Как компаниям уничтожать персональные данные с 1 марта 2023 года

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как компаниям уничтожать персональные данные с 1 марта 2023 года». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Обработка персональных данных в 2023 году

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.

Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве. Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.

Уничтожение персональных данных: новые правила

Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о персональных данных. В документе прописаны порядок и требования к данной процедуре.

Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.

Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала, где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом. В нём дописывают недостающую информацию. Срок хранения акта 3 года.

Что входит в обязанности работодателя

С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).

Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).

Что обязан сделать работодатель:

• назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
• издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
• проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
• оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
• ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
• соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.

Какие есть требования к согласию на обработку ПД

Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:

• цели обработки персональных данных;
• перечня персональных данных, на обработку которых даёт согласие их субъект;
• наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
• перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
• срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!

Для каждой цели обработки персональных данных нужно отдельно указывать:

• категории и перечень персональных данных
• категории субъектов, персональные данные которых обрабатываются;
• способы и сроки хранения персональных данных;
• порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).

В соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к обязанностям оператора персональных данных относится в том числе издание документа, определяющего политику оператора в отношении обработки персональных данных, что позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к указанному документу и к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей сети.

Контроль исполнения этой обязанности осуществляют органы Роскомнадзора. И по их требованию оператор обязан представить перечисленные документы и локальные акты и (или) иным образом подтвердить выполнение обязанностей, установленных ст. 18.1 Закона № 152-ФЗ.

Что же это за документ? Не стоит путать его с положением о персональных данных. У оператора персональных данных в силу той же ст. 18.1 помимо Политики должны быть отдельные локальные акты по вопросам обработки таких данных и локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий нарушений.

К сведению: к обозначенным локальным актам относятся различные положения (об обработке персональных данных, об обеспечении безопасности персональных данных и т. п.), перечни (должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты и др.), инструкции и регламенты.

Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных». До недавнего времени он составлялся в произвольной форме, но в августе 2017 года Роскомнадзор разработал Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ (далее – Рекомендации).

О том, какие положения рекомендовано включать в документ, определяющий эту политику, мы расскажем далее. Но прежде следует разобраться, все ли работодатели являются операторами персональных данных и соответственно все ли должны утверждать и опубликовывать его для неограниченного доступа.

Изменения в правилах работы с персональными данными сотрудников в 2023 году

В 2023 году произошли законодательные изменения, которыми было утверждено, что согласие на обработку данных, разрешенных гражданином к передаче, необходимо оформлять отдельно от иных видов согласий. То есть стандартного документа от работника уже недостаточно, для этого необходимо отдельное согласие, даже в том случае, если человек указал в стандартном документе, что он не против передачи его сведений другим лицам.

Случаи, когда необходимо отдельное согласие физического лица:

1. Организация занимается распространением данных неограниченному кругу лиц.
2. Организация занимается передачей информации третьим лицам.

К примеру, если компания намерена разместить данные сотрудника на своем сайте, то ей необходимо получить у человека отдельное согласие на передачу такой информации.

Обязанности лиц, которые осуществляют обработку персональных данных по поручению оператора

В случае, если оператор персональных данных поручает обработку персональным данным другим физическим или юридическим лицам, то такие лица обязаны принять меры по обеспечению соблюдения требований 152-ФЗ. Оператор персональных данных вправе запросить у таких лиц документы и иную информацию, которая подтверждает соблюдение этими лицами требований 152-ФЗ. В случае возникновения инцидентах, которые могут повлечь нарушение прав субъектов персональных данных, лица, обрабатывающие персональные данные по поручению оператора, обязаны уведомить оператора об инциденте и о мерах, принятых по предотвращению повторных инцидентов и устранению его последствий.
В новой редакции лица, обрабатывающие персональные данные по поручению оператора (в том числе если они являются иностранными физическими или юридическими лицами), несут ответственность перед субъектами персональных данных вместе с оператором.

