Новые правила при обработке персональных данных работников

С начала марта текущего года, личные данные работников подлежат обработке по новым правилам. Работодатели обязаны произвести до 1 марта 2029 года оценку вреда, который может быть причинен работникам в результате утечки из базы работодателя их персональных данных.

Ввод в действие нового закона «О персональных данных»

В марте текущего года введен в действие Федеральный закон за № 266, в котором отражены поправки к ранее действующему закону РФ № 152.

Предусматривается, что юридические лица, являющиеся операторами при обработке персональных данных граждан, обязаны возложить на определенного работника ответственность за обработку этой информации.
В обязанность операторов входит издание документов и внутренних нормативных актов, регулирующих обработку этих сведений. Эти документы должны отражать четкое определение: какие именно данные, каким способом и в какое время должны проходить обработку, хранение и утилизацию.

Главное нововведение в законе

Основным нововведением в действующий закон является обязанность оператора по проведению оценки вреда, который может быть нанесен работнику при нарушении этого закона.
Оценка вреда будет определяться в соответствии с требованиями, установленными Приказом Роскомнадзора № 178.

Работник, на которого будет возложена ответственность за персональную обработку данных сотрудников предприятия, или специально созданная комиссия, должны будут оценивать степень потенциального вреда при утечке личной информации.

Оценка вреда

Оценка вреда будет рассматриваться в трех степенях:

1. Высокая, при которой обрабатываются биометрические данные работника, а также информация, которую оператор использует для идентификации личности работника. В этот раздел входит информация о политических и религиозных взглядах, информация о состоянии здоровья, сведения о подростках, не достигших совершеннолетия, которые необходимы для оформления договора с ними и прочие сведения.

2. Средняя, когда персональные данные заносятся на официальный сайт оператора, а также те, к которым имеют доступ многие люди.

3. Низкая, при которой накапливаются общедоступные источники данных. Эти данные формируются ответственным за обработку данных сотрудником, не являющимся оператором.

Оценка вреда оформляется актом, в котором отражаются наименование организации или Ф.И.О. индивидуального предпринимателя, адрес, сроки издания акта, время проведения оценки вреда, Ф.И.О. и занимаемая должность, а также личная подпись работника, ответственного за результаты оценки вреда, степень потенциального вреда владельцу персональных данных.

Если будет отмечено, что персональными данными работника интересуются сторонние субъекты, то им будет присваиваться более высокая степень.