Как работать с персональными данными в компании: новые требования 2022

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как работать с персональными данными в компании: новые требования 2022». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.

Кроме того, широкое распространение получили сервисы в Интернете, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных. Это адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т. п. Всё это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией РФ, но и создает реальную угрозу для преступлений и правонарушений. В том числе мошенничества с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т. п.

Вдобавок законодательство никак не ограничивало выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время такие сведения – тоже персональные данные, нуждающиеся в соответствующей защищенности.

Подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространялись требования российского законодательства о персональных данных. При этом законодательство практически не регулировало трансграничную передачу персональных данных, что также создавало существенную угрозу.

Какие есть требования к согласию на обработку ПД

Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:

• цели обработки персональных данных;
• перечня персональных данных, на обработку которых даёт согласие их субъект;
• наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
• перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
• срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!

Для каждой цели обработки персональных данных нужно отдельно указывать:

• категории и перечень персональных данных
• категории субъектов, персональные данные которых обрабатываются;
• способы и сроки хранения персональных данных;
• порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

• перечень обрабатываемых персональных данных;
• обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
• обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
• обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Сколько согласий запрашивать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Изменяются правила защиты ПДн

Работодатель теперь обязан составить и утвердить положение о защите ПДн. В этом документе прописываются категории риска каждого документа/электронного носителя персданных, а также наличие угроз компрометации информации с этих носителей. Ранее такой документ рекомендовался, теперь он стал обязательным.

Что касается уничтожения персональных данных, то это возможно лишь в конкретных случаях, перечисленных в пункте 3 статьи 21, статье 21 Федерального закона от 14.07.2022 № 266-ФЗ:

• Закончился срок хранения документа
• Цель обработки достигнута или их больше не нужно обрабатывать
• Оператор неправомерно обрабатывает ПДн
• Владелец персональных данных отозвал согласие, потребовав прекратить обрабатывать и распространять его ПДн

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

• получаемых и обрабатываемых в рамках трудового законодательства;
• получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
• относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
• разрешенных физлицом для распространения;
• включающих в себя только фамилии, имена и отчества физлиц;
• необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Кому нужно защищать персональные данные

Любое предприятие или организация для своей работы взаимодействует как минимум с бухгалтерией и кадрами, а также поддерживает клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону должны обязательно защищать ПДн.

Защищать персональные данные нужно как минимум, чтобы обеспечить выполнение требований регуляторов, чтобы в результате проверок не понести наказание за отклонения от требований. Но кроме этого мотива нужно помнить, что количество киберугроз и выявленных инцидентов растёт год от года, и это при том, что почти все компании и организации переводят в формат онлайн многие бизнес-процессы. Защита персональных данных – отличный повод создать эффективную систему защиты своего бизнеса от кибератак.

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

• — на граждан — от 500 до 1 000 руб.;
• — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

• — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
• — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
• — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Как утвердить положение о персональных данных работников?

Для этого надо издать приказ, который обычно подписывает руководитель компании.

Возможные названия приказа:

• «Об утверждении положения о персональных данных работников»,
• «Об утверждении положения об обработке и защите персональных данных работников»,
• «Об утверждении положения о защите персональных данных работников».

В приказе содержится не только информация об утверждении положения, но и дата, с которой оно действует. Например, с конкретного числа или с даты подписания приказа.

Также в приказе обычно:

• назначают лиц, которые должны ознакомить работников организации с положением о защите персональных данных (образец 2022) – как это сделать, мы объясним ниже,
• определяют для этого разумный срок.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае если персональные данные указаны не точно или обнаружена их несанкционированная обработка, оператор должен актуализировать информацию или прекратить обработку персональных данных. В этой связи пропишите в политике, что ваша компания обязана внести изменения, уничтожить или блокировать данные, если субъект представит вам сведения о том, что данные устарели, недостоверны или получены незаконно. Пропишите срок, в течение которого субъект должен сообщить эти сведения.

Кроме этих разделов, в Политику рекомендуется включать регламент(ы) реагирования на запросы, обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов и обращений.

Политика утверждается приказом руководителя. Если принимается новая Политика, приказом следует отменить предыдущую и утвердить новую редакцию Политики.