Контроль и ответственность операторов персональных данных за нарушения

Роскомнадзор контролирует операторов персональных данных в рамках контрольных мероприятий трёх типов:

• инспекционный визит;
• документарную проверку;
• выездную проверку.

За невыполнение обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, организацию могут привлечь к административной ответственности. Например, максимальный штраф для организации:

• за невыполнение в установленные сроки требования субъекта персональных данных (его представителя) либо Роскомнадзора об уточнении персональных данных в случае, когда они являются неполными, устаревшими, неточными, составляет 90 тыс. руб., за повторное правонарушение – 500 тыс. руб. (ч. 5, 5.1 ст. 13.11 КоАП РФ);
• за невыполнение при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обязанности обеспечить, в частности, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, составляет 6 млн руб., за повторное правонарушение – 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП РФ).
  Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.

Новые требования к трансграничной передаче персональных данных

Изменения в части трансграничной передачи данных вступают в силу 1 марта 2023 года

Как осуществлять трансграничную передачу данных. Наиболее обсуждаемыми стали изменения, касающиеся трансграничной передачи. Тут новый закон действительно меняет ситуацию коренным образом. Оператор до того, как начнет трансграничную передачу, обязан уведомить об этом Роскомнадзор. Операторы, которые уже занимаются такой работой, обязаны подать уведомление не позднее 1 марта 2023 года. Новелла прямо требует направлять его отдельно от уведомления об обработке персональных данных.

Закон подробно описывает, какую информацию должно содержать уведомление. Более того, обязывает оператора получать от иностранных госорганов или лиц, которым будут передавать данные, сведения об уровне защиты прав субъектов персональных данных в этом государстве. Сделать это необходимо до того, как компания подаст в Роскомнадзор уведомление.

П. 5 ст. 6 Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона „О банках и банковской деятельности“»

Сейчас многие компании должны выбрать: подать уведомление до 1 марта 2023 года или отложить подачу, чтобы собрать информацию и проследить, как будет развиваться практика. Пока что нет ответственности за неподачу уведомления в срок. Поэтому второй подход, хотя и рискованный, может оказаться разумным в некоторых случаях.

Однако важно помнить, что в уведомлении об обработке персональных данных компании также указывают, осуществляют ли они трансграничную передачу. Следовательно, операторы, подавшие указанное уведомление и включенные в реестр операторов персональных данных, не смогут «подождать». Оператор, когда направит уведомление, может осуществлять трансграничную передачу только в странах, которые указал в уведомлении и которые Роскомнадзор признал обеспечивающими адекватную защиту прав субъектов. Это, в частности, государства-стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Когда Роскомнадзор не признал, что страны из уведомления обеспечивают адекватную защиту, оператор сможет передавать данные, если Роскомнадзор рассмотрит уведомление и не вынесет решение о запрете или об ограничении такой передачи. Роскомнадзор должен рассмотреть уведомление в течение 10 рабочих дней. Этот срок могут продлить, если Роскомнадзор направит запрос оператору.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Среди мер защиты выделяют:

• ограниченное число работников, которые имеют доступ к персданным;

• принятие нормативных документов;

• утверждение перечня документов, которые содержат пнд;

• внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

• проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

• установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Какие документы можно хранить в личном деле с согласия сотрудника

Отвечая на вопрос, что должно храниться в личном деле сотрудника в 2020 году, стоит упомянуть и медицинские книжки работников, которые некоторые работодатели хранят в ЛД. Действительно, если должность сотрудника предполагает его контакт с пищевыми продуктами, детьми или же, например, медикаментами – наниматель, согласно действующему законодательству, имеет право потребовать этот документ. Однако, его хранение становится возможным исключительно после получения от работника согласия на обработку его персональных данных.

Это же правило касается и следующих документов:

• аттестационных листов;
• дипломов, справок и других бумаг об образовании;
• справок об отсутствии судимости или её наличии;
• документов о повышении квалификации;
• характеристик с образовательных заведений, а также прошлых мест работы.

