Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 19 сентября 2022 г.
Содержание журнала № 19 за 2022 г.Персональные данные сотрудников: какие обязанности появились у работодателей
Упомянутый в статье Закон о персональных данных можно найти:
Обязанность 1. Чаще уведомлять Роскомнадзор об обработке персональных данных
С 01.09.2022 из Закона о персональных данных исключены нормы, позволявшие обрабатывать ПД без уведомления Роскомнадзора, если сведения о человеке были получены в рамках трудового законодательства (например, при приеме на работу, направлении на медосмотр, для выплаты зарплаты), если необходим однократный пропуск человека на территорию работодателя или если предоставленные ПД состояли только из ф. и. о.ст. 22 Закона от 27.07.2006 № 152-ФЗ (ред., действ. до 01.09.2022) (далее — Закон № 152-ФЗ)
Другими словами, такие работодатели в Роскомнадзор уведомления об обработке не подавали, потому что это не требовалось по Закону. И формально на момент вступления в силу его новой редакции они оказались работающими с ПД без нужного уведомления. Никаких переходных положений Закон не содержит. В Роструде нам рекомендовали следующее.
Дополнительные уведомления Роскомнадзора
ШКЛОВЕЦ Иван Иванович Заместитель руководителя Федеральной службы по труду и занятости |
— Обязанность уведомления уполномоченного органа оператором персональных данных о намерении осуществлять их обработку установлена ст. 22 Закона № 152-ФЗ «О персональных данных». Там же было предусмотрено, что не требуется уведомлять Роскомнадзор о начале обработки персональных данных в случае их обработки в соответствии с трудовым законодательствомп. 1 ч. 2 ст. 22 Закона № 152-ФЗ (ред., действ. до 01.09.2022).
С 1 сентября 2022 г. такая норма Закона о персональных данных утратила силу, в связи с чем теперь все работодатели обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников.
Представляется, что организациям, обрабатывающим персональные данные, не включенным в реестр операторов персональных данных, можно было направить уведомление об обработке персональных данных до 1 сентября 2022 г.
При этом уведомление о начале обработки не требуется вообще, если оператор обрабатывает персональные данные исключительно без использования средств автоматизации, то есть работает с персональными данными без средств вычислительной техникип. 4 ст. 3, п. 8 ч. 2 ст. 22 Закона № 152-ФЗ.
Если организация уже числится в реестре операторов персональных данных, то в случае изменения ранее представленных сведений оператор в течение 10 рабочих дней с момента возникновения таких изменений должен направить в Роскомнадзор информационное письмоприложение № 3 к Методическим рекомендациям, утв. Приказом Роскомнадзора от 30.05.2017 № 94. В связи с поправками в Закон о персональных данных таким письмом нужно оповестить об изменении цели обработки персональных данных.
Кстати, сам Роскомнадзор дал разъяснения лишь в день вступления поправок в силу. В информации от ведомства указано, что:
•1 сентября — это не предельная дата подачи уведомления об обработке ПД;
•Роскомнадзор занят разработкой новых форм уведомлений, подаваемых при намерении оператора начать или прекратить обрабатывать ПД, а также при изменении ранее представленных в реестр сведенийсайт Роскомнадзора; проект Приказа Роскомнадзора.
По данным Роскомнадзора, при проверках операторов персональных данных, проведенных в 2021 г., нарушения в организации обработки таких данных выявлены в более чем 80% случаев
Поэтому, если в связи с принятием поправок в Закон о персональных данных вы еще никакие уведомления в Роскомнадзор не направляли, проверьте, есть ли ваша организация в реестре операторов ПД, а после выхода новых форм уведомленийПисьмо Роскомнадзора от 06.09.2022 № 08-80975:
•если ваша компания уже внесена в реестр операторов ПД — направьте в Роскомнадзор сообщение о новой цели обработки персональных данных: «Обработка в рамках трудовых отношений»;
•если ваша компания не внесена в реестр — отправьте уведомление об обработке ПД.
