Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные: изменения в 2023 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.
Обработка персональных данных в 2023 году
Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.
Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве. Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.
Средняя степень вреда присваивается, если:
- ПД распространяются на сайте оператора или неограниченному кругу лиц;
- цель обработки ПД отличается от первоначальной;
- используются базы персональных данных других операторов с целью продвижения своих товаров, работ, услуг;
- получено согласие на обработку ПД на сайте оператора, который не предусматривает дальнейшую идентификацию и аутентификацию субъекта персональных данных;
- осуществляется обработка персональных данных с получением согласия на передачу права их обработки третьими лицам в целях, которые несовместимы с целями сбора таких данных.
Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:
- наименование компании-работодателя;
- место и дата составления документа;
- фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.
Далее в основной части подробно указывается:
- каких именно персональных данных касается документ;
- в каких целях и что именно допустимо с ними делать;
- срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).
Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.
Что входит в обязанности работодателя
С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).
Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).
Что обязан сделать работодатель:
- назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
- издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
- проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
- оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
- ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
- соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.
Что изменится с 1 марта 2023
Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).
В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.
Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).
Средняя степень вреда присваивается, если:
- ПД распространяются на сайте оператора или неограниченному кругу лиц;
- цель обработки ПД отличается от первоначальной;
- используются базы персональных данных других операторов с целью продвижения своих товаров, работ, услуг;
- получено согласие на обработку ПД на сайте оператора, который не предусматривает дальнейшую идентификацию и аутентификацию субъекта персональных данных;
- осуществляется обработка персональных данных с получением согласия на передачу права их обработки третьими лицам в целях, которые несовместимы с целями сбора таких данных.
Новые требования к персональным данным несовершеннолетних
Новый закон запрещает включать в договор с субъектом персональных данных три вида условий.
Речь о положениях, которые ограничивают права и свободы субъекта, допускают в качестве условия заключения договора бездействие субъекта, а также устанавливают случаи обработки данных несовершеннолетних.
Если первые два вида положений — не новые, то третий дополнительно ограничивает компании. Скорее всего, Роскомнадзор будет толковать его расширительно: персональные данные несовершеннолетних нельзя обрабатывать на основании договора, если иное прямо не указано в законе.
П. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Владельцы цифровых платформ больше не смогут ссылаться на то, что несовершеннолетний принял все правила пользования ресурса, а значит, дал основание для обработки.
Многим сервисам придется переоценить свои риски и пересмотреть подход к обработке данных. При этом важно, что предоставление согласия на обработку — односторонняя сделка. Следовательно, требования к форме согласия будут отличаться для разных возрастных групп. Что проверить в согласии на обработку данных
Новые требования к согласию на обработку персональных данных
Появились дополнительные критерии, которым должно соответствовать согласие на обработку персональных данных.
Теперь оно должно быть не только конкретным, информированным и сознательным, а еще и предметным и однозначным. Однако Роскомнадзор уже давно указывает на то, что субъект данных должен выразить согласие однозначным действием. Поэтому поправка лишь закрепляет подход, который есть в практике.
Ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Еще один подход, который уже давно выработала практика, но который теперь есть в законе: запрет отказывать в услуге из-за того, что гражданин не предоставил биометрические данные или согласие на их обработку.
Предоставление биометрических персональных данных не может быть обязательным. Какие требования теперь есть к поручению на обработку данных Теперь в поручении оператора на обработку данных должен быть перечень персональных данных.
Операторам придется выбирать: указывать широкие общие или четкие узкие категории данных. Каждый из вариантов несет свой риск. Так, в первом случае есть вероятность, что практика не будет толковать категории так же широко, как оператор и обработчик данных. Но если выбрать наиболее детальные категории, поручение вероятно придется часто редактировать, поскольку объем данных может меняться.
Ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
В поручение оператора на обработку персональных данных необходимо включать и обязанности обработчика: во-первых, соблюдать требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, во-вторых, предоставлять по запросу оператора в течение срока действия поручения информацию, подтверждающую принятие мер и соблюдение установленных требований, в- третьих, информировать Роскомнадзор об инцидентах.
Кроме того, теперь, если оператор поручает обработку иностранному лицу, ответственность за его действия перед субъектом данных будут нести и оператор, и обработчик. Такая поправка повысит внимание Роскомнадзора к иностранным компаниям.
