+7 499 649 11 99
У Вас есть вопрос?
Оставьте свои контакты и кратко опишите Ваш вопрос
Нажимая на кнопку, Вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности.
У Вас есть вопрос?
Заполните форму и мы Вам ответим
Нажимая на кнопку, Вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности.
статьи
Работа с персональными данными в социальной организации по новому закону
Работа с персональными данными в социальной организации по новому закону
статьи
Работа с персональными данными в социальной организации по новому закону
Сегодняшняя статья посвящена очень важному и актуальному в настоящее время вопросу — изменениям в работе с персональными данными (ПД). Мы рассмотрим, в первую очередь, как новые правила повлияют именно на деятельность социальной организации, однако, эти перемены характерны и для любых других компаний, сталкивающихся с обработкой личной информации.
Уже с 1 сентября текущего года вступили в силу обновлённые требования. К одному из наиболее значимых относится обязанность работодателей уведомлять Роскомнадзор (контролирующий орган в области связи, информационных технологий и массовых коммуникаций) о сборе персональных сведений по своим сотрудникам. Также по ходу текста мы кратко осветим и другие нововведения, а еще разберем что вообще представляют из себя ПД и какие они бывают, узнаем кто такие операторы ПД и какое наказание полагается организациям, нарушившим установленные нормы. Поэтому, если Ваши трудовые обязанности подразумевают работу с персональными сведениями, то рекомендуем уделить немного времени и внимательно изучить содержание представленной статьи, поскольку здесь Вы обязательно найдете для себя что-то полезное.
Уже с 1 сентября текущего года вступили в силу обновлённые требования. К одному из наиболее значимых относится обязанность работодателей уведомлять Роскомнадзор (контролирующий орган в области связи, информационных технологий и массовых коммуникаций) о сборе персональных сведений по своим сотрудникам. Также по ходу текста мы кратко осветим и другие нововведения, а еще разберем что вообще представляют из себя ПД и какие они бывают, узнаем кто такие операторы ПД и какое наказание полагается организациям, нарушившим установленные нормы. Поэтому, если Ваши трудовые обязанности подразумевают работу с персональными сведениями, то рекомендуем уделить немного времени и внимательно изучить содержание представленной статьи, поскольку здесь Вы обязательно найдете для себя что-то полезное.
Понятие и виды ПД
Для начала давайте ознакомимся с определением персональных данных и их классификацией, потому как это играет огромное значение не только для самих лиц, информацию о которых собирают и используют, но и для фирм, осуществляющих обработку этих сведений. Владельцы должны со всей ответственностью относиться к согласию на хранение, обработку и передачу личных данных и отстаивать свои права при их незаконной эксплуатации и разглашении. Предприятиям осведомленность касательно ПД нужна для их корректного сбора, хранения и гарантии безопасности.
Под персональными данными понимают любую информацию, имеющую непосредственное отношение к конкретному физическому лицу.
Для организаций, работающих с личными сведениями (к которым относятся и социальные) огромное значение имеет правильное определение их вида, поскольку для каждого применяются свои меры по законному сбору, хранению и передаче.
К основным категориям ПД относятся следующие:
Под персональными данными понимают любую информацию, имеющую непосредственное отношение к конкретному физическому лицу.
Для организаций, работающих с личными сведениями (к которым относятся и социальные) огромное значение имеет правильное определение их вида, поскольку для каждого применяются свои меры по законному сбору, хранению и передаче.
К основным категориям ПД относятся следующие:
- ОбщедоступныеТе сведения, которые могут быть в открытом доступе (разумеется, только при согласии физического лица). Например: дата и место рождения, профессия, номер телефона, адрес электронной почты и т. д.
- СпециальныеИнформация, отражающая сексуальную жизнь субъекта, политические взгляды, расовую принадлежность и прочее. Доступ к этим данным можно получить только в следующих случаях: по решению суда, проведению международных соглашений, письменном разрешении от владельца.
- БиометрическиеБиологические или физиологические особенности, устанавливающие личность владельца: ДНК, группа крови, отпечатки пальцев, фотографии и т. д.
- ИныеТе данные, которые не подходят ни в одну из предыдущих категорий. Иначе говоря — это информация о конкретном человеке, которая имеет свойство меняться с течением времени (размер зарплаты, рабочий стаж и т. д.).
По целям и методам обработки среди персональных сведений можно выделить:
‣ информацию, представленную в муниципальных и государственных ИС (информационных системах);
‣ личные данные в автоматизированных системах;
‣ сведения, необходимые для продвижения товаров и услуг, политической агитации;
‣ передача данных в другие страны.
ПД можно сгруппировать в рамках трудовых отношений:
‣ документы, предоставляемые сотрудниками при трудоустройстве: трудовая книжка, паспорт, диплом о высшем/среднем образовании и т.д.;
‣ документы, которые составляет работодатель для персонала: приказы (о зачислении, переводе, выдаче премии), расчетный лист и т.д.
