Когда сотрудник устраивается на работу, он предоставляет работодателю свои документы: паспорт, СНИЛС, диплом, военный билет, трудовую книжку. В этих документах прописаны персональные данные (ПД) человека.
Благодаря этим данным работодатель начисляет сотруднику заработную плату и отчитывается о нем в налоговую инспекцию и внебюджетные фонды.
В этом случае работодатель становится оператором персональных данных, а все действия с личной информацией о сотруднике будет называться обработкой персональных данных.
1 сентября 2022 года в Федеральный закон от 27.07.2006 № 152-ФЗ были внесены поправки, которые касаются всех работодателей. Некоторые правила обязаны к соблюдению только с 1 марта 2023 года.
Кто ответственный за работу с персональными данными
По новым правилам работодатель обязан:
- назначить ответственного за обработку персональных данных, обычно это кадровый работник;
- опубликовать политику по персональным данным;
- контролировать соблюдение требований законодательства по персданным;
- оценивать вред, который может быть нанесен субъекту ПД.
Новости о персональных данных для кадровика
- Если вы работаете с персональными данными, то необходимо однократно уведомить об этом Роскомнадзор, чтобы попасть в реестр операторов ПД. Но если вы не используете средства автоматизации и не собираетесь передавать куда-либо ПД, то отчитываться перед Роскомнадзором не нужно.
Подать уведомление можно через портал Роскомнадзора.
- Согласие на обработку ПД теперь должно быть более четким. В нем нужно указывать цели обработки персональных данных, их перечень, ФИО и адрес лица, которому поручена обработка, перечень действий с ПД и срок действия согласия и отзыва.
- Теперь оператор не может требовать предоставления биометрических сведений и осуществлять их обработку без согласия субъекта.
- Если данные поручают обрабатывать другом улицу, то для этого нужно согласие субъекта, договор с лицом, которому передается обработка и перечень персональных данных в поручении.
- Политика ПД может публиковаться на официальном сайте организации. В ней для каждой цели обработки нужно указать категории и перечень ПД, категории субъектов ПД, способы и сроки их обработки и хранения, порядок уничтожения ПД.
- При трансграничной передаче необходимо составлять для Роскомнадзора отдельное уведомление. Предавать данные можно только в те страны, которые входят в перечень Роскомнадзора.
Уничтожение ПД
С 1 марта 2023 г. установлены требования к уничтожению персональных данных. Персональные данные подлежат уничтожению, если:
- достигнуты цели, ради которых их собирали;
- ПД больше не нужны организации;
- сотрудник требует уничтожить его ПД;
- ПД были собраны неправомерно;
- владелец данных отзывает согласие на обработку.
Электронные документы стираются без возможности восстановления, бумажные можно измельчить в шредере. По итогам уничтожения необходимо составить акт об уничтожении персональных данных и сделать выгрузку из журнала регистрации событий в ИС компании.
В акте нужно указать дату уничтожения, ответственного за процедуру, количество и виды уничтоженных носителей, основание для уничтожения и способ, которым были уничтожены ПД. Акты и выгрузки хранятся в течение 3 лет.
Оценка вреда персональных данных
С 1 марта 2023 г. вступают в силу требования к оценке вреда, который может быть причинен субъекту ПД.
Ответственный за обработку персональных данных осуществляет оценку вреда, который может быть причинен субъекту ПД в случае нарушения ФЗ по персональных данных. Оператор определяет одну из степеней вреда - высокую, среднюю либо низкую, в зависимости от того, утечка каких данных и где произошла.
Результаты оценки оформляются при помощи акта оценки вреда, который обязательно должен содержать наименование и адрес оператора, дату издания акта и дату проведения оценки, ФИО и должность ответственного за проведение оценки, степень вреда, которая причинена владельцу персональных данных.
Где обучиться кадровому делопроизводству
ЕВИДПО проводит обучение и профессиональную переподготовку кадровых работников с учетом всех нововведений по персональным данным. По результатам обучения вы получите диплом вот такого образца:
Подведем итоги
- С 1 сентября 2022 года в силу вступили новые правила обработки персональных данных.
- Правила хранения и обработки персональных данных становятся строже и оформляются более детально.
- За обработку ПД в организации отвечает кадровый работник.
- С 1 марта 2023 года вступают в силу требования к уничтожению ПД и требования в оценке вреда субъекту ПД.