Трансграничная пересылка персональных данных в автоматическом режиме является обработкой сдо ржд

Утечка персональных данных стала обыденностью, но государство не собирается с этим мириться. Поэтому с 1 сентября у всех операторов персональных данных — да, и у вас тоже, если имеется хотя бы один сотрудник, — появляется несколько новых повинностей. Штрафы за нарушения тоже будут.

Трансграничная пересылка персональных данных в автоматическом режиме является обработкой сдо ржд

А что изменится с 1 сентября? С этой даты вступают в силу поправки в Федеральный закон от 27. 2006 № 152-ФЗ «О персональных данных», внесенные законом от 14. 22 № 266-ФЗ.

Биометрия не обязательнаПредоставлять работодателю биометрические персональные данные работник не обязан. И если он не хочет подписывать согласие на их обработку, то работодатель обрабатывать данные не вправе. К примеру, вести за работником видеонаблюдение или требовать его фотографию. Проверьте политику обработки ПДВ политике обработки персональных данных для каждой цели обработки следует указывать:

  • категории и перечень обрабатываемых ПД;
  • категории субъектов, данные которых обрабатываются;
  • способы, сроки их обработки и хранения;
  • порядок уничтожения ПД при достижении целей их обработки.

Важно! Если ПД получены не от самого субъекта, а из другого источника, то следует до начала обработки предоставить их список субъекту.

Сообщите РоскомнадзоруПриготовьтесь к тому, что с 1 сентября придется уведомлять Роскомнадзор о намерении обрабатывать ПД персонала — даже если речь идет о пропуске на вашу территорию или заключении договора ГПХ. Поэтому прямо сейчас имеет смысл проверить: а вы вообще зарегистрированы в реестре Роскомнадзора? Это можно сделать тут. Если ничего не найдено, то немедленно регистрируйтесь как оператор ПД, это надо сделать до 1 сентября 2022 года. Уведомлять о планах обрабатывать ПД необходимо не только сотрудников, которым принадлежат ПД, но и:

  • Контрагентов, а вы используете эти ПД для исполнения договоров или заключения новых соглашений с теми же гражданами. ПД не распространяются и не передаются третьим лицам без согласия субъектов.
  • Граждан, которым оформляется пропуск (в т.ч. однократный) на вашу территорию.

Подключите Астрал iКЭДО — облачный сервис кадрового делопроизводства с дистанционным выпуском УНЭП для всех сотрудников. Облегчите жизнь: себе — максимальная экономия ресурсов, минимум затрат на внедрение, и сотрудникам — исключение походов в отдел кадров или на почту, возможность быстро подписать и отправить любой документ, в т. Согласие на обработку ПД.

Подготовиться к оперативной реакции на запросыС 30 до 10 рабочих дней уменьшен срок ответа на запросы сотрудника относительно собственных ПД и их обработки. Ответ дается в той же форме, что и запрос, но сотрудник может попросить об ином. Например, в электронном виде запросить бумажный ответ. Срок для отправки ответа может быть продлен на пять рабочих дней при условии отправки мотивированного уведомления лицу, отправившему запрос. Важно! На поступивший запрос Роскомнадзора также надо ответить не позднее 10 дней. Если сотрудник или иной субъект ПД потребует прекращения обработки своих данных, то придется не позднее 10 рабочих дней с даты получения требования, прекратить их обработку или обеспечить ее прекращение. Будьте готовы сообщать об утечкахЕсли имел место факт неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, оператор обязан с момента выявления уведомить Роскомнадзор в течение 24 часов относительно:

  • самого факта произошедшего инцидента;
  • предполагаемых его причин;
  • принятых мер по устранению последствий инцидента,

а также предоставить сведения о лице, которое он уполномочил контактировать с сотрудниками Роскомнадзора по этому инциденту. В течение 72 часов необходимо:

  • отчитаться перед Роскомнадзором о результатах внутреннего расследования выявленного инцидента;
  • представить (при наличии) сведения о виновных лицах.

