Нужно ли новое согласие на обработку персданных при смене фамилии?
Сотрудница вышла замуж и сменила фамилию. Требуется ли получение от нее нового согласия на обработку персональных данных?
По общему правилу еще до начала обработки персональных данных лица, которые собираются их обрабатывать (операторы персональных данных), должны уведомлять Роскомнадзор о своем намерении, за исключением случаев, предусмотренных ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»1. Уведомления следует направлять и в ряде других случаев. Прежде чем перейти к подробным инструкциям для работодателей, что и как им теперь нужно делать, чтобы не нарушить закон, скажем об оставшихся исключениях, когда можно обойтись без оповещения Роскомнадзора.
До 1 сентября 2022 года таких случаев было 9. Сейчас же их осталось всего 32. Ставить в известность ведомство не нужно, если персональные данные:
Ранее, напомним, в перечень исключений, наряду с указанными выше, входили персданные:
Как видите, раньше в категорию исключений попадала довольно большая группа данных. Сейчас же их осталось совсем немного: если данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности и без средств автоматизации3.
Почему были внесены такие изменения? Уведомление Роскомнадзора о намерении осуществлять обработку персональных данных представляет собой форму контроля за деятельностью операторов. Видимо, законодатель при разработке данной нормы руководствовался тем, что уведомление госоргана приведет к более ответственному характеру обработки данных операторами. Сам Роскомнадзор в своем официальном телеграм-канале комментирует, что все принятые изменения призваны надежнее защищать личные данные граждан и максимально эффективно бороться с утечками4. Ведь после направления уведомления компания-оператор окажется под пристальным вниманием Роскомнадзора. Не исключено, что спустя некоторое время после подачи уведомления об обработке персональных данных в Роскомнадзор работодатель может получить от ведомства «встречное» уведомление – об обязательном профилактическом визите, с запросом документов. По поводу него сильно переживать не стоит – это не проверка. Но узнать о профвизите все же лучше заранее: план профвизитов (не путайте с планом проверок, он публикуется отдельно) можно найти на сайте управления Роскомнадзора по федеральному округу, на территории которого зарегистрирован работодатель5.
Наибольший интерес из перечисленных выше исключений представляет обработка персданных без средств автоматизации. Что под этим понимается? Согласно п. 4 ст. 3 Закона № 152‑ФЗ автоматизированная обработка персданных – это обработка с помощью средств вычислительной техники.
Значит, если работодатель ведет учет персональных данных работников без использования компьютера, исключительно на бумажных носителях, тогда он по-прежнему может не уведомлять Роскомнадзор об обработке персданных. Хоть такую ситуацию сложно представить, но все-таки можно. Например, микропредприятие, занимающееся торговлей овощами и фруктами в палатке с одним директором и тремя работниками.
Если же работодатель на компьютере:
персональные данные работников, то это будет считаться автоматизированной обработкой.
Работодатели осуществляют обработку персональных данных своих работников (например, Ф.И.О., возраст, паспортные и др. данные). Абсолютное большинство из них заносит и хранит информацию в различных базах, использует бухгалтерские программы и программное обеспечение для составления и отправки отчетности в ПФР и другие инстанции6. А значит, попадает под регламентацию деятельности операторов и несет соответствующие обязанности, в том числе по уведомлению Роскомнадзора.
Причем уведомление в Роскомнадзор надо будет подать всем без исключения работодателям:
Поправки в закон ввели новые требования к содержанию уведомления. Во-первых, если данные обрабатываются в разных целях, то для каждой из них нужно указать (ч. 3.1 ст. 22 Закона № 152‑ФЗ):
Во-вторых, если у граждан или юридических лиц есть доступ к персональным данным, содержащимся в государственных и муниципальных информационных системах, и/или они обрабатывают данные из этих систем на основании договора, то в уведомлении придется указать их Ф.И.О. или наименование (п. 10.2 ч. 3 ст. 22 Закона № 152‑ФЗ).
Соответственно, понадобилось разработать и новые формы уведомлений, которые предусматривали бы включение всех этих сведений. Такие формы должен установить Роскомнадзор (ч. 8 ст. 22 Закона № 152-ФЗ). Ведомство разработало проект приказа7, который утверждает 3 формы уведомлений:
До официального принятия новых форм уведомлений Роскомнадзор предлагает8 использовать рекомендуемые, утвержденные им в составе Методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения приказом от 30.05.2017 № 949:
Подавать уведомление необходимо в территориальное управление Роскомнадзора по месту нахождения работодателя (в соответствии с учредительными документами):
В частности, до появления утвержденных приказом Роскомнадзора форм рекомендуемые формы можно заполнить на портале персональных данных Роскомнадзора10 и:
Если работодателя изначально в реестре11 нет, то он подает уведомление (см. Рисунок); если есть и надо внести изменения (добавить новую цель обработки – в соответствии с трудовым законодательством), то информационное письмо.
