных данных нужно отдельно указывать:
- категории и перечень персональных данных
- категории субъектов, персональные данные которых обрабатываются;
- способы и сроки хранения персональных данных;
- порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).
Согласие работника на обработку персональных данных
Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.
Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).
Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.
В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).
Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).
Настоятельно рекомендуем включить в него следующую информацию:
- цели получения персональных данных работника у третьих лиц;
- предполагаемые источники информации (лица, у которых будете запрашивать данные);
- способы получения данных, их характер;
- возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.
Риски при нарушении требований к обработке персональных данных работников организации
В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- — на граждан — от 500 до 1 000 руб.;
- — на должностных лиц — от 4 000 до 5 000 руб.
Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных
За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.
В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):
- — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
- — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
- — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.
В каких случаях потребуется уведомление Роскомнадзора
С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- получаемых и обрабатываемых в рамках трудового законодательства;
- получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
- относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
- разрешенных физлицом для распространения;
- включающих в себя только фамилии, имена и отчества физлиц;
- необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.
Перечни информационных систем и лиц, допущенных к работе с ними, и инструкция по безопасности ПДн
Информационная система (ИС) в понимании № 152-ФЗ – это совокупность содержащихся в базах данных персональных сведений, информационных технологий и технических средств, обеспечивающих их обработку.
Сначала управляющей организации следует составить перечень таких информационных систем. Определите, в каких ИС вы обрабатываете ПДн при проведении ОСС или расчёте платы за жилищно-коммунальные услуги.
Затем составьте список лиц, допущенных к работе с такими ИС, и разработайте для них инструкцию пользователя ИС. Также подготовьте:
- журнал учёта прав;
- источники угроз ИС;
- журнал регистрации фактов нарушения и восстановления работоспособности оборудования;
- инструкцию по организации восстановления программного обеспечения, баз информационных систем персональных данных.
Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.
Кроме того, широкое распространение получили сервисы в Интернете, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных. Это адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т. п. Всё это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией РФ, но и создает реальную угрозу для преступлений и правонарушений. В том числе мошенничества с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т. п.
Вдобавок законодательство никак не ограничивало выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время такие сведения – тоже персональные данные, нуждающиеся в соответствующей защищенности.
Подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространялись требования российского законодательства о персональных данных. При этом законодательство практически не регулировало трансграничную передачу персональных данных, что также создавало существенную угрозу.
Уведомление оператора персональных данных
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
- уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
- уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
- персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).
Подотчетным станет сбор персональных данных:
- в ходе трудовых отношений,
- при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
- уже упомянутых ФИО,
- даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
- для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).
Назначение ответственных лиц
Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.
Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.
Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.
Что конкретно изменится для бизнеса и покупателей.
Если раньше обращение с персональными данными регулировалось «Законом о персональных данных», теперь добавился ещё и закон «О защите прав потребителей».
Покупатель может запросить, с какой целью собираются его персональные данные. Если обращение устное, продавец обязан дать ответ немедленно, если подано письменно, в электронной или иной форме, на разъяснение даётся семь дней. Контролем вопроса займётся Роспотребнадзор.
Когда можно требовать ПД.
Персональные данные для заключения договора можно потребовать в двух случаях.
- Если без них продавец не может выполнить свои обязательства по договору. Например, необходимы адрес и телефон для доставки товара или адрес электронной почты, чтобы отправить на него билеты на мероприятие, если скачать их напрямую с сайта нельзя.
- В установленных законом случаях. Например, при заключении договора с мобильным оператором, банком, микрофинансовой организацией, при продаже ювелирных украшений на сумму свыше 40 000 рублей.
Что следует сделать уже сейчас
1. Получите ЭП ФНС.
Она будет гарантированно работать при подаче деклараций в 2023 году и приниматься всеми госорганами.
2. Получите ЭП на полномочного сотрудника.
В случае продления срока действия такой подписи она поможет вам быть более мобильными: сдавать декларации или подписывать первичные документы с нескольких рабочих мест.
3. Получите ЭП на физическое лицо, на которое может быть оформлена МЧД.
Если руководитель организации еще не выпустил ЭП ФНС, но у него есть ЭП от коммерческого УЦ, то уже сейчас можно оформить МЧД, которая продолжит действовать в 2023 году. Если ЭП ФНС у руководителя уже есть, то ЭП физлица также поможет уже сейчас или в 2023 году оформить МЧД для отправки деклараций и подписания документов с разных (нескольких) рабочих мест.
Могут ли ИП работать с УКЭП физлица
Индивидуальные предприниматели в 2023 году смогут работать без УКЭП налоговой, а использовать электронные подписи физлица, выпущенные в аккредитованных удостоверяющих центрах. Законодательством пока не предусмотрен запрет на использование таких подписей. Так как работать с подписью физлица индивидуальным предпринимателям могут запретить, лучше сделать УКЭП ФНС заранее и пользоваться ей.
У индивидуального предпринимателя и физического лица одинаковые реквизиты, которые записывают в сведения о владельце электронной подписи. Единственное отличие, у ИП вносятся данные о ЕГРИП.
Также ИП может использовать подпись физического лица при продаже алкогольной продукции на нескольких точках. Для работы с ЕГАИС необходима УКЭП, содержащая в себе индивидуальный налоговый номер (ИНН) налогоплательщика. Для всех торговых точек ИП может иметь только одну подпись из налоговой. А для связи с ЕГАИС — неограниченное количество электронных подписей физлица, так как ИНН во всех подписях будут совпадать.
