Персональные данные - обязанности работодателя и грядущие изменения

1. Персональные данные - обязанности работодателя и грядущие изменения

Онлайн-школа «Эксперт-кадровик»

2.

Образовательные продукты
онлайн-школы
23 сентября – старт курса «Кадры: теория и реальность»
https://taplink.cc/expert_kadrovik/p/a1393a/ - предварительная регистрация
до 25 августа 2022 включительно
Бонусы для участников вебинаров:
специальные цены на курс
дополнительная встреча-консультация в мини-группе
доступ к 2 «клубным» мастер-классам по оцифровке операционной работы и по составлению
регламента работы кадровой службы
доступ к 3 бонусным урокам – об организации работы на фрилансе от Светланы Марковой и 2 урока
от приглашенных экспертов – рекомендации по поиску работы и о продаже кадровых услуг для тех,
кто задумывается о работе на себя
Онлайн-школа «Эксперт-кадровик»

3.

Образовательные продукты
онлайн-школы
Цикл из 5 вебинаров:
23.07.2022 - Оформление простоя – порядок, оплата, риски (на примере судебной практики) – доступен в записи
https://expert-kadrovik.getcourse.ru/downtime
13.08.2022 - Как правильно оформить и оплатить работу в выходной – доступен в записи
https://expert-kadrovik.getcourse.ru/day_off_work
27.08.2022 - Как упростить работу в кадрах и не делать лишнего https://expert-kadrovik.getcourse.ru/work_kadry
11.09.2022 – Как провести сокращение без риска для организации https://expert-kadrovik.getcourse.ru/reduction
24.09.2022 - Как составить график отпусков и работать с ним в течение года https://expert-kadrovik.getcourse.ru/vacation
Стоимость одного вебинара - 449 рублей
Стоимость абонемента на все 5 вебинаров - 1990 рублей, приобрести по ссылке https://expert-kadrovik.getcourse.ru/abonement
Онлайн-школа «Эксперт-кадровик»

4.

Изменения закона
Федеральный Закон от 27.07.2006 № 152-ФЗ «О персональных данных»
Внесены изменения 26 федеральными законами
1
2009
1
1
1
2013
2017
2021
1
1
1
2014
2019
2022
1
1
1
2010
1
1
2011
2016
2020
Онлайн-школа «Эксперт-кадровик»
2023

5.

Понятие
Обработка персональных данных (далее – ПД) - любое действие (операция) или совокупность действий
(операций), совершаемых с использованием средств автоматизации или без использования таких средств с
персональными данными, включая (п.3. ч.3 152-ФЗ):
1
сбор
1
1
уточнение (обновление,
изменение)
уничтожение
персональных данных
1
блокирование
1
накопление
1
1
запись
извлечение
1
использование
1
систематизация
1
1
передача
хранение
(распространение,
предоставление, доступ)
Онлайн-школа «Эксперт-кадровик»
1
1
удаление
обезличивание

6.

Документы, содержащие
ПД работника
анкета при приеме на работу
копия паспорта и копии других документов
сведения о трудовой деятельности, трудовая книжка и ее копия
документы воинского учета
справка 2-НДФЛ;
документы об образовании и квалификации работника
трудовой договор
подлинники и копии приказов в отношении работника
Работодатель вправе обрабатывать персональные данные работника только с его письменного
согласия (п. 1 ч. 1 ст. 6, абз. 1 ч. 4 ст. 9 № 152-ФЗ).
Исключения прямо регламентированы законом.
Онлайн-школа «Эксперт-кадровик»

7.

Общие требования к
обработке ПД
Установлены ст. 86 ТК РФ. Основные из них:
обработка персональных данных должна преследовать определенную цель
персональные данные можно получить исключительно у самого работника. Если их возможно получить только
у третьих лиц, необходимо сообщить об этом работнику и получить его письменное согласие, при этом
уведомление работника должно содержать
цель получения ПД работника у третьих лиц
предполагаемые источники информации
способы получения данных (их характер)
возможные последствия отказа работника дать согласие на получение его персональных данных у третьих
лиц
В согласии работника должно быть четко отражено
с чем именно он согласен
на какой срок дается это согласие
работодатель обязан ознакомить работников под подпись с локальными нормативными актами, которые
устанавливают порядок обработки персональных данных в организации
Онлайн-школа «Эксперт-кадровик»

8.

