Закон 266-ФЗ от 14.07.2022 меняет правила работы с персональными данными. До 1 сентября 2022 года все работодатели должны уведомить Роскомнадзор об обработке личной информации своих работников, чтобы попасть в реестр операторов персональных данных.
Эта обязанность коснётся большинство организаций и ИП. Рассказываем, как и когда уведомить Роскомнадзор.
[H2]Что меняется в законе о персональных данных[/H2]
Раньше многих предпринимателей закон о персональных данных не касался. Они могли обрабатывать персональные данные и не уведомлять Роскомнадзор в таких ситуациях:
Пример 1
У ИП работает два сотрудника. Он делает кадровые приказы, ведёт отчётность на компьютере, то есть с использованием средств автоматизации. ИП не сообщал в Роскомнадзор о начале обработки персональных данных сотрудников, поскольку это было необязательно по п. 2 ст. 22 152-ФЗ. С 1 сентября 2022 года он должен направить уведомление.
Перечень персональных данных в 152-ФЗ открытый, то есть к ним относится любая личная информация, которая позволяет определить конкретное лицо — субъекта персональных данных. Это могут быть фамилия, ИНН, адрес страницы в соцсетях, номер телефона и прочее. Если предприниматель собирает любую личную информацию о своих работниках или клиентах, даже просто имя и телефон для записи на услугу, он уже считается оператором персональных данных.
К ОПД относятся физические лица, юрлица, государственные и муниципальные органы, которые осуществляют обработку персональных данных: сбор, запись, накопление, хранение, предоставление и другие действия.
Иностранные граждане и компании, которые работают с данными российских граждан, тоже подпадают под действие закона. Микропредприятия, СОНКО, общественные объединения также относятся к операторам персональных данных со всеми вытекающими из этого обязанностями.
Закон о персональных данных не распространяется на обработку информации для личных и семейных нужд, гостайну и ведение Архивного фонда — п. 2 ст. 1 закона 152-ФЗ.
[H2]Как подать уведомление в Роскомнадзор[/H2]
Направить сведения можно тремя способами.
Постановка на учёт в реестре — разовая акция. Если компания или ИП в нём уже есть, повторно отправлять уведомление не нужно. Так, например, работодатель один раз информирует Роскомнадзор о намерении осуществлять обработку персональных данных сотрудников в рамках трудовых отношений. Он не сообщает в ведомство о приёме на работу или увольнении конкретного работника.
[H2]Как заполнить уведомление[/H2]
Удобно заполнить форму на сайте Роскомнадзора, потому что по каждой графе там есть всплывающие подсказки.
Также вам помогут Методические рекомендации, утверждённые приказом Роскомнадзора от 30.05.2017 № 94, и наш образец заполненного уведомления.
Если у вас возникают трудности с уведомлением, можно подсмотреть, как это делают крупные компании. Все данные в реестре открыты, кроме способов защиты персональных данных. Найдите в реестре операторов компанию, которой доверяете и посмотрите, какие сведения о себе она указывала для Роскомнадзора.
С 1 сентября 2022 года в уведомлении нужно будет указывать больше информации. Так по каждой цели обработки персональных данных придётся указывать:
[H2]Кто может не отправлять уведомление[/H2]
С 1 сентября 2022 года можно не уведомлять Роскомнадзор о намерении обрабатывать персональные только в трёх ситуациях:
Пример 2
Обработка без средств автоматизации:
[H2]Что делать тем, кто уже есть в реестре РКН[/H2]
Если раньше вы уже сообщали в Роскомнадзор о намерении обрабатывать персональные данные, повторно заполнять и отправлять форму не нужно. Для надёжности проверьте по ИНН, что вы есть в реестре операторов.
Но посмотрите, какие цели обработки персональных данных вы указывали. Возможно, это было оказание услуг клиентам, а своих сотрудников как субъектов персональных данных вы не записали. С 1 сентября 2022 года появляется обязанность уведомлять Роскомнадзор при ведении кадрового делопроизводства, бухгалтерского учёта в отношении работников, заключении и расторжении трудовых договоров.
