Закон 266-ФЗ от 14.07.2022 г. меняет правила работы с персональными данными. До 1 сентября 2022 года все работодатели должны уведомить Роскомнадзор об обработке личной информации своих работников, чтобы попасть в реестр операторов персональных данных. Эта обязанность коснется большинство организаций и ИП.

ЧТО МЕНЯЕТСЯ В ЗАКОНЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ

Раньше многих организаций закон о персональных данных не касался. Они могли обрабатывать персональные данные и не уведомлять Роскомнадзор в таких ситуациях:

• обработка персональных данных по трудовому законодательству;
• получение личной информации с согласия субъекта персональных данных только для исполнения заключенного с ним договора;
• обработка персональных данных участников религиозных организаций или общественных объединений;
• распространение личной информации с согласия субъекта персональных данных;
• обработка персональных данных, состоящих только из Ф.И.О.;
• получение информации для оформления разового пропуска на территорию оператора персональных данных.

С 1 сентября 2022 года этих ситуаций в перечне в п. 2 ст. 22 Закона от 27.07.2006 г. №152-ФЗ не будет, а значит операторы персональных данных (ОПД), чья деятельность до 1 сентября 2022 года попадала под эти исключения, должны сообщить в Роскомнадзор о намерении обрабатывать персональные данные.

Это коснется всех работодателей, организаций с пропускным режимом, торговых предприятий со службами доставки.

ПРИМЕР 1

В организации работает два работника. Кадровик делает кадровые приказы, ведет отчетность на компьютере, то есть с использованием средств автоматизации. Организация не сообщала в Роскомнадзор о начале обработки персональных данных работников, поскольку это было необязательно по п. 2 ст. 22 152-ФЗ.

!!! С 1 сентября 2022 года организация обязана направить уведомление.

Перечень персональных данных в 152-ФЗ открытый, то есть к ним относится любая личная информация, которая позволяет определить конкретное лицо — субъекта персональных данных. Это могут быть фамилия, ИНН, адрес страницы в соцсетях, номер телефона и прочее. Если предприниматель собирает любую личную информацию о своих работниках или клиентах, даже просто имя и телефон для записи на услугу, он уже считается оператором персональных данных.

К ОПД относятся физические лица, юрлица, государственные и муниципальные органы, которые осуществляют обработку персональных данных: сбор, запись, накопление, хранение, предоставление и другие действия. Иностранные граждане и компании, которые работают с данными российских граждан, тоже подпадают под действие закона. Микропредприятия, СОНКО, общественные объединения также относятся к операторам персональных данных со всеми вытекающими из этого обязанностями.

Закон о персональных данных не распространяется на обработку информации для личных и семейных нужд, гостайну и ведение Архивного фонда — п. 2 ст. 1 закона 152-ФЗ.

КАК ПОДАТЬ УВЕДОМЛЕНИЕ В РОСКОМНАДЗОР

Направить сведения можно тремя способами:

1. Заполнить форму на портале Роскомнадзора, распечатать, подписать и подать в бумажном виде в территориальное управление ведомства по месту своей регистрации.
2. Отправить электронное уведомление, подписанное усиленной квалифицированной электронной подписью, на сайте Роскомнадзора. У заявителя должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним. Дублировать уведомление на бумаге не нужно.
3. Подать уведомление через «Госуслуги». При переходе по ссылке на сайте Роскомнадзора сервис предложит пройти аутентификацию, поэтому понадобится подтвержденная учетная запись, привязанная к организации или ИП. В этом случае также не нужно отправлять бумажное уведомление с подписью.

Действующие операторы персональных данных должны отправить уведомление до сентября 2022 года. Новые ОПД — до начала обработки персональных данных. Сведения проверят в течение 30 дней и внесут организацию в реестр операторов.

Оператору не нужно ждать разрешения от Роскомнадзора, чтобы работать с персональными данными. Главное — убедиться, что ведомство получило уведомление. В электронном виде датой оповещения будет считаться дата отправки письма на сайте, а при уведомлении в бумажном виде — дата получения письма территориальным управлением.

Постановка на учет в реестре — разовая акция. Если компания или ИП в нем уже есть, повторно отправлять уведомление не нужно. Так, например, работодатель один раз информирует Роскомнадзор о намерении осуществлять обработку персональных данных сотрудников в рамках трудовых отношений. Он не сообщает в ведомство о приеме на работу или увольнении конкретного работника.

КАК ЗАПОЛНИТЬ УВЕДОМЛЕНИЕ

Удобно заполнить форму на сайте Роскомнадзора, потому что по каждой графе там есть всплывающие подсказки.