Некоторые работодатели уже направили такие сообщения, потому что формально до 01.09.2022 нужно было сообщить в Роскомнадзор о намерении обрабатывать ПД, а не позднее 15.09.2022 (10 рабочих дней, отсчитываемых со дня, следующего за днем вступления в силу поправок) — об изменении цели обработки ПД тем, кто ранее уже был внесен в реестр ПДприложения № 1, 2 к Методическим рекомендациям, утв. Приказом Роскомнадзора от 30.05.2017 № 94; ст. 22 Закона № 152-ФЗ. Если вы из числа уже сообщивших в ведомство, то, когда выйдут новые формы уведомлений, нужно будет проверить, не требуется ли в них к представлению информация, которой нет в нынешних версиях документов. Если такая информация будет, то придется подать уведомление о внесении изменений в ранее представленные сведения об операторе ПД по новой форме.
Обязанность 2. Быстрее отвечать на запросы работников и Роскомнадзора
Напомним, что:
•работник вправе в любой момент по письменному запросу получить доступ к своим персональным данным у работодателя. Так, он может поинтересоваться, какие из его персональных данных и с какими целями обрабатывает работодательч. 3, 7 ст. 14, ч. 1 ст. 20 Закона № 152-ФЗ;
•Роскомнадзор может письменно запросить у работодателя информацию по обработке персональных данных сотрудников.
В обоих случаях время на ответ работодателя (оператора ПД) сократилось почти в два раза. Если раньше это было 30 календарных дней, то теперь оператор обязан ответить в течение 10 рабочих дней с момента получения запроса. Продлить такой срок вы вправе лишь на 5 дней, письменно объяснив причину такого продленияч. 1, 4 ст. 20 Закона № 152-ФЗ. Кстати:
•Законом не установлено, какого рода причины переноса срока признаются уважительными. Поэтому постарайтесь не только сформулировать, но и подтвердить документально, почему вы затянули с ответом. Потому что если просто оставить запрос сотрудника без ответа, то по его жалобе могут оштрафовать компанию на 40 000—80 000 руб., ее руководителя — на 8000—12 000 руб., а ИП и организацию малого бизнеса — на 20 000—30 000 руб.ч. 4 ст. 13.11, ч. 2 ст. 4.1.2 КоАП РФ;
•отказ в пояснениях по запросу Роскомнадзора, как и ранее, не предусмотрен. Штраф за непредставление запрашиваемой информации для работодателя из малого бизнеса может составить 1500—2500 руб., для фирмы, не относящейся к малым, — 3000—5000 руб., а для их руководителей — 300—500 руб.ст. 19.7 КоАП РФ
Обязанность 3. Издать ЛНА о защите персональных данных
Ранее принятие работодателем собственных актов о защите персональных данных было рекомендованной мерой для их охраны. Теперь работодатель обязан иметь положение о защите персональных данных работниковч. 1 ст. 18.1 Закона № 152-ФЗ. Если у вас в компании такого документа нет, составьте его, предусмотрев в нем:
•порядок работы с ПД;
•список работников, отвечающих за обработку ПД (например, кадровик, бухгалтер), а не только список работников, имеющих доступ к ПД;
•правила хранения личных дел и других кадровых документов;
•способы защиты электронных документов.
Утвердите положение о защите ПД приказом руководителя и ознакомьте с ним работников под росписьст. 88 ТК РФ; п. 15 Положения об обработке персональных данных, утв. Постановлением Правительства от 15.09.2008 № 687.
Обязанность 4. Сообщать об утечке персональных данных в госорганы
Введена обязанность работодателя, обнаружившего утечку ПД его сотрудников, сообщить, во-первых, в Роскомнадзорч. 3.1 ст. 21 Закона № 152-ФЗ:
•в течение 24 часов — о самом происшествии, о предполагаемых причинах и вреде от утечки;
•в течение 72 часов — о проведенном работодателем расследовании инцидента и о людях, из-за которых произошла утечка информации.
Внимание
Штраф за передачу персональных данных без согласия работника для малых и микропредприятий — 20 000—75 000 руб., для других организаций — 30 000—150 000 руб., для должностного лица — 20 000—40 000 руб.ч. 2, 3 ст. 4.1.2, ст. 13.11 КоАП РФ
За нарушение работодателем такой обязанности штраф для «малыша» может составить 1500—2500 руб., для иной компании — 3000—5000 руб., для руководителей — 300—500 руб.ст. 19.7 КоАП РФ
Во-вторых, об утечке ПД нужно будет уведомить Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА). Однако пока порядка такого уведомления нетч. 12—14 ст. 19 Закона № 152-ФЗ; ст. 5 Закона от 26.07.2017 № 187-ФЗ.