Существуют и другие варианты классификации:
‣ по содержанию;
‣ по направлению;
‣ по степени доступа и др.
Еще раз хотим подчеркнуть, что умение определять с какими именно данными работает Ваша организация может оказать существенное влияние на ее репутацию, уровень дохода и позволит избежать штрафных взысканий.
Гражданин вправе самостоятельно принимать решение о предоставлении личной информации и в случае нарушения своих прав может рассчитывать на поддержку со стороны государства. Согласие на обработку ПД может иметь абсолютно разный формат, к примеру, оно может быть в виде официального письменного заявления или всего лишь проставленной галочки в онлайн-опросе.
‣ информацию, представленную в муниципальных и государственных ИС (информационных системах);
‣ личные данные в автоматизированных системах;
‣ сведения, необходимые для продвижения товаров и услуг, политической агитации;
‣ передача данных в другие страны.
ПД можно сгруппировать в рамках трудовых отношений:
‣ документы, предоставляемые сотрудниками при трудоустройстве: трудовая книжка, паспорт, диплом о высшем/среднем образовании и т.д.;
‣ документы, которые составляет работодатель для персонала: приказы (о зачислении, переводе, выдаче премии), расчетный лист и т.д.
Существуют и другие варианты классификации:
‣ по содержанию;
‣ по направлению;
‣ по степени доступа и др.
Еще раз хотим подчеркнуть, что умение определять с какими именно данными работает Ваша организация может оказать существенное влияние на ее репутацию, уровень дохода и позволит избежать штрафных взысканий.
Гражданин вправе самостоятельно принимать решение о предоставлении личной информации и в случае нарушения своих прав может рассчитывать на поддержку со стороны государства. Согласие на обработку ПД может иметь абсолютно разный формат, к примеру, оно может быть в виде официального письменного заявления или всего лишь проставленной галочки в онлайн-опросе.
Операторы ПД
Существует еще один не менее важный термин — оператор персональных данных. В качестве оператора может выступать практически любая компания независимо от формы собственности (работодатель, финансово-кредитная организация, интернет-магазин, медицинский центр и т. д.), главное условие — деятельность, связанная с организацией и проведением обработки ПД. Сюда также можно отнести определение целей обработки персональной информации, ее состав и осуществление других манипуляций.
Совершать какие-либо действия с персональными сведениями оператор вправе только при условии получения согласия от лица, которому они принадлежат (субъекта), причем после достижения поставленных целей оператор больше не имеет возможности использовать ПД и более того, даже понесет ответственность в случае несанкционированного распространения подобного рода информации.
Какие новшества ждут работодателей с 01.09.22 года
ФЗ № 266 от 14.07.22 г., официально вступивший в силу с 01.09.22 г. содержит уже более развернутый список персональных сведений, перед началом работы с которыми необходимо предварительно поставить в известность Роскомнадзор.
До принятия данного закона организации и ИП (индивидуальные предприниматели) также были обязаны направить уведомление в Роскомнадзор перед обработкой ПД, однако, без него можно было обойтись в следующих ситуациях:
До принятия данного закона организации и ИП (индивидуальные предприниматели) также были обязаны направить уведомление в Роскомнадзор перед обработкой ПД, однако, без него можно было обойтись в следующих ситуациях:
- Если работодатель будет использовать полученные данные лишь для решения трудовых вопросов.
- Если организация использует личные данные в целях заключения договора и без передачи их третьим лицам.
- Если персональные данные включают в себя только ФИО физического лица.
- Если обработка ПД требуется для оформления одноразового пропуска физического лица на территорию организации или ИП.
Теперь во всех перечисленных обстоятельствах уведомление Роскомнадзора также является обязательным действием, иначе любой организации (также социальной) будет выписан штраф.
Помимо этого, начиная с 1 сентября информировать Роскомнадзор нужно, когда:
‣ персональные данные принадлежат лицам, состоящим в общественных или религиозных объединениях и подлежат обработке соответствующими организациями;
‣ физическое лицо дает добровольное согласие на распространение личной информации и др.
Можно сделать вывод, что любая социальная (и не только) организация, которая выступает в качестве работодателя и собирается заключать договора с потенциальными сотрудниками должна заранее (до начала процесса) сообщить о том, что планирует провести обработку персональных данных. Необходимо учитывать, что даже к тем компаниям, которые уже обрабатывают личные сведения о своих работниках, это тоже имеет отношение. Они также известят Роскомнадзор о том, что занимаются сбором информации, требующейся для заключения трудового договора.
Помимо этого, начиная с 1 сентября информировать Роскомнадзор нужно, когда:
‣ персональные данные принадлежат лицам, состоящим в общественных или религиозных объединениях и подлежат обработке соответствующими организациями;
‣ физическое лицо дает добровольное согласие на распространение личной информации и др.
