Вчера в 13:10 Защита персональных данных

Работа с какими персональными данными обязывает пройти регистрацию в Роскомнадзоре

При приеме на работу сотрудников руководитель запрашивает у них личные данные. Но для этого нужно вначале получить разрешение на обработку персданных от Роскомнадзора. Расскажем, в каком случае нужно уведомлять Роскомнадзор о работе с персданными.

Роскомнадзор и персональные данные

Персональные данные — это личные сведения физического лица. Каждая компания при устройстве сотрудника на работу просит предоставить его личные данные, ведь для подписания договора от потенциального работника нужен паспорт, СНИЛС, трудовая книжка. Также, в зависимости от специфики организации, могут потребоваться и другие данные работника.

Персональные данные охраняются законом. Компания не имеет права разглашать такую информацию или предоставлять ее третьим лицам без согласия сотрудника. Роскомнадзор следит, чтобы не было утечки данных и велась правильная их обработка, для этого любая компания должна быть внесена в реестр операторов персональных данных.

При открытии компании и до найма первых сотрудников руководитель должен уведомить Роскомнадзор о работе с персональными данными. Роскомнадзор вносит компанию в реестр — она становится оператором по обработке персданных.

Предоставление данных в Роскомнадзор необходимо для полноценного контроля за обработкой личной информации. Только после этого этапа организация получает право работать с ними.

В уведомлении следует детально указать:

Кто именно будет заниматься сбором информации и какие данные собираются — имена, адреса, характеристики, номера телефонов.
С какой целью и каким образом осуществляется сбор персданных. Например, для организации служебных поездок и с использованием автоматизированных систем.
Где будет осуществляться хранение данных.
Какие меры принимаются, чтобы их обезопасить: назначен ответственный за обработку данных, разработаны политика и модели угроз безопасности, обучены люди, которые будут работать с персональными данными.

О каких персональных данных уведомлять Роскомнадзор

Персданные бывают трех видов:

Общие — ФИО, СНИЛС, паспортные данные, семейное положение, дети, предыдущее место работы, место жительства и регистрации, биография, образование, данные счета, электронная почта и другие.
Специальные — национальность, расовая принадлежность, философские политические и религиозные взгляды, состояние здоровья, судимости.
Биометрические — вес, рост, рисунок на радужной оболочке глаза, генетические данные, отпечатки пальцев, фото и видеоизображение.

Мы видим, что любая информация о физлице — это персональные данные. Значит, независимо от того, какие данные организация запрашивает у сотрудника, она должна подать уведомление в Роскомнадзор.

Подаются сведения, если организация:

собирает информацию исключительно для заключения договора;
оформляет временный пропуск для доступа на закрытую территорию;
передает личные данные с согласия их владельца;
обрабатывает данные, которые содержат лишь имя, отчество и фамилию физлица;
работает с данными участников общественных организаций и религиозных групп.

Под обработкой персданных подразумевают любые действия: сбор, запись, накопление, хранение, использование, передача, блокирование, уничтожение.

Учитывая вышесказанное, к операторам персональных данных, которые обязаны сообщать о своих действиях, относятся организации и ИП, которые запрашивают любую информацию о данных физлиц.

Исключения прописаны в п. 2 ст. 22 закона № 152-ФЗ:

Данные включены в государственные информационные системы, созданные для обеспечения безопасности государства и поддержания общественного порядка.
Данные обрабатываются в ручном режиме, без использования автоматизированных систем.
Данные обрабатываются для обеспечения безопасности в транспорте и стабильного функционирования транспортной системы.

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Как подать уведомление в Роскомнадзор

Перед подачей уведомления организация должна разработать политику оператора персональных данных. Политика обработки персданных — это нормативный акт, который регламентирует вопросы по обработке, порядке хранения, защиты и уничтожения данных.

Затем нужно подготовить комплект документов, указанных в 152-ФЗ. В этот перечень входит 60 наименований, и для каждого оператора он формируется индивидуально, принимая во внимание специфику деятельности, тип обработки и передачи данных, а также цель обработки персданных.

Как только нормативные акты будут разработаны и собраны документы, организация подает уведомление в Роскомнадзор. Для этого скачивается форма на сайте Роскомнадзора, заполняется и передается лично или почтой. Также бланк можно заполнить и отправить через сайт Роскомнадзора, перед отправкой его нужно заверить усиленной квалифицированной электронной подписью или отправить через Госуслуги. Форма уведомления утверждена в Приложении № 1 к приказу Роскомнадзора от 28.10.22 № 180.

В течение 30 дней Роскомнадзор добавит организацию в реестр операторов по обработке персданных. Если не хватает каких-либо документов или имеются ошибки, РКН сообщит об этом. Компании нужно будет в течение 30 дней отправить недостающие документы или исправить неточности.

Чтобы правильно соблюдать требования закона и не допустить штрафов, на сайте «Роском Онлайн» можно изучить все документы для операторов персданных. Кроме этого, на сайте есть:

Чек-лист по соблюдению правил закона № 152-ФЗ.
Пакет из 60 документов для Роскомнадзора.
Грамотное составление уведомления.
Возможность получить консультацию юриста.

Как часто нужно уведомлять Роскомнадзор о работе с персданными

В Роскомнадзор информация об обработке персданных передается разово, но бывает, что сведения в организации меняются, тогда об этом нужно сообщить.

Есть три случая, когда организация должна сообщить Роскомнадзору:

Изменение в предоставленном ранее уведомлении.
Утечка персданных.
Прекращение работы с персданными.

Бывает, что меняются сведения, указанные в ранее поданном уведомлении. Например, это может касаться названия, адреса оператора или целей обработки персональных данных. В таких случаях оператор должен не позднее 15 числа следующего месяца после изменений уведомить Роскомнадзор об этом.

Обязательно и в срочном порядке нужно сообщить РКН, если произошла утечка персональных данных. На это у компании есть:

24 часа — чтобы уведомить о происшествии, выявить потенциальные причины и последствия, а также назначить ответственное лицо.
72 часа — чтобы представить результаты внутреннего расследования.

Иначе компании грозит штраф по статье 19.7 КоАП.

Обратите внимание! Регулярная проверка соответствия норм по защите персональных данных — не просто формальное требование закона, а необходимость, которая сокращает угрозу утечек данных.

Если компания перестает обрабатывать данные, также нужно сообщить об этом Роскомнадзору. Тогда организация будет исключена из реестра. При решении снова нанимать сотрудников нужно будет заново подать весь пакет документов для обработки персданных.

Информация о том, что обработка личных данных прекратилась, должна быть предоставлена не позднее чем через 10 дней с момента завершения (ч. 7 ст. 22 № 152-ФЗ). Формы уведомления утверждены в приложении № 2 и 3 к приказу Роскомнадзора от 28.10.22 № 180.

Важно! Нарушение правил и норм по обработке персданных может привести к тяжелым последствиям. Кроме больших штрафов для руководителя и организации (до 18 млн руб.), неправильная обработка может повлечь за собой разглашение персональных данных, а это уже считается нарушением прав и свобод человека.

Собрать и оформить все необходимые документы, правильно заполнить форму уведомления, разработать политику по персональным данным легко можно на сайте «Роском Онлайн». А наши юристы ответят вам на интересующие вопросы.