Документы о порядке
обработки ПД (1)
1. Положение (или Политика) об обработке ПД (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 № 152-ФЗ)
должен включать
сведения о цели сбора ПД
правовые основания обработки ПД
объем и категорию обрабатываемых ПД
порядок и условия обработки и защиты ПД
необходимо ознакомить работников при приеме на работу, а также при внесении
изменений в него
документ должен быть опубликован (ч. 2 ст. 18.1 № 152-ФЗ),
при невозможности – сделать доступным иным способом (ч. 2 ст. 18.1 № 152-ФЗ)
Онлайн-школа «Эксперт-кадровик»

9.

Документы о порядке
обработки ПД (2)
2. Приказ о назначении ответственного за организацию обработки персональных данных
работников (п. 1 ч. 1 ст. 18.1 № 152-ФЗ)
любой работник организации – должен иметь возможность выполнять обязанности
согласно ч. 4 ст. 22.1 № 152-ФЗ
3. Положение о защите персональных данных работников или иной локальный
нормативный акт, регулирующий порядок хранения, использования, обработки таких
данных (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 № 152-ФЗ)
4. Приказ об утверждении перечня лиц, имеющих доступ к персональным данным
работников (абз. 6 ст. 88 ТК РФ)
взять у этих лиц письменное обязательство о неразглашении (соблюдении
конфиденциальности)
Онлайн-школа «Эксперт-кадровик»

10.

Документы о порядке
обработки ПД (3)
5. Приказ о назначении ответственных за обеспечение безопасности персональных данных
6. Инструкции, которые регламентируют порядок защиты персональных данных (для
пользователей ПД, о порядке разграничения прав доступа, об обработке ПД без
использования средств автоматизации, о порядке резервирования и восстановления)
7. Приказ о перечне мест хранения ПД
8. Журналы (для фиксации проведения инструктажей по информационной безопасности,
проверки средств защиты информации, учета носителей информации по ПД, регистрации
обращений субъектов ПД в компанию на предмет соблюдения их прав)
Онлайн-школа «Эксперт-кадровик»

11.

Обработка ПД на
бумажных носителях
Обязанность работодателя - принимать необходимые правовые, организационные и
технические меры для защиты персональных данных работников от неправомерного
использования или утраты.
При обработке ПД на бумажных носителях необходимо (Положение об особенностях
обработки персональных данных, осуществляемой без использования средств
автоматизации, утв. Постановлением Правительства РФ от 15 сентября 2008 г. № 687):
хранить персональные данные на бумажных носителях в специальных помещениях
раздельно хранить персональные данные (материальные носители), которые
обрабатываются в разных целях (п. 14 Положения)
организовать особый режим доступа в эти помещения
организовать охрану таких помещений
Онлайн-школа «Эксперт-кадровик»

12.

Обработка ПД на
электронных носителях
При хранении ПД в электронном виде необходимо также принимать необходимые правовые,
организационные и технические меры для защиты персональных данных работников от
неправомерного использования или утраты либо обеспечить принятие таких мер (п. 7 ст. 86 ТК РФ, ч. 1
ст. 19 № 152-ФЗ).
Для защиты ПД требуется:
определить тип угрозы безопасности ПД
подобрать один из четырех уровней защищенности ПД, исходя из типа угрозы
обезопасить помещения, в которых размещена информационная система, от неконтролируемого
проникновения или неправомерного доступа
обеспечить сохранность носителей ПД
утвердить перечень лиц, имеющих в силу трудовых обязанностей доступ к ПД в информационной
системе
защитить информацию с помощью средств, прошедших процедуру оценки соответствия
Онлайн-школа «Эксперт-кадровик»

13.

Ответственность за
нарушения в области ПД
Административная ответственность
по ч. 1, 2 ст. 5.27 КоАП РФ - за несоблюдение требований к обработке
персональных данных работников, которые установлены ТК РФ
по ст. 13.11 КоАП РФ - за нарушение требований к обработке персональных
данных, которые установлены № 152-ФЗ
Уголовная ответственность
по ч. 2 ст. 137 УК РФ - если работник, ответственный за обработку персональных
данных других работников, злоупотреблял своими служебными полномочиями,
собирал и распространял сведения о частной жизни работника без его согласия
Онлайн-школа «Эксперт-кадровик»

14.

