С 1.03.2023 вступает в силу Закон 266-ФЗ и вводятся новые обязанности по работе с персональными данными. О новых уведомлениях в Роскомнадзор, требованиях в работе, обязанностям и остальных изменениях расскажем в этой статье. Также для вас мы собрали для вас необходимые шаблоны документов по работе с персональными данными.
Изменения
Новые правила работы с персональными данными:
- запрашивать у Роскомнадзора разрешение передавать данные за границу;
- уведомлять Роскомнадзор об изменениях в компании в новые сроки;
- включать в акт об уничтожении данных обязательные сведения;
- оценивать возможный вред субъектам персональных данных.
Подробнее о каждом пункте:
Подача уведомления в Роскомнадзор о том, что планируется передать персданные за границу.
Организации, которые ранее осуществляли трансграничную передачу персданных, должны сообщить об этом ведомству до 1 марта 2023 года.
Для подачи электронного уведомления, заполните форму на портале персданных на сайте Роскомнадзора.
После 1.03 нужно направлять в Роскомнадзор уведомление о том, что вы планируете передать персональные данные (ПД) за границу. Это уведомление оформляется на бумаге или электронно. В нем нужно указать:
- наименование и адрес работодателя, дату и номер уведомления об обработке персданных, которое ранее подавали в ведомство;
- Ф. И. О. ответственного за обработку персданных в организации, его контактный номер, почтовый и электронный адрес;
- основание и цель трансграничной передачи персданных и ее дальнейшей обработки;
- категории и перечень персданных, которые планируете передать;
- перечень иностранных государств, на территории которых планируете передать персданные;
- дату, когда провели оценку того, как иностранный оператор соблюдает конфиденциальность персданных и обеспечивает безопасность их обработки.
Новые сроки подачи уведомлений об изменениях
Об изменениях сведений нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. Раньше такое уведомление нужно было подать в течение 10 рабочих дней с момента, как произошли изменения.
Оценка степени вреда
Роскомнадзор установил правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных.
Оценить его можно опираясь на эту таблицу:
После проведения оценки нужно будет оформить акт оценки вреда в бумажном или электронном виде.
Скачать его можно здесь:
Подтверждение уничтожения персданных
Теперь организация обязана фиксировать факт уничтожения персональных данных актом по новой форме.
Фиксировать факт уничтожения нужно двумя документами:
- актом об уничтожении персданных;
- выгрузкой из журнала регистрации событий в информационной системе персональных данных.
Скачать шаблоны здесь:
Как работать с персональными данными сотрудников
Перед началом работы нужно разработать порядок работы, назначить ответственного за персональные данные в компании, уведомить Роскомнадзор о начале обработки персональных данных, после этого нужно получить письменное согласие от сотрудника на обработку его персданных.
Есть 2 варианта письменного согласия:
- Обработка персональных данных без возможности передачи
- Обработка персональных данных и разрешением на распространение.
Скачать их можно здесь:
Согласие на обработку персональных данных сотрудника нужно получить у него лично. Если обрабатываете биометрические ПД, нужно упомянуть об этом в согласиях, либо составить отдельное.
Согласие оформляется на бумаге либо в электронном виде и закрепляется электронной подписью.
В каких случаях согласие на обработку от сотрудника не нужно
Согласие не берется, если обработка ПД происходит для того, чтобы:
- выполнить обязанности, которые необходимы для исполнения закона. Например передача данных в налоговую военкомат и тд;
- исполнить решение из судебного акта или договора;
- защитить жизнь, здоровье или какие-то жизненно важные интересы, а согласие, при этом, получить невозможно;
- проинформировать граждан в интернете о медицинской деятельности сотрудников медорганизаций, об уровне образования и квалификации медработников;
- внести персданные близких родственников сотрудника в объеме личной карточки по форме № Т-2;
- узнать, есть ли у сотрудника медицинские противопоказания к работе;
- оформить документы, которые необходимы для того, чтобы направить сотрудника в командировку;
- самостоятельно организовать пропускной режим в компании (без привлечения сторонней охранной организации);
- вести налоговый и бухгалтерский учет уволенного сотрудника.
Как хранить персональные данные в организации
В обязанности оператора персональных данных и кадрового работника входит организация должного хранения ПД сотрудников как бумажных, так и электронных.
Хранение бумажных документов с персональными данными.
Персональные данные сотрудников организации нужно хранить в сейфах, металлических шкафах или в специальных помещениях.
ПД, обрабатываемые в разных целях следует хранить отдельно друг от друга.
Также необходимо организовать режим доступа в помещение, где хранятся ПД. Для этого нужно утвердить перечень лиц, которые обрабатывают ПД и имеют к этим документам доступ. Каждый работник с допуском должен подписать письменное обязательство о том, что они не имеют права разглашать персданные.
Хранение электронных документов с персональными данными
По вопросам безопасности проконсультируйтесь с программистами, они подскажут как правильно хранить документы с учетом специфики вашей компании.
Обратите внимание на такие нюансы, как создание индивидуального логина и пароля для каждого сотрудника, у которого предполагается доступ к ПД. Также советуем создавать резервную копию электронной базы и хранить ее на внешнем накопителе, чтобы в случае чего сохранить информацию.
Хранить копии личных документов, как электронных, так и бумажных Роскомнадзор не позволяет. Если при проверке обнаружатся сканы или копии паспортов, военных билетов или дипломов — компанию оштрафуют.
Как уничтожить персональные данные
Персональные данные уничтожаются в таких случаях:
- Истек срок хранения документов с ПД.
- Достигнуты цели обработки или больше нет необходимости их обрабатывать. В этом случае нужно уничтожить ПД в течение 30 календарных дней после достижения цели обработки.
- Обнаружение неправомерной обработки данных. Например, если сотрудник не давал согласия. В этом случае нужно прекращение обработки ПД должно состояться в течение 3 рабочих дней и в течение 10 рабочих дней — уничтожение ПД.
О том, что ПД уничтожены необходимо уведомить сотрудника в письменной форме. Если сотрудник обращался в Роскомнадзор по вопросу неправомерной обработки, то и его необходимо уведомить.
- Сотрудник отозвал согласие. Прекратить обработку и уничтожить ПД нужно в течение 30 календарных дней с момента, как был получен запрос от сотрудника о прекращении обработки.
- Работник потребовал прекратить обработку его ПД. Это происходит в случаях, если данные неполные, устаревшие или неточные, если их получили незаконным способом или если они не являются обязательными для обработки заявленной цели. В этом случае после получения требования нужно прекратить обработку ПД в течение 10 рабочих дней. Уничтожить ПД нужно в течение 7 рабочих дней с момента получения запроса.
- Работник потребовал прекратить распространение его ПД. В таком случае необходимо прекратить распространение сразу же после получения требования. Данные нужно уничтожить в течение 30 дней, как достигли цели обработки.
Уведомление акт об уничтожении его персональных данных и уведомление для Роскомнадзора об уничтожении ПД сотрудника скачать здесь:
Обучение
В нашем институте вы можете в кротчайшие сроки повысить квалификацию или переобучиться. По окончанию обучения вам будет выдан вот такой документ:
