По общему правилу работодатели до 1 сентября 2022 г. обязаны направить в Роскомнадзор уведомление об обработке персональных данных своих сотрудников для последующего включения компании в специальный реестр (закон от 14.07.2022 № 266-ФЗ).
Реестр работодателей ведет Роскомнадзор. Работодатель — оператор персданных может проверить о своем включении в реестр на этом сайте.
Что представляют собой персональные данные работника?
Персональные данные сотрудника — это ФИО, паспортные данные, ИНН, СНИЛС, возраст, контактные данные (номер телефона, электронная почта), сведения о доходах, образовании, составе семьи и т.п. (п. 2 ст. 3 закона от 27.07.2006 № 152-ФЗ «О персональных данных», письма Минфина от 19.01.2021 № 03-01-11/2330, Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059).
При этом работодатель является оператором персональных данных (по тексту — ОПД).
Все ли бизнесмены должны уведомлять Роскомнадзор?
До 1 сентября 2022 действовало множество ситуаций, позволяющих работодателям избежать сообщений в Роскомнадзор об обработке персональных данных сотрудников. Например, самой распространенной ситуацией было наличие трудовых отношений с работником.
Также не нужно было уведомлять Роскомнадзор, если обработка данных включала в себя только ФИО, либо человеку выписывался одноразовый пропуск для прохождения на территорию компании.
Не было необходимости уведомлять Роскомнадзор, если персональные данные сотрудника:
- не передавались третьим лицам;
- получены религиозной организацией или общественным объединением от своих участников;
- при обработке данных не используются средства автоматизации учета.
Например, проверяющие Роскомнадзора оштрафовали компанию за неподачу уведомлений, потому что обработка персональных данных осуществлялась с помощью программ 1С: «Зарплата и управление персоналом» и «Биометрическая система учета времени». Но судьи встали на сторону компании, т. к. обработка персональных данных использовалась только в рамках трудовых договоров (постановление Четвертого ААС от 07.02.2018 № А1917054/2017).
Многие работодатели игнорировали обязанность уведомлять Роскомнадзор. Например, перед проведением аудиторской проверки компания передает персональные сведения своих сотрудников, ответственных за учет. Компания может передавать также персональные данные и страховой компании для заключения ДМС.
У многих работодателей заключен с банками зарплатный проект. Все эти случаи не связаны с реализацией работодателем требований трудового законодательства. Поэтому работодатели должны были подавать уведомление в Роскомнадзор и до 1 сентября 2022 г.
Однако, если работодатель перечислял деньги на банковские карты работников без зарплатного проекта, то сведения не должны были подаваться.
А с 1 сентября 2022 ситуация изменилась в связи с сужением перечня, который позволял работодателям не подавать уведомления в Роскомнадзор. Теперь осталось только три исключительных ситуации:
- персональные данные включены в государственные информсистемы данных, которые созданы для защиты безопасности государства и общественного порядка;
Например, АДИС полиции.
- работодатель обрабатывает персональные данные без средств автоматизации;
Например, при обработке данных не используется вычислительная техника. Бланк согласия о персональных данных работник заполняет вручную.
- обработка данных осуществляется в соответствии с требованиями транспортной безопасности.
Например, системы видеонаблюдения на железнодорожных вокзалах.
Как подать уведомление в Роскомнадзор?
Уведомление можно подать несколькими способами на сайте Роскомнадзора:
- заполнить форму, распечатать и направить на бумаге в территориальный орган;
- заполнить форму, подписать ее электронной подписью;
- зайти через Госуслуги, заполнить форму и направить ее в электронном виде.
Далее Роскомнадзор вносит работодателя в реестр в течение 30 дней.
Когда потребуется новое уведомление?
Подача уведомления до 1 сентября 2022 г.— не одноразовая акция.
Впоследствии уведомление в Роскомнадзор необходимо представлять, если:
- изменились ранее поданные сведения;
Например, у сотрудницы сменилась фамилия. Срок подачи — не позже 15 числа месяца, следующего за месяцем изменения данных.
- прекратилась обработка персональных данных.
Например, сотрудник уволился. Срок подачи — в течение 10 рабочих дней с даты прекращения обработки.
Какие санкции за неподачу уведомления?
Неуведомление Роскомнадзора может стоить работодателю штрафов ():
- на физических лиц — от 200 рублей до 500 рублей;
- на должностных лиц — от 1 тысячи рублей до 2 тысяч рублей;
- на компании — от 10 тысячи до 20 тысяч рублей.
Отметим, что в 2022 году Роскомнадзор не будет проводить контрольные проверки (постановление Правительства от 10.03.2022 № 336). Однако по жалобе, например, обиженного сотрудника, может проводиться внеплановая проверка.
Комментарии
1"Впоследствии уведомление в Роскомнадзор необходимо представлять, если:
Например, у сотрудницы сменилась фамилия. Срок подачи — не позже 15 числа месяца, следующего за месяцем изменения данных.
Например, сотрудник уволился. Срок подачи — в течение 10 рабочих дней с даты прекращения обработки."
Простите, а где про это можно почитать подробнее?