Изменения в обработке персональных данных

1 сентября вступили в силу поправки в закон № 152-ФЗ «О персональных данных». В них описаны новые требования к обработке персональных данных.

Разбираемся, как изменения отразятся на кадровом делопроизводстве и работе с персональными данными кандидатов и сотрудников.

Основные понятия

Персональные данные (ПДн) — это любая информация, которая так или иначе конкретизирует и идентифицирует человека. Тот, кто собирает и обрабатывает эти данные, называется оператором. А человек, чьи данные обрабатываются, — субъектом персональных данных.

Например, если компания ведет подбор и обрабатывает данные кандидатов, то она будет оператором персональных данных этих людей. А сами кандидаты — субъектами персональных данных.

Мы уже подробно рассказывали об общих принципах обработки персональных данных и о том, какие согласия нужно брать у кандидатов и сотрудников.

Новые требования к согласию на обработку персональных данных

Теперь согласие, которое вы получаете от кандидата или сотрудника, должно быть не только конкретным, информированным и сознательным, но и предметным и однозначным. Это указано в измененной части 1 статьи 9 152-ФЗ.

Официальных разъяснений этих требований пока не давали. Расскажем, как это трактуем мы.

Предметность. В предметном согласии цель обработки данных должна быть сформулирована как можно более четко. Допустим, вы берете согласие сотрудника, чтобы на его имя купить билет на профессиональную конференцию. Формулировка «Для соблюдения локальных нормативных актов» не подойдет. Лучше написать: «Для приобретения входного билета на конференцию».

Однозначность относится к тому, как субъект персональных данных дает это согласие. Например, раньше молчание или бездействие пользователя на сайте можно было посчитать «молчаливым согласием». А теперь нужно, чтобы субъект ПДн однозначным действием подтвердил свои намерения — например, поставил галочку в чек-боксе рядом с текстом согласия.

Часть экспертного сообщества трактует требование однозначности иначе, но наши внутренние эксперты придерживаются принципа, описанного выше.

Посмотрите, как оформлено согласие на карьерном сайте Яндекса. Здесь под формой отклика три согласия с разными целями, каждая из которых описана максимально четко и конкретно. Рядом с каждым из согласий отдельный чек-бокс.

Кстати, по новым правилам ссылку на документ, который определяет политику обработки ПДн, теперь нужно размещать на каждой странице сайта, где есть форма сбора данных (ч. 2 ст. 18.1 152-ФЗ).

Изменение сроков реагирования на запросы

Сроки исчисляются в рабочих днях.

Сроки можно увеличить, но не более чем на 5 дней. Для этого необходимо отправить мотивированное обращение в Роскомнадзор (РКН) или человеку, от которого вы получили запрос (ч. 1, ч. 2, ч. 4 ст. 20 152-ФЗ). В таком обращении нужно указать причины, по которым продлевается срок ответа или предоставления данных. 

Важно, чтобы причины были объективными — например, вам нужно обратиться к бумажному архиву в другом конце страны.

Уведомление о любой автоматизированной обработке персональных данных 

Раньше уведомлять РКН не требовалось, если вы собирались автоматизированно обрабатывать:

• данные сотрудников, с которыми заключен трудовой договор;
• общедоступные персональные данные;
• данные, которые включали только фамилию, имя и отчество;
• данные, необходимые для оформления пропуска.

Теперь во всех этих случаях при намерении обрабатывать данные с помощью компьютера и любых программ вам нужно будет уведомить Роскомнадзор (ч. 2, ст. 22 152-ФЗ). Он внесет вашу компанию в реестр операторов, которые осуществляют обработку персональных данных.

Форма уведомления будет утверждена приказом Роскомнадзора, но пока можно использовать старую форму с сайта РКН.

Уведомление о намерении обрабатывать персональные данные достаточно подать один раз. Каждый раз, когда вы берете в работу нового кандидата или собираетесь покупать билет сотруднику, уведомлять не нужно. Однако если появилась новая цель обработки данных, то об этом необходимо сообщить в РКН.

Кроме сведений об операторе данных, в уведомлении нужно указать:

1. Цели обработки ПДн. Их можно сформулировать так:

• в целях исполнения трудового договора;
• в целях включения в кадровый резерв;
• в целях обеспечения безопасности сотрудников — например, при введении видеонаблюдения в офисе.

