Полезное и ответы на вопросы

Скачать

Аудит документов и действий  с персональными данными

Самое значимое правовое событие этой осени: с 1 сентября 2022 года персональные данные обрабатывают по новым правилам.

Закон 266-ФЗ (Федеральный закон от 14.07.2022 № 266-ФЗ) внес изменения в федеральный закон о персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ). Благодаря поправкам, не только обработка персональных данных с 1 сентября 2022 года происходит по новым требованиям. Также обозначены и правила, которые нужно соблюдать с 1 марта 2023 года. Они приняты в то же время, что и правки к закону о персональных данных с 1 сентября, при этом обязательны к исполнению только с 1 марта.

Таким образом, изменения в закон о персональных данных касаются всего порядка работы с ними: от особенностей согласия и уведомления Роскомнадзора до правил трансграничной передачи, прекращения обработки и исполнения новых сроков. За нарушение этих требований грозят не только крупные административные штрафы, но и уголовная ответственность (ст. 13.11, 13.12 и 19.7 КоАП РФ, ст. 137 и 272 УК РФ).

Персональные данные: изменения 2022

Условно все изменения персональных данных с 1 сентября 2022 (кратко – ПД, персданные) можно отнести к нескольким группам. Рассмотрим основные из них. Начнем с требований, обязательных к исполнению с 1 сентября 2022 года (по 266-ФЗ)

Обязанности оператора (работодателя)

С 1 сентября 2022 года персональные данные обрабатывают с учетом обязательных требований статьи 18.1 Закона 152-ФЗ, которые ранее были рекомендательными. В частности, из ее текста удалено слово «могут». Поэтому теперь работодатель не просто вправе, а обязан:

• назначить ответственное лицо (структурное подразделение) за обработку ПД;

• издать и опубликовать политику по персданным;

• осуществлять внутренний контроль (аудит) ПД (способ контроля и подтверждение его проведения нужно прописать в отдельном ЛНА. Его предмет: соблюдение требований законодательства, политики, ЛНА организации по защите ПД)

• оценивать вред, который может быть нанесен их субъекту (способ оценки компания выбирает самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);

• выполнять другие требования статьи 18.1 Закона № 152-ФЗ.

Изменения в закон о персональных данных дополнили и сам перечень обязанностей оператора (работодателя). Например, установлено правило взаимодействия с государственной системой предотвращения атак на информационные ресурсы (ч. 12-14 ст. 19 Закона № 152-ФЗ). Также предусмотрена новая обязанность оператора (работодателя) при выявлении неправомерной или случайной передаче ПД: в течение 24 часов сообщить в Роскомнадзор и в течение 72 часов отчитаться о результатах внутреннего расследования (ч. 3.1 ст. 21, ч. 10, 11 ст. 23 Закона № 152-ФЗ).

Уведомление в Роскомнадзор

В новой редакции Закона 152-ФЗ утратили силу положения о возможности работать с персданными без уведомления Роскомнадзора (п. 1 – 6 ч. 2 ст. 22). Теперь даже при их обработке во исполнение закона нужно в Роскомнадзор подать уведомление, чтобы попасть в реестр операторов ПД (Письмо Роскомнадзора от 19.08.2022 № 08-75348). Такое уведомление однократное. Его не нужно предоставлять по каждому работнику.

Уведомление направляют в управление ведомства в субъекте России по месту регистрации работодателя в налоговом органе (Письмо Роскомнадзора от 19.08.2022 № 08-75348, далее – Письмо № 08-75348). Сделать это можно через портал Роскомнадзора: в виде электронного уведомления, подписанного УКЭП, с помощью средств аутентификации ЕСИА, а также – на бумажном носителе. Также допустимо составить уведомление по старой форме (по Приказу Роскомнадзора от 30.05.2017 № 94). При появлении новой формы отправьте информационное письмо о внесении изменений в реестр (Письмо № 08-75348).

Ждать решения Роскомнадзора не нужно. Порядок уведомительный – обрабатывать ПД можно после получения сведений ведомством.

В Роскомнадзор подать уведомление об обработке персданных не потребуется, если (п. 8 ч. 2 ст. 22 Закона 152 ФЗ):

• оператор обрабатывает данные без автоматизации (например, компания с численностью до 25 человек);

• ПД содержатся в информационных системах по защите безопасности государства и общественного порядка;

• ПД используют по закону о транспортной безопасности.

