Чтобы обеспечить надлежащую обработку персональных данных и придерживаться нормативных требований, крайне важно хорошо разбираться в новейшей правовой базе.
Итак, в 2024 году каждая организация обязана:
- cоздать систему обработки, записи и хранения персональных данных в соответствии с последними требованиями законодательства.
- обеспечить соблюдение политик, регулирующих обработку персональных данных
- разработать необходимую документацию для процессов обработки персональных данных организации, охватывающую обработку, запись и хранение, в соответствии с обновленными требованиями Роскомнадзора и Закона № 152-ФЗ “О персональных данных”.
- своевременно представлять отчеты в Роскомнадзор.
Ответственность за обработку персональных данных, как внутри компании (сотрудники), так и за ее пределами (клиенты, пациенты, гости, участники мероприятий, партнеры и т.д.), в настоящее время является неотъемлемым аспектом обязательств каждого юридического лица.
Руководители должны осознавать, что управление обработкой, записью и хранением персональных данных взаимосвязано с различными рабочими задачами, включая управление персоналом, бухгалтерский учет, соблюдение законодательства и другие обязанности. Нарушения законодательства о персональных данных могут повлечь за собой штрафы в размере от 300 000 до 18 миллионов рублей.
Ответственность и штрафные санкции за нарушение правил обработки персональных данных
Штрафы за нарушения при обработке персональных данных изложены в статье 13.11 Административного кодекса. Недавно были ужесточены санкции за ненадлежащую обработку с введением новых штрафов и правил защиты. Эти изменения направлены на защиту частной жизни граждан и повышение ответственности организаций, получающих доступ к личной информации.
Например, с марта 2023 года были уточнены руководящие принципы уничтожения персональных данных. Штрафы за несоблюдение требований для индивидуальных предпринимателей составляют от 20 000 до 40 000 рублей, в то время как юридическим лицам могут грозить штрафы от 50 000 до 90 000 рублей. Учитывая динамичный характер законодательства о персональных данных, быть в курсе всех нововведений может быть непросто даже для штатных юристов.
Ответственность за нарушение законодательства о персональных данных изложена в статье 13.11 Кодекса об административных правонарушениях. Каждая компания, без исключения, получает и обрабатывает персональные данные, и этот процесс начинается еще до найма нового сотрудника, на этапе подбора персонала. Давайте рассмотрим, как организовать работу внутри предприятия, чтобы обойти санкции Роскомнадзора. Понимание термина “персональные данные” и понимание того, когда работодатель “обрабатывает” их, имеет решающее значение.
Компания размещает онлайн-объявление о приеме на работу, предлагая потенциальным кандидатам отправить резюме, сопроводительные письма и контактную информацию. С этого момента работодатель берет на себя ответственность за сохранность личной информации. Персональные данные включают в себя любую информацию о физическом лице, прямо или косвенно связанную с ними (статья 3 Закона № 152-ФЗ от 27.07.2006), и позволяет идентифицировать личность.
Для трудоустройства обычно требуются помимо стандартных реквизитов (полное имя, дата и место рождения, адрес регистрации) данные, включающие:
- номера СНИЛС,
- ИНН;
- паспортные данные;
- семейное положение, количество детей;
- информацию об образовании и квалификации;
- данные военного билета;
- информацию о доходах и имущественном положении;
- биометрические данные.
В судебной практике встречается отнесение к персональным данным и другой информации. Например, адрес электронной почты, номер мобильного телефона, информация о смерти гражданина и фотографии.
Защита персональных данных: пошаговые инструкции
Закон № 152-ФЗ обязывает работодателей предотвращать утечку личной информации, полученной во время работы.
Вот пошаговое руководство о том, как реализовать это на практике:
Шаг 1. Разработайте и утвердите местную политику в области обработки персональных данных.
Отсутствие политики в отношении обработки персональных данных сотрудников является основанием для привлечения компании к ответственности по статье 5.27 Административного кодекса. Непредоставление необходимой документации во время проверки Роструда может привести к штрафам в размере от 30 000 до 50 000 рублей.
В политике должны быть изложены:
- правила обработки, хранения и использования персональных данных физических лиц;
- перечень документов, содержащих персональные данные и, следовательно, требующих защиты;
- процедуры передачи перепроверенных данных внутри организации и третьим лицам;
- список лиц, имеющих доступ к персональной информации сотрудников;
- ответственность за нарушения правил, регулирующих обработку персональных данных, включая дисциплинарные, финансовые, административные, гражданско-правовые и уголовные последствия.
Шаг 2. Издайте приказ о назначении ответственного лица за сбор и обработку персональных данных.
