Федеральный закон от 07.02.2017 № 13-ФЗ, вносящий поправки в ст. 13.11 КоАП, вступает в силу 1 июля 2017 года. Документ расширяет перечень оснований для привлечения к административной ответственности операторов персональных данных (ПД). Теперь таких оснований будет семь.

Персональные данные работника – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника: ФИО, дата и место рождения, место проживания, данные СНИЛС, ИНН, сведения о воинском учете и т. д.

Такие данные, как правило, используются при составлении трудовых договоров, заполнении унифицированной формы Т-2, трудовых книжек, начислении зарплаты и др. Персональные данные работника можно получать только лично от работника. Если же такие сведения получаются от третьих лиц, то работодатель, согласно п. 3 ч. 1 ст. 86 ТК РФ, должен уведомить об этом работника и заручиться его письменным согласием на обработку персональных данных.

Работодатели получают и обрабатывают те персональные данные работника, которые отвечают целям обработки, то есть напрямую относятся к трудовой деятельности. Если цель обработки данных установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие об обработке персональных данных у субъекта данных (ст. 9 Федерального закона №152-ФЗ). Например, принимая на работу сотрудника по трудовому договору, компания должна знать, как его зовут, где он прописан, какое у него образование. Эти персональные данные компания может получать у человека без его согласия. Если же компания планирует переводить зарплату на банковскую карту и передавать сведения о сотруднике в банк, то она обязана взять на это согласие у сотрудника, поскольку прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.

Федеральный закон №152-ФЗ отдельно прописывает требования для персональных данных, неправомерные действия с которыми могут нанести вред субъекту. Это специальная категория персональных данных, к которой, согласно ст. 10 Федерального закона №152- ФЗ, относятся данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрические персональные данные, которые подразумевают физиологические и биологические особенности человека (ст. 11 Федерального закона №152-ФЗ). И те и другие данные не просто так выделяются в отдельную категорию – закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие).

Эти меры указаны в ст. 19 Федерального закона №152-ФЗ, и в целом их можно разделить на три больших блока:

1. Правовые меры

Подразумевают, что компания, принимая решение о том, как будет соблюдать законодательство, готовит необходимые внутренние документы, в частности, Политику в отношении обработки персональных данных, издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных.

2. Организационные меры

Поскольку по закону Политика в отношении обработки персональных данных должна быть доступна для всех категорий субъектов персональных данных, то ее необходимо размещать в таком месте, где с ней могут ознакомиться и работники, и клиенты.

К организационным мерам относится и рассмотрение письма субъекта персональных данных, требующее уточнить, обрабатывает ли компания его данные, с какой целью, на каком основании. По закону любой субъект имеет право обратиться с таким письмом и даже потребовать прекратить обработку своих персональных данных. В ст. 20-21 Федерального закона №152-ФЗ даются разъяснения, как правильно реагировать на такие письма:

• Оператор обязан предоставить субъекту персональных данных возможность ознакомления с его персональными данными.
• В течение семи рабочих дней со дня предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.
• В течение семи рабочих дней со дня представления субъектом персональных данных сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.
• Оператор обязан уведомить субъекта персональных данных о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
• Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к субъекту персональных данных.
• В случае выявления неправомерной обработки персональных данных оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора.
• В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
• В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором.
• В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором.
• В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в ч. 3-5 ст. 21 Федерального закона № 152-ФЗ, оператор осуществляет блокирование персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

3. Технические меры

Предполагают использование специальных средств защиты персональных данных – от самых примитивных вроде сургучовых печатей до высокотехнологичных, к которым можно отнести антивирусы, средства криптографической защиты.

Таким образом, компании необходимо разобраться, какие технические меры должны быть приняты для защиты персональных данных, и обеспечить реализацию этих мер.

Итак, что нужно сделать работодателям, обрабатывающим персональные данные работника?

• Разобраться, на каком основании и с какой целью работодатель использует их персональные данные.
• Решить, как будут выполняться законодательные требования, отразить это в локальных нормативных актах.
• Принять соответствующие организационные меры и подготовиться к их выполнению. В частности, опубликовать Политику в отношении обработки персональных данных.
• Определиться с техническими мерами. Нужно сказать, что в отличие от госорганизаций, для которых требования по использованию средств защиты информации вполне конкретные, коммерческие компании имеют большую свободу в выборе наиболее подходящих для них технических мер.

В идеале уведомление нужно подать еще до начала обработки персональных данных, то есть в первые дни после государственной регистрации юрлица или ИП, но так происходит далеко не всегда.

Но даже если вы подаете уведомление в Роскомнадзор с опозданием, штрафа опасаться не стоит. Правда, в этом случае дату начала обработки персональных данных лучше указать как дату государственной регистрации компании.

Уведомление можно подать как по почте, так и онлайн. На сайте Роскомнадзора есть форма уведомления, после заполнения и отправки которой можно скачать уже заполненную печатную форму. Ее нужно подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора. Ознакомиться с рекомендациями по заполнению формы можно здесь.

После заполнения уведомления вы получите номер уведомления и секретный ключ. Они необходимы для проверки статуса уведомления. С их помощью вы можете убедиться, попали ли сведения в реестр операторов.

Сервис готовит удобный план действий по выполнению закона, вам достаточно только следовать этапам: