Синергия права

Семейное право для всех

19.09.2023 Гражданское право

Персональные данные: изменения в 2023 году

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные: изменения в 2023 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Как и когда нужно уведомлять Роскомнадзор
2. Что изменится с 1 марта 2023
3. В каких случаях потребуется уведомление Роскомнадзора
4. Новые требования к согласию на обработку персональных данных
5. Изменения в правилах работы с персональными данными сотрудников в 2023 году
6. На обработку какой информации нужно согласие?
7. Для чего формируется согласие на обработку при приеме на работу?
8. Какие ещё изменения произошли
9. О персональных данных
10. Уведомление Роскомнадзора об обработке персональных данных работников
11. Уточнение порядка трансграничной передачи данных

Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

  • персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
  • персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

Законодательные документы не содержат строгого перечисления личных данных. Обычно работник предоставляет в распоряжение работодателя следующие сведения:

  • об образовании;
  • трудовом и общем стаже;
  • составе семьи;
  • воинском учете;
  • заработной плате;
  • социальных льготах;
  • занимаемой должности;
  • наличии судимостей;
  • адресе по месту регистрации и проживания;
  • контактных телефонах;
  • местах работы или учебы членов семьи;
  • условиях трудового договора;
  • наличии декларируемых материальных ценностей;
  • материалах по повышению квалификации, переподготовке, аттестации и служебных расследованиях и пр.
Читайте также:  Платят ли налог на имущество пенсионеры

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • получаемых и обрабатываемых в рамках трудового законодательства;
  • получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
  • относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
  • разрешенных физлицом для распространения;
  • включающих в себя только фамилии, имена и отчества физлиц;
  • необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Изменения в законе №152-ФЗ «О персональных данных» действуют с 1.03.2021. Они вводят в оборот определение «персональных данных, разрешенных для распространения», которое заменяет «общедоступные персональные данные». Как поясняют авторы поправок, в первую очередь нововведения касаются информации, которая размещается в свободном доступе, например на интернет-порталах, и может быть получена кем угодно.

Если до конца февраля текущего года оператор, который получил одно согласие субъекта на обработку персданных, мог их опубликовать или передать третьей стороне, теперь этого мало – необходим отдельный документ.

Согласие на обработку означает, что оператор вправе хранить, уточнить, использовать эти сведения. Но если он планирует опубликовать их или передать третьему лицу, потребуется отдельное письменное согласие на распространение. Исключение – запрос из контролирующих органов, полиции, военкомата: им дополнительное разрешение не нужно.

Передать согласие оператору можно двумя способами:

  • в бумажном виде, подписав собственноручно (этот способ действует сейчас);
  • с помощью системы Роскомнадзора (заработает с 01.07.2021).

Новые требования к согласию на обработку персональных данных

Появились дополнительные критерии, которым должно соответствовать согласие на обработку персональных данных.

Теперь оно должно быть не только конкретным, информированным и сознательным, а еще и предметным и однозначным. Однако Роскомнадзор уже давно указывает на то, что субъект данных должен выразить согласие однозначным действием. Поэтому поправка лишь закрепляет подход, который есть в практике.

Ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Еще один подход, который уже давно выработала практика, но который теперь есть в законе: запрет отказывать в услуге из-за того, что гражданин не предоставил биометрические данные или согласие на их обработку.

Предоставление биометрических персональных данных не может быть обязательным. Какие требования теперь есть к поручению на обработку данных Теперь в поручении оператора на обработку данных должен быть перечень персональных данных.

Операторам придется выбирать: указывать широкие общие или четкие узкие категории данных. Каждый из вариантов несет свой риск. Так, в первом случае есть вероятность, что практика не будет толковать категории так же широко, как оператор и обработчик данных. Но если выбрать наиболее детальные категории, поручение вероятно придется часто редактировать, поскольку объем данных может меняться.

Ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

В поручение оператора на обработку персональных данных необходимо включать и обязанности обработчика: во-первых, соблюдать требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, во-вторых, предоставлять по запросу оператора в течение срока действия поручения информацию, подтверждающую принятие мер и соблюдение установленных требований, в- третьих, информировать Роскомнадзор об инцидентах.

Читайте также:  Как открыть салон красоты с нуля

Кроме того, теперь, если оператор поручает обработку иностранному лицу, ответственность за его действия перед субъектом данных будут нести и оператор, и обработчик. Такая поправка повысит внимание Роскомнадзора к иностранным компаниям.

Изменения в правилах работы с персональными данными сотрудников в 2023 году

В 2023 году произошли законодательные изменения, которыми было утверждено, что согласие на обработку данных, разрешенных гражданином к передаче, необходимо оформлять отдельно от иных видов согласий. То есть стандартного документа от работника уже недостаточно, для этого необходимо отдельное согласие, даже в том случае, если человек указал в стандартном документе, что он не против передачи его сведений другим лицам.

Случаи, когда необходимо отдельное согласие физического лица:

  1. Организация занимается распространением данных неограниченному кругу лиц.
  2. Организация занимается передачей информации третьим лицам.

К примеру, если компания намерена разместить данные сотрудника на своем сайте, то ей необходимо получить у человека отдельное согласие на передачу такой информации.

На обработку какой информации нужно согласие?

К ПДн причисляют абсолютно все сведения, касающиеся человека (физического лица) и позволяющие отличить его от других граждан, а именно:

  • имя, фамилия, отчество;
  • день, месяц, год и место рождения;
  • регистрационный адрес;
  • семейное и финансовое положение;
  • социальный статус;
  • уровень доходов;
  • имеющиеся обязательства (алиментные выплаты, кредиты и т.д.);
  • образование;
  • место работы и профессия, стаж;
  • вероисповедание и национальность;
  • состояние здоровья;
  • вес, рост;
  • фотографии, видео, голос;
  • политические взгляды.

