11 ключевых изменений в законе о персональных данных

1 сентября 2022 г. вступили в силу изменения в ФЗ №152 «О персональных данных». Новшества в основном технические, но их много, и затронули они всех работодателей. Учитывая большие штрафы за нарушения, логично большое количество вопросов HR. Этой теме и был посвящен вебинар BLS 14 ноября, участие в котором приняли почти 300 человек.

Прежде всего, передавать персональные данные третьему лицу можно только на основании заключенного договора и поручения оператора. Причем в поручении должны быть перечень персональных данных, действий с ними, цели обработки, обязанность соблюдать конфиденциальность и предоставлять информацию по запросу, а также обязанность обеспечить безопасность информации.

Отныне при обработке данных иностранными компании по поручению российского юрлица при нарушениях ответственность будут нести оба (а не только зарубежная компания). А согласие на обработку теперь должно быть предметным и однозначным. С какой целью берется согласие – то и пишется.

Теперь работник может отказаться предоставлять свою биометрию, например, фото на пропуск. И несмотря на это компания не имеет право отказать в оформлении пропуска. Так что придется брать отдельное согласие и на обработку биометрических данных, в частности, для этой цели. А когда вы начнете обрабатывать информацию о сотруднике, об этом надо уведомить (если данные получены не от него).

В законе уточнили срок ответа на запрос по персональным данным. Ранее лимита по времени не было, теперь же работодатель должен ответить в течение 10 рабочих дней, а при задержке дадут еще 5 дней. При этом человек также имеет право потребовать прекратить обрабатывать информацию о нем. Компания должна это сделать также в течение 10 дней.

Кроме того, изменились требования к локальным актам по персональным данным. Компании должны утвердить ЛНА, указать каждую цель обработки, необходимые для нее документы, категории сотрудников, чьи данные обрабатываются, способы и сроки. Для пропусков нужны одни данные, для начисления зарплаты – другие.

Если вы собираете данные с использованием интернет-сайта, на нем надо опубликовать политику в отношении обработки персональных данных. А еще – придется начать работу с госсистемой обнаружения и ликвидации последствий кибератак на информресурсы РФ. В частности, нужно сообщать об инцидентах, из-за которых произошла утечка данных. В этом случае также надо в течение 1 дня уведомить Роскомнадзор. Кстати, отныне ведомство надо всегда уведомлять о том, что вы планируете начать обработку персональных данных.

Чтобы все подготовить, лучше провести аудит документов: внести правки, подготовить новые шаблоны, формы и уведомления, разработать внутренние правила. В этом году действует мораторий на плановые проверки, но вряд ли его продлят на 2023-й год. Поэтому лучше закрыть риски, пока нарушений не нашли.