Работа с персональными данными работников: ответы на вопросы (Часть 5)

27 декабря 2022

504

Время чтения: 6 мин.

#общие вопросы #нововведения #трудовое право #трудовые отношения

Нет времени читать? Отправить на почту

Что следует делать работодателям, чтобы обеспечить охрану персональных данных работников, и как уведомлять Роскомнадзор о намерении обрабатывать персональные данные, с учетом изменений законодательства, вступивших в силу 1 сентября 2022 года? Об этом вы расскажем в нашей новой статье.

Работа с персональными данными работников: ответы на вопросы (Часть 4)

Утверждена форма уведомления об обработке персональных данных?

Роскомнадзор утвердил формы уведомлений, которые обязаны направлять в ведомство операторы персональных данных.

Речь идет таких формах как, уведомления о намерении осуществлять обработку персональных данных, уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, уведомления о прекращении обработки персональных данных. Новые формы применяются с 26.12.2022.

Обязанность оператора персональных данных уведомлять Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки закреплена в ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных". С 01.09.2022 действуют новые правила обработки персональных данных, в соответствии с которыми уведомлять Роскомнадзор о намерении обрабатывать персональные данные нужно почти во всех случаях обработки, включая обработку данных своих сотрудников. 1 сентября 2022 г. не является крайним сроком для подачи уведомления, поэтому если оно не было подано до этой даты, его можно подать и позднее.

Появление новых форм связано с изменением законодательства о персональных данных. Так, в уведомлении о намерении осуществлять обработку обязательно нужно будет указывать сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ, а также контактные данные лиц, имеющих доступ и осуществляющих обработку персональных данных в государственных и муниципальных информационных системах. При этом категории данных и категории субъектов необходимо будет указывать в разрезе каждой отдельной цели.

В связи с обязанностью уведомлять об изменении ранее поданных сведений согласно ч. 7 ст. 22 Закона № 152-ФЗ введена форма уведомления об их изменении. Порядок уведомления, утв. приказом Роскомнадзора от 30.05.2017 № 94, предполагает предоставление в ведомство информационного письма о внесении изменений в сведения об операторе.

Уведомление о прекращении обработки персональных данных заменит заявление о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных. Содержание документов идентичное. Если оператор персональных данных уже подавал ранее уведомление о намерении обрабатывать персональные данные, подавать его повторно в связи с принятием новых форм не нужно.

Как оформить факт уничтожения персональных данных?

Оператор персональных данных обязан уничтожить обрабатываемые им данные в случаях, перечисленных в законе. К таким случаям относятся незаконное получение персональных данных или отсутствие необходимости в этих данных, неправомерная обработка персональных данных, достижение цели обработки персональных данных, отзыв субъектом персональных данных согласия на их обработку.

Роскомнадзор утвердил Требования к документальному оформлению факта уничтожения персональных данных. Они будут действовать с 1 марта 2023 по 1 марта 2029 года. Из Требований следует, что если обработка персональных данных проводилась без использования средств автоматизации, то для подтверждения факта уничтожения персональных данных оформляется соответствующий акт. Если же обработка персональных данных проводилась с использованием средств автоматизации, например, при помощи компьютеров, то наряду с актом об уничтожении персональных данных потребуется сделать выгрузку из журнала регистрации событий в информационной системе оператора персональных данных.

Поскольку форма акта об уничтожении персональных данных не утверждена, его можно составить в произвольной форме. При этом в акте об уничтожении персональных данных должны содержаться такие сведения как, наименование организации или Ф. И. О. физического лица – оператора персональных данных, адрес оператора персональных данных, наименование организации или Ф. И. О. физического лица, которые обрабатывали персональные данные по поручению оператора, Ф. И. О. субъектов персональных данных или иная информация, относящаяся к определенным физическим лицам, чьи персональные данные были уничтожены, Ф. И. О. и должность лиц, уничтоживших персональные данные и их подписи, перечень категорий уничтоженных персональных данных, наименование уничтоженных материальных носителей с персональными данными с указанием количества листов в отношении каждого такого носителя, наименование информационной системы персональных данных, из которой были уничтожены персональные данные, способ уничтожения персональных данных, причину уничтожения персональных данных, дату уничтожения персональных данных.

Акт об уничтожении персональных данных может быть оформлен как на бумаге, так и в электронной форме. В первом случае он заверяется личной подписью лиц, уничтоживших персональные данные, а во втором – их электронной подписью. Поскольку в приказе Роскомнадзора не уточняется, какая именно электронная подпись должна применяться, полагаем, что акт следует подписывать усиленной квалифицированной электронной подписью, если локальными нормативными актами оператора персональных данных не предусмотрено, что он может быть подписан усиленной неквалифицированной электронной подписью.

Выгрузка из журнала должна содержать такие данные как, Ф. И. О. субъектов персональных данных или иную информацию, относящуюся к определенным физическим лицам, чьи персональные данные были уничтожены, перечень категорий уничтоженных персональных данных, наименование информационной системы персональных данных, из которой они были уничтожены, причину уничтожения персональных данных, дату уничтожения персональных данных. При невозможности указать в выгрузке из журнала какие-либо сведения, их следует отразить в акте об уничтожении персональных данных.

