Новые правила работы с персональными данными для кадровых служб

5 апреля 2021

     Федеральным законом от 30.12.2020 N 519-ФЗ внесены изменения в Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон от 27.07.2006 N 152-ФЗ).
     
     Введено новое понятие персональных данных, разрешенных субъектом персональных данных для распространения, - это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи соответствующего согласия.
     
     Изменения касаются в том числе и сферы трудовых отношений.
     
     На практике под распространением персональных данных неограниченному кругу лиц чаще всего имеется в виду размещение информации о работнике на сайте или в социальных сетях организации в сети Интернет.
     
     Суть изменений заключается в следующем (ст.10.1 Федерального закона от 27.07.2006 N 152-ФЗ):
     
     - для распространения персональных данных работника работодателю необходимо получить не только согласие на обработку, но и отдельно согласие на распространение персональных данных;
     
     - если работник дал свое согласие на обработку персональных данных, но не на их распространение, работодатель может их обрабатывать (хранить, уточнять, использовать и т.д.), но не имеет права их передавать (распространять);
     
     - работник вправе самостоятельно выбрать, какие именно персональные данные и на каких условиях может распространять работодатель;
     
     - установленные работником запреты и условия распространения не действуют, когда обработка его персональных данных осуществляется в государственных, общественных или иных публичных интересах (в Пенсионный фонд РФ, Фонд социального страхования РФ, налоговую службу, военкомат, полицию и т.д.);
     
     - молчание или бездействие работника не может считаться согласием на распространение его персональных данных;
     
     - у работника необходимо запрашивать также письменное согласие на обработку и (или) распространение его общедоступных персональных данных (т.е. тех, которые работник самостоятельно разместил, например, в социальных сетях);
     
     - после получения согласия работника на распространение персональных данных, содержащее условия или запреты на их обработку, работодатель должен опубликовать информацию об этих условиях или запретах в течение трех рабочих дней (например, на сайте организации, где опубликованы и персональные данные работника);
     

     - работодатель обязан прекратить распространение персональных данных по требованию работника.
     
     Работник может дать работодателю свое согласие на распространение персональных данных (ч.6 ст.10.1 Федерального закона от 27.07.2006 N 152-ФЗ):
     
     - лично в письменной форме;
     
     - через информационную систему Роскомнадзора (с 01.07.2021 года).
     
     Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (ст.9 Федерального закона от 27.07.2006 N 152-ФЗ).
     
     В настоящее время форма согласия не утверждена, однако соответствующий проект находится на стадии общественного обсуждения на Федеральном портале проектов нормативных правовых актов https://regulation.gov.ru/ (ID 01/02/01-21/00112660).
     
     Из текста проекта следует, что согласие на распространение персональных данных должно содержать:
     
     - Ф.И.О. субъекта персональных данных;
     
     - контактную информацию субъекта персональных данных (работника) (телефон, электронная почта или почтовый адрес);
     
     - наименование или Ф.И.О. и адрес оператора (работодателя), получающего согласие;
     
     - цель обработки персональных данных;
     
     - категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
     
     - условия разрешения и запрета обработки персональных данных;
     
     - срок, в течение которого действует согласие;
     
     - сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).
     
     Следует также отметить, что многократно увеличены штрафы за нарушение законодательства о защите персональных данных.
     
     Например, обработка персональных данных без письменного согласия субъекта, если такое согласие должно быть получено, может повлечь штраф в размере до 500 тысяч рублей (ст.13.11 Кодекса РФ об административных правонарушениях).