msk@1c.yar.ru8 495 975 93 57
Работаем удаленно и с выездом
Наши филиалыМоскваЯрославль
АВТОМАТИЗАЦИЯ, ВНЕДРЕНИЕ, СОПРОВОЖДЕНИЕ
  1. Главная
  2. Часто задаваемые вопросы
  3. С 1 сентября 2022 года работодатели должны сообщать Роскомнадзору о том, что проводят обработку персональных данных работников

С 1 сентября 2022 года работодатели должны сообщать Роскомнадзору о том, что проводят обработку персональных данных работников

Другие статьи

Федеральный закон №266 от 14 июля 2022 года изменил правила работы с персональными данными. Все работодатели до 1 сентября 2022 должны сообщить Роскомнадзору о том, что они обрабатывать личную информацию своих работников. На этом основании данные лица будут внесены в реестр операторов персональных данных. А это уже само по себе означает для таких лиц ряд изменений. Данная обязанность возложена на большую часть организаций и на ИП.

Что поменялось в законе о персональных данных?

Прежде закон о персональных данных многих предпринимателей не затрагивал. Они могли обрабатывать такие данные и не сообщать Роскомнадзору в следующих случаях:

  1. Проведение обработки персональных данных в связи с трудовым законодательством.
  2. Распространение личных сведений с согласия самого субъекта.
  3. Получение личных данных с согласия субъекта исключительно для реализации договора, который был с ним заключён.
  4. Проведение обработки персональных данных, которые состояли исключительно из фамилии, имени и отчества.
  5. Обработка персональных данных участников общественных или религиозных организаций.
  6. Получение данных для оформления разового пропуска. Это актуально для тех, кто контролирует посещение своей территории и ввёл пропускной режим.

Эти моменты перестают быть актуальными, то есть исключения убираются с 1 сентября 2022 года. Следовательно, работодатели попадают в число операторов персональных данных. И это означает, что они должны на общих основаниях регистрироваться в профильном реестре, а информацию подавать в Роскомнадзор. Речь идёт о всех группах работодателей, вне зависимости от того, заключают ли они долгосрочные трудовые контракты или берут человека на временной основе.

Разбор ситуации на примере

Допустим, у индивидуального предпринимателя работают 2 сотрудника. Он оформляет кадровые приказы, занимается отчётностью в электронном виде. То есть использует разные средства для автоматизации. ИП не подаёт в Роскомнадзор о том, что начинается обработка персональных данных сотрудников. Но с 1 сентября это обязательно.

Необходимо отметить, что список персональных данных указан в федеральном законе №152. И он открытый. К этой информации относится всё, что помогает идентификации конкретного лица:

  • ИНН;
  • фамилия, имя, отчество;
  • номер телефона;
  • ссылка на страницу в социальной сети и прочее.

Вообще в настоящем подход в законодательстве довольно простой. Если предприниматель собирает о своих работниках или клиентах любые данные, например, имя и номер телефона, чтобы записать на приём на конкретное время, то он уже, согласно актуальному законодательству, будет считаться оператором персональных данных. Последних сокращённо можно назвать ОПД.

К этой группе, например, можно отнести даже парикмахера, который узнаёт номер телефона и имя. Или же службу доставки еды, так как та тоже собирает данные, плюс у этой компании будет ещё информация о конкретном адресе.

Вообще список ОПД довольно широкой. Это физические и юридические лица, муниципальные и государственные органы. Обработка персональных данных тоже трактуется довольно широко: это сбор, запись, накопление, хранение, переработка, изменение, передача кому-то, анализ и прочее. Нужно отметить, что под действие данного закона также подпадают иностранные лица, которые имеют дело с данными российских граждан. Это законодательство распространяется и на микропредприятия.

Исключение для закона всё же остаётся. Он не затрагивает вопросы обработки данных в отношении личных и семейных нужд. Также исключение сделано для ведения Архивного фонда и для гостайны.

Как подать уведомление в Роскомнадзор?

Отправить уведомление можно следующими способами:

  1. Можно заполнить форму прямо на сайте Роскомнадзора.

Там необходимо распечатать данные, подписать и уже в бумажном виде отослать в управление ведомства. Обращаться следует по месту официальной регистрации.

  1. Сделать электронное уведомление, которое будет подписано усиленной квалифицированной электронной подписью.

Это можно выполнить на сайте Роскомнадзора. У заявителя должен быть на ПК плагин «КриптоПро» ЭЦП. Речь идёт о Browser plug-in. Также важно настроить работу с ним. Дублировать в таком случае уведомление бумажным способом не нужно.

  1. Отправить уведомление через Госуслуги.

На сайте сервис предложит пройти аутентификацию. Следовательно, потребуется подтверждённая учётная запись, которая была бы привязана к организации или же к ИП. Если воспользоваться данным способом, не надо будет отсылать бумажное уведомление.

Необходимо отметить, что действующие операторы должны отослать уведомление до 1 сентября 2022 года. А новые — до того, как они начнут обработку данных. Сведения будут проверять на протяжении 30 дней. После этого заявителя внесут в соответствующий реестр.

Следует отметить, что какого-то специального разрешения для работы с персональными данными от Роскомнадзора ждать не нужно. Важно только убедиться, что вы попали в реестр. В электронном виде дата оповещения — это дата отправки письма через сайт. Если же компания отослала уведомление в бумажном виде, то тогда нужно принимать во внимание дату получения письма территориальным управлением.