Если оператор обрабатывает персональные данные, используя и не используя средства автоматизации, при их уничтожении следует оформлять акт об уничтожении и выгрузку из журнала. Хранить все документы об уничтожении персональных данных следует не менее трех лет с момента уничтожения. Как именно исчислять этот срок, в документе не уточняется. Рекомендуем хранить документы с небольшим запасом по времени.

Поскольку ранее требований к фиксации факта уничтожения персональных данных закон не устанавливал, операторы персональных данных самостоятельно определяли порядок фиксации факта их уничтожения. К 1 марта 2203 года следует привести установленный порядок в соответствие с требованиями, закрепленным приказом Роскомнадзора от 28.10.2022 № 179.

Заказать звонок

Сэкономьте время! Оставьте заявку на консультацию специалиста 1С.

Ваше имя

Телефон *

Подтвердите, что вы не робот *

Нажимая на кнопку , Вы даете согласие на обработку своих персональных данных и соглашаетесь с политикой конфиденциальности

Вконтакте

Содержание статьи

Рассылка нашего блога

Электронная почта *

Политика конфиденциальности персональных данных.

Настоящая Политика конфиденциальности персональных данных (далее – Политика) действует в отношении всей информации, которую данный сайт, может получить о Пользователе во время использования (а также его субдоменов), его программ и его продуктов.
1. Определение терминов.
В настоящей Политике используются следующие термины:
– персональные данные – любая информация, относящаяся к прямо или косвенно определенному юридическому или физическому лицу (субъекту персональных данных);
– оператор персональных данных – Администрация сайта (далее – Администрация) – сотрудники, уполномоченные на управление, которые организуют и (или) осуществляют обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
– обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
– конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.;
– сайт — это совокупность связанных между собой веб-страниц, размещенных в сети Интернет по уникальному адресу (URL), а также его субдоменах;
– субдомены – это страницы или совокупность страниц, расположенные на доменах третьего уровня, принадлежащие сайту, а также другие временные страницы, внизу который указана контактная информация Администрации;
– пользователь сайта (далее Пользователь) – лицо, имеющее доступ к сайту, посредством сети Интернет и использующее информацию, материалы и продукты сайта.
2. Общие положения.
2.1 Назначение политики конфиденциальности.
2.1.1. Настоящая Политика конфиденциальности устанавливает обязательства Администрации по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет .
2.2. Права и обязанности сторон.
2.2.1. Пользователь вправе:
2.2.1.1. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта, и давать согласие на их обработку.
2.2.1.2. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.
2.2.1.3. Пользователь имеет право на получение у Администрации информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Пользователь вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.2.2. Администрация обязана:
2.2.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 3 настоящей Политики конфиденциальности.
2.2.2.2. Принять меры для хранения конфиденциальной информации в тайне,
не разглашать без предварительного письменного разрешения Пользователя, а также
не осуществлять продажу, обмен, опубликование, либо разглашение иными
возможными способами переданных персональных данных Пользователя,
за исключением п. 6.3. настоящей Политики Конфиденциальности.
2.2.2.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте.
2.2.2.4. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.
2.3. Использование сайта Пользователем означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.
2.4. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта.
2.5. Настоящая Политика конфиденциальности применяется к сайту.
2.6. Администрация не проверяет достоверность персональных данных, предоставляемых Пользователем.
3. Цели сбора персональных данных.
3.1. Персональные данные Пользователя Администрация может использовать только в связи с заключением договора, стороной которого является субъект персональных данных. Персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
4. Правовые основания обработки персональных данных.
Правовым основанием обработки персональных данных является:
– федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
– уставные документы оператора;
– договоры, заключаемые между оператором и субъектом персональных данных;
– согласие субъекта на обработку персональных данных;
5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
5.1. Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, предоставляются Пользователем путём заполнения форм на сайте и включают в себя следующую информацию:
5.1.1. имя Пользователя;
5.1.2. контактный телефон Пользователя;
5.1.3. адрес электронной почты (e-mail).
5.2. К категориям субъектов персональных данных относятся работники оператора.
Порядок и условия обработки персональных данных.
6.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
6.3. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
6.4. Администрация принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
6.5. Администрация совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.
7. Разрешение споров.
7.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем и Администрацией, обязательным является предъявление претензии (письменного предложения или предложения в электронном виде о добровольном урегулировании спора).
7.2. Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно или в электронном виде уведомляет заявителя претензии о результатах рассмотрения претензии.
7.3. При не достижении соглашения спор будет передан на рассмотрение Арбитражного суда.
7.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией применяется действующее законодательство Российской Федерации.
8. Дополнительные условия.
8.1. Администрация вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.
8.2. Новая Политика конфиденциальности вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики конфиденциальности.

Настройки

Назад к списку