ЗВОНОК БЕСПЛАТНЫЙ

Главная страница > База знаний > Персональные данные новые требования для кадрового работника с 2023 года

01.12.2022

Юлия Рядинская

Персональные данные новые требования для кадрового работника с 2023 года

На кадровом работнике лежит ответственность за работу с персональными данными. В статье расскажем как правильно работать с персональными данными, требования к уничтожению персональных данных и об изменениях для кадрового работника в 2023 году

Кадровое дело

5 мин

 

 

Когда сотрудник устраивается на работу, он предоставляет работодателю свои документы: паспорт, СНИЛС, диплом, военный билет, трудовую книжку. В этих документах прописаны персональные данные (ПД) человека.

Благодаря этим данным работодатель начисляет сотруднику заработную плату и отчитывается о нем в налоговую инспекцию и внебюджетные фонды.

В этом случае работодатель становится оператором персональных данных, а все действия с личной информацией о сотруднике будет называться обработкой персональных данных.

1 сентября 2022 года в Федеральный закон от 27.07.2006 № 152-ФЗ были внесены поправки, которые касаются всех работодателей. Некоторые правила обязаны к соблюдению только с 1 марта 2023 года.

Кто ответственный за работу с персональными данными

По новым правилам работодатель обязан:

  • назначить ответственного за обработку персональных данных, обычно это кадровый работник;
  • опубликовать политику по персональным данным;
  • контролировать соблюдение требований законодательства по персданным;
  • оценивать вред, который может быть нанесен субъекту ПД.

Новости о персональных данных для кадровика

  • Если вы работаете с персональными данными, то необходимо однократно уведомить об этом Роскомнадзор, чтобы попасть в реестр операторов ПД. Но если вы не используете средства автоматизации и не собираетесь передавать куда-либо ПД, то отчитываться перед Роскомнадзором не нужно.
Подать уведомление можно через портал Роскомнадзора.
  • Согласие на обработку ПД теперь должно быть более четким. В нем нужно указывать цели обработки персональных данных, их перечень, ФИО и адрес лица, которому поручена обработка, перечень действий с ПД и срок действия согласия и отзыва.
  • Теперь оператор не может требовать предоставления биометрических сведений и осуществлять их обработку без согласия субъекта.
  • Если данные поручают обрабатывать другом улицу, то для этого нужно согласие субъекта, договор с лицом, которому передается обработка и перечень персональных данных в поручении.
  • Политика ПД может публиковаться на официальном сайте организации. В ней для каждой цели обработки нужно указать категории и перечень ПД, категории субъектов ПД, способы и сроки их обработки и хранения, порядок уничтожения ПД.
  • При трансграничной передаче необходимо составлять для Роскомнадзора отдельное уведомление. Предавать данные можно только в те страны, которые входят в перечень Роскомнадзора.

Уничтожение ПД

С 1 марта 2023 г. установлены требования к уничтожению персональных данных. Персональные данные подлежат уничтожению, если:

  • достигнуты цели, ради которых их собирали;
  • ПД больше не нужны организации;
  • сотрудник требует уничтожить его ПД;
  • ПД были собраны неправомерно;
  • владелец данных отзывает согласие на обработку.

Электронные документы стираются без возможности восстановления, бумажные можно измельчить в шредере. По итогам уничтожения необходимо составить акт об уничтожении персональных данных и сделать выгрузку из журнала регистрации событий в ИС компании.

В акте нужно указать дату уничтожения, ответственного за процедуру, количество и виды уничтоженных носителей, основание для уничтожения и способ, которым были уничтожены ПД. Акты и выгрузки хранятся в течение 3 лет.

Оценка вреда персональных данных

С 1 марта 2023 г. вступают в силу требования к оценке вреда, который может быть причинен субъекту ПД.

Ответственный за обработку персональных данных осуществляет оценку вреда, который может быть причинен субъекту ПД в случае нарушения ФЗ по персональных данных. Оператор определяет одну из степеней вреда - высокую, среднюю либо низкую, в зависимости от  того, утечка каких данных и где произошла.

Результаты оценки оформляются при помощи акта оценки вреда, который обязательно должен содержать наименование и адрес оператора, дату издания акта и дату проведения оценки, ФИО и должность ответственного за проведение оценки, степень вреда, которая причинена владельцу персональных данных.

Где обучиться кадровому делопроизводству

ЕВИДПО проводит обучение и профессиональную переподготовку кадровых работников с учетом всех нововведений по персональным данным. По результатам обучения вы получите диплом вот такого образца:

Подведем итоги

  • С 1 сентября 2022 года в силу вступили новые правила обработки персональных данных.
  • Правила хранения и обработки персональных данных становятся строже и оформляются более детально.
  • За обработку ПД в организации отвечает кадровый работник.
  • С 1 марта 2023 года вступают в силу требования к уничтожению ПД и требования в оценке вреда субъекту ПД.

Посмотрите курсы обучения
Кадровое дело

У нас Вы найдете 41 курс(ов)
по направлению

Кадровое делопроизводство