Защита персональных данных

Что нужно знать о новых правилах обработки персональных данных

Роскомнадзор разрешил отправлять уведомления о начале обработки персональных данных, не ограничивая компании предельным сроком, которым прежде считалось 1 сентября 2022 года.
Что нужно знать о новых правилах обработки персональных данных
Иллюстрация: «Клерк»

Эксперт Контур.Бухгалтерии Татьяна Евдокимова поясняет, какое уведомление нужно подать в ведомство, когда придется отправить дополнительно информационное письмо и что изменилось для компаний в работе с персональными данными.

Почему изменились требования к обработке персданных

Утечки информации о личных данных граждан участились в последние годы, и государство намерено тщательнее следить за обработкой и защитой таких сведений. Для этого разработаны новые правила, утвержденные законом от 14.07.2022 № 266-ФЗ.

Что изменилось для работодателей

О начале обработки персональных данных сообщают все операторы — государственные или муниципальные органы, юридический или физические лица, которые собирают и обрабатывают персданные. Все они числятся в специальном открытом реестре операторов на сайте Роскомнадзора.

С 1 сентября 2022 из закона «О персональных данных» исключили шесть случаев, когда компании могли не уведомлять Роскомнадзор о скорой обработке данных (ст. 22 закона от 27.07.2006 № 152-ФЗ), и норма стала строже.

Теперь большему числу работодателей нужно отчитаться перед ведомством. Это касается компаний, которые обрабатывают персданные сотрудников, подрядчиков на договорах ГПХ, клиентов компании, посетителей и других лиц, которые сообщают свои фамилию, имя и отчество.

От подачи уведомления компания освобождается только в таких ситуациях:

  1. если персональные данные включены в государственные защищенные информсистемы;
  2. если оператор собирает персональные данные строго без средств автоматизации: например, записывает в тетрадь от руки (бухгалтерская программа или таблицы Excel на компьютере — это уже средства автоматизации);
  3. если данные обрабатывают в целях устойчивой и безопасной работы транспорта, защиты интересов личности, общества и государства в сфере транспорта согласно законам РФ.

Кто должен отправить уведомление в Роскомнадзор

Прежде всего, работодателю нужно проверить, есть ли его компания в реестре Роскомнадзора. Это можно сделать на сайте ведомства в разделе «Реестр операторов». Для поиска достаточно ввести ИНН или ОГРН компании. Если организация числится в реестре, отправлять уведомление не нужно.

Если компании или ИП нет в реестре, нужно подать уведомление о начале работы с персданными. В течение месяца после получения уведомления Роскомнадзор добавит организацию или ИП в реестр операторов. При отправке письма в бумажном виде отсчет идет с даты его получения территориальным отделением.

В какие сроки и по какой форме подать уведомление

Сейчас уведомить о сборе персданных можно через форму, утвержденную приказом Роскомнадзора от 30.05.2017 № 94. В тексте приказа есть и порядок заполнения формы. Перечень сведений, которые нужно указать в уведомлении, приведен в ч. 3 ст. 22 закона от 27.07.2006 № 152-ФЗ.

В ведомстве предупредили, что скоро будут утверждены новые формы, но до этого оператор вправе воспользоваться текущей формой (информация Роскомнадзора от 01.09.2022).

Составить и отправить уведомление нужно в местное отделение Роскомнадзора одним из способов:

  • на бумаге заказным письмом через Почту России;
  • в электронном виде через сайт Роскомнадзора — понадобится сертификат КЭП;
  • в электронном виде через ЕСИА.

В текущей форме уведомления нет некоторых полей, которые появятся в новой форме документа согласно частям 3 и 3.1 ст. 22 закона от 27.07.2006 № 152-ФЗ. А значит, после утверждения новой формы работодателям придется передать уведомление о внесении изменений в ранее внесенные сведения: отдельно указать категории персданных, которые запрашиваете, а еще для каждой цели обработки данных указать категории персданных и категории лиц, которым принадлежат эти данные, и пояснить, что вы делаете с этими данными и на каком правовом основании.

Роскомнадзор сообщил, что предельный срок для отправки уведомления не назван и 1 сентября 2022 — не крайний срок (информация Роскомнадзора от 01.09.2022). Вероятно, при такой трактовке ведомство не будет штрафовать тех, кто задержался с подачей уведомления.

Но все же рекомендуем не откладывать эту задачу и воспользоваться текущей формой уведомления, а после утверждения новой внести дополнения в ранее переданные сведения.

