Каждый день компании имеют дело с персональными данными своих сотрудников. Информация собирается, обрабатывается и хранится. Если это сделано неправильно, Роскомнадзор может оштрафовать вас, и штраф будет значительным. Прочитайте эту статью, чтобы узнать, что содержат персональные данные, как правильно их обрабатывать, чтобы избежать претензий со стороны властей, и какие изменения вам следует учесть с сентября 2022 года.
Если вы хотите убедиться в правильности применения всех изменений к персональным данным и обновить нормативные акты своей компании, вы можете принять участие в следующем уроке «Персональные данные: новые требования на 2022-2023 годы».
Что относится к персональным данным
Персональные данные — это информация о человеке, которая помогает его идентифицировать. Согласно Федеральному закону № 152-ФЗ, информация, которая может прямо или косвенно касаться лица прямо или косвенно.
По закону это имя личного индивидуального характера, но на основании только этой информации трудно идентифицировать человека. Помимо полной фамилии, суд не считает личным только маленькое имя человека без другой информации. Нет ни номера телефона, ни даже адреса электронной почты.
Работодатели используют не только собственные имена, но и другую информацию о своих сотрудниках, такую как дата рождения, домашний адрес и номер телефона, семейное положение и образование, и даже биометрические данные. Таким образом, этот набор информации уже включен в определение персональных данных.
Закон не содержит конкретного перечня персональных данных, но существует несколько категорий классификации.
Постановлением Правительства Российской Федерации № 1119 от 01. 11. 2012 года определены следующие категории персональных данных.
Сюда входят основные данные. Это включает имя, адрес, место работы, номер телефона и электронную почту. Эти материалы могут быть опубликованы в Интернете
Раса и национальность, политические убеждения, религиозные убеждения, здоровье и сексуальная жизнь, судимость. Эта информация является частным событием и не должна разглашаться никому.
Это биологическая и физиологическая информация — группа крови, отпечатки пальцев и фотографии.
Фотографии считаются биометрическим персоналом, поскольку они помогают идентифицировать человека. Если компания установила систему распознавания лиц для входа. Если фотография просто прикреплена к личной папке сотрудника, это не является персональными данными.
Некоторые предметы нельзя отнести к предыдущим группам. Например, информация по расчету заработной платы
ВАЖНО: К марту 2021 года в Российской Федерации были персональные данные. С тех пор в закон были внесены поправки, и теперь он называется «персональные данные, разрешенные субъектом для распространения». Другими словами, данные могут быть получены и опубликованы с согласия самого субъекта данных, даже если эти данные опубликованы где-то еще.
Как строится работа с персональными данными
Когда организация получает персональные данные сотрудника, она их изменяет, систематизирует, использует и хранит — это называется обработкой, а сам орган является пилотом персональных данных.
Работодатели обязаны создать и утвердить локальные акты, определяющие процессы сбора и использования персональных данных работников и потенциальных работников. Закон должен содержать перечень информации, запрашиваемой в процессе найма, и включать информацию о том, кто может получить доступ к персональным данным.
Обратите внимание. Работодатели могут собирать только те личные данные, которые необходимы для целей трудоустройства. Однако Роскомнадзор все равно должен предоставить персональные данные для обработки в Роскомнадзор, даже если компания обрабатывает данные сотрудников в соответствии с трудовым законодательством. Это новое требование закона.
Изменения в Законе о персональных данных 2022
В июле 2022 года не существует Федерального закона 266-ФЗ от 14 июля 2022 года, вносящего изменения в закон о персональных данных. Некоторые из них действуют с сентября 2022 года.
Новый закон о персональных данных вносит изменения, большинство из которых касаются обработки персональных данных.
- Введен внеземной принцип. Это означает, что если иностранная компания заключает договор с российским гражданином, она становится оператором персональных данных и должна соблюдать 152-ФЗ наравне с российскими организациями. Если российский работодатель разрешает иностранной компании обрабатывать персональные данные своих сотрудников, ответственность перед работодателем несут как обработчик персональных данных, так и компания, обрабатывающая данные.
- В настоящее время все операторы персональных данных обязаны сообщать об утечках информации в Государство по предотвращению и исключению компьютеров (GossPCA). В случае утечки персональных данных компания должна сообщить об этом в Роскомнадзор в течение 24 часов, провести расследование и найти виновного в течение 72 часов и сообщить о результатах в Госохрану.
- Сокращается срок взаимодействия между компанией и работником по вопросу персональных данных. Ранее, если сотрудник запрашивал информацию об обработке или прекращении обработки персональных данных, у компании было 30 дней на ответ. Теперь срок составляет 10 рабочих дней; столько же дней дается Роскомнадзору на ответ на запрос.
Узнайте больше об изменениях, вносимых новым законом с 1 сентября 2022 года, и о том, как работодатели могут отреагировать на это в нашем быстро развивающемся курсе.
Персональные данные в организации. Алгоритм работы с ними
Следующие инструкции помогут вам правильно обрабатывать ваши персональные данные.
Шаг 1 . Обучение правилам работы с персональными данными. Определить правила обработки и хранения персональных данных. Новое законодательство требует от компаний указывать цель обработки персональных данных
Обработайте также список категорий персональных данных.
Категории субъектов, чьи данные обрабатываются, а также
как и в течение какого времени данные будут обрабатываться и храниться; и
как данные будут уничтожены, если цель обработки достигнута и информация больше не требуется.
Шаг 2. Издать приказ об утверждении регламента и предоставить его на подпись всем сотрудникам.
Шаг 3. Установите ответственного за обработку персональных данных и составьте приложение к трудовому договору с этим сотрудником. Там объясните свои новые обязанности. В нем также указывается, какие сотрудники имеют доступ к персональным данным. Отобранные сотрудники должны подписать соответствующие контракты.
Шаг 4. Попросите всех сотрудников дать согласие на обработку их персональных данных. Согласно изменениям в законодательстве, согласие на обработку персональных данных должно быть конкретным, растущим и ясным, за исключением некоторых случаев (Федеральный закон 152, статья 9, § 152-ФЗ). Это означает, что в тексте документа должны быть четко указаны причины, по которым компания собирает персональные данные, а сотрудник должен четко указать, что он не возражает.
Важно! Если работник говорит или бездействует, это не считается согласием на обработку персональных данных. Для обработки персональных данных, разрешенных к распространению, должно быть составлено отдельное согласие. С его помощью можно запретить передачу данных неограниченному числу лиц.
В этой статье вы узнаете, как правильно составить обработку персональных данных.
Шаг 5. Храните данные так, чтобы доступ к ним имели только уполномоченные сотрудники. Если персональные данные хранятся на бумаге, их следует хранить в надежном несгораемом шкафу или в специальном помещении.
Узнайте больше об особенностях хранения персональных данных в этой статье.
Шаг 6. Обратитесь в Роскомнадзор, если вы еще этого не сделали. Согласно новым правилам, не информировать свою организацию о том, что вы являетесь менеджером персональных данных, теперь можно только в двух случаях.
- Если ваши персональные данные содержатся в государственной информационной системе данных, созданной для защиты государственной безопасности и государственных служащих; или
- когда компании обрабатывают персональные данные вручную без автоматизации.
Чтобы помочь вам уверенно управлять персональными данными, ознакомьтесь с новыми требованиями на 2022-2023 годы в разделе «Уроки». < pan> Шаг 5. Храните данные так, чтобы доступ к ним имели только уполномоченные сотрудники. Если персональные данные находятся на бумаге, они должны храниться в безопасном, несгораемом шкафу или в специальном помещении.
