Содержание
С начала осени абсолютно у всех работодателей – индивидуальных предпринимателей и юридических лиц – появилась обязанность направлять в Роскомнадзор уведомление установленного образца, если они собирают персональные данные в электронном виде.
Это нужно для включения в реестр операторов персональных данных. Обойти требование закона никак не получится. За нарушение наступает ответственность в виде крупных штрафов, а в отдельных случаях – и уголовного преследования. В этой статье команда «Право в сети» рассмотрит и прояснит все детали.
Ещё раз о персональных данных
Под понятие «персональные данные» попадают любые сведения, позволяющие идентифицировать человека. К такой информации относятся личные данные:
- имя, отчество, фамилия;
- дата рождения;
- место жительства;
- телефон;
- электронная почта и прочее.
Иными словами, всё то, что просят отразить в анкете работодатели или, к примеру, торговые представители со службой доставки для оказания определенных услуг. Такие сведения всё чаще предоставляются, хранятся и обрабатываются в электронном виде, а значит, попадают в электронные базы данных.
Рекомендации по заполнению уведомления на обработку персональных данных
Ссылка на форму для создания уведомления по обработке персональных данных https://pd.rkn.gov.ru/operators-registry/notification/form/.
Если вы планируете отправлять Уведомление в бумажном виде по почте, до заполнения формы подключите к компьютеру принтер, так как заполненное Уведомление по обработке персональных данных сразу появляется на экране в виде страницы, готовой к распечатке, а не сохраняется в файл.
В самой форме вы увидите графы со звездочками и без них. Первые — обязательны к заполнению, вторые можно оставить пустыми.
Остановимся на блоке «Общие сведения», который вызывает у наших клиентов много вопросов.
В поле «Правовое основание обработки персональных данных» необходимо перечислить документы, для соблюдения требований которых необходима информация о человеке. К ним относятся:
- законы, кодексы, постановления, указы и т.п., принятые в РФ;
- внутренние документы компании, например, Устав, трудовой договор и т.п.
В поле «Цель обработки персональных данных» надо указывать, для чего собираются данные. Например, это могут быть: ведение финансово-хозяйственной деятельности, начисление заработной платы, предоставление сведений и ПФ РФ, ИФНС, рассмотрение кандидата на вакансию и другие.
Поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона “О персональных данных”» предназначено для описания мероприятий, которые применяются для сохранности собранной информации.
Поле «Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ» предусмотрено для конкретных мероприятий, используемых для сохранности информации.
В поле «Дата начала обработки персональных данных» заполняется в формате ДД.ММ.ГГГГ.
Для заполнения строки «Срок или условие прекращения обработки персональных данных» надо сначала в выпадающем списке выбрать, что именно будет заполнено: дата или условие. А затем заполнить поле соответствующей информацией.
После заполнения документа подать уведомление в Роскомнадзор можно в бумажном виде и в электронном.
Как направить обязательное уведомление в Роскомнадзор
Есть три несложных способа для решения этой задачи:
- По почте. Сам документ заполняется с помощью онлайн-формы, которая размещена на сайте ведомства. О ее заполнении мы рассказывали выше. После того как файл сгенерируется, его следует распечатать, подписать и отправить почтой. Письмо лучше оформить как заказное, причём с описью вложений, чтобы подстраховать себя.
- На сайте Роскомнадзора, электронное уведомление следует подписать усиленной квалифицированной подписью.
- Через портал Госуслуг. Так тоже можно, но следует помнить, что при переходе по ссылке ожидает процедура аутентификации, осуществить которую без подтверждённой учётной записи на Госуслугах не получится.
Что изменилось в законе о персональных данных
С 01.09.2022 вступили в силу ряд изменений, вокруг которых уже много шума, а у некоторых работодателей ещё и паника.