Посмотреть и скачать образец заполнения уведомления можно на сайте Роскомнадзора12.
Ведомство разъяснило13, что после вступления в силу приказа, устанавливающего новую форму уведомления, оператор может направить уведомление о внесении изменений в ранее представленные сведения в реестр операторов, осуществляющих обработку персональных данных.
Срок рассмотрения уведомления исчисляется со дня его регистрации в территориальном органе Роскомнадзора. Сведения об операторе вносятся в реестр не позднее 30 дней с даты регистрации уведомления (п. 3.2 Рекомендаций).
Новая обязанность появилась у работодателей с 1 сентября 2022 года, и многие эксперты полагали, что уведомить необходимо до этой даты, что заставило ряд работодателей суетиться и в спешке подавать уведомления через портал Роскомнадзора. Однако сам Роскомнадзор отметил (в виде информационного сообщения на своем официальном сайте 1 сентября)14, что поскольку предельный срок уведомления Роскомнадзора об обработке персональных данных не определен, то это можно сделать и позже указанной даты.
Для тех, кто хочет подать уведомление, приводим образец его заполнения по новой (на дату передачи данной статьи в печать еще официально не утвержденной Роскомнадзором) форме в конце статьи.
У работодателей также появились новые обязанности по уведомлению Роскомнадзора в ситуациях, когда будет обнаружена неправомерная или случайная передача персданных (ч. 3.1 ст. 21 Закона № 152-ФЗ).
При выявлении случаев неправомерной или случайной передачи персданных оператор-работодатель обязан:
1) в течение 24 часов с момента обнаружения такого нарушения уведомить ведомство об инциденте, его причинах, предполагаемом вреде субъекту персданных, принятых мерах, уполномоченном лице, которое от имени оператора взаимодействует с ведомством;
2) в течение 72 часов сообщить ведомству о результатах внутреннего расследования, а также направить сведения о лицах, действия которых стали причиной инцидента.
Оператору персональных данных также стоит иметь в виду, что с 1 сентября сокращаются с 30 до 10 рабочих дней сроки некоторых действий (ч. 1, 2, 4 ст. 20 Закона № 152‑ФЗ). В частности, оператору в этот период необходимо:
Кстати, при обращении субъекта персданных к оператору с требованием прекратить их обработку последний обязан это сделать в течение 10 рабочих дней. Этот срок может быть продлен, но не более чем на 5 рабочих дней, при этом придется направить гражданину мотивированное уведомление с указанием причин такой меры (ч. 5.1 ст. 21 Закон № 152‑ФЗ). Невыполнение данных требований будет свидетельствовать о нарушении закона со стороны оператора, в связи с чем Роскомнадзор может его привлечь к административной ответственности по ст. 13.11 КоАП РФ.
С 1 марта 2023 года работодатели, осуществляющие трансграничную передачу персональных данных своих работников, должны уведомить об этом Роскомнадзор.
Напомним, что трансграничная передача персональных данных – это передача таких данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Например, если для приема соискателей на отдельные должности или для внутреннего перевода необходимо согласование учредителей (участников, акционеров), которые являются иностранцами, и для этого им будут направляться персданные, то их передача будет считаться трансграничной.
С 01.03.2023 ст. 12 Закона № 152‑ФЗ о трансграничной передаче персональных данных начнет действовать в новой редакции. По новым правилам придется ориентироваться на перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов персональных данных, такой перечень будет формировать и вести Роскомнадзор. Кроме того, до начала трансграничной передачи данных о своем намерении это делать нужно будет уведомить Роскомнадзор. Если вы осуществляете трансграничную передачу уже сейчас, такое уведомление необходимо направить в ведомство до 01.03.2023.
Уведомление придется подавать отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных. Это сделано для того, чтобы вовремя вмешаться и предотвратить возможные нарушения прав субъектов персональных данных. Очевидно, что в большом потоке входящей информации Роскомнадзор не сможет оперативно выявлять нужные уведомления.
Наиболее сложным нововведением является требование к оператору до подачи уведомления получить от органов власти иностранных государств, иностранных физических или юридических лиц сведения:
Причем Роскомнадзор может принять отказное решение, запрещающее трансграничную передачу данных, в целях защиты основ конституционного строя, безопасности жизни и здоровья граждан, а также в иных значимых целях. На принятие решения чиновникам дается 10 рабочих дней (с момента поступления уведомления). При положительном решении регулятора оператор может осуществлять трансграничную передачу персданных на тех территориях и в том объеме, которые указаны в решении Роскомнадзора. Вполне очевидно, что до принятия соответствующего решения оператор этим заниматься не вправе, поскольку с марта начинает действовать разрешительный, а не уведомительный порядок.
