Закон о персональных данных снова поменяли

Закон о персональных данных снова поменяли

Закон о персональных данных снова поменяли, но новые бланки уведомлений ещё не утверждены.

По сообщению сайта klerk.ru скоро будут новые бланки уведомлений об обработке персональных данных, в связи с тем, что закон о персональных данных снова поменяли.

Все операторы, в том числе работодатели, должны сдать в Роскомнадзор уведомления об обработке персональных данных. Бланки таких уведомлений скоро утвердят.

Будет три новых бланка:

  • уведомление о намерении осуществлять обработку персональных данных;
  • уведомление о внесении изменений в ранее представленные сведения;
  • уведомление о прекращении обработки персональных данных.

В первичном уведомлении надо указать:

  • каким путем идет обработка данных;
  • на каком основании данные обрабатываются;
  • какие меры принимаются для обеспечения безопасности обработки;
  • дату начала обработки;
  • срок или условие прекращения обработки;
  • сведения о трансграничной передаче перснальных данных;
  • сведения об обеспечении безопасности перснальных данных.

Многие компании и ИП стремились сдать такое уведомление до 1 сентября, так как именно с этой даты заработали новые поправки в закон о персданных.

А потом выяснилось, что спешка была ни к чему. 1 сентября РКН опубликовал на своем сайте сообщение о том, что скоро будут новые бланки уведомлений, вот их и надо будет заполнять.

Кстати, мы провели опрос на тему сдачи уведомлений и выяснили, что до 1 сентября успели все сдать 43% наших читателей. 35% со стороны наблюдали за этой суетой и не формировали уведомление.

Еще 22% вообще не знали, что нужно сдавать какие-то уведомления в РКН.

Если вы думаете что это всё, то очень сильно ошибаетесь.

Четыре документа, которые вам понадобятся в связи с тем, что закон о персональных данных снова поменяли. Три документа у вас уже должны быть, а вот четвёртый совершенно новый.

1. Новый шаблон согласия на обработку персональных данных

По новым правилам согласия на обработку персональных данных должны быть предметными и однозначными, а не только конкретными, информированными и сознательными. Это касается как согласий, которые вы получаете у сотрудников при приеме на работу, так и согласий на предоставление персональных данных конкретному лицу или лицам. Поэтому проверьте, что пишете в своих шаблонах. Цель обработки данных в них должна быть предельно точной, Закон от 14.07.2022 № 266-ФЗ. Все изменения с сентября будут в Законе от 27.07.2006 № 152-ФЗ, далее — Закон о персональных данных. Что такое «предметные и однозначные» цели и чем они отличаются от «конкретных и информированных» в законе не написали. От чиновников тоже разъяснений пока нет. Пример формулировки, который соответствует всем требованиям из закона —ниже. В случае претензий от Роскомнадзора, попросите у инспектора объяснить, какая формулировка нужна.

Согласие на обработку персональных данных

В случае с согласием на обработку персональных данных, которое берете при приеме на работу, изменений нет. Цели в него нужно переписать из статьи 86 ТК РФ. Добавлять другие цели закон не позволяет.

Согласие на обработку в части предоставления данных

В согласиях на предоставление данных конкретному лицу или лицам вы формулируете цель сами. Поэтому убедитесь, что ваша цель предметная, то есть в ней нет абстракций. Например, если передаете персональные данные в банк, не пишите «в целях соблюдения законов и нормативных актов». Пишите: «в целях перечисления мне заработной платы». Проверьте также, чтобы цель была однозначной. К примеру, формулировка «для передачи в банк» не подойдет, поскольку непонятно, что разрешил сотрудник — предоставить информацию о себе в конкретный банк или распространить ее по всем банкам. Нужно уточнить: «для предоставления в ПАО “Банк ВТБ”».

2. Новый шаблон уведомления, чтобы запросить персональные данные у третьей стороны

Если нужно получить персональные данные сотрудника от третьих лиц, сначала сообщите ему об этом. Раньше в сообщении нужно было указывать информацию о том, от кого вы получили данные, цели и правовые основания их обработки, предполагаемых пользователей и права работника. Теперь будете указывать еще и перечень персональных данных, ст. 18 Закона о персональных данных. После того как сотрудник подпишет уведомление, попросите его подписать согласие на запрос сведений.

3. Новая редакция Положения о персональных данных

Ваше Положение о персональных данных теперь должно отвечать структуре, которую определили чиновники, ст. 18.1 Закона о персональных данных. Для каждой цели обработки в нем нужно определить:

  • категории и перечень данных;
  • категории субъектов персональных данных;
  • способы и сроки обработки и хранения данных;
  • порядок уничтожения.