Информация может быть общедоступной, биометрической и специальной, а источниками и одновременно местами хранения ПДн являются различные документы:

  • справки НДФЛ;
  • паспорт (как российский, так и заграничный);
  • военный билет;
  • трудовая книжка;
  • паспорт моряка;
  • водительское удостоверение;
  • карточка сотрудника (форма Т-2);
  • заполненные анкеты;
  • документы, подтверждающие состав семьи, образование и т.д.

Для чего формируется согласие на обработку при приеме на работу?

После принятия и вступления в силу Федерального закона № 152 «О персональных данных» с 30 января 2007 года любое использование личной информации происходит только с согласия ее владельца. При устройстве на работу в обязательном порядке соискатель предоставляет пакет документов, таких как паспорт, СНИЛС, ИНН, они содержат общедоступные сведения, согласие брать в этом случае необязательно.

А вот при предоставлении таких документов, как справка о состояние здоровья, или наличия (отсутствия) судимости требует оформление бланка данного согласия в обязательном порядке. Поэтому до заключения трудового договора соискатель должен составить согласие в письменной форме, так как, попадая к специалисту отдела кадров, все данные становятся конфиденциальными (ст. 14 ТК РФ). На это указывает пункт 8 статьи 65 Трудового кодекса РФ.

В бланке согласия на обработку персональных данных должно быть подробно написано для каких целей собирается информация о соискателе при устройстве на работу.

Согласно законодательству, при передаче работодателю они могут использоваться строго для служебных целей.

Какие ещё изменения произошли

  1. Запрещена биометрическая обработка персональных данных несовершеннолетних;
  2. Работник вправе добровольно отказаться от биометрической обработки персональных данных;
  3. Обработка персональных данных осуществляется только с согласия;
  4. Сотрудник вправе запросить сведения о том, как работодатель обрабатывает персональные данные и какая информация о нём хранится. Работодатель обязан ответить в течение 10 рабочих дней. При уважительной причине работодатель вправе увеличить срок ответа ещё на 5 рабочих дней;
  5. В течение 24 часов работодатель обязан сообщить об утечке персональных данных в Роспотребнадзор, а в течение 72 часов провести расследование инцидента и сообщить о его результатах. Указать виновных и принятые меры.
Читайте также:  Размер пени по налогам в 2023 году для физических лиц

О персональных данных

В повседневной жизни каждый гражданин обменивается с другими гражданами и организациями своими личными данными и личными данными других людей (например, ребенка при оформлении в детский сад).

Однако в некоторых случаях разглашение персональных данных гражданина может привести к нарушению его личных границ. С этой целью законодательство защищает персональные данные граждан. В Федеральном законе «О персональных данных» дается определение данных, которые относятся к персональным:

  • паспортные данные: ФИО, место рождения, место жительства и т.п.;
  • данные, указанные в дипломах, правах, трудовых книжках;
  • данные о физическом состоянии, психическом здоровье;
  • данные о религиозной принадлежности и т.п.

Лицо – обладатель набора персональных данных называется субъектом персональных данных. Лицо или организация, осуществляющая обработку данных, называется оператором персональных данных.

Стоит отметить, что предоставлять или не предоставлять оператору персональные данные, гражданин решает сам, ориентируясь на личные убеждения и т.п.

Однако в некоторых случаях, например, при заключении трудового договора, без предоставления персональных данных стороной договора гражданин стать не сможет. И все же закон предоставляет субъекту персональных данных следующие возможности реализации своего связанного с ними права:

  • выразить согласие на обработку;
  • отказаться от предоставления данных;
  • отозвать уже данное согласие.

Уведомление Роскомнадзора об обработке персональных данных работников

Ранее компании-работодатели вправе были не уведомлять Роскомнадзор об обработке персональных данных работников, в том случае, когда такая обработка происходила в соответствии с трудовым законодательством. Данное исключение было предусмотрено подп. 1 п. 2 ст. 22 Закона 152-ФЗ.

С 1 сентября 2022 года данная норма утратила силу. Соответственно, даже если компания обрабатывает персональные данные своих сотрудников исключительно в целях соблюдения трудового законодательства, необходимо уведомить об этом Роскомнадзор.

Изменился и состав сведений, которые должно содержать уведомление (п. 3.1 ст. 22 закона 152-ФЗ). Оператор должен указать для каждой цели обработки персональных данных (далее – ПДн):

  • категории ПДн;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое обоснование обработки ПДн;
  • перечень действий с ПДн;
  • способы обработки ПДн.

Уточнение порядка трансграничной передачи данных

В связи с внесенными изменениями в Федерального закона № 152-ФЗ Роскомнадзором уже реализован сервис по направлению уведомления об осуществлении трансграничной передачи персональных данных по установленной форме.

Операторы, которые осуществляли трансграничную передачу до дня вступления в силу Федерального закона № 266-ФЗ и продолжают осуществлять такую передачу после дня его вступления в силу, обязаны не позднее 1 марта 2023 года направить в уполномоченный орган по защите прав субъектов персональных данных уведомления об осуществлении их трансграничной передачи. (ч. 5 ст. 6 266-ФЗ).

Далее с 1 марта 2023 года операторы обязаны сообщать о намерении осуществлять трансграничную передачу.

Также с 1 марта 2023 года планируется вступление в силу трех проектов Постановлений Правительства РФ, касающихся трансграничной передачи персональных данных (регулирующих порядок принятия решений о запрещении или об ограничении такой передачи как Роскомнадзором, так и иными уполномоченными органами, а также предусматривающих случаи, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона 152-ФЗ.


Похожие записи:

Напишите свой комментарий ...