В этом случае в течение 10 рабочих дней после вступления в силу нового закона, то есть до 15 сентября, нужно проинформировать Роскомнадзор о внесении изменений в реестр.
Информационное письмо заполняют на сайте ведомства, а отправить его можно теми же способами, что и уведомление:
[H2]Что будет за нарушения[/H2]
Ответственность может быть административной, уголовной и гражданской.
Если не отправить уведомление или не проинформировать Роскомнадзор об изменениях, штраф по ст. 19.7 КоАП РФ составит до 5000 рублей. За нарушение законодательства о персональных данных установлены санкции по ст. 13.11 КоАП РФ: от 10 000 рублей для ИП, и от 60 000 рублей — для организаций.
Уголовная ответственность предусмотрена за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации — ст. 137, 272 УК.
Также ст. 24 152-ФЗ предусматривает обязательное возмещение морального вреда субъекту персональных данных вследствие нарушения правил обработки его личной информации. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но инспектор придёт внепланово по жалобе от клиента или работника. Например, если сотрудник возмутится, что его данные хранятся у оператора, которого нет в государственном реестре.
Эта обязанность коснётся большинство организаций и ИП. Рассказываем, как и когда уведомить Роскомнадзор.
[H2]Что меняется в законе о персональных данных[/H2]
Раньше многих предпринимателей закон о персональных данных не касался. Они могли обрабатывать персональные данные и не уведомлять Роскомнадзор в таких ситуациях:
- обработка персональных данных по трудовому законодательству;
- получение личной информации с согласия субъекта персональных данных только для исполнения заключённого с ним договора;
- обработка персональных участников религиозных организаций или общественных объединений;
- распространение личной информации с согласия субъекта персональных данных;
- обработка персональных данных, состоящих только из Ф.И.О.;
- получение информации для оформления разового пропуска на территорию оператора персональных данных.
Пример 1
У ИП работает два сотрудника. Он делает кадровые приказы, ведёт отчётность на компьютере, то есть с использованием средств автоматизации. ИП не сообщал в Роскомнадзор о начале обработки персональных данных сотрудников, поскольку это было необязательно по п. 2 ст. 22 152-ФЗ. С 1 сентября 2022 года он должен направить уведомление.
Перечень персональных данных в 152-ФЗ открытый, то есть к ним относится любая личная информация, которая позволяет определить конкретное лицо — субъекта персональных данных. Это могут быть фамилия, ИНН, адрес страницы в соцсетях, номер телефона и прочее. Если предприниматель собирает любую личную информацию о своих работниках или клиентах, даже просто имя и телефон для записи на услугу, он уже считается оператором персональных данных.
К ОПД относятся физические лица, юрлица, государственные и муниципальные органы, которые осуществляют обработку персональных данных: сбор, запись, накопление, хранение, предоставление и другие действия.
Иностранные граждане и компании, которые работают с данными российских граждан, тоже подпадают под действие закона. Микропредприятия, СОНКО, общественные объединения также относятся к операторам персональных данных со всеми вытекающими из этого обязанностями.
Закон о персональных данных не распространяется на обработку информации для личных и семейных нужд, гостайну и ведение Архивного фонда — п. 2 ст. 1 закона 152-ФЗ.
[H2]Как подать уведомление в Роскомнадзор[/H2]
Направить сведения можно тремя способами.
- Заполнить форму на портале Роскомнадзора, распечатать, подписать и подать в бумажном виде в территориальное управление ведомства по месту своей регистрации.
- Отправить электронное уведомление, подписанное усиленной квалифицированной электронной подписью, на сайте Роскомнадзора. У заявителя должен быть установлен плагин КриптоПро ЭЦП Browser plug-in, и настроена работа с ним. Дублировать уведомление на бумаге не нужно.
- Подать уведомление через Госуслуги. При переходе по ссылке на сайте Роскомнадзора сервис предложит пройти аутентификацию, поэтому понадобится подтверждённая учётная запись, привязанная к организации или ИП. В этом случае также не нужно отправлять бумажное уведомление с подписью.
