Закон о персональных данных снова поменяли
Закон о персональных данных снова поменяли, но новые бланки уведомлений ещё не утверждены.
По сообщению сайта klerk.ru скоро будут новые бланки уведомлений об обработке персональных данных, в связи с тем, что закон о персональных данных снова поменяли.
Будет три новых бланка:
- уведомление о намерении осуществлять обработку персональных данных;
- уведомление о внесении изменений в ранее представленные сведения;
- уведомление о прекращении обработки персональных данных.
В первичном уведомлении надо указать:
- каким путем идет обработка данных;
- на каком основании данные обрабатываются;
- какие меры принимаются для обеспечения безопасности обработки;
- дату начала обработки;
- срок или условие прекращения обработки;
- сведения о трансграничной передаче перснальных данных;
- сведения об обеспечении безопасности перснальных данных.
Многие компании и ИП стремились сдать такое уведомление до 1 сентября, так как именно с этой даты заработали новые поправки в закон о персданных.
А потом выяснилось, что спешка была ни к чему. 1 сентября РКН опубликовал на своем сайте сообщение о том, что скоро будут новые бланки уведомлений, вот их и надо будет заполнять.
Кстати, мы провели опрос на тему сдачи уведомлений и выяснили, что до 1 сентября успели все сдать 43% наших читателей. 35% со стороны наблюдали за этой суетой и не формировали уведомление.
Еще 22% вообще не знали, что нужно сдавать какие-то уведомления в РКН.
Если вы думаете что это всё, то очень сильно ошибаетесь.
Четыре документа, которые вам понадобятся в связи с тем, что закон о персональных данных снова поменяли. Три документа у вас уже должны быть, а вот четвёртый совершенно новый.
1. Новый шаблон согласия на обработку персональных данных
По новым правилам согласия на обработку персональных данных должны быть предметными и однозначными, а не только конкретными, информированными и сознательными. Это касается как согласий, которые вы получаете у сотрудников при приеме на работу, так и согласий на предоставление персональных данных конкретному лицу или лицам. Поэтому проверьте, что пишете в своих шаблонах. Цель обработки данных в них должна быть предельно точной, Закон от 14.07.2022 № 266-ФЗ. Все изменения с сентября будут в Законе от 27.07.2006 № 152-ФЗ, далее — Закон о персональных данных. Что такое «предметные и однозначные» цели и чем они отличаются от «конкретных и информированных» в законе не написали. От чиновников тоже разъяснений пока нет. Пример формулировки, который соответствует всем требованиям из закона —ниже. В случае претензий от Роскомнадзора, попросите у инспектора объяснить, какая формулировка нужна.
Согласие на обработку персональных данных
В случае с согласием на обработку персональных данных, которое берете при приеме на работу, изменений нет. Цели в него нужно переписать из статьи 86 ТК РФ. Добавлять другие цели закон не позволяет.
Согласие на обработку в части предоставления данных
В согласиях на предоставление данных конкретному лицу или лицам вы формулируете цель сами. Поэтому убедитесь, что ваша цель предметная, то есть в ней нет абстракций. Например, если передаете персональные данные в банк, не пишите «в целях соблюдения законов и нормативных актов». Пишите: «в целях перечисления мне заработной платы». Проверьте также, чтобы цель была однозначной. К примеру, формулировка «для передачи в банк» не подойдет, поскольку непонятно, что разрешил сотрудник — предоставить информацию о себе в конкретный банк или распространить ее по всем банкам. Нужно уточнить: «для предоставления в ПАО “Банк ВТБ”».
2. Новый шаблон уведомления, чтобы запросить персональные данные у третьей стороны
Если нужно получить персональные данные сотрудника от третьих лиц, сначала сообщите ему об этом. Раньше в сообщении нужно было указывать информацию о том, от кого вы получили данные, цели и правовые основания их обработки, предполагаемых пользователей и права работника. Теперь будете указывать еще и перечень персональных данных, ст. 18 Закона о персональных данных. После того как сотрудник подпишет уведомление, попросите его подписать согласие на запрос сведений.
3. Новая редакция Положения о персональных данных
Ваше Положение о персональных данных теперь должно отвечать структуре, которую определили чиновники, ст. 18.1 Закона о персональных данных. Для каждой цели обработки в нем нужно определить:
- категории и перечень данных;
- категории субъектов персональных данных;
- способы и сроки обработки и хранения данных;
- порядок уничтожения.