Содержание согласия на обработку ПД

Федеральный закон 266-ФЗ ввел дополнительные требования к содержанию согласия на обработку ПД., теперь оно должно быть «предметным» и «однозначным». Новые требования относятся к таким условиям согласия (ч. 1 ст. 9 Закона 152-ФЗ):

• цель обработки персональных данных;

• перечень ПД, на обработку которых дается согласие их субъекта;

• наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);

• перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;

• срок, в течение которого действует согласие субъекта ПД и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).

Важно! Когда субъект ПД – выгодоприобретатель или поручитель, допускается обработка ПД без согласия. Обработка персданных несовершеннолетних без согласия возможна в случаях, установленных законом (ч. 3.1 ст. 4, ст. 6 Закона № 152-ФЗ).

Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Уточните алгоритм работы с персональными данными  и их виды.

Требования к политике в отношении обработки ПД

Новый закон о персональных данных 2022 разъяснил требования к политике в отношении обработки ПД. Теперь в этом документе для каждой цели обработки должны быть отдельно указаны (ст. ст. 18.1, 21 Закона 152-ФЗ):

• категории и перечень ПД;

• категории субъектов ПД;

• способы и сроки их обработки и хранения;

• порядок уничтожения ПД.

Также внесено уточнение, что размещение политики в отношении обработки ПД возможно в том числе на страницах сайта, принадлежащего оператору в информационно-телекоммуникационной сети «Интернет».

Правила прекращения обработки ПД

Установлены новые правила при обращении субъекта ПД с требованием о прекращении их обработки.

Если такое обращение поступило, оператор по общему правилу обязан в срок 10 рабочих дней прекратить их обработку (обеспечить ее прекращение). Указанный срок может быть продлен, но не более чем на пять рабочих дней: при направлении оператором в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ, пп. «б», п. 13 ст. 1 закона 266-ФЗ).

Совет   Разработайте отдельные акты (ЛНА): по вопросам обработки ПД (под каждую цель), по процедурам выявления и предотвращения нарушений и политику в отношении обработки ПД. Проверьте, соответствуют ли ваши ЛНА требованиям Закона 266-ФЗ.

Требования закона о персональных данных: изменения с 1 марта 2023 года

С 1 марта 2023 года вступят в силу изменения по работе с ПД, которые коснутся вопросов уведомления Роскомнадзора, работы с инцидентами в области ПД, порядка уничтожения ПД и их трансграничной передачи.

Форма уведомления Роскомнадзора и сроки подачи

Закон 266-ФЗ предусматривает новые сроки:

• исключения данных из реестра операторов, если оператор отправит уведомлении о прекращении обработки ПД: само исключение – в течение 30 дней, подача заявления о прекращении – в течение 10 рабочих дней (пп. «б» п. 14 ст. 1 Закона 266-ФЗ);

• уведомления оператором в случае изменения сведений (не позднее 15 числа, следующего за месяцем, в котором возникли изменения (пп. «д» п. 14 ст. 1 Закона 266-ФЗ).

Всего будут применяться три формы уведомлений Роскомнадзора:

• уведомление до начала обработки ПД;

• уведомление о прекращении обработки ПД (до 15 числа следующего месяца);

• уведомление об изменении данных по обработке (до 15 числа следующего месяца)

До 1 марта 2023 года будут установлены требования к подтверждению уничтожения ПД (Проект Приказа Роскомнадзора (подготовлен 19.08.2022), пп. «г» п. 13 ст. 1 Закона 266-ФЗ).

Порядок работы с инцидентами в области ПД

Изменения с сентября 2022 – персональные данные нужно усиленно защищать и сообщать об их утечке. Информация о компьютерных инцидентах по случайной передаче ПД (а также – их предоставлении, распространении, доступе) будут передавать в специальный федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности по защите прав субъектов ПД (пп. «г» п. 15 ст. 1  закона 266-ФЗ).

Такой орган будет вести реестр учета инцидентов в области персданных и определять порядок и условия взаимодействия с операторами (работодателем) в рамках его ведения.

Ограничения при трансграничной передаче

Определен перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов ПД. К ним относят государства – стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД. Помимо них, будут допускаться государства – не участники при условии соответствия их норм права и применяемых мер по обеспечению конфиденциальности и безопасности при обработке ПД указанной Конвенции (п. 7 ст. 1 закона 266-ФЗ).