Постановка на учёт в реестре — разовая акция. Если компания или ИП в нём уже есть, повторно отправлять уведомление не нужно. Так, например, работодатель один раз информирует Роскомнадзор о намерении осуществлять обработку персональных данных сотрудников в рамках трудовых отношений. Он не сообщает в ведомство о приёме на работу или увольнении конкретного работника.
[H2]Как заполнить уведомление[/H2]
Удобно заполнить форму на сайте Роскомнадзора, потому что по каждой графе там есть всплывающие подсказки.
Также вам помогут Методические рекомендации, утверждённые приказом Роскомнадзора от 30.05.2017 № 94, и наш образец заполненного уведомления.
Если у вас возникают трудности с уведомлением, можно подсмотреть, как это делают крупные компании. Все данные в реестре открыты, кроме способов защиты персональных данных. Найдите в реестре операторов компанию, которой доверяете и посмотрите, какие сведения о себе она указывала для Роскомнадзора.
С 1 сентября 2022 года в уведомлении нужно будет указывать больше информации. Так по каждой цели обработки персональных данных придётся указывать:
- категории персональных данных;
- категории субъекта персональных данных;
- правовое основание обработки;
- перечень действий с персональными данными;
- способы обработки.
[H2]Кто может не отправлять уведомление[/H2]
С 1 сентября 2022 года можно не уведомлять Роскомнадзор о намерении обрабатывать персональные только в трёх ситуациях:
- персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка — например, автоматизированные дактилоскопические информационные системы (АДИС) полиции;
- обработка личной информации производится исключительно без средств автоматизации, то есть без использования вычислительной техники;
- персональные данные используются в случаях, предусмотренных законами о транспортной безопасности. Например, записи с видеокамер систем видеонаблюдения в аэропортах и на ж/д вокзалах.
Пример 2
Обработка без средств автоматизации:
- распечатали или скопировали пустой бланк согласия на обработку персональных данных, а человек заполнил его от руки;
- ведёте журнал учёта посетителей на вахте вручную;
- передали документ лично сотруднику.
- отсканировали заполненный бланк согласия на обработку персональных данных;
- отправили фамилию и ИНН работника по e-mail.
[H2]Что делать тем, кто уже есть в реестре РКН[/H2]
Если раньше вы уже сообщали в Роскомнадзор о намерении обрабатывать персональные данные, повторно заполнять и отправлять форму не нужно. Для надёжности проверьте по ИНН, что вы есть в реестре операторов.
Но посмотрите, какие цели обработки персональных данных вы указывали. Возможно, это было оказание услуг клиентам, а своих сотрудников как субъектов персональных данных вы не записали. С 1 сентября 2022 года появляется обязанность уведомлять Роскомнадзор при ведении кадрового делопроизводства, бухгалтерского учёта в отношении работников, заключении и расторжении трудовых договоров.
В этом случае в течение 10 рабочих дней после вступления в силу нового закона, то есть до 15 сентября, нужно проинформировать Роскомнадзор о внесении изменений в реестр.
Информационное письмо заполняют на сайте ведомства, а отправить его можно теми же способами, что и уведомление:
- по почте или отнести лично подписанный бумажный вариант в территориальное управление;
- через сайт Роскомнадзора;
- через портал Госуслуг.
[H2]Что будет за нарушения[/H2]
Ответственность может быть административной, уголовной и гражданской.
Если не отправить уведомление или не проинформировать Роскомнадзор об изменениях, штраф по ст. 19.7 КоАП РФ составит до 5000 рублей. За нарушение законодательства о персональных данных установлены санкции по ст. 13.11 КоАП РФ: от 10 000 рублей для ИП, и от 60 000 рублей — для организаций.
Уголовная ответственность предусмотрена за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации — ст. 137, 272 УК.
Также ст. 24 152-ФЗ предусматривает обязательное возмещение морального вреда субъекту персональных данных вследствие нарушения правил обработки его личной информации. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но инспектор придёт внепланово по жалобе от клиента или работника. Например, если сотрудник возмутится, что его данные хранятся у оператора, которого нет в государственном реестре.
