Теперь операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных (Далее — ПД) за исключением нескольких случаев (когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации, т. е. только на бумажных носителях вручную, что практически нигде уже не используется).
Формы уведомлений будут утверждены приказом Роскомнадзора к 1 марта 2023 года. До этого оператор вправе заполнить форму уведомления об обработке ПД на бумажном носителе по старой форме. После утверждения новой формы уведомление придется повторить по новым стандартам.
Предельный срок уведомления Роскомнадзора об обработке ПД не определен, 1 сентября 2022 не является крайним сроком подачи уведомления об обработке ПД, штрафные санкции временно не применяются.
Однако в дальнейшем стоит обратить внимание, что размер штрафов за нарушение законодательства «О персональных данных» одни из самых высоких, до 18 миллионов рублей.
С 1 сентября 2022 года для каждой цели обработки ПД, которая выходит за рамки трудового договора, нужно составлять отдельное согласие, которое должно быть предметным и однозначным.
Полученные и обрабатываемые ПД не должны быть избыточными и точно соответствовать целям обработки. Например, для оформления пропуска на предприятие достаточно ФИО, серии и номера паспорта, которые в должной мере идентифицируют посетителя.
В этой связи, при обнаружении в личных делах копий паспортов и других документов работников, Вам нужно будет обоснованно объяснить сотрудникам Роскомнадзора необходимость их хранения.
Роскомнадзор, не выходя из своего рабочего кабинета, может найти нарушения Вашей компаний в получении и обработке персональных данных.
Например, зайдя на сайт компании и увидеть отсутствие предупреждения об использовании кукисов и получения согласия посетителя сайта об их использовании.
Или позвонить в компанию, где требуются сотрудники и обнаружить отсутствие условия о получении согласия на обработку персональных данных звонившего по телефону.
Или посмотреть размещенные на сайте документы, среди которых может быть декларация о проведенной специальной оценке труда с подписями должностных лиц компании и их ФИО, либо в разделе «Контакты» размещенные фотографии с указанием должностей и фамилий с именами.
К обработке персональных данных относятся, например, обработка резюме кандидатов, оформление пропусков, проверка службой безопасности, передача данных в медицинские и страховые организации, в банки для заказа банковских карт в рамках зарплатного проекта, в типографию для изготовления визиток, выдача доверенности на получение товара, направление сотрудника на семинар и передача данных при бронировании билетов и гостиницы, размещение фото сотрудников на стендах и досках почета с указанием ФИО, информации о поздравлении с днем рождения с указанием ФИО, должности и даты рождения, пусть даже без указания года, в местах общего доступа.
Если в Вашей компании есть правила публиковать на сайте, в социальных сетях, в зонах общего доступа и в публичных местах сведения о сотрудниках, вы обязаны получить согласие работника на их распространение неопределенному кругу лиц.
Признаками нарушения законодательства о персональных данных могут являться:
- указание в согласии нескольких целей обработки ПД;
- отсутствие перечня ПД, на обработку которых дается согласие;
- отсутствие способа обработки ПД;
- отсутствие наименования организации или ФИО и адреса лица, осуществляющего обработку ПД, если обработка будет поручена такому лицу;
- отсутствие способа отзыва на обработку ПД;
- отсутствие адреса или или данных основного документа, удостоверяющего личность субъекта ПД (организация или ИП, имеющие дело с персональными данными физических лиц - это операторы персональных данных; физические лица, чьи данные обрабатываются – субъекты ПД).
Не нужно получать согласие на передачу персональных данных в случае, если работодатель их передает по закону, а именно в государственные учреждения: полиция и прокуратура; ФСС и ПФР; налоговая инспекция; суд и служба судебных приставов.
Среди прочих локально-нормативных актов в организации обязаны быть:
- Положение о персональных данных, в котором обязательно нужно прописать:
- объем и состав получаемых и обрабатываемых ПД;
- цели получения и обработки ПД;
- наименования и реквизиты третьих лиц, куда передаются ПД;
- срок получения и обработки (каждые получаемые и обрабатываемые ПД имеют срок обработки);
- способы получения и обработки ПД;
- способы уничтожения ПД.
3. Приказ об утверждении мест хранения ПД.
4. Приказ об утверждении перечня должностных лиц, осуществляющих получение и обработку ПД, а также имеющих к ним доступ.