Важно! Страны, которые обеспечивают адекватную защиту прав субъектов ПД, уточните в Конвенциио защите физических лиц при автоматизированной обработке персональных данных» (заключена в Страсбурге 28.01.1981) и в Приказе Роскомнадзора от 15.03.2013 №274 Проводите проверку перед каждой передачей ПД.

При намерении передать ПД трансгранично будет нужно информировать Роскомнадзор в виде отдельного уведомления, которое первоначально должно быть подано до 1 марта 2023 года (п. 7 ст. 1 Закона 266-ФЗ).

Право оператора на трансграничную передачу зависят от того, входит ли страна для передачи ПД в перечень Роскомнадзора. Если да, передача возможна сразу после отправки уведомления. Если нет – только по истечении 10 рабочих дней после отправки уведомления и неполучения запрета или ограничения на передачу (п. 7 ст. 1 Закона 266-ФЗ, будущие ч. 10 – 15 ст. 12 Закона № 152-ФЗ).

Утвержден перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за соблюдением трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права

Приказ Минтруда России от 30.11.2021 N 838н "Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за соблюдением трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права" (зарегистрирован в Минюсте России 28.12.2021 N 66629).

Rjkktub? как обещала  уведомляю, что наконец Роскомнадзор разродился формой согласия на обработку персданных для распространения, привожу его сообщение со ссылкой  на ресурс:

Портал персональных данных Уполномоченного органа по защите персональных данных

Согласие на обработку ПД, разрешенных для распространения

Согласно ч.6 ст.10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

1. непосредственно;
2. с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

В целях обеспечения получения соответствующего требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, Роскомнадзором реализован функционал, позволяющий оператору подготовить шаблон формы согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения с учетом профессиональной специфики деятельности оператора.

Сформированный шаблон формы согласия оператор по желанию может направить в Роскомнадзор для получения рекомендаций по формированию такого согласия.
Для направления шаблона согласия в Роскомнадзор необходимо заполнить форму запроса.

Полученные рекомендации Роскомнадзора можно учесть при использовании указанного шаблона для непосредственного получения согласия от субъекта ПД в соответствии с п.1 ч.6 ст.10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Адрес статьи: http://pd.rkn.gov.ru/soglasiya/

С 1 июля 2021 года работодатели должны были подавать СЗВ-ТД по новой форме. Но неожиданно для всех сегодня, 1 июля, ПФР перенес срок сдачи нового бланка на месяц. Это значит, что весь июль страхователи должны подавать сведения на старом бланке.

Правление ПФР своим постановлением от 27.10.2020 № 769п утвердило изменения в форму и порядок заполнения СЗВ-ТД. Поправки по документу вступают в силу с 1 июля 2021 года.

Однако ПФР передумал и предупредил, что переносят срок сдачи нового бланка на месяц, то есть на 1 августа 2021 года. Получается, что до августа все работодатели должны использовать прежний бланк и порядок заполнения СЗВ-ТД из постановления Правления ПФР от 25.12.2019 № 730п.

Сегодня на сайте ПФР было опубликовано следующее:

Пенсионный фонд Российской Федерации ввиду сложной эпидемиологической обстановки, когда большинство работников организаций переведены на дистанционный режим работы, и в связи с обращениями работодателей о неготовности  представлять с 1 июля 2021 года сведения о трудовой деятельности зарегистрированного лица (СЗВ-ТД) в новом формате (версия SZV-TD_2020-09-26) по причине недоработки соответствующего программного обеспечения,  сообщает о продлении до 1 августа 2021 года приема указанных сведений в старом формате (версия SZV-TD_2019-12-20).

02.06.2021 на Официальном интернет-портале правовой информации опубликован Приказ Министерства труда и социальной защиты Российской Федерации от 19.05.2021 № 320н "Об утверждении формы, порядка ведения и хранения трудовых книжек" (зарегистрирован 01.06.2021 № 63748).

Приказом утверждены новая форма трудовой книжки и новый порядок ведения и хранения трудовых книжек.

Документ вступит в силу 01.09.2021 и будет действовать в течение шести лет (до 01.09.2027).