Подключиться к ГосСОПКАСудя по тому, что новая редакция закона обязывает операторов ПД взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, необходимо подключиться к ГосСОПКА. После чего туда надо будет направлять информацию обо всех инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. В заключение отметим, что ст. 11 КоАП предусматривает штрафы за нарушение законодательства РФ в области персональных данных, а ст. 7 — за непредставление сведений (информации) в виде предупреждение или штрафов: 100 — 300 руб. (для частных лиц), 300 — 500 руб. (для должностных лиц), 3 000 — 5 000 руб. (для юридических лиц).

Закон 266-ФЗ от 14. 2022 меняет правила работы с персональными данными. Все работодатели должны уведомить Роскомнадзор об обработке личной информации своих работников, чтобы попасть в реестр операторов персональных данных. Эта обязанность коснётся большинство организаций и ИП. Рассказываем, как и когда уведомить Роскомнадзор.

Трансграничная пересылка персональных данных в автоматическом режиме является обработкой сдо ржд

Внимание! В последний момент Роскомнадзор сообщил, что 1 сентября 2022 года не является крайним сроком подачи уведомления об обработке персональных данных.

Раньше многих предпринимателей закон о персональных данных не касался. Они могли обрабатывать персональные данные и не уведомлять Роскомнадзор в таких ситуациях:

  • обработка персональных данных по трудовому законодательству;
  • получение личной информации с согласия субъекта персональных данных только для исполнения заключённого с ним договора;
  • обработка персональных участников религиозных организаций или общественных объединений;
  • распространение личной информации с согласия субъекта персональных данных;
  • обработка персональных данных, состоящих только из Ф.И.О.;
  • получение информации для оформления разового пропуска на территорию оператора персональных данных.

Подарок для наших читателей — практическое пособие по подготовке отчётности в ПФР, ФСС и ИФНС в 2022 году от экспертов интернет-бухгалтерии «Моё дело». 62 страницы подробнейших инструкций с примерами заполнения форм.

Оператору не нужно ждать разрешения от Роскомнадзора, чтобы работать с персональными данными. Главное — убедиться, что ведомство получило уведомление. В электронном виде датой оповещения будет считаться дата отправки письма на сайте, а при уведомлении в бумажном виде — дата получения письма территориальным управлением.

Трансграничная пересылка персональных данных в автоматическом режиме является обработкой сдо ржд

Также вам помогут Методические рекомендации, утверждённые приказом Роскомнадзора от 30. 2017 № 94, и наш образец заполненного уведомления. Если у вас возникают трудности с уведомлением, можно подсмотреть, как это делают крупные компании. Все данные в реестре открыты, кроме способов защиты персональных данных. Найдите в реестре операторов компанию, которой доверяете и посмотрите, какие сведения о себе она указывала для Роскомнадзора. С 1 сентября 2022 года в уведомлении нужно будет указывать больше информации. Так по каждой цели обработки персональных данных придётся указывать:

  • категории персональных данных;
  • категории субъекта персональных данных;
  • правовое основание обработки;
  • перечень действий с персональными данными;

До 1 сентября операторы заполняют старую форму, а после утверждения нового бланка нужно ещё отправить информационное письмо о внесении изменений в реестр. Такой порядок действий рекомендует Роскомнадзор в письме от 19. 2022 № 08-75348.

Кто может не отправлять уведомлениеС 1 сентября 2022 года можно не уведомлять Роскомнадзор о намерении обрабатывать персональные только в трёх ситуациях:

  • персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка — например, автоматизированные дактилоскопические информационные системы (АДИС) полиции;
  • обработка личной информации производится исключительно без средств автоматизации, то есть без использования вычислительной техники;
  • персональные данные используются в случаях, предусмотренных законами о транспортной безопасности. Например, записи с видеокамер систем видеонаблюдения в аэропортах и на ж/д вокзалах.

Согласно постановлению от 15. 2008 № 687 обработка персональных данных без средств автоматизации — это использование, уточнение, распространение и уничтожение персональных данных при непосредственном участии человека. Обработка без средств автоматизации:

  • распечатали или скопировали пустой бланк согласия на обработку персональных данных, а человек заполнил его от руки;
  • ведёте журнал учёта посетителей на вахте вручную;
  • передали документ лично сотруднику.
  • отсканировали заполненный бланк согласия на обработку персональных данных;
  • отправили фамилию и ИНН работника по e-mail.

