Сотрудники компании "АйТи-Консалтинг", специализирующиеся на разных программных продуктах, бухгалтерских и it услугах, написали статьи, позволяющие посетителям сайта быстро ориентироваться в ответах на интересующие вопросы.
С 1 сентября 2022 года работодатели попали в список операторов персональных данных. Что это означает?
Стало известно о том, что благодаря федеральному закону №266 от 14.07.2022 поменялись правила работы с персональными данными. В частности, работодатели должны до 1 сентября 2022 года сообщить Роскомнадзору о том, что они занимаются обработкой личных данных своих сотрудников. Отправка таких уведомлений позволит внести указанные лица в реестры операторов персональных данных (ОПД сокращённо). Эта обязанность касается большей части компаний и ИП.
Что изменилось в законе о персональных данных?
В первую очередь закон о персональных данных не затрагивал многих предпринимателей. Они могли раньше обрабатывать соответствующие данные, но не сообщать Роскомнадзору. В частности, делались следующие исключения:
-
Проведение обработки, обусловленное выполнением требований трудового законодательства.
-
Передача персональных данных при согласии непосредственно субъекта.
-
Получение персональных данных (тоже по согласию субъекта) строго для целей трудового контракта.
-
Обработка данных участников религиозных или общественных организаций.
-
Осуществление обработки персональных данных, которые состоят строго из фамилии, имени и отчества.
-
Работа с данными с целью оформления разового пропуска. Это актуально для компаний, работающих с пропускным режимом.
Однако необходимо учесть, что данные исключения утратили свою актуальность. С 1 сентября 2022 года они больше не будут действовать. Таким образом, работодатели оказались в перечне операторов персональных данных. Так что они должны на общих основаниях зарегистрироваться в соответствующем реестре. А дальше уже информацию можно подавать в Роскомнадзор. Это касается всех видов работодателей, вне зависимости от их размеров, организационно-правовых форм, выбранных налоговых режимов, количества работников и других факторов.
Как это работает?
К примеру, есть ИП с сотрудниками. Он оформляет приказы, ведёт отчётность в электронном виде. Следовательно, работает со средствами автоматизации данных. И раньше ему не надо было в обязательном порядке подавать информацию о проведении обработки персональных данных. А с 1 сентября правила изменились.
Для начала нужно установить, что вообще относится к персональным данным. Этот перечень является открытым. Он обозначен на уровне федерального закона №152. В целом речь идёт о любой информации, которая помогает установить личность человека. То есть это может быть номер телефона, адрес, ФИО, личная страница в социальных сетях и прочее.
Необходимо отметить, что сейчас в РФ довольно жёсткий подход к тому, кого можно считать оператором персональных данных. Если лицо собирает такую информацию о своих клиентах или работниках, то оно записывается в категорию операторов. Например, служба курьерской доставки уже будет относиться к данной группе.
Список операторов не ограничивается исключительно физическими или юридическими лицами. Международные организации, иностранные компании и их представительства, муниципальные и государственные учреждения к ним тоже относятся.
Следует отметить, что подход к трактовке обработки тоже довольно широкий:
-
сбор данных;
-
запись информации;
-
накопление сведений;
-
переработка данных;
-
хранение сведений;
-
внесение правок;
-
передача третьим лицам и прочее.
Исключения в законодательстве всё же предусмотрены. Он не касается вопросов обработки данных в отношении семейных и личных нужд. Кроме того, из-под действия закона выведены данные по поводу государственной тайны и вопросы ведения Архивного фонда.
Как подать уведомление в Роскомнадзор?
Теперь нужно разобраться, как именно подать уведомление. Сделать это можно следующим образом:
1. Заполнить форму прямо на сайте Роскомнадзора.
Надо распечатать данные, подписать, а потом в бумажном виде отправить в ведомство. Подавать уведомление таким способом нужно по месту официальной регистрации.
2. Сформировать электронное уведомление, которое можно подписать усиленной ЭЦП.
Можно также сделать это через сайт Роскомнадзора. Однако для этого необходимо, чтобы на компьютере был установлен плагин «КриптоПро» ЭЦП. Это Browser plug-in. Плюс важно не забыть о важности настройки работы с ним. Но если выбрать данный способ, то дублировать уведомления не требуется.
3. Отослать уведомления через сервис Госуслуги.
Когда будет осуществлен переход по ссылке на указанный сайт, сервис может предложить пройти процедуру аутентификации. Соответственно, будет нужна подтверждённая учётная запись, которую можно привязать к ИП или к организации. Если есть возможность воспользоваться указанным способом, не придётся отправлять бумажное уведомление.
Следует обратить внимание на то, что операторы, которые уже сейчас работают с данными, должны отправить уведомление до 1 сентября 2022 года. А новые — до начала обработки персональных данных. Проверка сведений будет происходить в течение 30 дней. И после этого заявитель попадёт в необходимый реестр.
Не требуется ждать специального разрешения для начала работы с данными от Роскомнадзора. Имеет значение исключительно сам факт попадания в реестр. Также стоит разобраться с датами, так как это важный момент. Особенно если в дальнейшем возникнут проблемы. При отправке уведомления в бумажном виде учитывать надо дату получения письма территориальным управлением Роскомнадзора. Если отправка осуществилась в электронном виде, то датой оповещения будет считаться дата отправки письма через сайт.
Сколько раз уведомлять Роскомнадзор?
Ещё один интересный момент: сколько раз нужно отправлять уведомление? На самом деле всё просто — достаточно одного. Надо чтобы ИП или компанию занесли в реестр как оператора. Если организация там уже есть, повторной подачи уведомления не требуется.
Как заполнить уведомление?