Постановление Минтруда России от 10.10.2003 N 69 "Об утверждении Инструкции по заполнению трудовых книжек" будет действовать еще три месяца и утратит силу 01.09.2021.

Скачать документ.

С середины 2021 года проверки будут проходить по новым правилам.

Федеральный закон от 31.07.2020 № 248-ФЗ

Комментарий

В рамках масштабной реформы сферы контрольно-надзорной деятельности принят Федеральный закон от 31.07.2020 № 248-ФЗ, устанавливающий новый порядок организации и осуществления государственного и муниципального контроля (далее – Закон № 248-ФЗ). Под государственным и муниципальным контролем (надзором) в Законе № 248-ФЗ понимается деятельность контрольных (надзорных) органов, целью которой является предупреждение, выявление и пресечение нарушений обязательных требований. Достигается это за счет профилактики нарушений, оценки соблюдения гражданами и организациями обязательных требований, выявления нарушений, их пресечения и устранения последствий допущенных нарушений.

Закон разграничивает полномочия органов государственной власти РФ, органов государственной власти субъектов РФ и органов местного самоуправления в сфере государственного и муниципального контроля (надзора). Кроме того, закон определяет права и обязанности контролеров и лиц, в отношении которых проводятся проверки. Цель закона – устранение недостатков действующих норм, регулирующих сферу проверок, а также снижение количества проверок бизнеса в качестве наиболее затратного способа контроля.

Переняв некоторые положения из действующего ныне федерального закона от 26.12.2008 № 294-ФЗ (далее – Закон № 294-ФЗ), новый закон вносит ряд нововведений, которые будут рассмотрены ниже.

Разные контролеры не будут проверять соблюдение одних и тех же требований

В Законе № 248-ФЗ подробно прописана процедура проведения контрольно-надзорных мероприятий. При этом устанавливается, что вмешательство контролеров в деятельность контролируемых лиц должно быть соразмерно возможным последствиям допущенных ими нарушений. Кроме того, при проведении внепланового контрольного (надзорного) мероприятия необходимо соблюдать принцип недопустимости проверки соблюдения одних и тех же обязательных требований несколькими контролирующими органами в отношении одного объекта контроля (ст. 9, пп. 7 п. 8 ст. 66 Закона № 248-ФЗ).

Все проверки зафиксируют онлайн

Все действия контролирующих органов по проведению контрольно-надзорных мероприятий будут отражаться в информационной системе. Для этого будут созданы ресурсы, включая Единый реестр видов государственного и муниципального контроля (надзора); Единый реестр контрольных (надзорных) мероприятий; Информационную систему досудебного обжалования; Реестр заключений о подтверждении соблюдения обязательных требований; Информационные системы контрольных (надзорных) органов. Благодаря этому лица, в отношении которых проводятся проверки, смогут отследить правомерность их проведения, а также получить оперативный доступ ко всем необходимым документам и сведениям (ст. 17 Закона № 248-ФЗ).

Реестр видов федерального государственного контроля (надзора) будет сформирован до 01.01.2022.

Риск-ориентированный подход при проведении контрольно-надзорных мероприятий

Такой подход будет применяться значительно шире, чем сегодня. Он предполагает, что выбор профилактических и контрольных мероприятий, их содержание, объем, интенсивность и другие параметры зависят от оценки рисков причинения вреда (ущерба) охраняемым законом ценностям, если контролируемое лицо нарушит обязательные требования. Соответственно, чем выше такой риск, тем чаще и тщательнее будут проверять (ст. 23 Закона № 248-ФЗ).

Оценивать эффективность контролирующего органа по количеству проверок запретили

В Законе № 248-ФЗ содержится прямой запрет на оценку результативности и эффективности деятельности контрольного (надзорного) органа в зависимости от количества:

• проведенных контрольных мероприятий;

• выявленных нарушений;

• лиц, привлеченных к ответственности;

• и т.д.

Это должно способствовать избавлению от так называемой палочной системы, то есть привести к сокращению проверок и наложенных штрафов (п. 7 ст. 30 Закона № 248-ФЗ).

Определены способы сокращения количества проверок

Закон № 248-ФЗ предусматривает механизмы, применение которых может существенно сократить количество проверок организаций и предпринимателей.

