Персональные данные: с 1 сентября работаем по новым правилам

14 июля 2022 года Президент РФ подписал закон[1], которым были внесены изменения в Федеральный закон «О персональных данных»[2]. Большинство изменений вступили в силу 1 сентября, отдельные положения начнут действовать с 1 марта 2023 года. Обсудим, какие новшества ждут кадровых работников.

 

Как и прежде, к персональным данным (ПД) законодатель относит любую информацию, которая может идентифицировать человека[3]. В рамках трудовых отношений такая информация может содержаться:

• на бумажных носителях (анкеты, приказы, договоры, справки, пропуска) и
• в электронном виде (ПО и базы данных, корпоративная почта или портал).

В любом случае каждый работодатель является оператором по обработке информации о работнике — субъекте ПД и обязан соблюдать требования по защите ПД.

ОБРАТИТЕ ВНИМАНИЕ
В новой редакции особо подчеркнуто, что Федеральный закон № 152-ФЗ распространяется на всех работодателей, в т. ч. и на иностранные компании, которые осуществляют обработку ПД граждан РФ (п. 1 ст. 1 Федерального закона № 266-ФЗ).

 

10 новых обязанностей и граничений с 1 сентября

До начала обработки работодатели должны уведомлять Роскомнадзор о своих действиях с ПД:

• работников — при оформлении и в период трудовых отношений;
• контрагентов — для исполнения условий заключенного договора;
• лиц, которым оформляются разовые пропуска на территорию.

ОБРАТИТЕ ВНИМАНИЕ
Что касается последнего пункта (оформление разовых пропусков), то здесь есть лазейка! Уведомлять Роскомнадзор должны не все, а только те, кто вносит данные в компьютер. Если работодатель не использует средства автоматизации и не намерен куда-либо передавать ПД, то отправлять отчеты в Роскомнадзор не нужно. То есть передача ПД через форму обратной связи на сайте требует уведомления Роскомнадзора, а прямое переписывание их из документа в тетрадь — нет. Такой подход закон не нарушает.

По общему правилу уведомление об обработке (о намерении осуществлять обработку) ПД нужно направлять до начала обработки[4]. Но если данные обрабатываются только в соответствии с трудовым законодательством, до 01.09.2022 направлять уведомление не требуется. Однако в связи с грядущими изменениями, чтобы избежать рисков привлечения к ответственности за неисполнение обязанности, рекомендуем направить уведомление о намерении обрабатывать ПД работников не позднее 01.09.2022.

 

Действующая форма уведомления установлена в Приложении № 1 к Методическим рекомендациям, утвержденным Приказом Роскомнадзора от 30.05.2017 № 94. Образец оформления приведен на официальном сайте Роскомнадзора[5].

Уведомление направляется дистанционно:

• Почтой России письмом с уведомлением о вручении (рекомендуем направлять также с описью вложения);
• в электронном виде с помощью специального сервиса на официальном сайте Роскомнадзора[6], где можно также отследить его статус.

Роскомназдор уже разработал и должен утвердить новые формы для уведомлений[7].

Для чего нужно уведомлять Роскомнадзор? 
В целях защиты прав и свобод человека и гражданина при обработке его персональных данных Роскомнадзор обязан вести[8] реестр операторов, осуществляющих обработку ПД[9]. Работодателя вносят в этот реестр, и любой, кто желает проверить на законных ли основаниях работодатель собирает ПД, сможет получить эту информацию.

Что значит изменение для работодателя:
– дождаться, когда утвердят новые формы уведомлений и порядок их предоставления;
– до этого времени продолжать следовать нормам Приказа Роскомнадзора от 30.05.2017 № 94[10];
– добавить в обязанности ответственного лица по ПД отправку уведомлений в Роскомнадзор;
– встраивать механизм отправки уведомлений в свои бизнес-процессы.

Политика и иные ЛНА по вопросам обработки и защите ПД не могут содержать положения, которые ограничивают права работников, а также полномочия и обязанности работодателя, не предусмотренные законодательством РФ[11].