Необходимость согласия
при разных целях
Согласие работника не требуется при обработке ПД в целях:
ведения кадрового и воинского учета, при заполнении личной карточки работника
исчисления и уплаты обязательных налогов, взносов и других отчислений
обязательного социального и пенсионного страхования работника, в частности, при
передаче данных работника в ПФР и ФСС России, а с 1 января 2023 года – в новый
объединенный социальный фонд
Когда обработка персональных данных работника не связана напрямую с
исполнением требований законодательства, согласие на обработку ПД
обязательно.
Онлайн-школа «Эксперт-кадровик»

15.

Обязательные требования
к согласию работника (1)
Должно быть конкретным, информированным и сознательным (ст. 9 № 152-ФЗ)
Может быть
на бумажном носителе
в форме электронного документа, подписанного электронной подписью
Должно включать
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа,
удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его
органе;
при получении согласия от представителя субъекта персональных данных - фамилию, имя, отчество,
адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего
его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты
доверенности или иного документа, подтверждающего полномочия этого представителя
Онлайн-школа «Эксперт-кадровик»

16.

Обязательные требования
к согласию работника (2)
наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта
персональных данных
цель обработки персональных данных
перечень персональных данных, на обработку которых дается согласие субъектом персональных
данных
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку
персональных данных по поручению оператора, если обработка будет поручена такому лицу
перечень действий с персональными данными, на совершение которых дается согласие, общее
описание используемых оператором способов обработки персональных данных
срок, в течение которого действует согласие субъекта персональных данных, а также способ его
отзыва, если иное не установлено федеральным законом
подпись субъекта персональных данных
Онлайн-школа «Эксперт-кадровик»

17.

Обязательные требования
к согласию работника (3)
1
1
Одна цель обработки
Одно согласие
1
1
Включение нескольких
целей
Может быть признано незаконным (п.
4 ч. 4 ст. 9 № 152-ФЗ, Девятый
арбитражный апелляционный суд РФ от
16.08.2016 по делу N А40-17595/2016)
ПРАКТИЧЕСКИЙ СОВЕТ
Разместить все согласия на одном документе, работник должен поставить подпись под каждым
блоком согласия.
Онлайн-школа «Эксперт-кадровик»

18.

Обязательные требования
к согласию работника (4)
Обязательно согласие работника на распространение персональных данных, если данные
распространяются неограниченному кругу лиц (с 1 сентября 2021 года)
оформляется отдельно от иных согласий
оператор обязан обеспечить возможность определить перечень персональных данных по каждой
категории персональных данных, указанной в согласии
Такое согласие не нужно:
если такое размещение информации осуществляется с целью выполнения требований закона
если работодатель не размещает персональные данные в местах, доступных неограниченному кругу
лиц
Подготовить форму согласия можно с помощью сервиса Роскомнадзора по ссылке:
https://pd.rkn.gov.ru/soglasiya/
Онлайн-школа «Эксперт-кадровик»

19.

Регистрация
в Роскомнадзоре
Цель обработки ПД
Необходимость уведомления
до 1 сентября 2022
Необходимость уведомления
с 1 сентября 2022
Обработка ПД в соответствии с трудовым
законодательством
нет
да
Обработка ПД за рамками трудовых отношений
да
да
Административная ответственность за непредставление или несвоевременное представление уведомления о начале обработки
ПД (ст. 19.7 КоАП РФ):
предупреждение или штраф для должностных лиц - от 300 до 500 руб.
для юридических лиц - от 3 000 до 5 000 руб.
Проверить, включена ли ваша компания в реестр операторов, можно здесь https://pd.rkn.gov.ru/operators-registry/operators-list/
Уведомить Роскомнадзор как об операторе ПД можно здесь https://pd.rkn.gov.ru/operators-registry/notification/
Онлайн-школа «Эксперт-кадровик»

20.

Персональные данные
уволенных работников
Случаи и сроки хранения работодателем ПД уволенных работников:
в течение четырех лет - документы, необходимые для исчисления, удержания и
перечисления налогов (ст. 24 НК РФ)
в течение сроков, устанавливаемых в соответствии с правилами архивного дела, но не
менее пяти лет после отчетного года - первичные учетные документы, регистры
бухгалтерского учета, бухгалтерская (финансовая) отчетность, аудиторские заключения о ней,
которые могут содержать персональные данные работников (ч. 1 ст. 29 ФЗ "О бухгалтерском
учете" от 06.12.2011 N 402-ФЗ)
Порядок действий по удалению или обезличиванию необходимо отразить в локальном
нормативном акте или приказе.
Онлайн-школа «Эксперт-кадровик»

21.