Напомним также, что трудовые книжки работников необходимо хранить отдельно от остальной кадровой документации. В большинстве фирм для этого используются надёжные сейфы, доступ к которым имеют только кадровики.

Формирование личных дел сотрудников в 2022 году

Ни в Трудовом кодексе, ни в других нормативных актах Российской Федерации не содержится обязательного требования вести кадровую документацию исключительно с помощью личных дел, заводимых на каждого сотрудника. Поэтому такое оформление данных о персонале вовсе не является обязательным или даже рекомендованным.

ВАЖНО! Законами РФ для юридических лиц или индивидуальных предпринимателей ведение личных дел на своих сотрудников не запрещается.

Если руководство организации или ИП приняли решение ввести у себя обязательность заполнения личных дел, это надо закрепить в учетной политике, прописав процедуру во внутренних нормативных актах. Как правило, делопроизводители не «изобретают велосипед», а пользуются регламентом, разработанным для государственных служащих.

Несмотря на то что никакие требования не определяют и не ограничивают состав личного дела и порядок его ведения, практика этой отрасли делопроизводства показывает несомненное удобство для руководителя этой формы хранения личной информации. Именно по этой причине повсеместная распространенность личных дел в кадровой службе сформировала миф об их обязательности.

Положительный эффект от внедрения личного учета кадров очевиден:

• своевременный учет всей документации о сотруднике;
• отслеживание карьерной динамики;
• учет данных о возможных полагающихся льготах;
• оценка перспектив профессионального роста;
• сохранность и упорядоченность личной документации;
• оперативный доступ ко всей совокупности кадровой информации.

Однозначно можно ответить на этот вопрос только в отношении государственных служащих: на всех, поскольку того требует закон.

Поскольку для частных предпринимателей ведение личных дел не обязательно, они сами могут решать, на каких сотрудников вести эту документацию, а какие могут обойтись и без такого подробного кадрового учета. Часть руководителей, практикующих эту систему, предпочитает вести личный учет на весь персонал, чтобы систематизировать данные на каждого сотрудника. Но некоторые в целях экономии времени организовывают ведение личных дел только на некоторые категории сотрудников.

На сотрудников каких должностей обычно заводят личные дела:

• руководящее звено;
• заместители руководителей разных уровней;
• ключевые специалисты;
• сотрудники, несущие материальную ответственность;
• кадровый резерв и др.

К СВЕДЕНИЮ! На таких сотрудников целесообразно завести личное дело вне зависимости от формы и времени его трудоустройства – по совместительству или на основной работе он трудится, по срочному трудовому договору или на постоянной основе.

Реже обеспечиваются личными делами должности, для которых не предусмотрены образовательные, квалификационные или другие специальные требования, например, уборщица, вахтер, дворник и т.п.

Как правило, впервые личное дело заводится на сотрудника после подписания приказа о его трудоустройстве и его ознакомления с этим приказом.

Личное дело ведется, пополняется документацией, обновляется в течение всего времени работы сотрудника на данного работодателя. В отличие от личных дел на государственной службе, у частных предпринимателей не принято предавать личные дела при смене рабочего места. Актуальность личного дела длится до его передачи в архив вследствие увольнения сотрудника.

Корректное оформление личных дел существенно облегчает работу с кадровой документацией. Практика выработала ряд рекомендаций относительно эффективного формирования личных дел:

1. Документы собираются под одной обложкой, чаще всего это папка, реже просто файл или скоросшиватель. Для каждого сотрудника они должны быть отдельными.

ПОМНИТЕ! Архивы принимают на хранение личные дела только в картонных папках. Скоросшиватели и файлы для этой цели неприемлемы, они могут быть только для внутреннего использования.

2. Нецелесообразно формировать дела толще 4 см.
3. Документы для постоянного хранения не должны быть смешаны с временными документами.
4. В личном деле могут быть как оригиналы документов, так и их заверенные копии.
5. Важные документы постоянного хранения для личного дела предпочтительнее заменить копиями.
6. В рамках одного личного дела не принято хранить по несколько экземпляров одного и того же документа.
7. Если документ предусматривает приложения, их нужно хранить вместе с соответствующими бумагами.
8. Документы в деле должны располагаться по хронологическому принципу, то есть по мере их возникновения.