Кроме того, в уведомлениях Роскомнадзора и Политике об обработке ПД для каждой цели обработки следует отдельно указать категории и перечень ПД, категории субъектов, способы, сроки обработки и хранения.

Что значит изменение для работодателя:
Внести изменения в Политику об обработке ПД или создать ее заново (если не было).

 

При сборе ПД работнику следует разъяснять юридические последствия отказа предоставить его ПД и (или) дать согласие на их обработку[12].

Что значит изменение для работодателя:
– составить уведомление или другой внутренний документ (например, дописать пункт в согласии, которое подписывает работник), где разъясняются юридические последствия отказа;
– ознакомить работников с этим документом под роспись.

 


[1] Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности"» (далее — Федеральный закон № 266-ФЗ).

[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ).

[3] Статья 3 Федерального закона № 152-ФЗ.

[4] Часть 1 ст. 22 Федерального закона № 152-ФЗ.

[5] https://clck.ru/uHYpk.

[6] https://clck.ru/uHdPb.

[7] На момент сдачи журнала в типографию Роскомнадзор подготовил проект соответствующего приказа: https://clck.ru/uHLzu.

[8] Пункт 3 ч. 5 ст. 23 Федерального закона № 152-ФЗ.

[9] https://clck.ru/qCKyV.

[10] Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения» (в ред. от 30.10.2018).

[11] Пункт 10 ст. 1 Федерального закона № 266-ФЗ.

[12] Пункт 9 ст. 1 Федерального закона № 266-ФЗ.

Ю. Ю. Жижерина,
руководитель учебного центра «Мир трудовых отношений»
О. В. Свириденко,
юрист по трудовому праву

Материал публикуется частично. Полностью его можно прочитать в журнале «Кадровые решения» № 9, 2022.

Персональные данные: с 1 сентября работаем по новым правилам

14 июля 2022 года Президент РФ подписал закон[1], которым были внесены изменения в Федеральный закон «О персональных данных»[2]. Большинство изменений вступили в силу 1 сентября, отдельные положения начнут действовать с 1 марта 2023 года. Обсудим, какие новшества ждут кадровых работников.

 

Как и прежде, к персональным данным (ПД) законодатель относит любую информацию, которая может идентифицировать человека[3]. В рамках трудовых отношений такая информация может содержаться:

• на бумажных носителях (анкеты, приказы, договоры, справки, пропуска) и
• в электронном виде (ПО и базы данных, корпоративная почта или портал).

В любом случае каждый работодатель является оператором по обработке информации о работнике — субъекте ПД и обязан соблюдать требования по защите ПД.

ОБРАТИТЕ ВНИМАНИЕ
В новой редакции особо подчеркнуто, что Федеральный закон № 152-ФЗ распространяется на всех работодателей, в т. ч. и на иностранные компании, которые осуществляют обработку ПД граждан РФ (п. 1 ст. 1 Федерального закона № 266-ФЗ).

 

10 новых обязанностей и граничений с 1 сентября

До начала обработки работодатели должны уведомлять Роскомнадзор о своих действиях с ПД:

• работников — при оформлении и в период трудовых отношений;
• контрагентов — для исполнения условий заключенного договора;
• лиц, которым оформляются разовые пропуска на территорию.

ОБРАТИТЕ ВНИМАНИЕ
Что касается последнего пункта (оформление разовых пропусков), то здесь есть лазейка! Уведомлять Роскомнадзор должны не все, а только те, кто вносит данные в компьютер. Если работодатель не использует средства автоматизации и не намерен куда-либо передавать ПД, то отправлять отчеты в Роскомнадзор не нужно. То есть передача ПД через форму обратной связи на сайте требует уведомления Роскомнадзора, а прямое переписывание их из документа в тетрадь — нет. Такой подход закон не нарушает.

По общему правилу уведомление об обработке (о намерении осуществлять обработку) ПД нужно направлять до начала обработки[4]. Но если данные обрабатываются только в соответствии с трудовым законодательством, до 01.09.2022 направлять уведомление не требуется. Однако в связи с грядущими изменениями, чтобы избежать рисков привлечения к ответственности за неисполнение обязанности, рекомендуем направить уведомление о намерении обрабатывать ПД работников не позднее 01.09.2022.