Можно сделать вывод, что любая социальная (и не только) организация, которая выступает в качестве работодателя и собирается заключать договора с потенциальными сотрудниками должна заранее (до начала процесса) сообщить о том, что планирует провести обработку персональных данных. Необходимо учитывать, что даже к тем компаниям, которые уже обрабатывают личные сведения о своих работниках, это тоже имеет отношение. Они также известят Роскомнадзор о том, что занимаются сбором информации, требующейся для заключения трудового договора.
Важное дополнение — не нужно каждый раз сообщать Роскомнадзору о своих намерениях нанять нового сотрудника (достаточно одного раза для аналогичных целей). Также, если Вы не будете в процессе обработки данных использовать средства автоматизации (компьютеры, ноутбуки, планшеты и т. д.), то уведомление Роскомнадзора не требуется (согласно ФЗ № 152 от 27.07.2006 г. п. 8 ч. 2 ст. 22).
Предлагаем перейти по ссылке и воспользоваться подготовленной для Вас шпаргалкой, отражающей краткую информацию по новым требованиям в работе с персональными данными. Для удобства пользования рекомендуем скачать ее на Ваш рабочий компьютер.
Как оформить и отправить уведомление
Точные сроки, в которые необходимо уведомить соответствующий контролирующий орган законом еще не установлены. Главное сделать это именно до начала самого процесса обработки персональной информации. Уведомление составляется строго по определенным стандартам (согласно приказу Роскомнадзора № 94 от 30.05.2017 г.) и вручается уполномоченным лицам управления Роскомнадзора по месту регистрации Вашей фирмы в налоговом органе.
Далее перечислим основные сведения, которые необходимо указать в документе:
‣ наименование и адрес фирмы;
‣ суть обработки персональных данных (для чего требуется);
‣ виды персональных данных;
‣ группы субъектов персональных данных;
‣ правовое основание для осуществления обработки персональных данных;
‣ ФИО ответственного сотрудника;
‣ планируемая дата начала процесса обработки;
‣ планируемая дата или условия, при которых обработка завершится;
‣ информация об обеспечении безопасности хранения персональных данных и т. д.
Доставить уведомление до получателя можно в бумажном формате или электронно (при помощи усиленной электронной подписи либо с использованием средств аутентификации ЕСИА).
После получения уведомления Роскомнадзор добавит организацию (не позднее 30 календарных дней) в реестр операторов ПД, где любой может посмотреть действительно ли на законных основаниях работодатель занимается сбором и обработкой его личной информации.
Далее перечислим основные сведения, которые необходимо указать в документе:
‣ наименование и адрес фирмы;
‣ суть обработки персональных данных (для чего требуется);
‣ виды персональных данных;
‣ группы субъектов персональных данных;
‣ правовое основание для осуществления обработки персональных данных;
‣ ФИО ответственного сотрудника;
‣ планируемая дата начала процесса обработки;
‣ планируемая дата или условия, при которых обработка завершится;
‣ информация об обеспечении безопасности хранения персональных данных и т. д.
Доставить уведомление до получателя можно в бумажном формате или электронно (при помощи усиленной электронной подписи либо с использованием средств аутентификации ЕСИА).
После получения уведомления Роскомнадзор добавит организацию (не позднее 30 календарных дней) в реестр операторов ПД, где любой может посмотреть действительно ли на законных основаниях работодатель занимается сбором и обработкой его личной информации.
Размер взысканий за отсутствие/несвоевременное предоставление уведомления
При заключении договоров с физическими лицами социальной организации (или любой другой) грозит штраф по статье 19.7 КоАП РФ за неуведомление или несвоевременное уведомление государственного контролирующего органа (Роскомнадзора) о предстоящей обработке персональных данных. В этой ситуации компания несет административную ответственность, сумма взыскания для должностных лиц варьируется от 300 до 500 рублей. То же самое касается и ИП, однако для них размер выплаты уже состоит в пределах 3000−5000 рублей.
Как говорилось ранее, в рамках сегодняшней статьи мы прошлись лишь по основным моментам, связанным с процессами сбора, обработки, хранения и распространения ПД.
Как говорилось ранее, в рамках сегодняшней статьи мы прошлись лишь по основным моментам, связанным с процессами сбора, обработки, хранения и распространения ПД.
Более подробную информацию Вы можете получить записавшись на наш курс повышения квалификации — «Организация обработки и обеспечение защиты персональных данных». Программа разработана настоящими профессионалами, имеющими многолетний опыт в своем деле. За приемлемую стоимость Вы получите действительно качественные знания, которые затем сможете успешно применять на практике, а дистанционный формат обучения позволит заниматься в любое удобное для Вас время, не отрываясь при этом от основной деятельности. Программа включает в себя 9 тем (угрозы и риски ПД, выбор и проектирование системы защиты информации, нововведения в законе 2022 и т. д.) и подходит для руководителей компаний или ответственных лиц.