2. Правовое основание обработки ПДн — например, согласие субъекта ПДн или требования закона.
3. Сведения об информационных системах, где будут обрабатываться данные.
4. Информация об ответственном за организацию обработки персональных данных.

Если данные обрабатываются вручную, уведомлять РКН не нужно. Например, это касается случаев, когда вахтер вписывает в журнал посещений имя и фамилию человека.

Уведомление об утечке персональных данных

В последнее время участились инциденты с утечкой персональных данных. Из-за этого появились новые требования к тому, как компания должна действовать в таких ситуациях. Если произошла утечка персональных данных, компания должна сообщить об этом в Роскомнадзор в течение 24 часов с момента обнаружения инцидента (ч. 3.1. ст. 21 152-ФЗ). Для этого нужно заполнить специальную форму и описать:

• инцидент;
• предполагаемую причину происшествия;
• возможный вред, который был причинен субъектам ПДн;
• как будут устраняться последствия;
• кто уполномочен взаимодействовать с Роскомнадзором от имени компании.

А в течение 72 часов с момента обнаружения утечки необходимо провести внутреннее расследование, а также сообщить о его результатах и виновниках в Роскомнадзор. Для этого тоже есть отдельная форма.

Кроме того, информацию об утечке персональных данных нужно будет передавать в государственную систему обнаружения и предупреждения компьютерных атак (ГосСОПКА). Порядок взаимодействия с ГосСОПКА определит ФСБ.

Новые требования к поручению обработки персональных данных другому лицу

Если работодатель использует рекрутинговую CRM, куда загружает данные о кандидатах, то он сам является оператором данных, а компания-правообладатель этой системы обрабатывает данные по поручению оператора.

Изменились требования к такому поручению. Теперь в документе нужно указывать еще и следующее (ч. 3 ст. 6 152-ФЗ):

• перечень персональных данных;
• обязанность использовать базы данных на территории РФ для записи и хранения персональных данных;
• меры, которые должен предпринять исполнитель для выполнения требований закона «О персональных данных»;
• обязанность в течение срока действия поручения по запросу предоставлять информацию о соблюдении условий обработки персональных данных;
• обязанность уведомить о случаях компрометации обрабатываемых данных.

Новые правила трансграничной передачи персональных данных

С 1 марта 2023 года будут действовать особые правила трансграничной передачи персональных данных (ст. 12 152-ФЗ).

Теперь нужно будет уведомлять Роскомнадзор, если вы собираетесь передавать персональные данные за границу — например, компании-аутсорсеру для тестирования сотрудников. Вот пример такого уведомления.

Страны, куда передаются данные, делятся на две категории:

• обеспечивающие адекватную защиту прав субъектов персональных данных;
• не обеспечивающие адекватную защиту прав субъектов персональных данных.

Если передаете данные в страны, обеспечивающие адекватную защиту, то достаточно просто уведомить об этом Роскомнадзор. После этого можно сразу же отправлять информацию за границу.

Если передаете данные в страны, которые не обеспечивают адекватную защиту, то алгоритм усложняется:

1. Уведомите Роскомнадзор.
2. Ожидайте около 10 дней, пока Роскомнадзор рассматривает уведомление. Ведомство вправе ограничить или запретить передачу данных.
3. Передавайте данные только после разрешения РКН.

Исключение: передавать персональные данные в «небезопасные» страны до рассмотрения уведомления можно, если это необходимо для защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц.

Что изменилось в обработке персональных данных

1. Согласие на обработку персональных данных теперь должно быть:
   • конкретным, 
   • информированным,
   • сознательным, 
   • предметным,
   • однозначным.
2. Ссылку на политику обработки ПДн нужно размещать на каждой странице сайта, где есть форма для сбора данных пользователей.
3. Сократились сроки, в которые нужно дать ответ на запрос Роскомнадзора и субъектов персональных данных.
4. При любой автоматизированной обработке персональных данных нужно уведомлять Роскомнадзор.
5. Уведомлять Роскомнадзор необходимо и при утечке персональных данных, которые обрабатывает оператор. Сделать это нужно не позднее 24 часов с обнаружения инцидента, а в течение 72 часов надо провести внутреннее расследование и оповестить о результатах РКН.
6. Появились конкретные требования к содержанию поручения на обработку персональных данных, которое оператор дает другому лицу.
7. С 1 марта 2023 года нужно будет уведомлять РКН о том, что вы передаете персональные данные пользователей за границу.