В уведомлении нужно указать дату, с которой оператор начали обработку персданных. Специалисты Роскомнадзора разъяснили, что такой датой считается день государственной регистрации компании или ИП (информация пресс-службы Роскомнадзора от 25.08.2022).

Какие сведения еще нужно передавать

Уведомление подают один раз, не перечисляя в нем сотрудников, поэтому при найме новых работников или получении персданных от новых клиентов не придется отправлять новые уведомления.

В некоторых случаях оператор должен передать дополнительные сведения:

  • при изменении в составе собираемых персональных данных: например, вы начали спрашивать сотрудников об их семейном положении, хотя раньше этого не делали — передайте по форме письма о внесении изменений в сведения (утверждено приказом Роскомнадзора от 30.05.2017 № 94);
  • при смене сотрудника, ответственного за обработку персданных — передайте по форме актуального уведомления;
  • при прекращении обработки персданных: например, закрытии компании — передайте по форме заявления о прекращении обработки данных (утверждено приказом Роскомнадзора от 30.05.2017 № 94).

Сообщить об этих изменениях нужно в течение 10 рабочих дней (ч. 7 ст. 22 закона от 27.07.2006 № 152-ФЗ).

Также компании обязаны отвечать на запросы сотрудников и Роскомнадзора о том, какие персданные они собирают. На ответ теперь дается 10 рабочих дней, а не 30, как прежде (ст. 20 закона от 27.07.2006 № 152-ФЗ).

А еще для лучшей защиты данных операторы должны взаимодействовать с ФСБ и подключиться к ГосСОПКА — системе предотвращения кибератак на российские информресурсы. Если происходит утечка персданных, оператор должен в течение суток уведомить об этом ГосСОПКА и назвать возможные причины, а в течение трех суток подготовить отчет о причинах и причастных лицах.

Как именно подключаться к ресурсу ФСБ и что еще потребуется от оператора, определено в п. 12 ст. 19 закона от 27.07.2006 № 152-ФЗ.

Что стоит проверить в персональных данных

Закон разрешает работодателям обрабатывать персданные только в некоторых целях. Это связано с такими ситуациями:

  • заполнение трудового договора, передача сведений в контролирующие органы;
  • содействие карьерному росту и обучению сотрудников;
  • забота о личной безопасности сотрудников;
  • контроль объемов и качества выполняемой работы;
  • сохранность имущества предприятия.

Если личные данные не связаны с этими целями, работодатель не вправе их запрашивать, даже если сотрудник не возражает. Также нельзя обрабатывать данные из особых категорий: о расовой или национальной принадлежности, религиозных и политических убеждений, личной жизни и состояния здоровья, членстве в общественных организациях.

У всех лиц, от которых вы получили персданные, нужно взять согласие на их обработку. В согласии указывают цель сбора данных — ясно и без размытых формулировок.

Итак, прежде всего, важно проверить, числится ли компания в реестре операторов на сайте Роскомнадзора. Если нет — подать уведомление о начале сбора и обработки персональных данных по текущей форме, в качестве даты начала обработки указать дату регистрации компании или ИП.

Когда ведомство утвердит новую форму уведомления, стоит воспользоваться ею для отправки дополнительных сведений, которые не удалось указать в первый раз. Затем подключиться к ГосСОПКА и вовремя уведомлять ведомства об изменениях в обработке данных и утечках.

Автор: Татьяна Евдокимова, эксперт сервиса Контур.Бухгалтерия

Начать дискуссию

Бесплатно с Трудовые отношения

Сверхурочные в 2024 году: как оплачивать по новым правилам

Порядок оплаты сверхурочных работ закреплен в обновленной ст. 152 ТК во исполнение поручения, которое дал законодателям КС в постановлении от 27.06.2023 № 35-П. Теперь при оплате сверхурочной работы необходим принимать во внимание все компенсационные и стимулирующие выплаты.

Сверхурочные в 2024 году: как оплачивать по новым правилам

Курсы повышения
квалификации

20
Официальное удостоверение с занесением в госреестр Рособрнадзора
Бесплатно с Налоговые проверки

Продажа авто учредителю по цене ниже рыночной: сколько доначислят налоговики

Если организация продает самортизированные активы по низкой цене взаимозависимым лицам, ей доначислят налоги. Разбираем судебную практику.

Продажа авто учредителю по цене ниже рыночной: сколько доначислят налоговики

Что будет с интернетом, мобильной связью, Почтой России, электронными услугами, ИТ: заявления Минцифры

Максут Шадаев перед утверждением на должность министра цифрового развития, связи и массовых коммуникаций РФ назвал основные направления работы и какие вызовы стоят перед Минцифры.