Направить уведомление можно теми же способами, что описаны выше. Кстати, для таких случаев на сайте Роскомнадзора размещен отдельный образец заполнения уведомления об осуществлении трансграничной передачи персданных15.
Затягивать с подачей уведомлений не стоит, ведь за их непредставление (или несвоевременное представление), а равно передачу таких сведений (информации) в неполном объеме или в искаженном виде предусмотрена ответственность по ст. 19.7 КоАП РФ. Размер штрафа по ней составляет:
Вроде бы штраф небольшой, и многие работодатели склоняются к тому, что можно новыми обязанностями пренебречь, ведь, в крайнем случае, все, что им грозит сейчас, – это уплата незначительного штрафа. А, например, срок для подачи уведомления об обработке персданных (если речь не идет об их трансграничной передаче), как отметил сам Роскомнадзор, не установлен. Однако нельзя исключить, что со временем введут срок для подачи и таких уведомлений (а это новшество можно ненароком пропустить в череде других поправок, которых с каждым годом становится все больше и больше), штрафы в целом повысят, да и введения иных мер административной ответственности (вплоть до дисквалификации) тоже можно ожидать в связи с все повышающимся интересом властей к сфере обработки персданных.
Обращаем внимание читателей, что образец уведомления, приведенный в Примере, составлен до издания Роскомнадзором каких-либо официальных разъяснений о заполнении новой формы. Мы будем следить за их появлением и обязательно расскажем вам о них на страницах журнала.
Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для
этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:
А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!
Для того, чтобы оставить комментарий, необходимо авторизоваться
Сотрудница вышла замуж и сменила фамилию. Требуется ли получение от нее нового согласия на обработку персональных данных?
Любым организациям и ИП так или иначе приходится обрабатывать персональные данные граждан. Показываем на конкретных примерах, какие документы работодателям необходимо иметь в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как правильно их оформить, чтобы снизить риски возникновения споров.
В каких ситуациях и в какие сроки необходимо уничтожать персональные данные? Каков порядок их уничтожения? Что будет за нарушения в этой сфере? Какие документы составить, чтобы соблюсти установленные действующими нормативными правовыми актами требования? Отвечаем на эти и связанные с ними вопросы. Даем готовые образцы приказа о создании постоянно действующей комиссии по уничтожению документов, акта об уничтожении персданных, уведомления работника об уничтожении неправомерно использованных персональных данных. Предлагаем формулировки для локального нормативного акта компании (о порядке уничтожения таких конфиденциальных сведений) и договоров с контрагентами (с обязательством уничтожить передаваемые по договору персданные в установленных случаях).
Закон о персональных данных требует от работодателей назначить ответственного за организацию обработки персданных. Это может быть сам генеральный директор, а также HR или другое уполномоченное лицо. Но многие не в курсе, что часто одним ответственным не обойтись. Все дело в постановлении Правительства РФ от 01.11.2012 № 1119, которым утверждены требования к защите персональных данных при их обработке в информационных системах персональных данных. Согласно документу обеспечивать такую защиту в определенных случаях должен либо специально уполномоченный работник, либо отдельное структурное подразделение. Автор объясняет, когда в организации такой ответственный сотрудник может быть один, а в какой ситуации понадобится целый отдел; каким критериям он должен соответствовать; можно ли привлечь специалиста(ов) по аутсорсингу; какая ответственность грозит, если вовсе не назначить ответственное лицо. Приводит наглядную таблицу с описанием условий установления уровней защищенности персональных данных при их обработке в информационной системе, которую удобно использовать на практике, чтобы сориентироваться в своих обязанностях в данной сфере. Дает алгоритмы действий работодателя в зависимости от конкретных ситуаций и образец приказа об утверждении перечня работников, имеющих доступ к персональным данным в информационной системе, а также рекомендации, как обеспечить самый простой на сегодняшний день способ защиты. Это необходимый минимум, который должен быть у всех!
Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.
В каких ситуациях и в какие сроки необходимо уничтожать персональные данные? Каков порядок их уничтожения? Что будет за нарушения в этой сфере? Какие документы составить, чтобы соблюсти установленные действующими нормативными правовыми актами требования? Отвечаем на эти и связанные с ними вопросы. Даем готовые образцы приказа о создании постоянно действующей комиссии по уничтожению документов, акта об уничтожении персданных, уведомления работника об уничтожении неправомерно использованных персональных данных. Предлагаем формулировки для локального нормативного акта компании (о порядке уничтожения таких конфиденциальных сведений) и договоров с контрагентами (с обязательством уничтожить передаваемые по договору персданные в установленных случаях).
Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.
Сотрудница вышла замуж и сменила фамилию. Требуется ли получение от нее нового согласия на обработку персональных данных?