Обязанность 5. Принимать от сотрудников персональные данные по дополненному согласию на их обработку
Как и ранее, согласие на обработку ПД должно быть конкретным, информированным и сознательным. Еще Закон предусмотрел, что согласие должно бытьч. 1 ст. 9 Закона № 152-ФЗ:
•предметным, то есть в нем нужно определить цели сбора ПД или перечень действий с персональными данными;
•однозначным, то есть согласие должно содержать конкретные способы использования ПД.
Так, раньше можно было сформулировать в согласии работника на обработку его ПД: «Согласен на обработку моих персональных данных ООО «Звезда» в целях соблюдения законов и нормативных актов». Теперь подобные формулировки не подходят. Безопаснее дать на подпись работникам согласие, например, такого содержания.
Я, Павлова Полина Игоревна (паспорт 4500 106201, выдан 02.12.2000 ОВД «Крюково» УВД Зеленоградского округа г. Москвы, место жительства: г. Москва, Панфиловский пр-т, корп. 1546, кв. 74), в соответствии со ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю свое согласие работодателю — ООО «Звезда» (ОГРН 1127785185231, ИНН 7723345668, адрес: г. Москва, Варшавское шоссе, д. 39) на обработку персональных данных.
Обработка — это сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных в документальной и/или электронной форме.
Согласна на обработку таких персональных данных:
— фамилия, имя, отчество, дата и место рождения, пол, гражданство;
— паспортные данные, адрес места жительства;
— семейное положение, сведения о членах семьи;
— номер телефона, адрес электронной почты;
— идентификационный номер налогоплательщика, номер страхового свидетельства государственного пенсионного страхования;
— сведения о воинском учете;
— фотография;
— сведения об образовании и о владении иностранными языками;
— сведения о месте работы, в том числе о предыдущих; размер зарплаты;
— сведения о состоянии здоровья, связанные с возможностью выполнения трудовой функции.
Свое согласие на обработку перечисленных персональных данных даю в целях их предоставления:
— кредитной организации — для оформления мне банковской карты, перечисления зарплаты и других выплат;
— третьим лицам — для заключения договора добровольного страхования со мной в качестве застрахованного;
— работникам ООО «Звезда» и третьим лицам — для выполнения моей трудовой функции.
Настоящее согласие действует со дня его подписания до дня его отзыва мною в письменной форме.
01.09.2022 | | П.И. Павлова |
Отметим, что, как и ранее:
•передавать персональные данные без согласия работника вы не только можете, но и обязаны в установленных законом случаях, например в налоговый орган, ПФР и ФСС, судебным приставамст. 88 ТК РФ; Письма ФНС от 02.08.2018 № ЕД-4-2/14951@; Минфина от 09.10.2012 № 03-02-07/1-246; п. 2 ч. 1 ст. 64 Закона от 02.10.2007 № 229-ФЗ;
•в остальных случаях для передачи ПД сотрудника, не связанной целями их обработки в рамках трудовых отношений, и распространения ПД неопределенному кругу лиц нужно получить отдельное письменное согласие работникаст. 7, ч. 9 ст. 9, ст. 10.1 Закона № 152-ФЗ; Приказ Роскомнадзора от 24.02.2021 № 18.
* * *
Напомним, что если у работника изменились ПД, то внести изменения в его личную карточку и другие кадровые документы можно по заявлению сотрудника или на основании подлинников подтверждающих документов. Из них нужно выписать новые сведения и вернуть документы работнику. Кстати, менять сведения в трудовом договоре необязательно. Но можете составить дополнительное соглашение к договору.
При смене ф. и. о. и сведений об образовании работника не забудьте внести изменения в бумажную трудовую книжкупп. 7, 8 Порядка, утв. Приказом Минтруда от 19.05.2021 № 320н. А вот подавать в ПФР форму СЗВ-ТД при изменении такой информации не нужно.