Даже если все персональные данные вы обрабатываете вручную, но отчётность за вас сдаёт бухгалтерия на аутсорсинге — уведомлять Роскомнадзор нужно, поскольку в этом случае есть обработка личной информации с использованием средств автоматизации. И учитывайте, что передавать персональные данные третьим лицам можно только с согласия субъекта персональных данных. Это дополнительная обязанность оператора — получать согласие. Разъяснения по такой ситуации дал Роскомнадзор в письме от 21. 2022 № 08-20152.

Трансграничная пересылка персональных данных в автоматическом режиме является обработкой сдо ржд

Но посмотрите, какие цели обработки персональных данных вы указывали. Возможно, это было оказание услуг клиентам, а своих сотрудников как субъектов персональных данных вы не записали. С 1 сентября 2022 года появляется обязанность уведомлять Роскомнадзор при ведении кадрового делопроизводства, бухгалтерского учёта в отношении работников, заключении и расторжении трудовых договоров. В этом случае в течение 10 рабочих дней после вступления в силу нового закона, нужно проинформировать Роскомнадзор о внесении изменений в реестр. Информационное письмо заполняют на сайте ведомства, а отправить его можно теми же способами, что и уведомление:

  • по почте или отнести лично подписанный бумажный вариант в территориальное управление;
  • через сайт Роскомнадзора;
  • через портал Госуслуг.

Если изменения произошли уже после 1 сентября, информационное письмо нужно отправить в течение 10 рабочих дней после этого. Что будет за нарушенияОтветственность может быть административной, уголовной и гражданской. Если не отправить уведомление или не проинформировать Роскомнадзор об изменениях, штраф по ст. 7 КоАП РФ составит до 5000 рублей. За нарушение законодательства о персональных данных установлены санкции по ст. 11 КоАП РФ: от 10 000 рублей для ИП, и от 60 000 рублей — для организаций. Уголовная ответственность предусмотрена за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации — ст. 137, 272 УК. Также ст. 24 152-ФЗ предусматривает обязательное возмещение морального вреда субъекту персональных данных вследствие нарушения правил обработки его личной информации. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но инспектор придёт внепланово по жалобе от клиента или работника. Например, если сотрудник возмутится, что его данные хранятся у оператора, которого нет в государственном реестре.

Что такое персональные данные?

За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др. ) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других — прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.

В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости. В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.

А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.

Другой документ, где дается характеристика персональным данным, — это ФЗ № 152 «О персональных данных». В нем указывается, что персональные данные — это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных). Она включает фамилию, имя, отчество, число, месяц, год и место рождения, а также адрес, сведения о семейном, социальном, имущественном положении, об образовании, профессии, доходах и иные.

Обязательное и добровольное предоставление данных

Предоставление данных может быть обязательным и добровольным. Обязательное предусмотрено федеральными законами (например, ФЗ от 01. 1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных данных»).

Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152

Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных.

Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные. Суд признал законной публикацию на сайте «Гражданский контроль» фамилии и должности советника Путина, и судья постановила, что использование в публикациях информации об именах и должностях госслужащих не является нарушением закона.

Является ли ваша компания оператором?

Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты — физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие
организации, любым лицам, то и оно — оператор.

Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.

Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27. 2006 № 152-ФЗ «О персональных данных».

В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством. Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).

Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.

При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства. В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.

Защита персональных данных

Любое юридическое лицо в силу требований Федерального закона от 27. 2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.

Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.

К мерам по внутренней защите персональных данных относятся следующие действия:

  • ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е. сотрудников отделов кадров или ответственных за кадровое делопроизводство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;
  • назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;
  • утверждение перечня документов, содержащих персональные данные;
  • издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;
  • ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;
  • рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;
  • утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;
  • утверждение порядка уничтожения информации;
  • выявление и устранение нарушений требований по защите персональных данных;
  • проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

Среди мер по внешней защите персональных данных следует выделить такие:

  • введение пропускного режима, порядка приема и учета посетителей;
  • внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:

  • общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;
  • список лиц, обрабатывающих персональные данные;
  • приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;
  • положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации — паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);
  • локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений. Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

Иные организационные и технические меры, направленные на защиту персональных данных

Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:

Следует иметь в виду, что законодательством они не установлены. Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.

В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;

При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т.

Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;

В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам. В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.

Добавить комментарий

Ваш адрес email не будет опубликован.