Например, организация может быть освобождена от проведения плановых проверок при заключении договора страхования рисков причинения вреда (ущерба) (п. 9 ст. 25 Закона № 248-ФЗ). Похожее правило предлагается применять и к членам саморегулируемых организаций, в отношении которых саморегулируемая организация проводит контроль (п. 1 ст. 55 Закона № 248-ФЗ).

Предусмотрен также такой способ освобождения от проверок, как признание результатов независимой оценки соблюдения обязательных требований. Законом может быть установлен порядок, при котором организация проходит оценку соблюдения требований закона в независимой аккредитованной организации, а контролирующий орган принимает результаты такой оценки и не проводит дополнительные проверки в случае успешных результатов процедуры оценки (ст. 54 Закона № 248-ФЗ).

Введены новые формы контроля и надзора

Наряду с мероприятиями, применяемыми сегодня, закон предусматривает новые способы контроля:

• выездное обследование (визуальное обследование по месту нахождения (ведения деятельности) организации, гражданина, объекта контроля путем осмотра общедоступных производственных объектов без уведомления контролируемого лица);

• мониторинговую закупку (закупка товара или заказ работ/услуг для направления на испытание, экспертизу, исследование для проверки соответствия требованиям к безопасности и (или) качеству);

• выборочный контроль (отбор образцов продукции (товаров) по месту их хранения и (или) реализации с целью подтверждения их соответствия обязательным требованиям к безопасности и (или) качеству);

• инспекционный визит (визит должностного лица контролирующего органа по месту нахождения (осуществления деятельности) контролируемого лица, в ходе которого осуществляется осмотр, опрос, получение объяснений, инструментальное обследование и истребование документов).

При этом предполагается, что новые виды контроля потребуют меньшего количества издержек со стороны контролируемых лиц, а также помогут сократить время взаимодействия с контролерами или вовсе избежать контактов. Кроме того, инспекционный визит и выездную проверку можно будет проводить с использованием средств дистанционного взаимодействия, в том числе посредством аудио- или видеосвязи (ст. 56 Закона № 248-ФЗ).

Проверки станут короче

Срок проведения документарной и выездной проверок не будет превышать 10 рабочих дней (п. 7 ст. 72, п. 7 ст. 73 Закона № 248-ФЗ). По действующим сегодня правилам, закрепленным в п. 1 ст. 13 Закона № 294-ФЗ, проверка может длиться до 20 рабочих дней.

Мониторинг вместо плановых проверок

В качестве одного из способов снижения интенсивности контрольно-надзорных мероприятий Закон № 248-ФЗ предлагает мониторинг сведений об объекте контроля на условиях соглашения между контролируемым лицом и контрольным (надзорным) органом. Он может проводиться при помощи дистанционных технических средств, работающих в автоматическом режиме. Такие устройства будут осуществлять фото- и киносъемку, видеозапись, собирать другую информацию для контролирующего органа. А лицо, находящееся под таким мониторингом, будет освобождено от плановых проверок соблюдения требований, контроль которых осуществляется при проведении мониторинга (ст. 96 Закона № 248-ФЗ).

Выездная проверка должна проводиться только в исключительных случаях

Закон № 248-ФЗ предполагает, что выездная проверка может проводиться, только если у контролера нет возможности:

• удостовериться в полноте и достоверности имеющихся сведений, содержащихся в документах и (или) в  объяснениях, полученных от контролируемого лица;

• оценить соответствие деятельности, действий (бездействия) контролируемого лица и (или) принадлежащих ему и (или) используемых им объектов контроля обязательным требованиям без выезда на указанное в части 2 настоящей статьи место совершения необходимых контрольных (надзорных) действий, предусмотренных в рамках иного вида контрольных (надзорных) мероприятий (п. 3 ст. 73 Закона № 248-ФЗ).

Права контролируемых лиц будут защищены лучше

Отдельная глава Закона № 248-ФЗ посвящена обеспечению защиты прав лиц, в отношении которых проводятся контрольные (надзорные) мероприятия. В частности, закон определяет порядок возмещения вреда, если он был причинен в ходе контрольного мероприятия, порядок досудебного обжалования решений и действий контролирующих органов. В законе закреплена возможность признания решения, принятого по результатам любого контрольного (надзорного) мероприятия, проведенного с грубым нарушением (сейчас согласно ст. 20 закона № 294-ФЗ это возможно только в отношении результатов одного мероприятия – проверки). Результаты контрольного (надзорного) мероприятия в этом случае признаются недействительными, а их повторное проведение возможно только по согласованию с прокуратурой (Глава 8, 9, ст. 91 Закона № 248-ФЗ).