Личное дело представляет собой совокупность большого количества документов, что диктует обязательность какого-либо способа легкого поиска нужной информации. Принято систематизировать сведения из личного дела на титульном листе (обложке). Удобно пользоваться требованиями к оформлению обложки, которые остались неизменными с 17.07.1972 года (ГОСТ17914-72):

• сверху оставляется место для будущего архивного штампа;
• сверху по центру располагается полное и сокращенное наименование организации;
• ниже указывается структурное подразделение (нужно оставить несколько строк для отражения информации о возможной перемене отдела);
• номер дела (по номенклатуре, принятой в фирме);
• фамилия, имя и отчество сотрудника, на которого заводится дело;
• правый нижний угол несет информацию о сроках ведения дела: дате открытия, то есть дня приема на работу, и дате закрытия (приказа об увольнении);
• здесь же пишется количество листов в деле на момент описи;
• срок хранения дела.

Документы личного дела отражают трудовые отношения работника и работодателя. Эти документы выполняют функцию доказательства в спорных случаях, подтверждают законность действий работодателя, а также защищают социальные (в т.ч. пенсионные) права работника.

Документы для формирования личного дела

Точный список бланков, включаемых в личное дело, определен только для государственных и муниципальных организаций и учреждений. Для остальных компаний не существует строго списка, содержащего какие именно должны быть документы в личном деле работника. Они также могут использовать существующий перечень для бюджетной сферы.

Каждое личное дело желательно начинать с перечня бланков, входящих в его состав. Документы, включаемые в личные дела работников, подразделяют на несколько категорий.

Документы, предоставляемые при поступлении сотрудника в компанию:

• Резюме кандидата, анкета, характеристика или же автобиография;
• Заявление о приеме;
• Копии паспорта, документа об образовании, свидетельств СНИЛС, ИНН, о браке, рождении детей.
• Копия военного билета (при наличии)
• Справки о прошедшем медосмотре, медицинские книжки;
• Справки об отсутствии судимости.
• Справки с прежних мест работы и т. д.

Документы, оформляемые отделом кадров при поступлении:

Документы, оформляемые при осуществлении работником трудовой деятельности:

• Должностная инструкция;
• Документы по аттестации или повышении квалификации работника;
• Согласие на обработку ПД;
• Заявление о предоставлении вычетов;
• Заявления на отпуска;
• Копии приказов об их предоставлении, приказов о поощрении, взыскании, переводе;
• Справки о последующих медосмотрах;
• Докладные и объяснительные в отношении данного сотрудника;
• Копии документов, на основании которых осуществляются изменения личных данных.

Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»

После введения в действие Правил проверки операторов персональных данных (Постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»), установивших виды и периодичность проверок Роскомнадзора, кратно увеличилось количество запросов в адрес компаний о приведении в соответствие с требованиями законодательства в области персональных данных (в первую очередь – Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»).

Несоблюдение (нарушение) требований № 152-ФЗ по работе с персональными данными грозит привлечением к административной ответственности (КОАП РФ), уголовной ответственности (УК РФ), дисциплинарной ответственности (ТК РФ), гражданско-правовой ответственности (возмещение убытков, компенсация морального вреда, ГК РФ). Опытные юристы нашей компании отлично знают, что нужно сделать, оформить и предоставить, чтобы избежать проблем и неприятностей.

Уничтожение персональных данных: новые правила

Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о персональных данных. В документе прописаны порядок и требования к данной процедуре.

Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.

Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала, где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом. В нём дописывают недостающую информацию. Срок хранения акта 3 года.

Похожие записи:

• Актуальные правила въезда в Беларусь в апреле 2023 года
• Увольнение и расчет сотрудников: инструкция для работодателя
• Куда сдать наркозависимого — бесплатные ребцентры