Персональные данные
соискателей
Обработка персональных данных соискателя должна осуществляться только с его
согласия (Разъяснения Роскомнадзора)
Исключения
когда от имени соискателя действует кадровое агентство, которое уже заключило с
ним соответствующий договор и получило согласие на обработку персональных
данных
при самостоятельном размещении соискателем своего резюме в Интернете
В случае отказа в приеме на работу ПД соискателя должны быть уничтожены в
течение 30 дней.
Исключение – госслужба (персональные данные соискателей хранятся 3 года)
Онлайн-школа «Эксперт-кадровик»

22.

Персональные данные
лиц в кадровом резерве
Обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться
только с их согласия.
Соискателя нужно ознакомить с положением о кадровом резерве, где прописаны:
условия ведения кадрового резерва
сроки хранения персональных данных
порядок исключения из кадрового резерва
Согласие на включение в кадровый резерв оформляется
в виде отдельного согласия
путем проставления галочки на каком-либо ресурсе
Онлайн-школа «Эксперт-кадровик»

23.

Персональные данные
близких родственников
Обязан ли работодатель получать согласие на обработку персональных данных супруги работника,
если дополнительным соглашением к трудовому договору было установлено, что его заработная
плата выплачивается на ее банковский счет?
Да, обязан.
Реквизиты банковского счета супруги работника относятся к ее персональным данным.
Получение согласия на обработку ПД близких родственников работника не требуется, если обработка
осуществляется:
в объеме, предусмотренном унифицированной формой Т-2
в случаях, установленных законодательством (получение алиментов, оформление допуска к
государственной тайне, оформление социальных выплат)
Онлайн-школа «Эксперт-кадровик»

24.

Персональные данные
лиц в кадровом резерве
Обязана ли организация-работодатель, обрабатывая персональные данные
работников в рамках трудового законодательства, пройти регистрацию в реестре
Роскомнадзора?
Нет, не обязана (до 1 сентября 2022 года).
С 1 сентября 2022 – обработка ПД в рамках трудового законодательства не является
исключением, которое давало право не уведомлять Роскомнадзор о намерении
обрабатывать персональные данные.
Онлайн-школа «Эксперт-кадровик»

25.

Хранение копии
паспорта работника
Можно ли хранить копию паспорта в личном деле?
Нет, нельзя, так как не определена цель хранения.
Снятие копий паспорта, как и обязанность их хранения, трудовым законодательством не
предусмотрены.
Хранение копии паспорта избыточно (Постановления Пятнадцатого арбитражного апелляционного
суда от 14.03.2014 N 15АП-22502/2013 по делу N А53-12557/2013, ФАС Северо-Кавказского округа от
21.04.2014 по делу N А53-13327/2013)
Позиция Роскомнадзора - работодатель не вправе хранить копию паспорта работника в его личном
деле.
Онлайн-школа «Эксперт-кадровик»

26.

Хранение копий
документов работника
Позиция Роструда:
«Нормами действующего законодательства порядок ведения личного дела
работника не установлен. По нашему мнению, работодатель вправе хранить копии
документов работника (копия паспорта, СНИЛС, трудовой книжки) в его личном деле
при условии получения от работника согласия на хранение и обработку
персональных данных» (Разъяснение Роструда новых требований нормативных
правовых актов за 2 квартал 2017 г.)
Онлайн-школа «Эксперт-кадровик»

27.

Ответственность работодателя
в области обработки ПД
Административная ответственность
по ст. 13.11 КоАП РФ - в случае нарушения законодательства в области ПД
по ч. 1 ст. 13.11 КоАП РФ - за обработку ПД, несовместимую с целями сбора, если эти действия не
содержат уголовно наказуемого деяния, в виде штрафа:
на должностных лиц - от 10 000 до 20 000 руб.
на юридических лиц - от 60 000 до 100 000 руб.
по ч. 1.1 ст. 13.11 КоАП РФ – за повторное совершение данного административного
правонарушения, в виде штрафа:
на должностных лиц - от 20 000 до 50 000 руб.
на индивидуальных предпринимателей - от 50 000 до 100 000 руб.
на юридических лиц - от 100 000 до 300 000 руб.
Онлайн-школа «Эксперт-кадровик»

28.

