Обработка персональных данных в 2024 году — новые правила

Автор статьи

Амина С.

7 минут на чтение
9 502 просмотров
Содержание Содержание

Сегодня практически любая компания осуществляет работу с персональными данными. Обычно для подобной обработки необходимо согласие в письменном виде. Некоторые работодатели еще недавно игнорировали правила по обработке персональных данных сотрудников, поскольку штрафные санкции за подобные нарушения были небольшими. Но с недавних пор все изменилось, и теперь за нарушение законодательных норм организация может понести убытки в виде денежного штрафа в несколько сотен тысяч рублей. 

Согласно закону о защите персональных данных, который вступил в силу в 2024 году, данные гражданина без наличия его согласия распространять запрещено. Не разрешается передавать сведения человека, даже если он самостоятельно разместил их в сети интернет (пункт 1 статьи 10.1 ФЗ-№ 152). В частности, в настоящее время введено определение «персональные данные, разрешенные для распространения» и утверждено, как именно эту информацию можно применять.

Данными, не запрещенными к распространению, являются сведения, доступ к которым дан личным согласием гражданина для неограниченного круга лиц. Вплоть до 1 марта прошлого года в согласии человека на обработку его данные не было необходимости, если он их разместил в сети по своему усмотрению. Однако, бездействие гражданин не означает, что он согласен на распространение личной информации (пункт 5, 8-9 статьи 10.1 ФЗ-№152).

Изменения в правилах работы с персональными данными сотрудников в 2024 году

В 2024 году произошли законодательные изменения, которыми было утверждено, что согласие на обработку данных, разрешенных гражданином к передаче, необходимо оформлять отдельно от иных видов согласий. То есть стандартного документа от работника уже недостаточно, для этого необходимо отдельное согласие, даже в том случае, если человек указал в стандартном документе, что он не против передачи его сведений другим лицам. 

Случаи, когда необходимо отдельное согласие физического лица:

  1. Организация занимается распространением данных неограниченному кругу лиц.
  2. Организация занимается передачей информации третьим лицам.

К примеру, если компания намерена разместить данные сотрудника на своем сайте, то ей необходимо получить у человека отдельное согласие на передачу такой информации.

Оформление согласия в 2024 году

Законом не определено специальных правил для оформления отдельного согласия на обработку личных сведений. Однако в данном документе необходимо прописать, какие именно данные человек не согласен передавать и куда, а какие из них согласен. Когда ситуация относительно согласия сотрудника не ясна, то его личные данные лучше не подвергать распространению (часть 4 статьи 10.1 ФЗ-№ 152).

Закон утверждает требования относительно содержания согласия на обработку данных человека, на которые дано его разрешение (Приказ Роскомнадзора № 18). 

Согласие должно быть составлено письменно и содержать:

  • данные физического лица, дающего согласие, то есть фамилия, имя, отчество, личный телефон, адрес и электронную почту;
  • данные организации, которая получает информацию о гражданине – ее наименование, юридический адрес, ЕГРЮЛ, ОГРН, ИНН;
  • цель для обработки сведений о физическом лице, к примеру, публикация данных на личном портале осуществляется для роста продаж и увеличения доверия клиентов;
  • группы и список данных, то есть человек обязан перечислить, какую именно информацию он разрешает или не разрешает обрабатывать;
  • период действия данного согласия, то есть временной интервал, когда действует настоящее согласие, дата начала и окончания;
  • название ресурса, где человек разрешает размещать личные данные с указанием конкретного раздела в случае, если сведения будут подвержены публикации.

С 1 июля 2021 года согласие на обработку личных данных физические лица могут направить посредством информационной системы Роскомнадзора. 

Прекращение распространения персональных данных в 2024 году

Согласно обновлению законодательства, в текущем году гражданин вправе в любой момент выдвинуть требование о прекращении обработки личных сведений, разрешение на которое было выдано им ранее (пункт 12 статьи 10.1 ФЗ-№152). В подобных ситуациях организация обязана прекратить распространение персональных данных немедленно, а действие согласия с этого момента прекращается.

Отказ гражданина должен быть оформлен в письменном виде, с указанием своих личных данных и списка той информации, передача которой должна быть прекращена.

