Требования по обработке персональных данных для компаний
к списку инсайтов

Персональные данные: как работодателю соблюсти все требования

Персональные данные: как работодателю соблюсти все требования
Сейчас законодательство о персональных данных РФ активно меняется. Так в июле был принят законопроект, вносящий значительные изменения в предписанные действия работодателя по обработке данных работников.

В этой статье мы разберемся, что теперь необходимо делать работодателю в отношении персональных данных.

1. С 1 сентября 2022 года работодатели должны в обязательном порядке (за исключением случая, когда ПД обрабатываются исключительно без средств автоматизации) перед началом обработки ПД уведомлять об этом Роскомнадзор по специальной форме.

На основании такого уведомления сведения о работодателе будут вноситься в реестр операторов ПД, данные в котором являются общедоступными. В уведомлении необходимо подробно заполнить цели ОПД, описать все предпринятые оператором меры, свидетельствующие о исполнении своих обязанностей и обеспечивающие безопасность данных при их обработке, категории обрабатываемых ПД и т. д.

2. Меры, которые должен предпринять работодатель до направления уведомления и начала обработки данных:
  • назначить ответственного в организации за обработку ПД;
  • издать Локальные Нормативные Акты (ЛНА), определяющие политику работодателя в отношении ПД, в которых должны быть зафиксированы категории для каждой цели обработки персональных данных и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
  • издать ЛНА, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
  • ознакомить с вышеназванными ЛНА работников, которые осуществляют обработку ПД;
  • определить угрозы безопасности ПД при их обработке в информационных системах;
  • применить меры по обеспечению безопасности ПД;
  • заключить с работниками согласие об обработке ПД, содержащее все сведения, предусмотренные статьей 9 ФЗ «О персональных данных»;
  • если работодатель публикует ПД работника на корпоративном сайте или в журналах, то заключить с работником отдельное согласие об обработки ПД, разрешенных для распространения;
  • если работодатель планирует передавать на аутсорсинг некоторые функции, то необходимо в согласии на обработку ПД или в отдельном согласии отразить согласие на это работника, наименование и адрес такого лица, которому фактически была поручена обработка данных;
  • при поручении обработки ПД работников другому лицу, работодателю необходимо удостовериться, что такое лицо соблюдает меры по защите и конфиденциальности ПД. Требования к содержанию поручения будут установлены в ч. 3 ст. 6 ФЗ «О персональных данных»;
  • если работодатель планирует обрабатывать ПД родственников работника, при этом перечень их ПД выходит за рамки требований личной карточки Т-2, то необходимо у родственника работника взять отдельное согласие;
  • если работодатель получает вместе с документами Контрагента персональные данные сотрудников Контрагента, необходимо удостовериться, что у Контрагента есть их согласие на передачу ПД, если такого согласия нет – оформить согласие об обработке данных с сотрудниками контрагента.

3. Отдельное внимание уделено трансграничной передачи персональных данных. С 1 марта 2023 года работодатели должны будут подавать отдельные уведомления о намерении осуществлять трансграничную передачу данных. Причем Роскомнадзор может запретить работодателю это делать. Сложность возникает в том, что закон обязывает операторов ПД до начала трансграничной передачи ПД запросить у иностранных лиц сведения о мерах, предпринимаемых ими для защиты ПД, об условиях прекращения обработки данных. Как показывает практика, не всегда работодатели могут получить указанную информацию.

Любое отклонение от описанных предписаний позволяет привлечь работодателя к административной ответственности. В настоящее время в Госдуму уже вносятся законопроекты, расширяющие основания для привлечения к ответственности операторов ПД. Штрафы достаточно ощутимы: от 30 000 рублей за отсутствие согласия на обработку ПД (за одного работника), до 300 000 рублей за повторные нарушения в области обработки и защиты персональных данных.


Ольга Полежаева, руководитель Практики юридического консалтинга ANCOR
ANCOR Corporate Websites
Загрузка...
Хочу в ANCOR!
Загрузка...
Заявка на услугу
Загрузка...
Оставить отзыв о работе консультанта
Загрузка...
Logo ANCOR
Загрузка...
Logo ANCOR
Загрузка...
Logo ANCOR
Загрузка...