Определения и понятия относительно работы с персональными данными в 2022
Начнем с того, что работу с персональными данными (далее по тексту - «ПД» или «персданные») регулирует ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных».
Цель, в первую очередь, – это защита наших с вами прав при совершении действия с нашими ПД и защита нашей с вами частной жизни.
Дадим несколько основных определений, которые помогут понять:
Что считать этими самыми персональными данными? Это вся, абсолютно любая, относящаяся прямо или косвенно к человеку информация.
Что считать обработкой персональных данных работника? Это любое действие с нашими персданными (не имеет значение как это действие производится с автоматизацией, т.е. через компьютер, видеосъёмку или без нее). Список действий определен также законодательством:
Распространение ПД - круг лиц, который получит доступ к данным нами с субъектом заранее определен быть не может.
Предоставлением ПД – круг лиц указанный выше, мы определили и зафиксировали.
Ст. 3. № 152-ФЗ от 27.07.2006
Помимо ФЗ, в ТК РФ есть статья, определяющая требования к Работодателю к обработке персональных данных его персонала - ст. 86 ТК РФ:
ЛНА в компании, кто будет нести ответственность за соблюдение мер защиты персданных? кто будет иметь к ним доступ? Какими документами регламентировать?
Как писали выше, для штатного персонала обязательно должен быть локальный нормативный акт в котором вся информации о порядке работы, мерах защиты и т.д. прописаны. Персонал с ним ознакомлен до момента передачи работодателю своих данных.
можно скачать Образец_Согласие на обработку персональных данных 2022
Положение об обработке персональных данных работников – имеет определённый требования к разработке с учетом изменений 2021 и 2022 г. Оно не всегда будет универсальным, поэтому разрабатывается отдельно.
Помимо работников, компании свои персданные могут передавать и клиенты или посетители сайта. Для клиентов компании разрабатывают не положение, а политику обработки ПД –публикуют на сайте, доступную к ознакомлению, о чем обязательно оповещают посетителей страницы. (подп. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Если ПД клиент передает нарочно в вашем офисе, то политику обработки персданных предоставляют к ознакомлению в печатном виде.
Помимо обработки, обязанность на работодателе лежит еще и по защите полученных персданных. (п. 7 ст. 86 ТК РФ).
Защита персональных данных в организации - это не только не допустить посторонних к месту хранения (в бумажном, цифровом или другом виде) персданных, но и запретить тем, кто доступ будет иметь по роду деятельности, ПД раскрывать и распространять.
Круг лиц, как правило, формируется из функционала работников:
Запретить распространять чужие ПД кругу лиц необходимо письменно, подписав с ним соответствующее соглашение о неразглашении с указанием ответственности в случае нарушения.
Ответственный за персональный данные в организации
Внутренним приказом в каждой компании назначается 1, двоих и более недопустимо, за соблюдение всего процесса работы с ПД. (п. 1 ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ). Этот работник должен осуществлять контроль за организацией обработки персданных в компании и утвердить перечень (можно также приказом), кто в силу своих трудовых обязанностей будет иметь к ним доступ, (п. 13 Положения, утв. постановлением Правительства от 15.09.2008 № 687) как мы писали в примере выше. Доступность всех ПД также придется ограничить и от указанного круга лиц в том числе. Свободный доступ они должны иметь только к тем, какие им нужны для работы.
Образец _ Приказ о назначении ответственного за персональные данные
Помимо политик, положений и приказов, для контроля можно разрабатывать сопутствующие документы, такие как:
Требования по обеспечению безопасности ПД
Можно найти в Постановлении Правительства от 01.11.2012 № 1119, а меры указаны в ст. 19 ФЗ от 27.07.2006 № 152-ФЗ.
Охранять персональные данные каждая компания обязана от:
П. 6 Требований, Правительства от 01.11.2012 № 1119.
Роскомнадзор – кому и когда уведомлять его? Кто такой оператор по обработке Персональных данных?
Компании, которые обрабатывают ПД не только своего штата, но и других физ.лиц обязаны об этом сообщить Роскомнадзору, до того как приступили к такой обработке.
Надзорный орган зарегистрирует их как оператора по обработке персональные данных.