Ответственность работодателя
в области обработки ПД
Материальная ответственность
Работодатель должен возместить работнику моральный вред в результате незаконного
распространения информации о персональных данных работника.
Впоследствии работодатель может взыскать с работника, виновного в распространении персональных
данных, причиненный ему прямой действительный ущерб.
Гражданско-правовая ответственность
Если в результате нарушения норм, регулирующих хранение, обработку и использование
персональных данных работника, ему причинен имущественный ущерб или моральный вред, он
подлежит возмещению в денежной форме согласно ГК РФ (Кассационное определение Верховного
суда Удмуртской Республики от 11.08.2010 N 33-2625)
Онлайн-школа «Эксперт-кадровик»

29.

Ответственность работника
в области обработки ПД
Дисциплинарная ответственность – за разглашение охраняемой законом тайны, ставшей
известной работнику в связи с исполнением им трудовых обязанностей, в том числе
разглашение персональных данных другого работника
Это является грубым нарушением трудовых обязанностей и дает право уволить работника по
п. 6 ч. 1 ст. 81 ТК РФ (Апелляционное определение Московского городского суда от
14.06.2016 N 33-22766/2016)
В то же время увольнение за представление персональных данных работников сотрудникам
правоохранительных органов суд признал незаконным (Апелляционное определение
Московского городского суда от 22.10.2018 N 33-45734/201
Онлайн-школа «Эксперт-кадровик»

30.

Ответственность работника
в области обработки ПД
Материальная ответственность
Работодатель вправе потребовать возмещения от работника, который незаконно передал
информацию о персональных данных другого работника и причинил ему моральный вред, а
работодатель при этом понес прямой действительный ущерб (ст. 238 ТК РФ)
Уголовная ответственность
по ч. 2 ст. 137 УК РФ - за незаконное распространение сведений о частной жизни лица,
составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений
в публичном выступлении, совершенные лицом с использованием своего служебного положения
наказание от штрафа в размере от 100 до 300 тыс. руб. до лишения свободы на срок до 4 лет с
лишением права занимать определенные должности или заниматься определенной
деятельностью на срок до пяти лет
Онлайн-школа «Эксперт-кадровик»

31.

Статистика по нарушениям
в области обработки ПД
Судебная практика, размещенная в Консультант Плюс:
о нарушениях в области трудового законодательства (ст. 5.27 КоАП) – 14164 дела
о нарушениях в области обработки персональных данных (ст 13.11 КоАП) – 457 дел
Статистика с официального сайта Роскомнадзора (годовой отчет за 2019 год)
размещена по ссылке
https://pd.rkn.gov.ru/docs/Otchet_UO-2019_new.pdf
Онлайн-школа «Эксперт-кадровик»

32.

Статистика по нарушениям
в области обработки ПД
Онлайн-школа «Эксперт-кадровик»

33.

Статистика по нарушениям
в области обработки ПД
Онлайн-школа «Эксперт-кадровик»

34.

Статистика по нарушениям
в области обработки ПД
Средняя сумма одного штрафа - 1026 рублей
Онлайн-школа «Эксперт-кадровик»

35.

Статистика по нарушениям
в области обработки ПД
Онлайн-школа «Эксперт-кадровик»

36.

Изменения в законе о
персональных данных
В основе законодательной инициативы по изменению № 152-ФЗ (из пояснительной записки):
массовое попадание персональных данных в открытый доступ
распространение сервисов в сети Интернет, где можно приобрести информацию в отношении
большинства российских граждан из различных баз данных – по мнению законодателей они
размещаются в иностранном сегменте сети Интернет, на который не распространяются требования
российского законодательства в сфере персональных данных
сбор персональных данных в целях идентификации военнослужащих и сотрудников
правоохранительных органов
отсутствие ограничений на выдачу сведений третьим лицам о принадлежащих гражданам объектов
недвижимости
отсутствие регулирования трансграничной передачи персональных данных и передача
персональных данных российских граждан в недружественные страны, где не обеспечивается их
должная защита
Онлайн-школа «Эксперт-кадровик»

37.