Раньше к положению таких требований не было. Достаточно было просто утвердить этот документ в том виде, какой устраивал работодателя.

В ЛНА по персональным данным не может быть положений, которые ограничивают права работников, а также полномочия и обязанности, которых нет в законах. Поэтому в Положении о персональных данных теперь нельзя закрепить обязанность сотрудника приносить вам новый паспорт и другие документы. Такие правила лучше перенести в другие ЛНА, например, в ПВТР.

4. Положение о защите персональных данных

Вам придется утверждать новый ЛНА, который устанавливает процедуры, которые помогут предотвратить и выявить нарушения Закона о персональных данных. В документе важно определить, какая категория риска у каждого документа или электронного носителя персональных данных и есть ли угрозы того, что информацию получат те, у кого доступа к данным не должно быть. Раньше закон рекомендовал утверждать такой документ — теперь это ваша обязанность. Таким локальным актом может быть, например, Положение о защите персональных данных, ст. 18.1 Закона о персональных данных.

Определите меры защиты персональных данных

Чтобы решить, какие меры защиты персональных данных применять, сначала определите тип угрозы и уровень защищенности персональных данных.

Скачайте файл «Наиболее часто задаваемые вопросы о 152 ФЗ.pdf» и определите свой тип угрозы и уровень защищенности персональных данных.

Например, если:

В компании в ПО информационной системы есть функциональные возможности, которые не указаны в описании к нему либо не отвечают характеристикам, которые заявил производитель, что потенциально может привести к неправомерному использованию персональных данных (ответ уточните в IT), то в вашей компании 1-й тип угрозы.

Следовательно вам нужен 1-й уровень защищенности персональных данных:

  • обеспечьте режим безопасности помещений, в которых размещаете информационную систему;
  • обеспечьте сохранность носителей информации;
  • утвердите перечень работников, которых допускаете до персональных данных;
  • используйте средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации;
  • назначьте ответственного за обеспечение безопасности персональных данных в информационной системе;
  • ограничьте доступ к электронному журналу сообщений, за исключением сотрудников, которым такие сведения необходимы для работы;
  • обеспечьте автоматическую регистрацию в электронном журнале безопасности изменения полномочий работников по допуску к персональным данным в системе;
  • создайте отдел, ответственный за безопасность персональных данных в системе, либо возложите такую обязанность на один из существующих отделов работодателя.

Материалы для скачивания:

ПВТР. Обязанность работника уведомлять об изменении персональных данных.docx
Положение о персональных данных. Цели обработки.docx
Согласие на обработку биометрических персональных данных.docx
Согласие на предоставление персональных данных. Формулировка цели.docx
Сообщение работнику о необходимости получить его персональные данные у третьей стороны.docx
Что поправить в документах. Образцы с комментариями экспертов.pdf
Положение о защите персональных данных. Фрагмент.docx

В своих статьях мы используем только первоисточники: материалы и обзоры справочной правовой системы «КонсультантПлюс», а также материалы и обзоры сайтов ФНС России, Банка России, ФСС РФ, официального канала Минтруда России, Новости с сайта kdelo.ru, а также материалы и обзоры из их телеграм-каналов.

Владельцам бизнеса

Если вы хотите проконсультироваться у нас по этому вопросу, а также по любому вопросу связанному с бухучётом или налогообложением, то расценки на консалтинговые услуги вы можете посмотреть здесь.

В том случае если бухгалтерский и налоговый учёт, а также уплата и возврат налогов вызывают у вас затруднения, то вы можете заключить с нами Договор на оказание Бухгалтерских услуг, либо в рамках услуги Бухгалтер удаленно, либо заключить с нами полноценный Договор на Аутсорсинг бухгалтерских услуг

В настоящее время ООО «Аврора Консалт» заключает договоры аутсорсинга бухгалтерских услуг с ООО, ИП, ТСЖ, ТСН и ЖСК зарегистрированными и ведущими свою деятельность на территории Санкт-Петербурга и Ленинградской области.

Отзывы о нашей компании вы можете прочитать на странице Отзывы и на соответствующих сервисах Google и Яндекса.

Для заключения договора проводится предварительная встреча в офисе вашей или нашей компании, по договоренности достигнутой накануне.

Все возникающие вопросы вы можете задать, связавшись с нами любым удобным способом: позвонить по телефону (812) 209-02-00 , воспользоваться альтернативными способами связи, например, мессенджерами:

или оставить заявку в чате.

Вы можете поделиться этой новостью с друзьями