Руководитель организации должен выбрать сотрудника, который возьмет на себя ответственность за надзор за управлением персональными данными (ПДН) внутри предприятия, как это предусмотрено частью 1 статьи 18.1 и частью 1 статьи 22.1 Закона № 152-ФЗ. Как правило, эта ответственность ложится на кого-то из высшего руководства, например, на начальника кадровой службы, начальника отдела безопасности или заместителя генерального директора. Кроме того, руководитель ИТ-отдела может быть назначен для управления обработкой данных в автоматизированных системах управления и контроля доступа.
Шаг 3. Определите группу лиц, имеющих доступ к персональным данным.
Определенный персонал регулярно занимается обработкой персональных данных во время выполнения своих обязанностей, включая специалистов по персоналу, которые взаимодействуют с соискателями, управляют регистрациями и сканируют личные документы в процессе найма. Доступ таким лицам должен быть предоставлен, и условия их полномочий должны быть четко определены (пункт 6 статьи 88 Трудового кодекса). Важно предоставлять различные уровни доступа в зависимости от должности и должностных обязанностей. Например, секретарь может использовать паспортные данные для покупки билетов, в то время как бухгалтер оформляет больничный лист, а руководители отделов могут получать доступ только к информации о своих подчиненных. Работодатель должен обеспечить обязательство о неразглашении от каждого члена команды, получившего доступ к персональным данным. В этом одностороннем документе указано, что физическое лицо (секретарь, главный бухгалтер, начальник отдела кадров) обязуется не разглашать, не передавать третьим лицам и не использовать личную информацию коллег в личных целях. В нем также записано, что физическое лицо было предупреждено об ответственности в соответствии со статьей 90 Трудового кодекса.
Шаг 4. Обеспечьте безопасное хранение персональных данных.
Способ хранения зависит от того, как обрабатываются данные. В полностью автоматизированной системе меры безопасности должны соответствовать приказу ФСТЭК № 21 от 18.02.2013 г., включая:
- ограничение доступа к электронным базам данных и индивидуальной информации для различных категорий сотрудников.
- внедрение двухуровневой схемы паролей на уровне локальной сети и базы данных.
- периодическую смену паролей, обычно раз в месяц.
- предоставление ключей исключительно авторизованному персоналу.
Для неавтоматизированной обработки, когда персональные данные хранятся на бумажных носителях, работодатель должен:
- определить места хранения физических носителей и обеспечить персонализированный доступ.
- составить список лиц, которым разрешен доступ к хранилищу.
- при необходимости оборудовать помещения системами видеонаблюдения и сигнализации.
Документы, требующие защиты, включают личные карточки, анкеты для собеседования с кандидатами, копии паспортов, информацию об опыте работы и предыдущих местах работы, бумажные трудовые книжки, свидетельства о браке и рождении ребенка, документы о воинском учете, справки о доходах и сумме налогов, документы об образовании и квалификации, копии СНИЛС, трудовые договоры, дополнительные соглашения, приказы и их копии, а также локальные акты, уточняющие персональные данные о конкретных сотрудниках.
Шаг 5. Получите согласие сотрудника на обработку персональных данных.
Хотя получение информации из документов сотрудника (паспорт, трудовая книжка, военный билет, диплом, СНИЛС) или резюме, а также на основании обязательных медицинских осмотров не требует согласия сотрудника, многие компании предпочитают получать ее при приеме на работу в качестве меры предосторожности для защиты от штрафов. С 2021 года для раскрытия перепроверенных данных неопределенной аудитории требуется еще один документ – согласие на распространение ПДН. Сценарии распространения могут включать публикацию информации об образовании и опыте работы специалиста на корпоративном веб-сайте, в журналах или газетах, на рекламных буклетах, визитных карточках и т.д.
Шаг 6. Отправьте уведомление в Роскомнадзор.
Сбор и обработка информации клиентов не могут вестись спонтанно. Еще до старта отправляется уведомление в Роскомнадзор, поэтому после разработки необходимой документации и проведения организационных и технических мероприятий, нужно отправить уведомление в РКН. В Роскомнадзоре доступна специальная форма уведомления для компаний, обрабатывающих персональную информацию. Отправка уведомлений возможна тремя способами:
- в местное отделение Роскомнадзора отправляется заполненный и распечатанный бланк;
- документ заполняется, подписывается и отправляется непосредственно на сайте Роскомнадзора;
- форма отчетности заполняется и отправляется ведомству на «Госуслугах». Формат доступен компаниям с утвержденной записью.
При желании подавать уведомления от имени компании на портале «Госуслуг» необходимо привязать учетную запись к организации.
Сведения по конкретному ОПД вносятся регулятором в реестр в течение 30 дней с момента отправки уведомления. Если в процессе отправки данных появятся изменения, необходимо будет передать информацию в Роскомнадзор. Уведомление передается и когда компания перестает собирать и обрабатывать личную информацию.