Другие новости компании
Все Новости компании 20 апреля 2023 Обзор изменений законодательства от 20.04.2023 Эксперты Группы представляют мониторинг законодательных нововведений в РФ за период с 11 апреля по 20 апреля 2023 года. Налоги Налоговые проверки Инвестиционный консалтинг Инвентаризация Новые ФСБУ МСФО 19 апреля 2023 Льгота на РИД: порядок предоставления льготы по налогу на прибыль пересмотрят Цель законопроекта – позволить большему количеству российских компаний оформлять права на результаты интеллектуальной деятельности и эффективно ими управлять. Подробнее об инновации – в консультации Юлии Белогорцевой, Партнера практики Инвестиционного консалтинга и оценки Группы «ДЕЛОВОЙ ПРОФИЛЬ». Оценка НМА Инвентаризация НМА 11 апреля 2023 Группа «ДЕЛОВОЙ ПРОФИЛЬ» в лидерах аудиторского рейтинга «Коммерсантъ»
ИД «Коммерсантъ» выпустил рейтинг российских аудиторских компаний по итогам 2022 года. Группа «ДЕЛОВОЙ ПРОФИЛЬ» вошла в число ведущих игроков рынка.
Срок обработки персональных данных
Срок обработки персональных данных — это период от начала обработки данных до ее прекращения. Начало обработки для каждого субъекта персональных данных будет разным. Рекомендуем разграничить начало для каждого из них. Например, срок обработки персональных данных клиентов начинается с момента регистрации на сайте или заключения договора, а срок обработки данных сотрудников — с начала действия трудового договора. Дата прекращения обработки персональных данных определяется моментом наступления одного из событий:
- достигнута цель обработки;
- истек срок действия согласия субъекта или он отозвал согласие на обработку данных;
- обнаружена несанкционированная обработка данных;
- организация прекратил свою деятельность. Сколько хранить персональные данные.
Персональные данные не стоит хранить дольше того срока, который нужен для их обработки. Лучше всего указать конкретную дату (число, месяц, год) и основание, которое станет причиной прекращения обработки персональных данных.
Каждая организация вправе самостоятельно разработать Положение, законодатель не устанавливает его строгой формы. Обязательным является наличие следующих разделов:
- Общие положения.
Раздел должен содержать цели, для которых документ составлен, а также перечисление данных, которые относятся к персональным. Все формулировки можно перенести из ст. 3 Закона.
- Основные понятия и состав персональных данных.
Руководствуйтесь при составлении этого раздела ст. 3 Закона. Укажите также документы работников, в которых содержатся их ПД:
- документы, на основании которых оформляется трудовой контракт;
- трудовые книжки;
- личные дела работников;
- отчетность налоговая, статистическая и т.д.;
- приказы по организации и их копии.
- Обработка персональных данных.
Перечислите все условия, которые необходимо соблюдать при обращении с ПД. Соотнесите их с теми, что указаны в ст. 6 Закона.
- Передача персональных данных.
Определите правила передачи и получения ПД как внутри организации, так и третьим лицам. Здесь же укажите, как и где они хранятся (обычно это отдел кадров и бухгалтерия, где сведения о работниках хранятся в бумажном и электронном виде).
- Доступ к персональным данным.
Доступ к ПД сотрудников строго ограничен кругом лиц, которые используют их в процессе осуществления своих должностных полномочий. Перечислите должности, кто вправе получать и обрабатывать такие сведения, и их действия с ПД.
- Ответственность за нарушение норм в отношении обработки и защиты персональных данных.
Закрепите меру ответственности за работниками в случае нарушений правил данного Положения. Степень ответственности избирается в соответствии со ст. 90 ТК РФ.
Положение о персональных данных вводится в действие на основании приказа руководителя.
Обязательным является ознакомление с текстом Положения всех сотрудников организации, в том числе вновь принимаемых (ч. 2 ст. 22, ст. 68 ТК). Подтверждается этот факт одним из способов:
- личной подписью в трудовом договоре, где содержится отсылка на действующее Положение;
- личной подписью в листе ознакомления к Положению или журнале ознакомлений с приказами и распоряжениями.
При несоблюдении порядка обращения с персональными данными, если отсутствует Положения или не ознакомлен сотрудник с ним, руководитель может быть привлечен к административной ответственности в соответствии со ст. 5.27 КоАП.
Что изменится с 1 марта 2023
Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).
В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.
Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).
Хранение и использование персональных данных
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.
Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).
Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.
Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.
Ускоряется обработка данных
По новым поправкам оператор ПДн обязан быстрее реагировать на запросы граждан и РКН.
- Для граждан. Если владелец ПДн обращается с требованием прекратить его обработку данных, оператор обязан остановить её в течение 10 дней. Сведения, касающиеся обработки персональных данных, также предоставляются в течение 10 дней после обращения.
- Для Роскомнадзора. Сведения, касающиеся обработки персональных данных, оператор должен предоставить РКН в течение 10 рабочих дней (раньше было 30). Допускается увеличение срока на 5 дней, если оператор отправит в РКН уведомление с обоснованием продления. Если ответы не устроят РКН несколько раз в течение года, к вам могут прийти с внеплановой проверкой