13 марта 2023
Организаций и ИП касается ряд нововведений, которые придётся учитывать в работе с персональными данными сотрудников уже с 1 марта 2023 года.
Они затрагивают вопросы изменения личной информации персонала, допустимости передачи её третьим лицам за рубеж, уничтожения хранящихся данных и оценки вреда из-за их вероятной утечки.
Поправки в основной закон утверждаются Федеральным законом № 266-ФЗ, принятым 14 июля 2022 и вступающим в силу 1 марта 2023.
В документе 18.1 ФЗ «О персональных данных» указывается на то, что оператор (работодатель) должен сам определять меры, которые смогут обеспечить надлежащее исполнение им законодательства о хранении и защите персональных данных.
В числе прочего, одной из таких обязательных мер является оценка возможного вреда, который может быть нанесён сотруднику из-за несанкционированного попадания его данных к третьим лицам.
В дополнение к этому пункту закона с марта 2023 года в силу вступают конкретные требования, на основании которых должна проводиться и оформляться такая оценка на предприятиях. Правила утверждаются приказом № 178, принятым Роскомнадзором 27 октября 2022 и начинающим действие с 1 марта 2023.
Роскомнадзор обязывает работодателей самостоятельно организовать комиссию для оценки вреда от потери данных работников и оформлять результат в виде акта за подписью ответственных сторон.
В ходе оценки оператор (работодатель) должен присвоить одну из степеней, отражающую уровень вреда, который может быть причинён субъекту персональных данных (сотруднику) в случае потери контроля над их хранением.
Может быть выбрана одна из трёх степеней вреда:
Высокая степень.
Средняя степень.
Низкая степень.
Высокая степень вреда должна быть присвоена в том случае, если работодатель располагает следующими персональными данными сотрудников:
биометрические данные для идентификации лиц;
информация личного характера и других особых категорий, таких как религия, национальность, политические взгляды, интимная жизнь, здоровье, наличие судимостей;
данные лиц, не достигших совершеннолетнего возраста;
обезличенные персональные данные;
персональные данные, обработкой которых занимается иностранное лицо;
данные, сбор которых осуществляется иностранными базами данных за пределами страны.
Средняя степень вреда определяется, если в распоряжении организации оказываются такие сведения:
персданные, распространяемые через сайт компании, которые может увидеть неограниченное число лиц;
данные, фактическая цель использования которых отличается от первоначально заявленной;
информация, применяемая в целях продвижения товаров организации и услуг среди вероятных покупателей, взятая из базы общего доступа.
Также средней степенью считаются:
личные данные людей, согласие на использование которых получено на сайте компании, но не предполагают проверку подлинности;
данные, полученные с согласия на обработку по положению, содержащему разные, не совместимые между собой цели.
Низкая степень указывается организацией-работодателем, если:
персданные хранятся по согласию сотрудника в общедоступной базе;
ответственность за работу с данными официально закреплена за сторонним физическим или юридическим лицом, а не за штатным сотрудником.
Если личные данные относятся к нескольким степеням, то в акте прописывается наивысшая из них.
Форма акта, который должен оформляться в результате оценки степени вреда, официально не утверждена. Документ составляется в свободной, но строгой форме, и должен содержать перечисленные в приказе № 178 требования:
название или Ф.И.О. оператора (организации или ИП), его адрес;
дату, когда был создан Акт;
дату, когда проводилась оценка вреда;
Ф.И.О. и должность лица или лиц, проводивших оценку, их подписи;
присвоенная степень оценки вреда.
Документ оценки может быть составлен как в бумажном, так и в электронном виде с применением цифровой подписи.
Если по истечении времени состав сведений, составляющих персональные данные, дополняется информацией, которая относится уже к более высокой степени вреда, то акт оценки должен быть составлен заново.
Наряду с оценкой степени вреда из-за возможной утечки, в основной закон о персональных данных внесены и другие немаловажные для работодателей поправки:
О трансграничной (международной) передаче данных.
Компании, которые планируют передавать персональные данные за границу, обязаны заранее уведомить об этом Роскомнадзор, после чего контролирующий орган должен разрешить или запретить такую деятельность в течение 10 дней.
Об изменениях в хранящихся данных сотрудников.
При изменении персданных работника организация обязана уведомить об этом контролирующий орган до 15 числа последующего месяца.
Об уничтожении сведений, относящихся к персональным данным.
Уничтожение персданных должно подтверждаться актом об уничтожении и выгрузкой из журнала регистрации событий, если данные обрабатывались с помощью автоматизированных систем.
Об инцидентах по утечке персданных.
Все случаи, связанные с незаконной передачей данных третьим лицам, будут заноситься службой Роскомнадзора в единый реестр инцидентов.
Узнать подробнее обо всех вводимых с начала марта изменениях можно из официальных законодательных актов, ссылки на которые представлены выше в статье.
Реклама: ООО «Е-Офис 24», ИНН 6672281995, erid: LjN8KUc1e
Хотите быть в курсе последних новостей и событий? Подписывайтесь на Телеграм- канал «Бизнес в Кузбассе»