Как работать с персональными данными работников с 1 сентября 2022 г.

Текст: Елена Карсетская – юрист, эксперт по трудовому праву. Автор многочисленных публикаций в профессиональных изданиях. Автор книг «Трудовые книжки», «Сокращение штата», «Прием и увольнение работников», «Локальные акты организации» и других.

С 1 сентября 2022 года были внесены существенные изменения в порядок обработки персональных данных. В данной статье рассмотрим те важные изменения, которые актуальны для работодателей.

Изменение Закона о персональных данных

Федеральный закон от 14.07.2022 № 266-ФЗ внес значимые изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Большинство изменений применяется с 1 сентября 2022 года. Часть поправок вступит в силу с 1 марта 2023 года. Учитывая значительные размеры штрафов за нарушение порядка работы с персональными данными, компаниям необходимо знать новые обязанности, предусмотренные Законом 152-ФЗ в актуальной редакции.

Уведомление Роскомнадзора об обработке персональных данных работников

Ранее компании-работодатели вправе были не уведомлять Роскомнадзор об обработке персональных данных работников, в том случае, когда такая обработка происходила в соответствии с трудовым законодательством. Данное исключение было предусмотрено подп. 1 п. 2 ст. 22 Закона 152-ФЗ.

С 1 сентября 2022 года данная норма утратила силу. Соответственно, даже если компания обрабатывает персональные данные своих сотрудников исключительно в целях соблюдения трудового законодательства, необходимо уведомить об этом Роскомнадзор.

Изменился и состав сведений, которые должно содержать уведомление (п. 3.1 ст. 22 закона 152-ФЗ). Оператор должен указать для каждой цели обработки персональных данных (далее – ПДн):

• категории ПДн;
• категории субъектов, персональные данные которых обрабатываются;
• правовое обоснование обработки ПДн;
• перечень действий с ПДн;
• способы обработки ПДн.

Форма уведомления

Форму уведомления должен определить Роскомнадзор (п. 8 ст. 22 Закона 152-ФЗ). В настоящее время форма уведомления еще не утверждена Роскомнадзором, поэтому следует использовать форму, приведенную в приложении 1 к Методическим рекомендациям, утвержденным приказом Роскомнадзора от 30.05.2017 № 94.

Роскомнадзор рекомендует использовать электронную форму уведомления, размещенную на официальном сайте ведомства (письмо Роскомнадзора от 19.08.2022 № 08-75348).

Требования к содержанию локальных актов

В целях соблюдения закона 152- ФЗ операторы должны издавать:

• документ, определяющий политику в отношении обработки ПДн;
• локальные акты по вопросам обработки ПДн.

С 1 сентября 2022 г. определен перечень вопросов, который надо отразить в локальных актах. Так локальные акты должны содержать для каждой цели обработки ПДн:

• категории и перечень обрабатываемых ПДн;
• категории субъектов, персональные данные которых обрабатываются;
• способы, сроки обработки и хранения ПДн;
• порядок уничтожения ПДн после того, как цели обработки достигнуты (подп. 2 п. 1 ст. 18.1 закона 152-ФЗ).

При этом в локальные акты нельзя включать следующие условия:

• ограничения прав субъектов ПДн;
• полномочия и обязанности оператора, не предусмотренные законодательством.

Политику в отношении обработки персональных данных следует опубликовать на сайте, через который оператор собирает персональные данные (п. 2 ст. 18.1 Закона 152-ФЗ).

Согласие на обработку персональных данных

Законодатель уточнил требования к согласию на обработку персональных данных. Такое согласие должно быть конкретным, информированным, сознательным, предметным и однозначным (п. 1 ст. 9 Закона 152-ФЗ).

Если же субъект ПДн обратится к оператору с требование прекратить обработку ПДн, оператор обязан выполнить данное требование в течение 10 рабочих дней. Данный срок оператор вправе продлить на 5 рабочих дней, но в этом случае субъекту ПДн необходимо направить уведомление, в котором разъяснить причины продления срока (п. 5.1. ст. 21 Закона 152-ФЗ).

Предоставление информации в Роскомнадзор и субъекту ПДн

Ранее было установлена обязанность оператора предоставлять запрашиваемую информацию в Роскомнадзор в течение 30 дней с даты получения запроса. Теперь срок сократили до 10 рабочих дней (п. 4 ст. 20 закона 152-ФЗ). Продлить срок можно на 5 рабочих дней. Для этого оператор должен направить в Роскомнадзор мотивированное уведомление, в котором указать причины продления срока.

Оператор должен предоставить субъекту ПДн информацию об обрабатываемых персональных данных, при условии, что субъект обратится с соответствующим запросом. Ранее срок для предоставления информации установлен не был. Сейчас оператору дается 10 рабочих дней на предоставление запрашиваемой информации (п. 3 ст. 14 закона 152-ФЗ).

Срок также можно продлить на 5 рабочих дней при условии предоставления субъекту уведомления о причинах продления срока.

Оператор должен представить запрашиваемые сведения по той же форме, что субъект направил запрос. Это правило действует, если субъект ПДн в запросе самостоятельно не определил в какой форме он планирует получить информацию.

«Такском» предлагает сотрудникам организаций и гражданам (физлицам) электронные подписи для любых задач