Новые требования
законодательства (1)
1.
Вводится обязанность операторов незамедлительно информировать уполномоченные органы
власти об инцидентах с принадлежащими им базами персональных данных, а также обязанность
обеспечивать непрерывное взаимодействие с государственной системой обнаружения,
предупреждения и ликвидации последствий компьютерных атак на информационные
ресурсы РФ.
2.
С 30 до 10 дней сокращаются сроки исполнения операторами запросов органов власти и граждан
по вопросам, связанным с незаконной обработкой персональных данных.
3.
Устанавливается прямой запрет операторам на отказ гражданам в оказании услуг при отказе
предоставить свои персональные данные (в т.ч. биометрические), если такое предоставление не
является обязательным.
4.
На операторов возлагается обязанность прекратить дальнейшую обработку персональных данных
по требованию их владельца в 30-дневный срок.
5.
Вводится ограничение на обработку биометрических персональных данных несовершеннолетних.
Онлайн-школа «Эксперт-кадровик»

38.

Новые требования
законодательства (2)
6.
Уточняется, что при трансграничной передаче данных определяющим является не
организационно-правовая форма получателя, а его нахождение на территории иностранного
государства.
7.
Устанавливается обязанность операторов информировать уполномоченные органы власти о
намерении трансграничной передачи персональных данных. В исключительных случаях, при
наличии угроз для обороны, безопасности и основ конституционного строя, такая передача может
быть ограничена по решению уполномоченного органа власти.
8.
Вводится экстерриториальность применения российского законодательства о персональных
данных. Устанавливается возможность вмешательства уполномоченных органов власти в вопросы
обработки персональных данных российских граждан на территории других государств.
9.
В части ФЗ от 13 июля 2015 года № 218-ФЗ «О государственной регистрации недвижимости»
устанавливается, что персональные данные, содержащиеся в Едином государственном реестре
недвижимости, могут быть предоставлены третьим лицам только с согласия физического лица –
субъекта таких данных.
Онлайн-школа «Эксперт-кадровик»

39.

Актуальные изменения
для кадровой сферы (1)
Вводится принцип экстерриториальности
№ 152-ФЗ теперь применяется к обработке персональных данных граждан РФ, осуществляемой
иностранными юридическими или физическими лицами на основании договора, стороной которого
являются граждане РФ либо на основании их согласия на обработку персональных данных.
Дополнительные критерии согласия на обработку персональных данных
Согласие должно быть конкретным, информированным, сознательным, предметным и однозначным.
Совместная ответственность оператора при передаче ПД за пределы РФ
В случае, если оператор поручает обработку персональных данных иностранному физическому или
юридическому лицу, ответственность перед субъектом персональных данных за действия этих лиц
несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора.
Онлайн-школа «Эксперт-кадровик»

40.

Актуальные изменения
для кадровой сферы (2)
Оператор должен уведомить Роскомнадзор о начале обработки персональных данных
В уведомлении с 1 сентября 2022 года нужно будет указывать для каждой цели обработки
персональных данных:
категории персональных данных
категории субъектов, персональные данные которых обрабатываются
правовое основание обработки персональных данных
перечень действий с персональными данными, общее описание используемых оператором
способов обработки персональных данных
Также необходимо указать ФИО физического лица или наименование юридического лица, имеющих
доступ и (или) осуществляющих на основании договора обработку персональных данных,
содержащихся в государственных и муниципальных информационных системах.
Онлайн-школа «Эксперт-кадровик»

41.

Актуальные изменения
для кадровой сферы (3)
Правила обработки персональных данных третьим лицом стали строже
операторы имеют право с согласия субъекта ПД поручить их обработку
третьим лицам - для этого с третьим лицом нужно заключить
соответствующий договор
обработка ПД может происходить на основе акта государственного или
муниципального органа либо на основании поручения оператора
персональных данных
Онлайн-школа «Эксперт-кадровик»

42.

Актуальные изменения
для кадровой сферы (4)
С 1 сентября 2022 в таком акте (поручении) необходимо отдельно оговаривать:
перечень обрабатываемых персональных данных
обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения
документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите
обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 152-ФЗ, возлагаемые на оператора ПД
обязанность третьего лица уведомить оператора персональных данных о случаях неправомерной или
случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 № 152-ФЗ. В эти же сроки
оператор обязан уведомить об этом Роскомнадзор:
в течение 24 часов – о произошедшем инциденте, его предполагаемых причинах, о принятых мерах по
установлению последствий этого инцидента. Кроме того, оператор должен представить сведения о лице,
уполномоченном оператором взаимодействовать с Роскомнадзором по факту этого инцидента
в течение 72 часов – о результатах внутреннего расследования выявленного инцидента. Также следует
предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (если таковые
есть).
Онлайн-школа «Эксперт-кадровик»

43.