Необходимо отметить, что уведомление нужно будет отсылать всего лишь один раз. Компании не надо каждый раз становиться на учёт. И если компания или ИП уже оказались в реестре как операторы обработки персональных данных, то становиться повторно не требуется. Для работодателя это означает только одно такое уведомление, когда он начинает работать с персональными данными сотрудников. Ему не нужно связываться с Роскомнадзором каждый раз при приёме на работу нового лица или при осуществлении любых других действий, которые имеют отношение к обработке персональных данных.

Как заполнить уведомление?

Проще всего заполнять форму прямо на сайте Роскомнадзора. Там на каждый пункт имеются всплывающие подсказки. А ещё можно обратить внимание на Методические рекомендации, которые были утверждены приказом Роскомнадзора от 30.05.2017 №94.

Если сложно понять, как оформить уведомление, можно обратить внимание на заполненные примеры. Их в Интернете от крупных компаний довольно много. Сведения по реестру открыты, за исключением способов защиты персональных данных, собственно. Поэтому вы можете прямо в самом реестре отыскать компанию и посмотреть, что она указывала для Роскомнадзора.

В уведомлении с 1 сентября 2022 надо обозначать больше данных. В частности, по каждой цели обработки персональных данных необходимо обозначить:

  • категории субъекта и самих персональных данных;
  • список действий с персональными данными;
  • правовое основание для обработки;
  • способы обработки.

Внимание! До 1 сентября операторы заполняют ещё старую форму. Но после утверждения нового бланка надо будет ещё отослать информационное письмо о внесении изменений для реестра. Этот порядок действий рекомендован Роскомнадзором.

Кто может не отправлять уведомление?

Есть случаи, когда можно не сообщать Роскомнадзор об обработке персональных данных. С 1 сентября речь идёт о 3 случаях:

  1. Персональные данные были включены в информационные системы сбора персональных данных государственного образца, которые созданы для защиты государства. Это АДИС — система дактилоскопии для полиции, но далеко не только.
  2. Использование персональных данных происходит в случаях, которые предусмотрены законами о транспортной безопасности. К примеру, записи с видеокамер. Такие могут быть установлены в аэропортах и на железнодорожных вокзалах.
  3. Обработка персональных данных проводится без использования средств автоматизации. То есть нет потребности в применении вычислительной техники.

Последний пункт нуждается в детальной расшифровке. В действующем российском законодательстве обработка персональных данных без задействования средств автоматизации — это использование, распространение, уточнение и уничтожение персональных данных, которое предполагает участие человека.

Например, ИП должен распечатать пустой бланк. Дальше человек его вручную заполняет. Документы все передаются только лично, а не электронным способом. Журнал учёта посетителей тоже ведётся вручную, посетители в нём расписываются физически, эти данные в электронную базу не попадают.

А вот автоматизированная обработка предполагает сканирование заполненных бланков, отсылку сообщений через электронную почту. Опять же, это только примеры, вариантов может быть больше.

Таким образом, исключение затрагивает незначительную группу лиц. Сейчас невозможно себе представить компанию или ИП, которые в своей работе в принципе обходятся без электронного документооборота, мобильных приложений, сайтов, электронной почты и т.д.

И даже если вся документация идёт в бумажном виде, подписи исключительно вручную, достаточно лишь обратиться к бухгалтерии на аутсорсинге, чтобы возникла потребность в отправке соответствующего уведомления Роскомнадзору. Это актуально, потому что имеется обработка личной информации с применением средств автоматизации. И не стоит забывать, что передавать третьим лицам персональные данные можно лишь с согласия самого субъекта. То есть оператор обязан получать согласие.

Что делать тем, кто уже есть в реестре РКН?

Если ИП или компания уже сообщали о том, что они обрабатывают персональные данные, повторно вносить себя в реестр не нужно. Но лишним не будет проверить по ИНН, точно ли вы внесены в реестр, ничего ли не перепутали. Также обратите внимание на указанные цели обработки. Например, если речь шла об оказании услуг клиентам, то теперь надо будет отправить уточнение. По сути, вы должны сообщить, что работаете и с персональными данными своих сотрудников.

Вообще эта обязанность касается всех, кто сталкивается с ведением бухгалтерского учёта или кадрового делопроизводства. Формирование соответствующей отчётности невозможно без работы с персональными данными.

Если у компании были указаны другие цели, надо будет сообщить в Роскомнадзор о том, что требуется внести изменения в реестр. Для этого есть время до 15 сентября. Заполнить информационное письмо на сайте ведомства. Отослать его можно теми же способами, что и уведомление. То есть через электронную почту, лично в бумажном виде, посредством сайта Роскомнадзора или через портал Госуслуг. Если же у компании изменения случились после 1 сентября, то на отправку письма есть 10 рабочих дней.

Что будет за нарушения?

За нарушение полагается ответственность. Она может быть гражданской (материальной), административной и уголовной. Административная ответственность может выражаться в штрафе до 5000 рублей. Такая ответственность полагается за отсутствие уведомления. Если вы нарушаете законодательство о персональных данных, то возможна административная ответственность от 10 тысяч рублей для ИП и от 60 — для организаций. Материальное возмещение морального вреда субъекту, которое пострадало от незаконной обработки его персональных данных, тоже предусмотрена.

Уголовная ответственность полагается, если произошёл незаконный сбор или же распространение данных о частной жизни лица. Это касается сведений, которые составляют семейную или личную тайну. Уголовная ответственность наступает и за неправомерный доступ к компьютерной охраняемой информации.

Плановые проверки от Роскомнадзора в 2022 году не действуют, так как на это введён мораторий. Но по жалобе сотрудника или работника инспектор обязательно появится. Поэтому не стоит подставляться перед конкурентами или просто теми, кому вы могли чем-то не угодить. Плюс данный мораторий будет действовать далеко не всегда.

Получить помощь в работе с персональными данными в 1С
Другие статьи