 

Действующая форма уведомления установлена в Приложении № 1 к Методическим рекомендациям, утвержденным Приказом Роскомнадзора от 30.05.2017 № 94. Образец оформления приведен на официальном сайте Роскомнадзора[5].

Уведомление направляется дистанционно:

• Почтой России письмом с уведомлением о вручении (рекомендуем направлять также с описью вложения);
• в электронном виде с помощью специального сервиса на официальном сайте Роскомнадзора[6], где можно также отследить его статус.

Роскомназдор уже разработал и должен утвердить новые формы для уведомлений[7].

Для чего нужно уведомлять Роскомнадзор? 
В целях защиты прав и свобод человека и гражданина при обработке его персональных данных Роскомнадзор обязан вести[8] реестр операторов, осуществляющих обработку ПД[9]. Работодателя вносят в этот реестр, и любой, кто желает проверить на законных ли основаниях работодатель собирает ПД, сможет получить эту информацию.

Что значит изменение для работодателя:
– дождаться, когда утвердят новые формы уведомлений и порядок их предоставления;
– до этого времени продолжать следовать нормам Приказа Роскомнадзора от 30.05.2017 № 94[10];
– добавить в обязанности ответственного лица по ПД отправку уведомлений в Роскомнадзор;
– встраивать механизм отправки уведомлений в свои бизнес-процессы.

Политика и иные ЛНА по вопросам обработки и защите ПД не могут содержать положения, которые ограничивают права работников, а также полномочия и обязанности работодателя, не предусмотренные законодательством РФ[11].

Кроме того, в уведомлениях Роскомнадзора и Политике об обработке ПД для каждой цели обработки следует отдельно указать категории и перечень ПД, категории субъектов, способы, сроки обработки и хранения.

Что значит изменение для работодателя:
Внести изменения в Политику об обработке ПД или создать ее заново (если не было).

 

При сборе ПД работнику следует разъяснять юридические последствия отказа предоставить его ПД и (или) дать согласие на их обработку[12].

Что значит изменение для работодателя:
– составить уведомление или другой внутренний документ (например, дописать пункт в согласии, которое подписывает работник), где разъясняются юридические последствия отказа;
– ознакомить работников с этим документом под роспись.

 


[1] Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности"» (далее — Федеральный закон № 266-ФЗ).

[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ).

[3] Статья 3 Федерального закона № 152-ФЗ.

[4] Часть 1 ст. 22 Федерального закона № 152-ФЗ.

[5] https://clck.ru/uHYpk.

[6] https://clck.ru/uHdPb.

[7] На момент сдачи журнала в типографию Роскомнадзор подготовил проект соответствующего приказа: https://clck.ru/uHLzu.

[8] Пункт 3 ч. 5 ст. 23 Федерального закона № 152-ФЗ.

[9] https://clck.ru/qCKyV.

[10] Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения» (в ред. от 30.10.2018).

[11] Пункт 10 ст. 1 Федерального закона № 266-ФЗ.

[12] Пункт 9 ст. 1 Федерального закона № 266-ФЗ.

Ю. Ю. Жижерина,
руководитель учебного центра «Мир трудовых отношений»
О. В. Свириденко,
юрист по трудовому праву

Материал публикуется частично. Полностью его можно прочитать в журнале «Кадровые решения» № 9, 2022.

Электронный кадровый документооборот: последние изменения
УВОЛИТЬ НЕЛЬЗЯ ОСТАВИТЬ Антикризисные меры в разъяснениях Минтруда, ПФР и авторов журнала «Кадровые решения»
Проверочные листы Роструда-2022
Электронный кадровый документооборот: советы и разъяснения специалистов
Персональные данные работников: изменения 2021 года
Книга «Кадровое делопроизводство с нуля»
Подписаться на новости
Подписка для физических лицДля физических лиц Подписка для юридических лицДля юридических лиц Подписка по каталогамПодписка по каталогам