Вступление в силу и переходные положения

Закон № 248-ФЗ вступает в силу с 1 июля 2021 года (за исключением некоторых положений). Положения о видах регионального государственного контроля (надзора) и видах муниципального контроля на основе этого закона должны быть приняты не позднее 1 января 2022 года. До их утверждения будут применяться соответствующие положения, принятые по правилам, утвержденным Законом № 294-ФЗ.

В первой половине 2021 года мероприятия по профилактике нарушений обязательных требований закона будут проводиться по утвержденной ранее программе профилактики на 2021 год. В период с 1 июля по 31 декабря 2021 года профилактические мероприятия будут проводиться по правилам Закона № 248-ФЗ без утверждения программы профилактики.

Плановые проверки, проведение которых было запланировано на 2021 год, будут проводиться по плану, утвержденному в соответствии с Законом № 294-ФЗ. Организация, проведение и оформление результатов проверок, не завершенных на 1 июля 2021 года, будут осуществляться по правилам, действовавшим на дату начала этих проверок.

Документ - Федеральный закон от 30.12.2020 № 519-ФЗ

Комментарий

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Введено новое понятие "персональные данные, разрешенные для распространения". Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – "общедоступные персональные данные". Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

Рассмотрим новые правила работы с персданными подробнее.

Для распространения данных нужно получить новое согласие

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ –  письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

• например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);

• через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

Содержание согласия на распространение персональных данных

Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

Из текста проекта следует, что новое согласие на распространение персданных должно содержать:

• Ф. И. О. субъекта персональных данных;

• контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);

• наименование или Ф. И. О. и адрес оператора, получающего согласие;

• цель обработки персональных данных;

• категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;

• условия разрешения и запрета обработки персональных данных;

• срок, в течение которого действует согласие;

• сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.

Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).

Нельзя распространять общедоступные персональные данные без согласия

Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.

Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Субъект может отозвать согласие на распространение персональных данных

Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ)  персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

• Ф. И. О.;

• контакты (номер телефона, адрес электронной почты или почтовый адрес);

• перечень персональных данных, обработка которых должна быть прекращена.

Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).

Работодателям придется соблюдать новые правила в полном объеме

Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется.

Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:

• когда договор заключается непосредственно между банком и работником;

• когда у работодателя есть доверенность на представление интересов работника в банке;

• когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Но даже в перечисленных случаях во избежание возможных разногласий рекомендуется получить предварительное согласие работника на распространение его персональных данных.

Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?

В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных.

Изменение требований Роструда к уведомлению отпускников 

Утвержденный график отпусков доводится до сведения всех работников. Однако помимо этого работодатель должен известить каждого работника о времени начала его отпуска не позднее, чем за 2 недели. К такому выводу пришел Роструд в письме от 24.12.2020 г. № ПГ/59245-6-1. Документ: Письмо Министерства труда и социальной защиты РФ №ПГ/59245-6-1 от 24.12.2020.

Какие обязанности по оформлению отпусков есть у работодателей Очередность предоставления оплачиваемых отпусков определяется ежегодно в соответствии с графиком отпусков, утверждаемым работодателем с учетом мнения выборного органа первичной профсоюзной организации не позднее, чем за 2 недели до наступления календарного года в порядке (ст. 123 Трудового кодекса). График отпусков обязателен как для работодателя, так и для работника (ч. 2 ст. 123 Трудового кодекса).
О времени начала отпуска работник должен быть извещен под роспись не позднее, чем за 2 недели до его начала.

Такую обязанность устанавливает часть 3 статьи 123 Трудового кодекса. Ранее по теме Формы и способы выполнения данного требования работодатель может определить самостоятельно.

Прежде по мнению Роструда, уведомлять работника об отпуске можно было следующими способами:

• дополнив форму № Т-7 графами 11, 12. В одной из них работник сможет расписаться в том, что дата начала отпуска ему известна, а в другой – указать дату уведомления о начале отпуска;
• предоставлять работнику отдельные извещения, например, ознакомительные листы или ведомости;
• заблаговременно издавать приказы о предоставлении отпусков и знакомить с ними работников не позднее, чем за 2 недели до начала отпуска.

