+7 3842-75-17-09
Логотип

13 марта 2023

Приказ вступил: с 1 марта все работодатели должны учесть изменения и подписать новый акт для обработки персональных данных

Организаций и ИП касается ряд нововведений, которые придётся учитывать в работе с персональными данными сотрудников уже с 1 марта 2023 года.

Они затрагивают вопросы изменения личной информации персонала, допустимости передачи её третьим лицам за рубеж, уничтожения хранящихся данных и оценки вреда из-за их вероятной утечки.

Поправки в основной закон утверждаются Федеральным законом № 266-ФЗ, принятым 14 июля 2022 и вступающим в силу 1 марта 2023.

Новые требования к оценке вреда в случае утечки персональных данных сотрудника

В документе 18.1 ФЗ «О персональных данных» указывается на то, что оператор (работодатель) должен сам определять меры, которые смогут обеспечить надлежащее исполнение им законодательства о хранении и защите персональных данных.

В числе прочего, одной из таких обязательных мер является оценка возможного вреда, который может быть нанесён сотруднику из-за несанкционированного попадания его данных к третьим лицам.

В дополнение к этому пункту закона с марта 2023 года в силу вступают конкретные требования, на основании которых должна проводиться и оформляться такая оценка на предприятиях. Правила утверждаются приказом № 178, принятым Роскомнадзором 27 октября 2022 и начинающим действие с 1 марта 2023.

Документ, который с 1 марта должны составить и подписать все работодатели

Роскомнадзор обязывает работодателей самостоятельно организовать комиссию для оценки вреда от потери данных работников и оформлять результат в виде акта за подписью ответственных сторон.

В ходе оценки оператор (работодатель) должен присвоить одну из степеней, отражающую уровень вреда, который может быть причинён субъекту персональных данных (сотруднику) в случае потери контроля над их хранением.

Может быть выбрана одна из трёх степеней вреда:

  1. Высокая степень.

  2. Средняя степень.

  3. Низкая степень.

Высокая степень вреда должна быть присвоена в том случае, если работодатель располагает следующими персональными данными сотрудников:

  • биометрические данные для идентификации лиц;

  • информация личного характера и других особых категорий, таких как религия, национальность, политические взгляды, интимная жизнь, здоровье, наличие судимостей;

  • данные лиц, не достигших совершеннолетнего возраста;

  • обезличенные персональные данные;

  • персональные данные, обработкой которых занимается иностранное лицо;

  • данные, сбор которых осуществляется иностранными базами данных за пределами страны.

Средняя степень вреда определяется, если в распоряжении организации оказываются такие сведения:

  • персданные, распространяемые через сайт компании, которые может увидеть неограниченное число лиц;

  • данные, фактическая цель использования которых отличается от первоначально заявленной;

  • информация, применяемая в целях продвижения товаров организации и услуг среди вероятных покупателей, взятая из базы общего доступа.

Также средней степенью считаются:

  • личные данные людей, согласие на использование которых получено на сайте компании, но не предполагают проверку подлинности;

  • данные, полученные с согласия на обработку по положению, содержащему разные, не совместимые между собой цели.

Низкая степень указывается организацией-работодателем, если:

  • персданные хранятся по согласию сотрудника в общедоступной базе;

  • ответственность за работу с данными официально закреплена за сторонним физическим или юридическим лицом, а не за штатным сотрудником.

Если личные данные относятся к нескольким степеням, то в акте прописывается наивысшая из них.

Как оформить правильно акт о степени вреда

Форма акта, который должен оформляться в результате оценки степени вреда, официально не утверждена. Документ составляется в свободной, но строгой форме, и должен содержать перечисленные в приказе № 178 требования:

  1. название или Ф.И.О. оператора (организации или ИП), его адрес;

  2. дату, когда был создан Акт;

  3. дату, когда проводилась оценка вреда;

  4. Ф.И.О. и должность лица или лиц, проводивших оценку, их подписи;

  5. присвоенная степень оценки вреда.

Документ оценки может быть составлен как в бумажном, так и в электронном виде с применением цифровой подписи.

Если по истечении времени состав сведений, составляющих персональные данные, дополняется информацией, которая относится уже к более высокой степени вреда, то акт оценки должен быть составлен заново.

Другие изменения в работе с персданными, которые начинают действовать с 1 марта 2023

Наряду с оценкой степени вреда из-за возможной утечки, в основной закон о персональных данных внесены и другие немаловажные для работодателей поправки:

  1. О трансграничной (международной) передаче данных.

    Компании, которые планируют передавать персональные данные за границу, обязаны заранее уведомить об этом Роскомнадзор, после чего контролирующий орган должен разрешить или запретить такую деятельность в течение 10 дней.

  2. Об изменениях в хранящихся данных сотрудников.

    При изменении персданных работника организация обязана уведомить об этом контролирующий орган до 15 числа последующего месяца.

  3. Об уничтожении сведений, относящихся к персональным данным.

    Уничтожение персданных должно подтверждаться актом об уничтожении и выгрузкой из журнала регистрации событий, если данные обрабатывались с помощью автоматизированных систем.

  4. Об инцидентах по утечке персданных.

    Все случаи, связанные с незаконной передачей данных третьим лицам, будут заноситься службой Роскомнадзора в единый реестр инцидентов.

Узнать подробнее обо всех вводимых с начала марта изменениях можно из официальных законодательных актов, ссылки на которые представлены выше в статье.

Реклама: ООО «Е-Офис 24», ИНН 6672281995, erid: LjN8KUc1e

Источник

Хотите быть в курсе последних новостей и событий? Подписывайтесь на Телеграм- канал «Бизнес в Кузбассе»