Эксперт Контур.Бухгалтерии Татьяна Евдокимова поясняет, какое уведомление нужно подать в ведомство, когда придется отправить дополнительно информационное письмо и что изменилось для компаний в работе с персональными данными.
Почему изменились требования к обработке персданных
Утечки информации о личных данных граждан участились в последние годы, и государство намерено тщательнее следить за обработкой и защитой таких сведений. Для этого разработаны новые правила, утвержденные законом от 14.07.2022 № 266-ФЗ.
Что изменилось для работодателей
О начале обработки персональных данных сообщают все операторы — государственные или муниципальные органы, юридический или физические лица, которые собирают и обрабатывают персданные. Все они числятся в специальном открытом реестре операторов на сайте Роскомнадзора.
С 1 сентября 2022 из закона «О персональных данных» исключили шесть случаев, когда компании могли не уведомлять Роскомнадзор о скорой обработке данных (ст. 22 закона от 27.07.2006 № 152-ФЗ), и норма стала строже.
Теперь большему числу работодателей нужно отчитаться перед ведомством. Это касается компаний, которые обрабатывают персданные сотрудников, подрядчиков на договорах ГПХ, клиентов компании, посетителей и других лиц, которые сообщают свои фамилию, имя и отчество.
От подачи уведомления компания освобождается только в таких ситуациях:
- если персональные данные включены в государственные защищенные информсистемы;
- если оператор собирает персональные данные строго без средств автоматизации: например, записывает в тетрадь от руки (бухгалтерская программа или таблицы Excel на компьютере — это уже средства автоматизации);
- если данные обрабатывают в целях устойчивой и безопасной работы транспорта, защиты интересов личности, общества и государства в сфере транспорта согласно законам РФ.
Кто должен отправить уведомление в Роскомнадзор
Прежде всего, работодателю нужно проверить, есть ли его компания в реестре Роскомнадзора. Это можно сделать на сайте ведомства в разделе «Реестр операторов». Для поиска достаточно ввести ИНН или ОГРН компании. Если организация числится в реестре, отправлять уведомление не нужно.
Если компании или ИП нет в реестре, нужно подать уведомление о начале работы с персданными. В течение месяца после получения уведомления Роскомнадзор добавит организацию или ИП в реестр операторов. При отправке письма в бумажном виде отсчет идет с даты его получения территориальным отделением.
В какие сроки и по какой форме подать уведомление
Сейчас уведомить о сборе персданных можно через форму, утвержденную приказом Роскомнадзора от 30.05.2017 № 94. В тексте приказа есть и порядок заполнения формы. Перечень сведений, которые нужно указать в уведомлении, приведен в ч. 3 ст. 22 закона от 27.07.2006 № 152-ФЗ.
В ведомстве предупредили, что скоро будут утверждены новые формы, но до этого оператор вправе воспользоваться текущей формой (информация Роскомнадзора от 01.09.2022).
Составить и отправить уведомление нужно в местное отделение Роскомнадзора одним из способов:
- на бумаге заказным письмом через Почту России;
- в электронном виде через сайт Роскомнадзора — понадобится сертификат КЭП;
- в электронном виде через ЕСИА.
В текущей форме уведомления нет некоторых полей, которые появятся в новой форме документа согласно частям 3 и 3.1 ст. 22 закона от 27.07.2006 № 152-ФЗ. А значит, после утверждения новой формы работодателям придется передать уведомление о внесении изменений в ранее внесенные сведения: отдельно указать категории персданных, которые запрашиваете, а еще для каждой цели обработки данных указать категории персданных и категории лиц, которым принадлежат эти данные, и пояснить, что вы делаете с этими данными и на каком правовом основании.
Роскомнадзор сообщил, что предельный срок для отправки уведомления не назван и 1 сентября 2022 — не крайний срок (информация Роскомнадзора от 01.09.2022). Вероятно, при такой трактовке ведомство не будет штрафовать тех, кто задержался с подачей уведомления.
Но все же рекомендуем не откладывать эту задачу и воспользоваться текущей формой уведомления, а после утверждения новой внести дополнения в ранее переданные сведения.
В уведомлении нужно указать дату, с которой оператор начали обработку персданных. Специалисты Роскомнадзора разъяснили, что такой датой считается день государственной регистрации компании или ИП (информация пресс-службы Роскомнадзора от 25.08.2022).
Какие сведения еще нужно передавать
Уведомление подают один раз, не перечисляя в нем сотрудников, поэтому при найме новых работников или получении персданных от новых клиентов не придется отправлять новые уведомления.
В некоторых случаях оператор должен передать дополнительные сведения:
- при изменении в составе собираемых персональных данных: например, вы начали спрашивать сотрудников об их семейном положении, хотя раньше этого не делали — передайте по форме письма о внесении изменений в сведения (утверждено приказом Роскомнадзора от 30.05.2017 № 94);
- при смене сотрудника, ответственного за обработку персданных — передайте по форме актуального уведомления;
- при прекращении обработки персданных: например, закрытии компании — передайте по форме заявления о прекращении обработки данных (утверждено приказом Роскомнадзора от 30.05.2017 № 94).
Сообщить об этих изменениях нужно в течение 10 рабочих дней (ч. 7 ст. 22 закона от 27.07.2006 № 152-ФЗ).
Также компании обязаны отвечать на запросы сотрудников и Роскомнадзора о том, какие персданные они собирают. На ответ теперь дается 10 рабочих дней, а не 30, как прежде (ст. 20 закона от 27.07.2006 № 152-ФЗ).
А еще для лучшей защиты данных операторы должны взаимодействовать с ФСБ и подключиться к ГосСОПКА — системе предотвращения кибератак на российские информресурсы. Если происходит утечка персданных, оператор должен в течение суток уведомить об этом ГосСОПКА и назвать возможные причины, а в течение трех суток подготовить отчет о причинах и причастных лицах.
Как именно подключаться к ресурсу ФСБ и что еще потребуется от оператора, определено в п. 12 ст. 19 закона от 27.07.2006 № 152-ФЗ.
Что стоит проверить в персональных данных
Закон разрешает работодателям обрабатывать персданные только в некоторых целях. Это связано с такими ситуациями:
- заполнение трудового договора, передача сведений в контролирующие органы;
- содействие карьерному росту и обучению сотрудников;
- забота о личной безопасности сотрудников;
- контроль объемов и качества выполняемой работы;
- сохранность имущества предприятия.
Если личные данные не связаны с этими целями, работодатель не вправе их запрашивать, даже если сотрудник не возражает. Также нельзя обрабатывать данные из особых категорий: о расовой или национальной принадлежности, религиозных и политических убеждений, личной жизни и состояния здоровья, членстве в общественных организациях.
У всех лиц, от которых вы получили персданные, нужно взять согласие на их обработку. В согласии указывают цель сбора данных — ясно и без размытых формулировок.
Итак, прежде всего, важно проверить, числится ли компания в реестре операторов на сайте Роскомнадзора. Если нет — подать уведомление о начале сбора и обработки персональных данных по текущей форме, в качестве даты начала обработки указать дату регистрации компании или ИП.
Когда ведомство утвердит новую форму уведомления, стоит воспользоваться ею для отправки дополнительных сведений, которые не удалось указать в первый раз. Затем подключиться к ГосСОПКА и вовремя уведомлять ведомства об изменениях в обработке данных и утечках.
Автор: Татьяна Евдокимова, эксперт сервиса Контур.Бухгалтерия
Начать дискуссию