Такие способы Роструд предлагал в письмах от 30.07.2014 № 1693-6-1, от 22.03.2012 № 428-6-1

Теперь же ведомство предложило следующий способ ознакомления работника с датой начала его отпуска. По его мнению, из Трудового Кодекса следует, что за 14 суток до начала положенного отдыха работодатель должен представить сотруднику конкретный документ, а именно – уведомление. При этом, эта обязанность должна быть исполнена не только для тех, кто уходит в очередной отпуск по графику, но и для работников, которые решили взять дополнительный отдых. Данный документ может быть сформирован в свободной форме. К такому выводу пришел Роструд в письме от 24.12.2020 г. № ПГ/59245-6-1.

Подведу итоги:

1. Разъяснения Роструда - не закон, а лишь трактовка закона.  Однако, эти разъяснения часто совпадают с требованиями инспекции труда при проверках.
2. Предлагаемые прежде способы уведомления отпускников, на мой взгляд, не противоречат требованиям ТК РФ, однако, данную позицию придется отстаивать в суде.
3. Для снижения рисков работодателя разумнее разработать уведомление, уведомлять с его помощью работников не позднее, чем за 2 недели до наала отпуска.

4. Фвкт уведомления фиксируем оставляя у работодателя экземпляр уведомленмя с подписью работника и датой уведомления.
4. Храним уведомления 3 года. ( на практике - 3+1=4 года).

Некоторые должности требуют особого оформления кадровой службой. В таких случаях одного приказа о приеме на работу недостаточно?

Для чего нужен приказ о назначении на должность

Трудоустройство любого работника оформляется трудовым договором и приказом о приеме на работу (ст. 68 ТК РФ). На основании приказа:

• присваивается табельный номер;
• создается личная карточка;
• делается запись в трудовой книжке (не позднее дня, следующего за приемом на работу, подается СЗВ-ТД).

Типовой бланк приказа о приеме — унифицированная форма Т-1, введенная Постановлением Госкомстата от 05.01.2004 № 1.

Назначение на должность любого сотрудника отражает приказ о приеме. Но вступление в должность руководителя (например, директора или главного бухгалтера) сопровождается изданием приказа о назначении на должность, который относится к разряду документов по основной деятельности.

Чем отличается приказ о назначении на должность от приказа о приеме на работу

В чем разница между этими документами? Контролеры, банки, иные инстанции могут потребовать документ, на основании которого от имени организации (а иногда — от ИП) осуществляет полномочия то или иное лицо. Если оформить на директора приказ о приеме, ситуация будет выглядеть, как трудоустройство рядового работника, а это не совсем так.

Основные различия между документами таковы:

Как составить приказ о назначении на должность

Бланк такого распоряжения закрепляется в учетной политике (п. 4 Положения, утв. Приказом Минфина от 06.10.2008 № 106н). Он может быть разработан «с нуля» или на основе формы Т-1.

Основные реквизиты приказа о вступлении в должность:

• наименование работодателя;
• наименование «Приказ о вступлении в должность»;
• дата и номер документа;
• полное имя работника;
• должность согласно штатному расписанию;
• дата вступления в должность и дата окончания полномочий (если устанавливается определенный срок);
• основание оформления;
• подпись руководителя или иного уполномоченного лица, его должность и расшифровка;
• подпись работника, который ознакомился с документом.

Руководитель вправе подписать приказ и на самого себя (Письмо Роструда от 11.03.2009 № 1143-ТЗ). Дополнительный аргумент: приказ издается при наличии подписанного трудового договора и решения собственников, т. е. директор к моменту подписания распорядительного документа имеет полномочия его подписать.

Если руководитель совместит свои функции с обязанностями главного бухгалтера, об этом также делается запись в приказе о вступлении в должность. Важно, чтобы положения приказа не противоречили трудовому договору.

Образец приказа о назначении на должность

Подводим итоги

• Приказ о назначении на должность оформляется в отношении сотрудников, занимающих руководящие должности, и относится к документам по основной деятельности предприятия.
• Приказ о вступлении в должность во многом повторяет стандартный приказ о приеме на работу, его отличает, прежде всего, наименование — «Приказ о назначении на должность».
• Документ о назначении руководителя вправе подписать сам руководитель.
• Основанием издания приказа является трудовой договор, а в отношении руководителя — еще и решение учредителей.