Актуальные изменения
для кадровой сферы (5)
Отказ в предоставлении персональных данных не является основанием для отказа в обслуживании
Нельзя обязать предоставить биометрические персональные данные – исключением являются случаи
обработки биометрических персональных данных в связи с осуществлением правосудия, при въезде и
выезде из России и других законодательно установленных случаях.
Установлен срок предоставления субъекту ПД информации об их обработке
Субъект персональных данных имеет право потребовать от оператора предоставить информацию
относительно обработки его персональных данных - предоставить информацию нужно в течение 10
рабочих дней со дня получения оператором соответствующего запроса.
Срок может быть продлен, но не более чем на 5 рабочих дней, в случае направления
мотивированного уведомления с указанием причин продления.
Онлайн-школа «Эксперт-кадровик»

44.

Актуальные изменения
для кадровой сферы (6)
Субъекту персональных данных нужно будет объяснять последствия отказа в предоставлении
данных
Если по закону согласие на обработку персональных данных является обязательным, оператор
должен рассказать субъекту персональных данных о юридических последствиях отказа в
предоставлении согласия на обработку.
Локальные документы оператора персональных данных не должны ущемлять права субъектов ПД
Документы, определяющие политику обработки персональных данных, которые издает оператор
персональных данных, включая локальные нормативные акты, не должны содержать положения,
ограничивающие права субъектов ПД, а также возлагающие на оператора не предусмотренные
законом полномочия и обязанности.
Онлайн-школа «Эксперт-кадровик»

45.

Актуальные изменения
для кадровой сферы (7)
Более четко прописаны меры, которые должен предпринимать оператор персональных данных
Положения статьи 18.1 из рекомендательных стали обязательными:
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения
обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии
с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и
перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей,
предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним
нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным
законом или другими федеральными законами. К таким мерам, в частности, относятся:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию
обработки персональных данных;
Онлайн-школа «Эксперт-кадровик»

46.

Актуальные изменения
для кадровой сферы (8)
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику
оператора в отношении обработки персональных данных, локальных актов по вопросам
обработки персональных данных, определяющих для каждой цели обработки персональных данных
категории и перечень обрабатываемых персональных данных, категории субъектов, персональные
данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения
персональных данных при достижении целей их обработки или при наступлении иных законных
оснований, а также локальных актов, устанавливающих процедуры, направленные на
предотвращение и выявление нарушений законодательства Российской Федерации, устранение
последствий таких нарушений. Такие документы и локальные акты не могут содержать
положения, ограничивающие права субъектов персональных данных, а также возлагающие на
операторов не предусмотренные законодательством Российской Федерации полномочия и
обязанности;
3) применение правовых, организационных и технических мер по обеспечению безопасности
персональных данных в соответствии со статьей 19 настоящего Федерального закона;
Онлайн-школа «Эксперт-кадровик»

47.

Актуальные изменения
для кадровой сферы (9)
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных
данных настоящему Федеральному закону и принятым в соответствии с ним нормативным
правовым актам, требованиям к защите персональных данных, политике оператора в отношении
обработки персональных данных, локальным актам оператора;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае
нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых
оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных
настоящим Федеральным законом;
6) ознакомление работников оператора, непосредственно осуществляющих обработку
персональных данных, с положениями законодательства Российской Федерации о персональных
данных, в том числе требованиями к защите персональных данных, документами, определяющими
политику оператора в отношении обработки персональных данных, локальными актами по
вопросам обработки персональных данных, и (или) обучение указанных работников.
Онлайн-школа «Эксперт-кадровик»

48.

Актуальные изменения
для кадровой сферы (10)
Стало больше мер по обеспечению безопасности персональных данных
Операторы должны обеспечивать взаимодействие с государственной системой обнаружения,
предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы
России, включая информирование о компьютерных инцидентах, в результате которых произошла
неправомерная передача персональных данных. Порядок такого информирования будет определен
Роскомнадзором.
Определены сроки прекращения обработки персональных данных
Субъект персональных данных вправе обратиться к оператору с требованием о прекращении их
обработки. Оператор должен выполнить это требование в течение 10 рабочих дней с даты получения
требования.
Срок можно будет продлить, но не более чем на 5 рабочих дней, при этом в адрес субъекта
персональных данных нужно направить соответствующее мотивированное уведомление.
Онлайн-школа «Эксперт-кадровик»

49.

