С 1 сентября 2022 года вступают в силу новые правила обработки персональных данных. Соответствующие поправки внесены Федеральным законом от 14.07.2022 N 266-ФЗ в Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".

Основные изменения, которые затронут работодателей:

1. По новым правилам о своем намерении осуществлять обработку персональных данных в соответствии с трудовым законодательством работодатель должен уведомлять Роскомнадзор.

2. Согласие работника на обработку персональных данных должно быть не только конкретным, информированным и сознательным, но и предметным и однозначным. Иными словами, в документе должна быть отражена предельно четкая и конкретная цель передачи персданных. При этом физлицо должно ясно выразить свое согласие.

3. Сотрудник не обязан предоставлять работодателю биометрические персональные данные. Если работник отказывается подписывать соответствующее согласие на обработку, работодатель не вправе её осуществлять (например, запрашивать фото работника или вести видеонаблюдение на рабочем месте).

4. Работодатель обязан предоставить работнику информацию об обработке персональных данных в течение 10 рабочих дней со дня получения соответствующего запроса.

5. Срок, в течение которого работодатель обязан сообщить работнику или его представителю о наличии персональных данных и предоставить возможность ознакомиться с ними, сокращен с 30 до 10 рабочих дней.
6. Если в соответствии с федеральным законом получение работодателем согласия на обработку персональных данных является обязательными, работодатель обязан разъяснить работнику юридические последствия отказа дать согласие на их обработку.
7. Работодатель должен обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, в том числе информировать о компьютерных инцидентах, в результате которых произошла неправомерная передача персональных данных.
8. В случае неправомерной или случайной передачи персональных данных работодатель обязан уведомить Роскомнадзор:

• в течение 24 часов – о произошедшем инциденте, его предполагаемых причинах и принятых мерах по ликвидации последствий. Также необходимо предоставить сведения о лице, уполномоченном взаимодействовать с Роскомнадзором по факту этого инцидента;
• в течение 72 часов – о результатах внутреннего расследования выявленного инцидента. Работодателю следует предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии таковых).

Ссылка на Источник: С 1 сентября обрабатывать персональные данные работников нужно по новым правилам