Порядок определён приказом Роскомнадзора от 30.05.2017 № 94.
Сейчас встать на учет можно достаточно просто, отправив заявление в бумажном или электронном виде. Инструкция здесь: https://pd.rkn.gov.ru/operators-registry/notification/form/
Если не хочется разбираться во всем этом - юристы нашей компании помогут подать уведомление в Роскомнадзор.
Ваша компания не попадает под обязанность отправлять уведомление в Роскомнадзор, когда:
Распространение персональных данных в 2022
Если компания планирует передавать персональные данные и точно может указать кому именно, то предварительно необходимо получите согласие на такие действия, указав перечень этих 3-х лиц. Например, для оформления:
Чтобы оптимизировать документооборот наших клиентов, мы разработали бланк, совмещающий в себе Согласие работника на обработку и распространение персональных данных 2021 работника третьим лицам (банк, страховая, по договору аутсорсинга).
Скачать бланк на обработку персональных данных можно по ссылке Образец _ Согласие на обработку и предоставление персональных данных
Если компания собирается раскрыть данные для всех желающих, т.е. круг лиц неограничен и не может быть предварительно перечислен или зафиксирован (например, опубликовать где-либо), во избежание проблем и нарушений возьмите на это действие отдельное письменное согласие на распространение персональных данных работника. (ст. 88 ТК, ст. 10.1 ФЗ от 27.07.2006 № 152-ФЗ, приказ Роскомнадзора от 24.02.2021 № 18).
До 30 августа 2021 года не было требований к такому документу, но с 01 сентября 2021 года Роскомнадзор ввел их:
Мы также готовы поделиться формой. Образец _ Согласие сотрудника на распространение его персональных данных неограниченному кругу лиц
Когда субъект решит, что больше он не согласен с распространение его персданных –попросите его написать об этом в заявлении.
Образец _ Отзыв согласия на распространение и передачу персональных данных работников в 2022 году
Если сомневаетесь, можно посоветоваться с Роскомнадзором по применяемым формам согласия на распространение персональных данных. Отправьте свой бланк им по ссылке: https://pd.rkn.gov.ru/soglasiya/maket/
Не хотите тратить время на согласование и брать наш, можно получить макет / шаблон согласия для распространения от самого Роскомнадзора по ссылке: https://pd.rkn.gov.ru/soglasiya/
Хранить персданные работодатель обязан в течение времени, указанном в статье 22.1 Федерального закона от 22.10.2004 № 125-ФЗ и перечне, утвержденном приказом Росархива от 20.12.2019 № 236.
Да, нужно.
Положение о защите ПД обязаны иметь и микропредприятия и индивидуальные предприниматели (ИП), хотя они освобождены от обязанности разрабатывать ряд других обязательных ЛНА. К Положению о работе с персональными данными это исключение не применяется.
Да, считается, обработкой биометрических персональных данных.
Если работодатель осуществляет видеонаблюдение в своих помещениях –это также является способом сбора и обработки персональных данных. В данном случае необходимо подписывать с работниками Согласие на обработку биометрических персональных данных и разработать соответствующее положение.
Да, есть.
Штрафы для работодателя можно скачать по ссылке: Ответственность за несоблюдение законодательства в части работы с персональными данными
Да, можем.
Reliance Company разработает для вашей компании Положение о работе с персональными данными работников, устанавливающее порядок обработки персональных данных, определение их объема и содержания, хранения, защиты, а также права и обязанности Работника и Работодателя в этой области для компаний разного масштаба и сфер деятельности.
При внесении изменений в законодательство, которое затрагивает вашу сферу деятельности и при изменении условий, включенных в само Положение:
• добавляется способ сбора персональных данных, например, видеонаблюдение;
• становится необходимым собирать дополнительные данные о состоянии здоровья (медотводы от вакцинации по состоянию здоровья в период COVID);
Нормативные документы:
• Федеральный закон от 27.07.2006 № 152-ФЗ О персональных данных;
• Ст. 86, 87 трудовой кодекс РФ;
• приказ Роскомнадзора от 30.05.2017 № 94;
• постановление Правительства от 01.11.2012 № 1119;
• постановление Правительства от 15.09.2008 № 687;