Актуальные изменения
для кадровой сферы (11)
Трансграничная передача персональных данных по новым правилам - вступит в силу с 01.03.2023
Необходимо обязательное отдельное уведомление Роскомнадзора о намерении осуществлять трансграничную
передачу ПД. Данные могут передаваться либо на основании письменного согласия либо для целей исполнения
договора с субъектом персональных данных.
1
1
Адекватные страны
Неадекватные страны
1
1
Уведомительный порядок
Разрешительный порядок
1
1
Рассмотрение в течение 10 дней,
можно передавать ПД
Рассмотрение в течение 10 дней,
нельзя передавать ПД
Онлайн-школа «Эксперт-кадровик»

50.

Шаги, которые
необходимо предпринять
1) Критично посмотреть на форму согласия на обработку персональных данных работников.
Убедиться, что в него внесены все аспекты, которые выходят за рамки трудового
законодательства. Проверить, что в согласии указаны все контрагенты, которым передаются
персональные данные работников. Если собираются биометрические персональные данные, к
которым относятся фотографии, должно быть согласие на их обработку, которое также должно
быть конкретным, предметным и иметь свою цель.
2) Пересмотреть договоры с контрагентами, которые обрабатывают персональные данные
работников в рамках этих договоров. Привести их в соответствие с требованиями
законодательства.
3) Если по какой-то причине данные работников попадают на сервера за пределами РФ без
локализации в стране, срочно исправить эту ситуацию (но она не соответствовала
законодательству и ранее).
4) Уведомить Роскомнадзор об обработке персональных данных работников – по каждой цели
обработки направить отдельное уведомление.
Онлайн-школа «Эксперт-кадровик»

51.

Шаги, которые
необходимо предпринять
5) Привести Положение о персональных данных (Политику о персональных данных) в соответствии
со ст. 18.1 № 152-ФЗ, а именно, определить в Положении (Политике) для каждой цели обработки
персональных данных:
категории и перечень обрабатываемых ПД
категории субъектов, персональные данные которых обрабатываются
способы, сроки их обработки и хранения
порядок уничтожения персональных данных при достижении целей их обработки или при
наступлении иных законных оснований
При проверке руководствоваться «Рекомендациями по составлению документа, определяющего
политику оператора в отношении обработки ПД, в порядке, установленном № 152-ФЗ».
Также проверить, что ЛНА организации не устанавливают каких-либо ограничений или не дают
«лишних» полномочий по сравнению с № 152-ФЗ.
Онлайн-школа «Эксперт-кадровик»

52.

Шаги, которые
необходимо предпринять
6) Издать ЛНА или внести в Положение (Политику) о персональных данных описание
процедур, направленных на предотвращение и выявление нарушений законодательства
РФ и устранение последствий таких нарушений.
7) Привести ЛНА в соответствие с новыми требованиями относительно срока ответов на
запросы субъектов ПД, а также срока прекращения обработки ПД.
8) При передаче данных работников в другую страну, необходимо на 1 марта 2023 года
определить, к какой категории относится (или будет относиться) эта страна и какой
порядок к ней применим – уведомительный или разрешительный. Направить отдельное
уведомление о намерении осуществлять трансграничную передачу персональных
данных и
продолжать передавать персональные данные – при уведомительном характере
прекратить передачу и ждать получения разрешения – при разрешительном порядке
Онлайн-школа «Эксперт-кадровик»

53.

Контакты онлайн-школы
Электронные адреса службы поддержки онлайн-школы:
svetlana.markova@kantera.ru
admin@expert-kadrovik.ru
@expert_kadrovik – блог в Instagram (запрещена в РФ)
@expert_kadrovik - блог в TenChat
https://vk.com/exxpertkadrovik - страница онлайн-школы «Эксперт-кадровик» в VK
Онлайн-школа «Эксперт-кадровик»

54.

Ваши вопросы
Онлайн-школа «Эксперт-кадровик»

55.

Спасибо за внимание
До встречи на других вебинарах, курсах
или на площадке нашего клуба!
Онлайн-школа «Эксперт-кадровик»