30.12.2020, Федеральным законом № 519-ФЗ «О внесении изменений в Федеральный закон 152-ФЗ», приняты поправки в 152-ФЗ в части распространения персональных данных работников. Закон вступает в силу 1 марта 2021 года, за исключением нормы о возможности предоставления работником согласия на обработку персональных данных через информационную систему Роскомнадзора, данная норма вступает в силу с 1 июля 2021 года.
Важно!
- Понятие «общедоступные персональные данные», то есть те данные, которые обычно содержатся в профилях в социальных сетях, на сайтах объявлений и так далее. Обычно это имя, фамилия, город проживания, телефон, электронная почта, личные фотографии – больше нет.
- Любые данные работодатель может публиковать только при наличии на это прямого согласия работника.
- Что бы передать персональные данные третьим лицам (например: в банк, в страховую компанию), каждый раз необходимо получать от работника отдельное согласие.
- Согласие работник может подать не только лично, но и через информационную систему Роскомнадзора.
- Работник имеет право установить запреты на распространение его персональных данных. Запрет не действует, если обязанность передавать информацию устанавливает закон, ч. 11, 15 ст. 10.1 Федерального закона № 152-ФЗ «О персональных данных» (например, без согласия работника работодатель может передавать данные работника в ПФР, ИФНС, ФСС).
Чтобы не попасть на штрафы за незаконную обработку персональных данных, работодателям необходимо:
1. Внести изменения в Положение об обработке и защите персональных данных, в части распространения персональных данных работников, а именно:
- исключить из Положения понятие «общедоступные персональные данные»;
- включить пункт, о том, что размещать информацию о работнике (например, на корпоративном сайте, в любой соцсети работодателя) компания может только с прямого согласия работника.
2. Разработать согласие на обработку персональных данных - требования к содержанию согласия на обработку персональных данных, разрешенных работником для распространения, определяет Роскомнадзор (ст. 9 ч. 9 ФЗ № 152-ФЗ в ред. от 30.12.2020), в настоящее время приказ Роскомнадзора «Об установлении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» не принят, находится на этапе обсуждения.
Согласно проекту приказа согласие должно включать следующую информацию:
- Фамилия, имя, отчество (при наличии) работника на русском языке.
- Контактная информация (номер телефона, адрес электронной почты или почтовый адрес работника).
- Наименование или фамилия, имя, отчество (при наличии) и адрес Работодателя, получающего согласие работника.
- Цель (цели) обработки ПД.
- Категории и перечень ПД, на обработку которых работник дает согласие. Заполнение соответствующего поля осуществляется применительно к конкретному работнику по следующему образцу:
- общие ПД (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
- специальные категории ПД (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
- биометрические ПД (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).
- Категории и перечень ПД, для обработки которых работник устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов. Указанное поле заполняется по желанию работника без ограничений со стороны работодателя, осуществляющего обработку ПД. Дополнительно в согласии на обработку ПД могут быть указаны условия, при которых полученные ПД данные могут передаваться работодателем, осуществляющим обработку ПД, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определённых работников.
- Срок, в течение которого действует согласие. В указанном поле согласия должен быть отражен конкретный срок его действия (определённый период времени или дата окончания срока действия).
- Сведения об информационных ресурсах работодателя, с помощью которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с ПД работника. Под «информационным ресурсом оператора» понимается веб-сайт или каталог на сервере, где работодатель хранит ПД работника и откуда доступ к ПД может быть предоставлен неограниченному кругу лиц.
3. Ознакомить работников под подпись с новой редакцией Положения об обработке и защите персональных данных.
4. Передавать третьим лицам или размещать на информационных ресурсах персональные данные работников, только при наличии их согласия. Согласие необходимо оформлять каждый раз, когда работодатель передает персональные данные. В согласии в обязательном порядке должен быть прописан срок действия.
5. На этапе подбора персонала, работодателю необходимо получать от соискателей согласия на обработку персональных данных.
Обратите внимание, что с 24.02.2021, внесены поправки в ст. 13.11 КоАП «Нарушение законодательства РФ в области персональных данных» - ФЗ № 19-ФЗ от 24.02.2021 «О внесении изменений в КоАП», в соответствии с поправками, штрафы за незаконную обработку персональных данных увеличены в два раза и составляют:
- от 2 000 руб. до 6 000 руб. для граждан;
- от 10 000 руб. до 20 000 руб. для должностных лиц;
- от 60 000 руб. до 100 000 руб. для юридических лиц.
Больше новостей вы найдете на нашей страничке в телеграмм, подписывайтесь!