Изменения в работе с персональными данными в 2024 году
Подготовьте проект положения о персональных данных, включающий все поправки к Трудовому кодексу Российской Федерации. Загрузите образец 2024 года и убедитесь, что ваш документ соответствует последним изменениям законодательства. Организуйте процедуры обработки персональных данных в соответствии с обновленным законодательством, начиная с утверждения необходимых внутренних документов, включая положение о персональных данных. Важно отметить, что с 1 сентября компании обязаны уведомлять Роскомнадзор о планах по обработке персональных данных. Сюда входит информация о сотрудниках, гражданах, сообщающих только свою фамилию, имя и отчество, гражданах для разового прохода в помещения компании и физических лицах-подрядчиках для исполнения контрактов. До сентября информирование Роскомнадзора об обработке персональных данных сотрудников, посетителей и подрядчиков было необязательным (подпункты 1-6 пункта 2 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ, до внесения изменений). Теперь освобождение от уведомления Роскомнадзора применимо только к неавтоматизированной обработке персональных данных (подпункт 8 пункта 2 статьи 22 Закона № 152-ФЗ).
Положение о персональных данных в 2024 году
Разработка положения о персональных данных имеет решающее значение, поскольку оно служит корпоративным документом, описывающим процедуры обработки персональных данных физических лиц внутри организации. Компания получает различные данные о физических лицах: сотрудники предоставляют данные на этапе собеседования, клиенты предоставляют данные для заключения контрактов и предоставления услуг, а пользователи веб-сайта регистрируются, предоставляя свои данные. Будьте осторожны с персональными данными сотрудников, чтобы избежать возможных штрафов, поскольку некоторая полученная информация защищена законом. Компания собирает, записывает и накапливает информацию с последующей систематизацией и обновлением для обеспечения актуальности. Информация хранится для извлечения, использования или передачи третьим лицам. Когда необходимость в данных отпадает, они обезличиваются или уничтожаются в соответствии с конкретными процедурами, подробно описанными в положении о персональных данных.
Изменения в защите персональных данных: 2024 год
С 1 марта 2024 года вступает в силу пересмотренная редакция Закона № 152-ФЗ от 27.07.2006, вводящая новую форму обработки — распространение персональных данных. Если ваша организация планирует распространять данные, убедитесь, что в вашем регламенте предусмотрены соответствующие условия. Распространение предполагает предоставление информации широкой аудитории и требует индивидуального согласия. Это отличается от передачи, которая предполагает предоставление данных конкретным лицам. Избегайте путаницы и придерживайтесь новых правил, чтобы предотвратить осложнения, связанные с этим новым типом обработки данных.
Новый протокол обработки данных: распространение и согласие
Новая форма обработки данных, известная как распространение, предполагает предоставление информации широкой аудитории, что требует отдельного согласия отдельных лиц. Важно не смешивать передачу с распространением. Передача предполагает предоставление данных конкретным лицам, тип обработки, существовавший в законе ранее. Распространение, с другой стороны, влечет за собой публикацию данных в открытых источниках, доступных неопределенной аудитории, например, демонстрацию данных о сотрудниках в разделе “Наши сотрудники” на веб-сайте компании или размещение информации о физическом лице в печатных изданиях или средствах массовой информации.
Новое согласие на распространение
Для распространения данных требуется пересмотренная форма согласия. Согласие должно включать полное имя и контактную информацию физического лица, название и адрес оператора данных (компании, получающей согласие), цель обработки данных, список данных, разрешенных к распространению, условия и ограничения распространения, срок действия согласия и информацию о компании, получающей согласие. платформа, через которую будет осуществляться распространение.
Запрет на распространение общедоступных данных
Начиная с марта 2024 года, персональные данные, полученные из общедоступных источников, не могут распространяться без письменного согласия. Этот запрет распространяется на перепечатку данных, даже если физическое лицо первоначально поделилось ими в социальных сетях.
Публикация информации о согласии
Операторы обязаны публиковать информацию о полученных согласиях на распространение данных и связанных с ними запретах в течение трех дней. Закон не определяет точную платформу для публикации. Можно публиковать и на том же ресурсе, через который распространяете данные.
Как разработать Положение о персональных данных в 2024 году
В каждой организации должно быть положение о персональных данных, что является требованием статьи 87 Трудового кодекса Российской Федерации. Условия обработки данных регулируются Законом № 152-ФЗ от 27.07.2006, а также нормами Трудового и Гражданского кодексов, а также Кодекса об административных правонарушениях. Хотя утвержденной стандартной формы для предоставления персональных данных не существует, эксперты рекомендуют структурировать текст по определенным разделам.
Специалисты компании «EFSOL» являются экспертами в вопросах разработки документов о персональных данных, знают все о том как собирать, хранить персональные данные, могут надежно сопроводить Вас в щепетильном вопросе персональных данных.
Если Вам необходимо зарегистрировать производственный кооператив, пишите нам в EFSOL бот ЗАКАЗАТЬ или ОФОРМИТЕ ЗАЯВКУ НА САЙТЕ
