Новые обязанности в работе с персональными данными, новые документы и правила. Обо всем этом расскажем в статье
С 1.03.2023 вступает в силу Закон 266-ФЗ и вводятся новые обязанности по работе с персональными данными. О новых уведомлениях в Роскомнадзор, требованиях в работе, обязанностям и остальных изменениях расскажем в этой статье. Также для вас мы собрали для вас необходимые шаблоны документов по работе с персональными данными.
Изменения
Новые правила работы с персональными данными:
- запрашивать у Роскомнадзора разрешение передавать данные за границу;
- уведомлять Роскомнадзор об изменениях в компании в новые сроки;
- включать в акт об уничтожении данных обязательные сведения;
- оценивать возможный вред субъектам персональных данных.
Подробнее о каждом пункте:
Подача уведомления в Роскомнадзор о том, что планируется передать персданные за границу.
Организации, которые ранее осуществляли трансграничную передачу персданных, должны сообщить об этом ведомству до 1 марта 2023 года.
Для подачи электронного уведомления, заполните форму на портале персданных на сайте Роскомнадзора.
После 1.03 нужно направлять в Роскомнадзор уведомление о том, что вы планируете передать персональные данные (ПД) за границу. Это уведомление оформляется на бумаге или электронно. В нем нужно указать:
- наименование и адрес работодателя, дату и номер уведомления об обработке персданных, которое ранее подавали в ведомство;
- Ф. И. О. ответственного за обработку персданных в организации, его контактный номер, почтовый и электронный адрес;
- основание и цель трансграничной передачи персданных и ее дальнейшей обработки;
- категории и перечень персданных, которые планируете передать;
- перечень иностранных государств, на территории которых планируете передать персданные;
- дату, когда провели оценку того, как иностранный оператор соблюдает конфиденциальность персданных и обеспечивает безопасность их обработки.
Новые сроки подачи уведомлений об изменениях
Об изменениях сведений нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. Раньше такое уведомление нужно было подать в течение 10 рабочих дней с момента, как произошли изменения.
📎Скачать бесплатно шаблоны документов по работе с персональными данными
Оценка степени вреда
Роскомнадзор установил правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных.
Оценить его можно опираясь на эту таблицу:
После проведения оценки нужно будет оформить акт оценки вреда в бумажном или электронном виде.
Скачать его можно здесь:
📎Скачать бесплатно шаблоны документов по работе с персональными данными
Подтверждение уничтожения персданных
Теперь организация обязана фиксировать факт уничтожения персональных данных актом по новой форме.
Фиксировать факт уничтожения нужно двумя документами:
- актом об уничтожении персданных;
- выгрузкой из журнала регистрации событий в информационной системе персональных данных.
Скачать шаблоны здесь:
📎Скачать бесплатно шаблоны документов по работе с персональными данными
Как работать с персональными данными сотрудников
Перед началом работы нужно разработать порядок работы, назначить ответственного за персональные данные в компании, уведомить Роскомнадзор о начале обработки персональных данных, после этого нужно получить письменное согласие от сотрудника на обработку его персданных.
Есть 2 варианта письменного согласия:
- Обработка персональных данных без возможности передачи
- Обработка персональных данных и разрешением на распространение.
Скачать их можно здесь:
📎Скачать бесплатно шаблоны документов по работе с персональными данными
Согласие на обработку персональных данных сотрудника нужно получить у него лично. Если обрабатываете биометрические ПД, нужно упомянуть об этом в согласиях, либо составить отдельное.
Согласие оформляется на бумаге либо в электронном виде и закрепляется электронной подписью.
В каких случаях согласие на обработку от сотрудника не нужно
Согласие не берется, если обработка ПД происходит для того, чтобы:
- выполнить обязанности, которые необходимы для исполнения закона. Например передача данных в налоговую военкомат и тд;
- исполнить решение из судебного акта или договора;
- защитить жизнь, здоровье или какие-то жизненно важные интересы, а согласие, при этом, получить невозможно;
- проинформировать граждан в интернете о медицинской деятельности сотрудников медорганизаций, об уровне образования и квалификации медработников;
- внести персданные близких родственников сотрудника в объеме личной карточки по форме № Т-2;
- узнать, есть ли у сотрудника медицинские противопоказания к работе;
- оформить документы, которые необходимы для того, чтобы направить сотрудника в командировку;
- самостоятельно организовать пропускной режим в компании (без привлечения сторонней охранной организации);
- вести налоговый и бухгалтерский учет уволенного сотрудника.
Как хранить персональные данные в организации
В обязанности оператора персональных данных и кадрового работника входит организация должного хранения ПД сотрудников как бумажных, так и электронных.
Хранение бумажных документов с персональными данными.
Персональные данные сотрудников организации нужно хранить в сейфах, металлических шкафах или в специальных помещениях.
ПД, обрабатываемые в разных целях следует хранить отдельно друг от друга.
Также необходимо организовать режим доступа в помещение, где хранятся ПД. Для этого нужно утвердить перечень лиц, которые обрабатывают ПД и имеют к этим документам доступ. Каждый работник с допуском должен подписать письменное обязательство о том, что они не имеют права разглашать персданные.
Хранение электронных документов с персональными данными
По вопросам безопасности проконсультируйтесь с программистами, они подскажут как правильно хранить документы с учетом специфики вашей компании.
Обратите внимание на такие нюансы, как создание индивидуального логина и пароля для каждого сотрудника, у которого предполагается доступ к ПД. Также советуем создавать резервную копию электронной базы и хранить ее на внешнем накопителе, чтобы в случае чего сохранить информацию.
Хранить копии личных документов, как электронных, так и бумажных Роскомнадзор не позволяет. Если при проверке обнаружатся сканы или копии паспортов, военных билетов или дипломов — компанию оштрафуют.
Как уничтожить персональные данные
Персональные данные уничтожаются в таких случаях:
- Истек срок хранения документов с ПД.
- Достигнуты цели обработки или больше нет необходимости их обрабатывать. В этом случае нужно уничтожить ПД в течение 30 календарных дней после достижения цели обработки.
- Обнаружение неправомерной обработки данных. Например, если сотрудник не давал согласия. В этом случае нужно прекращение обработки ПД должно состояться в течение 3 рабочих дней и в течение 10 рабочих дней — уничтожение ПД.
О том, что ПД уничтожены необходимо уведомить сотрудника в письменной форме. Если сотрудник обращался в Роскомнадзор по вопросу неправомерной обработки, то и его необходимо уведомить.
- Сотрудник отозвал согласие. Прекратить обработку и уничтожить ПД нужно в течение 30 календарных дней с момента, как был получен запрос от сотрудника о прекращении обработки.
- Работник потребовал прекратить обработку его ПД. Это происходит в случаях, если данные неполные, устаревшие или неточные, если их получили незаконным способом или если они не являются обязательными для обработки заявленной цели. В этом случае после получения требования нужно прекратить обработку ПД в течение 10 рабочих дней. Уничтожить ПД нужно в течение 7 рабочих дней с момента получения запроса.
- Работник потребовал прекратить распространение его ПД. В таком случае необходимо прекратить распространение сразу же после получения требования. Данные нужно уничтожить в течение 30 дней, как достигли цели обработки.
Уведомление акт об уничтожении его персональных данных и уведомление для Роскомнадзора об уничтожении ПД сотрудника скачать здесь:
📎Скачать бесплатно шаблоны документов по работе с персональными данными
Обучение
В нашем институте вы можете в кротчайшие сроки повысить квалификацию или переобучиться. По окончанию обучения вам будет выдан вот такой документ: