Утечки информации беспокоят не только граждан, но и бизнес. С 1 сентября 2022 года в России заработали новые правила хранения и обработки персональных данных сотрудников. Разбираемся, к чему это обязывает работодателей.
Что такое персональные данные
При найме специалиста в штат, заключении договора с ИП или самозанятым работодатель так или иначе получает доступ к личной информации человека, то есть становится оператором персональных данных. В федеральном законе закрепили категории этих данных:
- Общие, например, Ф.И.О, пол, дата рождения, место жительства и работы.
- Специальные — информация о расовой и национальной принадлежности, политических и религиозных взглядах, состоянии здоровья и личной жизни, судимостях.
- Биометрические — данные, которые характеризуют биологические и физические особенности человека: фото, отпечатки пальцев, группа крови.
- Иные — данные, которые не относятся к предыдущим категориям, например: номер паспорта, реквизиты банковских карт.
Любые действия с личными данными возможны только с согласия человека. Так было и раньше — все заполняли согласие на хранение и обработку персональных данных при трудоустройстве. Теперь правила дополнили новыми требованиями.
Что изменилось с 1 сентября
Первое: сообщать Роскомнадзору о работе с персональными данными теперь обязаны практически все компании и предприниматели.
— Если до сентября список организаций, которые могли не уведомлять регулятора, был обширным, теперь исключений очень мало. Необязательно сообщать Роскомнадзору о работе с персданными в трёх случаях: данные включили в государственные информационные системы для защиты безопасности, их обрабатывают без автоматизации, и если это предусмотрено законом ради безопасности транспортного комплекса государства, — объясняет управляющий RTM Group, эксперт в области права в IT Евгений Царёв.
Второе: компании должны утверждать положение о защите персональных данных.
Обратите внимание: если у вас есть интернет-ресурс, где собираете личные данные пользователей, на страницах ввода людьми своих данных вы обязаны разместить положение о политике конфиденциальности.
Третье: если персональные данные сотрудников попали в руки посторонних, работодатель обязан сообщить об этом в Роскомнадзор в течение 24 часов после инцидента. Далее следует провести внутреннее расследование и доложить ведомству о результатах в течение 72 часов — кто виноват в утечке, какие меры приняли в компании.
Четвёртое: изменились требования к оформлению согласия на обработку персональных данных. Оно должно быть предметным и однозначным — нужно чётко указать цели сбора личной информации, категории данных.
Важно: сбор биометрических данных нужно обязательно отмечать в согласии. Иначе компания будет не вправе запросить даже фото нового сотрудника для оформления пропуска на территорию.
Пятое: сократили срок ответа работодателя на запрос сотрудника информации по его персональным данным. Ответ нужно дать в течение 10 рабочих дней или продлить рассмотрение на 5 рабочих дней по уважительным причинам. Раньше общий срок ответа ограничивали 30 днями.
Шестое: сотрудника нужно ставить в известность, если его персональные данные запрашивают у третьих лиц. Например, компания хочет получить сведения о человеке от бывшего работодателя, вуза или госорганов, тогда перед запросом необходимо составить документ по образцу и дать работнику на подпись.
Седьмое: уничтожение персональных данных тоже регламентируется. В статье 21 федерального закона перечислили ситуации, когда личную информацию о сотрудниках необходимо удалить, например:
- закончился срок хранения документа
- пропала необходимость хранения
- данные обрабатывают неправомерно
- сотрудник отозвал согласие, потребовал прекратить работу с его персональными данными
— По требованию работника или контрагента персональные данные должны уничтожить в течение 7 рабочих дней. В случае неправомерной обработки, которую выявит оператор, – 10 дней, в остальных случаях – 30 дней. Уничтожают данные физически (бумажный носитель) или путём стирания (электронные данные), — уточняет судебный эксперт и партнёр юридического бюро «Палюлин и партнеры» Антон Палюлин.
Грядущие изменения
С 1 марта 2023 года компаниям нужно будет информировать Роскомнадзор о передаче данных на территорию другого государства.
— Сообщение будет содержать название страны, в которую планируется передать информацию, категорию персональных данных, дату начала и окончания передачи данных, то есть все детали. Если регулятор сочтёт, что передача данных россиян небезопасна, действия запретят, — уточняет Евгений Царёв.
Нарушения и штрафы по новому закону
Во-первых, прежние административные штрафы за некорректную обработку персональных данных сохранились.
Во-вторых, добавились новые: если компания не уведомила Роскомнадзор о намерении хранить и обрабатывать чьи-то личные данные, штраф будет от 3 до 5 тысяч рублей.
Евгений Царёв поделился списком самых частых нарушений работодателей:
- Работник не дал согласие на обработку персональных данных
- Компания не уведомила Роскомнадзор
- Фактические цели обработки персданных не совпали с заявленными
- Личные данные сотрудника неправомерно распространили
Ответственность за нарушения закрепили в статье 90 ТК РФ. Сотрудник имеет право подать в суд на компанию, которая незаконно использовала его персональные данные. Прецеденты есть, например, случай по делу N 2-706/2018 в суде города Серпухова Московской области.
Работодатель выдал характеристику человека неустановленному лицу, без согласия на это самого работника. Суд взыскал с работодателя в пользу сотрудника 10 тысяч рублей в качестве компенсации морального вреда.
Уже сталкивались на практике с нововведениями? Много хлопот добавилось вашим юристам и кадровикам 🙄
Поделитесь историей
Про работу, собеседования, нарушения ваших трудовых прав, HR-кейсы