Новые обязанности в части работы с персональными данными
С 1 сентября у работодателей появятся новые обязанности в части работы с персональными данными (закон от 14.07.2022 № 266-ФЗ):
С 01.09.2022 нужно будет уведомлять Роскомнадзор о планах обрабатывать, в т. ч. сведения:
- о сотрудниках — в целях, предусмотренных трудовым законодательством;
- необходимые для однократного пропуска гражданина на территорию работодателя;
- полученные в связи с заключением договора, стороной которого является субъект персональных данных, и используемые для исполнения этого договора или заключения новых соглашений с тем же гражданином.
Также с 1 сентября сокращается срок на сообщение Роскомнадзору данных по его запросу — с 30 дней до 10 рабочих дней.
Эти и некоторые другие требования предусмотрены законом от 14.07.2022 № 266-ФЗ.
Во-первых, согласия на обработку персональных данных с 01.09.2022 должны быть предметными и однозначными, а не только конкретными, информированными и сознательными.
Во-первых, согласия на обработку персональных данных с 01.09.2022 должны быть предметными и однозначными, а не только конкретными, информированными и сознательными (cверьте свой шаблон согласия с образцами согласий).
Во-вторых, с 01.09.2022 работодатели будут обязаны уведомлять Роскомнадзор о начале обработки персданных в целях трудового законодательства, для оформления пропуска на гражданина, для заключения гражданско-правового договора. Так что до 1 сентября требуется проверить, есть ли работодатель в реестре Роскомнадзора. Форма уведомления также должна выйти новая.
В-третьих, работодателям придется работать с госсистемой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы. Через эту систему надо будет сообщать об инцидентах, из-за которых произошла утечка персональных данных сотрудников, а также о результатах внутреннего расследования по инциденту. Соответствующие формы утвердит Роскомнадзор. Также работодатели должны будут разработать ЛНА, закрепляющий процедуры по предотвращению и выявлению нарушений закона о персданных. Соответствующие положения можно включить в уже действующий ЛНА или разработать Положение о защите персональных данных.