Раньше к положению таких требований не было. Достаточно было просто утвердить этот документ в том виде, какой устраивал работодателя.
В ЛНА по персональным данным не может быть положений, которые ограничивают права работников, а также полномочия и обязанности, которых нет в законах. Поэтому в Положении о персональных данных теперь нельзя закрепить обязанность сотрудника приносить вам новый паспорт и другие документы. Такие правила лучше перенести в другие ЛНА, например, в ПВТР.
4. Положение о защите персональных данных
Вам придется утверждать новый ЛНА, который устанавливает процедуры, которые помогут предотвратить и выявить нарушения Закона о персональных данных. В документе важно определить, какая категория риска у каждого документа или электронного носителя персональных данных и есть ли угрозы того, что информацию получат те, у кого доступа к данным не должно быть. Раньше закон рекомендовал утверждать такой документ — теперь это ваша обязанность. Таким локальным актом может быть, например, Положение о защите персональных данных, ст. 18.1 Закона о персональных данных.
Определите меры защиты персональных данных
Чтобы решить, какие меры защиты персональных данных применять, сначала определите тип угрозы и уровень защищенности персональных данных.
Скачайте файл «Наиболее часто задаваемые вопросы о 152 ФЗ.pdf» и определите свой тип угрозы и уровень защищенности персональных данных.
Например, если:
В компании в ПО информационной системы есть функциональные возможности, которые не указаны в описании к нему либо не отвечают характеристикам, которые заявил производитель, что потенциально может привести к неправомерному использованию персональных данных (ответ уточните в IT), то в вашей компании 1-й тип угрозы.
Следовательно вам нужен 1-й уровень защищенности персональных данных:
- обеспечьте режим безопасности помещений, в которых размещаете информационную систему;
- обеспечьте сохранность носителей информации;
- утвердите перечень работников, которых допускаете до персональных данных;
- используйте средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации;
- назначьте ответственного за обеспечение безопасности персональных данных в информационной системе;
- ограничьте доступ к электронному журналу сообщений, за исключением сотрудников, которым такие сведения необходимы для работы;
- обеспечьте автоматическую регистрацию в электронном журнале безопасности изменения полномочий работников по допуску к персональным данным в системе;
- создайте отдел, ответственный за безопасность персональных данных в системе, либо возложите такую обязанность на один из существующих отделов работодателя.
Материалы для скачивания:
ПВТР. Обязанность работника уведомлять об изменении персональных данных.docx
Положение о персональных данных. Цели обработки.docx
Согласие на обработку биометрических персональных данных.docx
Согласие на предоставление персональных данных. Формулировка цели.docx
Сообщение работнику о необходимости получить его персональные данные у третьей стороны.docx
Что поправить в документах. Образцы с комментариями экспертов.pdf
Положение о защите персональных данных. Фрагмент.docx
В своих статьях мы используем только первоисточники: материалы и обзоры справочной правовой системы «КонсультантПлюс», а также материалы и обзоры сайтов ФНС России, Банка России, ФСС РФ, официального канала Минтруда России, Новости с сайта kdelo.ru, а также материалы и обзоры из их телеграм-каналов.
Владельцам бизнеса
Если вы хотите проконсультироваться у нас по этому вопросу, а также по любому вопросу связанному с бухучётом или налогообложением, то расценки на консалтинговые услуги вы можете посмотреть здесь.
В том случае если бухгалтерский и налоговый учёт, а также уплата и возврат налогов вызывают у вас затруднения, то вы можете заключить с нами Договор на оказание Бухгалтерских услуг, либо в рамках услуги Бухгалтер удаленно, либо заключить с нами полноценный Договор на Аутсорсинг бухгалтерских услуг
В настоящее время ООО «Аврора Консалт» заключает договоры аутсорсинга бухгалтерских услуг с ООО, ИП, ТСЖ, ТСН и ЖСК зарегистрированными и ведущими свою деятельность на территории Санкт-Петербурга и Ленинградской области.
Отзывы о нашей компании вы можете прочитать на странице Отзывы и на соответствующих сервисах Google и Яндекса по ссылкам на странице Отзывов.
Для заключения договора проводится предварительная встреча в офисе вашей или нашей компании, по договоренности достигнутой накануне.
Все возникающие вопросы вы можете задать, связавшись с нами любым удобным способом: позвонить по телефону (812) 209-02-00, воспользоваться альтернативными способами связи, например, мессенджерами:
или оставить заявку в чате.