9 июня 2022 г. НЦЗПД дополнил Рекомендации по обработке персональных данных в связи с трудовой (служебной) деятельностью двумя новыми разделами: «Обработка персональных данных при реализации положений коллективного договора» и «Видеонаблюдение».
Мы рассмотрим возможный порядок действий оператора в связи с изменением позиции НЦЗПД по выбору правового основания обработки персональных данных при реализации положений коллективного договора о предоставлении социального пакета.
Шаг 1. Вносим изменения в реестр
Речь идет о реестре обработки персональных данных, который, исходя из рекомендаций НЦЗПД, необходимо вести в каждой организации.
Справочно: необходимость ведения реестра обусловлена тем, что осуществление оператором (уполномоченным лицом) надлежащего контроля за обработкой персональных данных требует систематизации и учета видов обработки персональных данных, т. к. без этого невозможно обеспечить реализацию положений ст. 4 Закона и прав субъектов персональных данных, например права на получение информации об обработке персональных данных.
Пример реестра обработки персональных данных представлен на сайте НЦЗПД. Здесь же размещено Положение о реестре обработки персональных данных, подготовленное НЦЗПД.
Как мы уже знаем, НЦЗПД никак не ограничивает операторов (уполномоченных лиц) в форме ведения реестра, главное, чтобы он не создавался формально и поддерживался в актуальном состоянии.
Внесение изменений в реестр напрямую зависит от того, каким способом ведется реестр в организации. Порядок внесения изменений в зависимости от порядка ведения реестра представлен на схеме.
Схема
Порядок внесения изменений в реестр
НЦЗПД указывает срок, в течение которого следовало бы отразить в реестре изменение соответствующей информации. Так, ответственные лица направляют специалисту по контролю за обработкой персональных данных предложения о дополнении реестра, изменении сведений в нем или исключении их из него в течение 10 рабочих дней со дня возникновения, изменения или прекращения этих рабочих процессов.
Если же ответственное лицо наделено правом самостоятельно вносить такие изменения, то они вносятся в течение 10 рабочих дней со дня возникновения, изменения или прекращения соответствующих рабочих процессов, но при этом важно уведомить в рабочем порядке специалиста по контролю за обработкой персональных данных.
ПРИМЕР
В случае с изменением позиции НЦЗПД по выбору правового основания обработки персональных данных при предоставлении социального пакета на основании коллективного договора, которое произошло с 9 июня 2022 г., целесообразно внести в реестр изменения в течение 10 рабочих дней со дня опубликования (или принятия) такой позиции НЦЗПД.
Шаг 2. Вносим изменения в политику оператора
Необходимость создания политики оператора в отношении обработки персональных данных определена п. 3 ст. 17 Закона.
Важно
При внесении изменений в политику оператора целесообразно руководствоваться Рекомендациями НЦЗПД по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных.
Если в политику вносятся существенные изменения, включая изменение оператора, целей обработки, сроков хранения, порядка реализации прав субъектов, условий трансграничной передачи персональных данных, то такие изменения должны доводиться до сведения субъектов персональных данных заблаговременно, до вступления их в силу.
Справочно: полагаем, что в связи с изменением позиции НЦЗПД по правовому основанию обработки персональных данных при предоставлении социального пакета на основании коллективного договора следует внести изменения в политику оператора в целях надлежащего информирования работников как субъектов персональных данных.
Стоит отметить, что некоторые изменения оснований обработки возможны только лишь с согласия работников. Случаи, в которых согласие не требуется, отражены в ст. 6 Закона.
Мнение автора
Получается, что оператору необходимо внести изменения в ту часть политики, где отражаются правовые основания обработки персональных данных, и сделать отметку об обновлении политики с указанием даты ее обновления и той части, в которую были внесены изменения.
Пример записи в политике при изменении правового основания обработки персональных данных
Шаг 3. Информируем работников
В ст. 16 Закона закреплена обязанность оператора разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных.
НЦЗПД указал, что в должностных инструкциях работников, трудовая функция которых в основном связана с обработкой персональных данных в информационном ресурсе (системе) (включая работников кадровых, бухгалтерских служб, работников, ответственных за функционирование информационного ресурса (системы)), могут быть предусмотрены обязанности по соблюдению установленного законодательством о персональных данных и локальными правовыми актами порядка обработки персональных данных, в т. ч. обязанность разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных.
Мнение автора
В рассматриваемом нами случае, скорее всего, кадровая служба, а точнее, уполномоченный ее работник должен ознакомить работников с изменениями, внесенными в политику в отношении обработки персональных данных в процессе трудовой деятельности и при осуществлении административных процедур.
Руководителю на заметку
Необходимо помнить, что оператор (уполномоченное лицо) обязан обеспечить неограниченный доступ к политике.
Прямого указания на ознакомление с изменениями в политике под роспись нет. Поэтому политику с такого рода изменениями достаточно вывесить на видном месте (например, на стенде), выложить на сайте и т. п.
Важно
Если политика организации здравоохранения оформлена как локальный правовой акт, то с учетом п. 10 ч. 1 ст. 55 ТК возникает вопрос об ознакомлении с ней под роспись.
Шаг 4. Организуем хранение согласия
С 9 июня 2022 г. НЦЗПД отмечено, что согласие субъекта для обработки персональных данных, необходимых для выполнения нанимателем и профсоюзной организацией, созданной у нанимателя, обязанностей, предусмотренных коллективным договором, не требуется.
Справочно: в связи с этим оператор должен принять меры по хранению согласия, подтверждающего законность обработки персональных данных до 9 июня 2022 г.
Руководителю на заметку
Законодательство не содержит нормативного требования по сроку хранения согласия. Иными словами, каждый оператор самостоятельно определяет такой срок с учетом оценки достижения цели обработки и срока, в течение которого, по его мнению, может быть потребность в доказывании получения согласия.
Различают срок, на который дано само согласие, и срок хранения согласия. Понятно, что срок хранения согласия не может быть меньше срока, на который оно дано.
Справочно: считается, что если процесс обработки (или операции по обработке) значительно изменяется или развивается, то первоначальное согласие больше не действует. Если это так, то необходимо получить новое согласие.
В такой ситуации рекомендуется в качестве наилучшей практики обновлять согласие через соответствующие промежутки времени. Предоставление субъекту персональных данных всей информации снова помогает гарантировать, что он остается хорошо информированным о том, как используются его данные и как он может реализовать свои права.
На практике принято устанавливать срок хранения согласия как документа три года с даты окончания срока, на который было дано согласие (а также с даты его отзыва согласно ст. 10 Закона). Три года — это общий срок исковой давности согласно ст. 197 ГК.
Полагаем, что аналогичный срок хранения может быть установлен и для реестра (журнала учета) согласий (т. е. три года после окончания ведения), если таковой ведется в организации здравоохранения.
Шаг 5. Отражаем действия в журнале
Если оператор ведет учет согласий и для обработки данных необходимо было взять согласие, то целесообразно отразить факт прекращения обработки персональных данных на основании такого согласия в связи с изменением позиции НЦЗПД и дату передачи его на хранение в соответствующем журнале.
Шаг 6. Храним согласие до момента уничтожения
Согласие как документ, содержащий персональные данные, в силу п. 8 ст. 4 Закона подлежит уничтожению по истечении срока его хранения (цели обработки).
Иными словами, в рассматриваемой ситуации оператор может обрабатывать ранее полученные согласия только в рамках установленного срока их хранения.