Лучшие спикеры, новый каждый день

Новое приложение «Ситидрайва» удалили из App Store

Уже установленные приложения будут работать на iOS. Пользователям рекомендуют отключить функцию «Сгружать неиспользуемые».

Платись, платись большая и маленькая: независимо от размера зарплату нужно платить два раза в месяц! 💰«Ночной бухгалтер» № 1684

Даже если ваш сотрудник на неполной ставке получает зарплату размером в несколько тысяч рублей, ее нельзя платить один раз. Даже сотрудник просит. Так Роструд сказал.

Иллюстрация: Вера Ревина/Клерк.ру

Расценки на техобслуживание газового оборудования, возможно, будет устанавливать государство

Регионы предлагают ввести государственное регулирование стоимости услуг по техобслуживанию газового оборудования.

Опытом делятся эксперты-практики, без воды

Обменники крипты: как выбрать подходящий

Сегодня купить и продать криптовалюту* в России можно несколькими способами: через криптовалютные биржи, P2P-сервисы, криптоматы и обменники, работающие онлайн и офлайн. Последний вариант позволяет проводить сделки анонимно – без отправки своих персональных данных и платежных реквизитов.

Обменники крипты: как выбрать подходящий

Можно ли выдать за раз маленькую зарплату, как оплачивать переработку в командировке, на ГПД положен стандартный вычет. 3 важных разъяснения для бухгалтеров по зарплате

Собрали полезные разъяснения Роструда и Минфина по расчетам с работниками.

Иллюстрация: Вера Ревина/Клерк.ру

Приобретение лицом из недружественного государства доли (акций) в российской компании (ООО или АО) в 2024 году

Необходимо ли получать разрешение подкомиссии, если лицо из недружественного государства хочет стать участником (акционером) российской компании (ООО или АО). Какие требования предъявляются к данным сделкам (операциям).

Зарплата

Выделено финансирование на увеличенные выплаты педагогам

Правительство направит более 8 млрд рублей на увеличенные выплаты классным руководителям и кураторам.

IT-компании

Нидерландская компания Yandex сменит свое название до 31 июля

До 31 июля иностранная организация продаст остаток акций, перестанет использовать бренды российской компании «Яндекс» и сменит название.

Проверки ФАС

ФАС рассказала, как, где и на что контролирует цены

Контроль ценообразования на социально значимых рынках остается для Федеральной антимонопольной службы приоритетной задачей.

Миникурсы, текстовые и видеоинструкции для бухгалтеров

В России нашли фейковый магазин приложений Play Market

Специалисты по изучению киберпреступлений предупредили об опасном магазине приложений для смартфона. В файлах содержатся вирусы, которые могут украсть личные данные и деньги.

Обзоры новостей

⚡️ Итоги дня: искусственный интеллект защитит смартфон от кражи, в Петербурге будут следить за курильщиками, а в TikTok появятся часовые видео

Подготовили обзор главных событий дня — 17 мая 2024 года. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

Малый бизнес получил 130 млрд рублей по программе «1764»

По льготной ставке 13,4% годовых финансирование привлекли представители МСП из сферы гостиничных услуг, обрабатывающих производств, сельского хозяйства, а также транспортные компании и склады.

С 2025 года социальный заказ будет работать во всех регионах

Экспериментальный механизм социального заказа оказался успешным, поэтому Минфин утвердит его на постоянной основе. К участию присоединятся все регионы РФ.

Модульбанк запустил оценку юридического риск-профиля клиентов

Модульбанк запустил новый сервис по оценке юридического риск-профиля бизнеса на базе направления Модульюрист. Сервис подойдет для продавцов на маркетплейсах, производственных компаний и других типов бизнеса.

Экономика России

Росимуществу передали две рыбопромышленные компании

Суд национализировал две компании из Владивостока по добыче рыбы. Их договоры с Росрыболовством признали недействительными.

Когда сотрудник не хочет уходить: как уволить скандального работника

Увольняя сотрудника за прогулы, хамство и пьянство, вы всегда рискуете. Он может добиться возвращения по суду, и вам придется выплатить штраф — а сотрудник и дальше будет вести себя так же. Разбираемся, как обосновать увольнение и правильно оформить документы.

Когда сотрудник не хочет уходить: как уволить скандального работника

Интересные материалы

😏 КС РФ: затянувшаяся налоговая проверка не продлит срок взыскания. Но есть неприятный нюанс, поясняет налоговый юрист

Если налоговые инспекторы нарушили сроки проведения проверок, то это не изменит порядок исчисления сроков на взыскание налогов, пеней и штрафов.