Легче всего разобраться с заполнением уведомления непосредственно на сайте Роскомнадзора. У каждой графы там есть всплывающие подсказки. А ещё можно изучить Методические рекомендации Роскомнадзора от 30.05.2017 №94. Они помогают вникнуть.
Если этого для понимания того, как заполнять документы, недостаточно, можно взять сам реестр. Выбрать любую компанию, которая заинтересовала или вызывает доверие. Открыть по ней данные. Они все открыты, за исключением способов защиты информации. Так можно увидеть, какие сведения организация предоставляла о себе Роскомнадзору. Это тоже хороший пример.
В уведомлении, которое отправляется с 1 сентября 2022 года, необходимо обозначить больше данных. Если говорить конкретнее, то по каждой цели обработки персональных данных нужно указать:
-
категории персональных данных;
-
категории соответствующего субъекта;
-
список действий с личными данными;
-
правовое основание для проведения обработки;
-
способы обработки.
Важно! До 1 сентября операторы хотят заполнить старую форму. И после утверждения нового бланка необходимо отправить информационное письмо, касающееся внесений изменений для реестра. Данный порядок действий был рекомендован Роскомнадзором.
Кого освобождают от обязанности отсылать уведомление?
Существуют случаи, когда можно не сообщать Роскомнадзору по поводу обработки персональных данных. С 1 сентября речь о 3 случаях:
-
Речь идёт о включении персональных данных в информационные системы, созданных для государственной безопасности. Для примера можно назвать АДИС и не только.
-
Применение персональных данных осуществляется в тех ситуациях, которые предусматриваются законами по поводу транспортной безопасности. Например, записи с видеокамер. А такие можно установить в аэропортах и на железнодорожных вокзалах.
-
Обработка персональных данных осуществляется без применения средств автоматизации. То есть отсутствует потребность в применении вычислительной техники.
По поводу последнего пункта необходимы пояснения. В действующем российском законодательстве обработка персональных данных без использования средств автоматизации подразумевает различное использование, распространение, уничтожение и прочие действия с информацией с участием человека.
Допустим, это может быть распечатка бланка с ручным заполнением. Документы можно передавать исключительно лично, но не электронным способом. Журнал учёта посетителей тоже ведут вручную, посетители в нём расписываются физически. И эти данные не попадают в базу.
А вот автоматизированная обработка подразумевает сканирование заполненных бланков, отправку сообщений через электронную почту. И это только часть примеров.
То есть в современном мире данное исключение касается не очень большой группы лиц. Можно представить себе предпринимателя, который всё распечатывает и заполняет от руки, вручную ведёт журналы, отчётность, вообще отказался от электронного документооборота. Но даже если он поручил решение вопроса с бухучётом на аутсорсе какой-нибудь сторонней организации, уже одного этого будет достаточно, чтобы у него возникла обязанность подать уведомление в Роскомнадзор.
Ещё один немаловажный момент: работу с персональными данными можно проводить исключительно с согласия самого субъекта. Если же оно не дано, то возникают проблемы. Например, с такими работниками нельзя будет заключить трудовой договор. Но об этом нужно сообщить.
Надо ли подавать, если организация уже включена в реестр?
Есть и другие моменты. Например, компания или ИП уже сообщали о том, что они обрабатывают персональные данные. В таком случае повторно вносить себя в реестр не надо. Однако не стоит забывать о необходимости провести проверку по ИНН, убедиться, что организация совершенно точно внесена в реестр, ничего не забыли и не перепутали. Только необходимо обратить особое внимание на обозначенные цели обработки. К примеру, если раньше указывалась цель — предоставление услуг клиентам, то теперь надо будет отослать уточнение. По существу вопроса, организация обязана сообщить о том, что работает с персональными данными персонала компании.
Эта обязанность распространяется на всех, кто так или иначе сталкивается с ведением бухгалтерского учёта или вопросов кадрового делопроизводства. Создание отчётности нереально без работы с персональными данными.
Если же у организации обозначены другие цели, то потребуется сообщить в Роскомнадзор о том, что надо внести изменения в реестр. Для этого остаётся время до 15 сентября.
Информационное письмо заполняют на сайте. Отправить его можно теми же способами, которыми отправляют уведомление. В частности, можно передать лично в бумажном виде или через электронную почту. Также если у организации есть возможность использовать ЭЦП, можно отправить уведомление через сайт. Ещё один вариант — использовать портал Госуслуг. А если изменения целей обработки информации произошли уже после 1 сентября 2022 года, то на отправку писем имеется 10 рабочих дней.
Что будет за нарушения?
К нарушениям требований надо относиться серьёзно. Ответственность за это может быть гражданской, административной или уголовной.
Отдельно есть ответственность за то, что оператор не отправил уведомление или же информационное письмо. Она административная, выражается в штрафе до 5 тысяч рублей.
Есть ответственность за нарушение законодательства о персональных данных. Гражданская выражается в праве пострадавшего лица на компенсацию морального ущерба. Административная — штраф для ИП от 10 тысяч рублей и от 60 тысяч для компании.
Уголовная ответственность возникает, когда незаконно собирают данные о частной жизни лица (семейная или личная тайна). Также она наступает при получении неправомерного доступа к охраняемой компьютерной информации.
Интересный момент: плановые проверки от Роскомнадзора в 2022 году не действует. На данные мероприятия по контролю для поддержки бизнеса введён мораторий. Но учтите, что сотрудник или же клиент, чьи данные собирались и обрабатывались без их согласия или с каким-то другим нарушением, могут пожаловаться в надзорную инстанцию. В таком случае проверка уже не будет плановой. Следовательно, на основании жалобы к вам вполне может прийти инспектор. Поэтому игнорировать необходимость внести себя в реестр не стоит. Это чревато неприятностями.