Когда в оформлении отдельного согласия нет необходимости

Согласно общему порядку, передача и обработка личных сведений физического лица должно производиться исключительно с его согласия (пункт 1 часть 1 статьи 6 ФЗ-№152). В 2024 году согласие работников на обработку личных сведений можно не брать в случае, если организация занимается обработкой этих данных и это прописано в трудовом договоре (пункт 5 часть 6 ФЗ-№152). Работодателям необходимы данные сотрудников для начисления заработной платы, ведения кадровой документации и других видов отчетности.

Кроме того, разрешение на передачу личных данных сотрудников не требуется при передаче сведений в ФНС, ПФР, ФСС, военный комиссариат, судебным приставам, в прокуратуру и иные государственные ведомства.

Также можно направлять личную информацию сотрудников в финансовые учреждения для оформления зарплатных карт, если в нормативном акте об оплате труда прописано получение зарплаты на банковскую карту и факт согласия сотрудника.

Положение о персданных в 2024 году

Положение об обработки личных сведений сотрудников является внутренним документом, закрепляющим порядок, согласно которому производится хранение и распространение данных работников. Такой документ должен присутствовать у любой компании. 

Обработка сведений сотрудников разрешается с их согласия в письменном виде, кроме ситуаций, когда данный документ не требуется (статья 9 ФЗ-№152). Стоит отметить, что данное согласие не заменяет локального акта организации о перс. данных работников. Следовательно, положение о защите персональных данных сотрудников должно оформляться без их личного согласия.

Проверка правильности использования порядка взаимодействия с персональными данными граждан организации могут осуществить с помощью специальных чек-листов, которые размещены на портале Роскомнадзора в виде проверочных таблиц.

Порядок составления положения о персональных данных сотрудников в 2024 году

Законодательно не предусматривается определенной формы и содержания о работе с перс. данными сотрудников, поэтому следует придерживаться следующих пунктов:

  • Общие положения с указанием предмета утверждения, регулируемых аспектов и начала действия.
  • Указание всей информации, которую должен предоставить сотрудник для обработки личных сведений с указанием конкретных сроков предоставления данных.
  • Фиксирование периода хранения перс. данных работников и способы их защиты. Указание перечня лиц, имеющих доступ к этой информации и правила предоставленного доступа.
  • Предмет применения персональных данных и рамки их применения.
  • Указание правил, согласно которым возможно направлять информацию сотрудников по запросам ведомств, юридических и физических лиц.
  • Закрепление гарантии конфиденциальности перс. данных и их сохранность для работников с указанием их законных прав на случай неправомерного использования информации.

Нанимателю разрешается указывать другие положения в локальных документах организации, например, меры ответственности за нарушения порядка применения информации.

Работодатель не имеет права:

  1. Разглашать персональные данные сотрудника третьим лицам без наличия согласия работника в письменном виде, кроме ситуаций, когда данное действие необходимо во избежание угрозы здоровью и жизни человека.
  2. Передавать личные сведения сотрудника в коммерческих целях без его согласия в письменном виде.
  3. Направлять запросы о состоянии здоровья сотрудника, если это не предусмотрено родом профессиональной деятельности.
  4. Принимать и обрабатывать сведения сотрудника о его членстве в различных общественных организациях.

Наниматель обязан:

  1. В ходе принятия каких-либо решений, касающихся интересов сотрудника, работодатель обязан основываться на перс. данных работника, которые получено только путем автоматической обработки и получения в электронном виде.
  2. Выдавать доступ к личной информации сотрудников исключительно лицам, имеющим соответствующие полномочия, и только к тем сведениям, которые нужны для осуществления конкретной деятельности.
  3. При передаче персональных данных сотрудников предупреждать лиц, принимающих эту информацию, о применении этих данных исключительно в целях, в рамках которых информация предоставлена.

Ответственность за нарушение законодательства о применении сведений личного характера

За неправомерные действия относительно использования информации личного характера законодательно предусматриваются разные типы ответственности, как для юридических, так и физических лиц.

Кроме того, в 2024 году произошло ужесточение административной ответственности, и сейчас утверждено семь составов неправомерных действий вместо действующего ранее одного, а денежный штраф достигает 75 тысяч рублей (статья 13.11 КоАП РФ).

Добавить комментарий

Рекомендуем похожие статьи