С Политикой необходимо ознакомить всех работников организации под подпись. Напомним еще раз, что Политика обязательно должна быть размещена на сайте компании.

Что конкретно имеется в виду под персональными данными?

Российское законодательство определяет как минимум 6 основных категорий персональных данных:

1. Общие или общедоступные. Это данные, которые не относятся к конфиденциальным. Найти их можно в общедоступных базах, справочниках, адресных книгах. Чаще всего такая информация находится в свободном доступе в соцсети. К таким данным относят: ФИО, место жительства или регистрации, место работы или вид занятости, номер телефона.
2. Специальные. Это такие данные, которые чаще всего находятся в закрытом доступе, а для их обработки нужно получить личное письменное согласие субъекта. К подобному виду информации относят данные о судимости, национальной принадлежности, личной жизни, состоянии здоровья, политических взглядов, религиозных убеждений. Узнать все это можно только лично от человека, или сделать официальный запрос в уполномоченную службу. Однако если дело касается правонарушений и информация нужна для следствия, тогда запрос на получение информации передается уполномоченным лицом под его личную ответственность.
3. Биометрические. Это ряд данных, которые определяют физиологические или биологические особенности человека и применяются, чтобы установить личность. К биометрическим данным относятся:
   • фотография;
   • отпечаток пальца или сетчатка глаза;
   • зубная карта;
   • группа крови;
   • запись образца голоса;
   • другая генетическая информация.

   При этом важно помнить, вся эта информация является биометрической, если используется для идентификации личности, а не общего сбора данных о человеке.

4. Персональные данные работников. Сюда входит вся та информация, которую получает работодатель о своем сотруднике в процессе трудового взаимодействия. Эти данные защищаются дополнительно статьями ТК РФ.
5. Персональные данные в интернете. Вся дополнительная информация, получаемая собственниками электронных ресурсов при работе с сайтом: почта, IP-адрес, геолокация, информация о действиях на странице, полученные и отправленные файлы.
6. Иные или дополнительные данные. Чаще всего к этой группе относят информацию, которая имеет свойство меняться и не носит особой важности или секретности. В эту категорию можно отнести информацию о членстве в обществе или о занятии определенным видом спорта.

Кто отвечает за защиту персональных данных?

Ответственность за защиту данных несет оператор персональных данных. Это может быть любая компания, которая занимается сбором, хранением или обработкой информации. Компания назначает ответственное лицо – ему передаются полномочия по работе с ПД конкретной категории (клиенты, сотрудники, партнеры и др.). В случае утечки информации в первую очередь виновным будет тот, кто отвечал за данные по конкретной категории.

Если это электронный ресурс, тогда вся ответственность возлагается на собственника сайта – вне зависимости от того, зарегистрирован ли он как оператор ПД. Если сайт собирает какую-либо информацию, значит по факту собственник уже является оператором.

Если же на сайте нет информации о собственнике ресурса, вся ответственность за распространение информации ложится на администратора домена этого сайта.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Особое внимание к случаям утечек

У операторов появилась новая обязанность информировать Роскомнадзор об инцидентах с персональными данными, а именно, о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав их субъектов (п. 3.1. ст. 21 152-ФЗ). Для этого был запущен специальный сервис Роскомнадзора.

Действовать операторам придется оперативно, так как уведомление о произошедшем инциденте должно быть направлено в течение двадцати четырех часов с момента его выявления.

При этом уведомление должно содержать не только указание на сам факт утечки, но и сведения о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном их правам, о принятых мерах по устранению последствий соответствующего инцидента, и др.

Кроме того, в течение семидесяти двух часов оператор должен уведомить Роскомнадзор о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

В свете планируемого увеличения административной ответственности за инциденты с персональными данными, операторам данных следует внимательнее относится к их защите, стремиться предотвратить утечки, а не только реагировать на уже произошедшие факты нарушений.

Похожие записи:

• Как восстановить документы на квартиру?
• Выплаты и пособия на ребенка в Смоленской области и Смоленске в 2022 году
• Практика камеральных проверок получения налоговых вычетов физическими лицами