Разработка документов по персональным данным в организации согласно действующим правовым нормативам
Центр безопасности данных является высокопрофессиональным интегратором систем защиты персональных данных. В штате нашей компании присутствуют как специалисты технического, так и юридического профиля, которые в синтезе дают прекрасное сочетание для разработки различных комплектов документации, соответствующих предъявляемым техническим требованиям и правовым нормам.
Подготовка документации по ПДн осуществляется на основе тщательного изучения положений не только ФЗ-152, но и Постановлений Правительства и других нормативных актов, регулирующих вопросы обеспечения безопасности личных сведений граждан при их хранении и обработке. Наш центр разрабатывает документы с учетом Приказа ФСТЭК РФ № 21 от 18 февраля 2013 года и Постановления Правительства № 1119 от 01.11.2012. Как лицензиат Федеральной службы по техническому и экспортному контролю мы точно знаем, какие требования предъявляются данной организацией, что позволяет эффективно помогать компаниям, нацеленным на прохождение аттестации.
Пакет документов, регламентирующих вопросы обработки и защиты персональных данных, разрабатывается индивидуально для вашей компании и состоит из более чем 40 документов от концепций и положений до шаблонов уведомлений и образцов писем.
Кто обязан вносить информацию в реестр обученных лиц по охране труда
Реестр обученных лиц. Сведения об обученных по охране труда в учебных центрах подают учебные центры. Проверка знания требований охраны труда работников, подлежащих обучению исключительно в Учебном центре, будет с 1 марта 2023 года проводится с обязательным использованием единой системы по охране труда. Это касается всех тех, кто организует и отвечает за безопасное производство работ в организации, кто проводит инструктажи и стажировки, а также членов комиссий по проверке знания требований охраны труда работников.
Реестр работодателей, которые проводят обучение внутри организаций. Сведения об обученных по охране труда в самих организациях формирует работодатель. Специалист по охране труда является ответственным за процессы обучения в системе управления охраной труда организации.
Важно! Работодатель может заниматься внутренним обучением по охране труда, не получая для этого аккредитацию Минтруда, но с обязательным внесением этим работодателем информации в личный кабинет индивидуального предпринимателя или юридического лица в информационной системе охраны труда Минтруда России.
В период с 1 сентября 2022 по конец февраля 2023 года можно проводить обучение «по старинке», а вот с 1 марта 2023 года, если не произойдут новые обстоятельства, нужно будет подавать сведения об обученных работниках в личном кабинете работодателя в реестр Минтруда.
Для этого необходимо с 1 марта 2023 года подготовить документы, и направить их в Минтруд для уведомления о том, что работодатель намерен осуществлять деятельность по обучению своих работников, за исключением тех, кто обязан учиться только в УЦ.
Для подтверждения наличия организационно-технических возможностей для качественного обучения своих работников внутри организации, необходимо подтвердить, что работодатель действительно имеет:
- материально-техническую базу в виде мест обучения работников или учебных помещений, а также оборудования, технических средств обучения для осуществления процесса обучения по охране труда;
- учебно-методическую базу. Учебно-методическая база может быть представлена в виде согласованных и утвержденных программ обучения по охране труда и учебных материалов для каждой программы обучения по охране труда.
Если у работодателя есть места для обучения, значит есть и документальное подтверждение этого. Это должен быть приказ об организации мест обучения и установленными требованиями по их оснащению, комплектации, приказ о назначении ответственных за обучение, платежные документы на приобретаемые расходные материалы.
Уведомление Роскомнадзора об обработке персональных данных работников
Ранее компании-работодатели вправе были не уведомлять Роскомнадзор об обработке персональных данных работников, в том случае, когда такая обработка происходила в соответствии с трудовым законодательством. Данное исключение было предусмотрено подп. 1 п. 2 ст. 22 Закона 152-ФЗ.
С 1 сентября 2022 года данная норма утратила силу. Соответственно, даже если компания обрабатывает персональные данные своих сотрудников исключительно в целях соблюдения трудового законодательства, необходимо уведомить об этом Роскомнадзор.
Изменился и состав сведений, которые должно содержать уведомление (п. 3.1 ст. 22 закона 152-ФЗ). Оператор должен указать для каждой цели обработки персональных данных (далее – ПДн):
- категории ПДн;
- категории субъектов, персональные данные которых обрабатываются;
- правовое обоснование обработки ПДн;
- перечень действий с ПДн;
- способы обработки ПДн.
Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
В случае если персональные данные указаны не точно или обнаружена их несанкционированная обработка, оператор должен актуализировать информацию или прекратить обработку персональных данных. В этой связи пропишите в политике, что ваша компания обязана внести изменения, уничтожить или блокировать данные, если субъект представит вам сведения о том, что данные устарели, недостоверны или получены незаконно. Пропишите срок, в течение которого субъект должен сообщить эти сведения.
Кроме этих разделов, в Политику рекомендуется включать регламент(ы) реагирования на запросы, обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов и обращений.
Политика утверждается приказом руководителя. Если принимается новая Политика, приказом следует отменить предыдущую и утвердить новую редакцию Политики.
С Политикой необходимо ознакомить всех работников организации под подпись. Напомним еще раз, что Политика обязательно должна быть размещена на сайте компании.