Аналитическая Записка для Руководителя
«РИСКИ СОВРЕМЕННОГО ЗАКОНОДАТЕЛЬСТВА»
Для кого (для каких случаев): Для случаев обработки персональных данных работников.
Сила документа: Федеральный закон РФ
Цена вопроса: Персональные данные
Схема ситуации: С 1 сентября 2022 года вступят в силу новые правила обработки персональных данных. Соответствующие поправки вносятся Федеральным законом от 14.07.2022 N 266-ФЗ в Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".
Основные изменения, которые затронут работодателей:
1. Работодатель должен будет уведомлять Роскомнадзор о своем намерении осуществлять обработку персональных данных в соответствии с трудовым законодательством. Ранее такая обязанность на работодателей не возлагалась.
2. Согласие работника на обработку персональных данных должно быть не только конкретным, информированным и сознательным, а также предметным и однозначным.
3. Предоставление биометрических персональных данных не может быть обязательным. Если работник отказывается подписывать согласие на обработку его биометрических персональных данных, работодатель не вправе осуществлять такую обработку (например, запрашивать фото работника или вести видеонаблюдение на рабочем месте).
4. Установлен срок для предоставления работнику информации об обработке его персональных данных - в течение 10 рабочих дней со дня получения работодателем соответствующего запроса.
5. Сокращен срок сообщения работодателем работнику или его представителю информации о наличии его персональных данных и предоставления возможности ознакомиться с ними - с 30 до 10 рабочих дней.
6. Если в соответствии с федеральным законом получение работодателем согласия на обработку персональных данных является обязательными, работодатель обязан разъяснить работнику юридические последствия отказа дать согласие на их обработку.
7. Работодатели должны обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование о компьютерных инцидентах, в результате которых произошла неправомерная передача персональных данных.
8. В случае неправомерной или случайной передачи персональных данных работодатель обязан будет уведомить Роскомнадзор:
- в течение 24 часов - о произошедшем инциденте, связанном с неправомерной или случайной передачей персональных данных, его предполагаемых причинах, о принятых мерах по установлению последствий этого инцидента. Также работодатель должен представить сведения о лице, уполномоченном им взаимодействовать с Роскомнадзором по факту этого инцидента;
- в течение 72 часов - о результатах внутреннего расследования выявленного инцидента. Также следует предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (если таковые есть).
Выводы и возможные проблемы: Для операторов персональных данных предусмотрели ряд новых обязанностей и установили некоторые запреты. Также сократили отдельные сроки.