Также вам помогут Методические рекомендации, утвержденные приказом Роскомнадзора от 30.05.2017г. № 94, и образец заполненного уведомления.

Если у вас возникают трудности с уведомлением, можно подсмотреть, как это делают крупные компании. Все данные в реестре открыты, кроме способов защиты персональных данных. Найдите в реестре операторов компанию, которой доверяете, и посмотрите, какие сведения о себе она указывала для Роскомнадзора.

С 1 сентября 2022 года в уведомлении нужно будет указывать больше информации. Так, по каждой цели обработки персональных данных придется указывать:

• категории персональных данных;
• категории субъекта персональных данных;
• правовое основание обработки;
• перечень действий с персональными данными;
• способы обработки.

До 1 сентября операторы заполняют старую форму, а после утверждения нового бланка нужно еще отправить информационное письмо о внесении изменений в реестр. Такой порядок действий рекомендует Роскомнадзор в Письме от 19.08.2022г. № 08–75348.

Также вам помогут Методические рекомендации, утвержденные приказом Роскомнадзора от 30.05.2017 № 94, и наш образец заполненного уведомления.

КТО МОЖЕТ НЕ ОТПРАВЛЯТЬ УВЕДОМЛЕНИЕ

С 1 сентября 2022 года можно не уведомлять Роскомнадзор о намерении обрабатывать персональные только в трех ситуациях:

• персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка — например, автоматизированные дактилоскопические информационные системы (АДИС) полиции;
• обработка личной информации производится исключительно без средств автоматизации, то есть без использования вычислительной техники;
• персональные данные используются в случаях, предусмотренных законами о транспортной безопасности. Например, записи с видеокамер систем видеонаблюдения в аэропортах и на ж/д вокзалах.

Согласно Постановлению от 15.08.2008г. № 687, обработка персональных данных без средств автоматизации — это использование, уточнение, распространение и уничтожение персональных данных при непосредственном участии человека.

ПРИМЕР 2

Обработка без средств автоматизации:

• распечатали или скопировали пустой бланк согласия на обработку персональных данных, а человек заполнил его от руки;
• ведете журнал учета посетителей на вахте вручную;
• передали документ лично сотруднику.

Автоматизированная обработка:

• отсканировали заполненный бланк согласия на обработку персональных данных;
• отправили фамилию и ИНН работника по e-mail.

ЧТО ДЕЛАТЬ ТЕМ, КТО УЖЕ ЕСТЬ В РЕЕСТРЕ РКН

Если раньше вы уже сообщали в Роскомнадзор о намерении обрабатывать персональные данные, повторно заполнять и отправлять форму не нужно. Для надежности проверьте по ИНН, что вы есть в реестре операторов.

Но посмотрите, какие цели обработки персональных данных вы указывали. Возможно, это было оказание услуг клиентам, а своих сотрудников как субъектов персональных данных вы не записали. С 1 сентября 2022 года появляется обязанность уведомлять Роскомнадзор при ведении кадрового делопроизводства, бухгалтерского учета в отношении работников, заключении и расторжении трудовых договоров.

В этом случае в течение 10 рабочих дней после вступления в силу нового закона, то есть до 15 сентября, нужно проинформировать Роскомнадзор о внесении изменений в реестр. Информационное письмо заполняют на сайте ведомства, а отправить его можно теми же способами, что и уведомление:

• по почте или отнести лично подписанный бумажный вариант в территориальное управление;
• через сайт Роскомнадзора;
• через портал «Госуслуг».

Если изменения произошли уже после 1 сентября, информационное письмо нужно отправить в течение 10 рабочих дней после этого.

ОТВЕТСТВЕННОСТЬ

Ответственность может быть административной, уголовной и гражданской.

Если не отправить уведомление или не проинформировать Роскомнадзор об изменениях, штраф по ст. 19.7 КоАП РФ составит до 5000 рублей. За нарушение законодательства о персональных данных установлены санкции по ст. 13.11 КоАП РФ: от 10 000 рублей для ИП, и от 60 000 рублей — для организаций.

Уголовная ответственность предусмотрена за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации — ст.137, 272 УК.

Также ст.24 152-ФЗ предусматривает обязательное возмещение морального вреда субъекту персональных данных вследствие нарушения правил обработки его личной информации. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но инспектор придёт внепланово по жалобе от клиента или работника. Например, если сотрудник возмутится, что его данные хранятся у оператора, которого нет в государственном реестре.