Пройдёмся коротко по изменениям в законе. Нередки случаи, когда в Реестр операторов персональных данных (ОПД) встают по требованию Роскомнадзора. Раньше на направление сведений отводилось 30 дней, теперь срок сократили до десяти. Сократили и перечень исключений, лишь в трёх случаях можно не направлять уведомление о намерении обрабатывать персональные данные:
- Если эти сведения имеются в государственных информационных системах персональных данных, созданных для обеспечения безопасности страны и общественного порядка (к примеру, автоматизированные дактилоскопические информационные системы (АДИС) органов правопорядка).
- Использование личных данных осуществляется без средств автоматизации, что неприменимо для онлайн-проектов.
- Персональные данные обрабатываются в предусмотренных законами о транспортной безопасности ситуациях (к примеру, записи с камер круглосуточного видеонаблюдения на вокзалах).
Немногим ранее, до изменений, список исключений был шире, не было необходимости уведомлять Роскомнадзор для включения в реестр ОПД, если личная информация о человеке использовалась строго для выполнения обязательств в договорных отношениях.
К примеру, для оказания той или иной услуги предпринимателю необходимы номер телефона и email. Об обработке такой информации ранее не надо было сообщать надзорному ведомству. С 1 сентября — в обязательном порядке надо. Другими словами, если у фирмы есть клиенты, то однозначно их персональные данные как-то обрабатываются, и об этом надлежит сообщить в Роскомнадзор. Уведомить надзорный орган теперь должны и те работодатели, которые обрабатывают исключительно личные данные своих подчинённых.
Важно обратить внимание и на то, что действие закона о персональных данных распространяется на иностранных юридических и физических лиц в том случае, когда одной из сторон договора выступает гражданин РФ (или этот гражданин дал согласие на обработку своих личных данных).
И ещё один важный нюанс: отныне операторам персональных данных запрещается отказывать человеку в услугах по причине того, что он не считает нужным предоставлять свою личную информацию или соглашаться на её обработку в случаях, когда по закону получать такое согласие необязательно. Аналогичная норма внесена и в закон о защите прав потребителей.
Самостоятельно разобраться в новшествах не так просто, поэтому «Право в сети» рекомендует при подготовке и направлении уведомления в Роскомнадзор обратиться за юридической помощью.
Наши специалисты готовы также разработать для работодателей на случай проверки Роскомнадзора весь необходимый пакет документов, включая Политику конфиденциальности.
Оставьте заявку на бесплатную 15-минутную консультацию. Мы вам перезвоним.
Как быть тем, кто уже уведомлял Роскомнадзор
Если вы направляли ранее уведомление о готовности обрабатывать персональные данные, значит, вы уже должны быть в Реестре, и повторно сообщать об этом ведомству нет никакой необходимости.
Однако перепроверьте, есть ли вы в Реестре операторов и какие цели для ОПД вы указывали, возможно они нуждаются в уточнении. Кроме того, с 1 сентября 2022 года в уведомлении следует отражать больше данных, поэтому необходимо направить информационное письмо, дополнив и актуализировав необходимые данные реестра.
К примеру, относительно каждой цели теперь надо прописывать:
- категории персональных данных;
- категории субъекта персональных данных;
- правовое основание обработки;
- перечень действий с персональными данными;
- способы обработки.
Также если вы осуществляете передачу персональных данных в зарубежные страны (трансграничная передача), то вам надо подать отдельное уведомление о трансграничной передаче до 1 марта 2023 года.
Нарушишь закон — придётся ответить по всей строгости
Операторам персональных данных грозят как минимум ощутимые штрафы. В каждом конкретном случае размер штрафа зависит от вида нарушения и определяется статьей 13.11 КоАП РФ.
Для физлиц суммы штрафов варьируются от 700 до 5000 рублей. Для должностных — от 3000 до 20 000 рублей.
Индивидуальным предпринимателям за нарушение закона придётся уплатить от 5000 до 20 000 рублей.
Юридических лиц ждут самые крупные штрафы: от 15 000 до 75 000 рублей.
Считаем нужным обратить внимание и на тот факт, что законом предусмотрено обязательное возмещение морального вреда субъекту персональных данных по причине нарушения правил обработки его личных данных.
В любом коллективе может найтись бывший сотрудник, который захочет создать проблемы начальнику или получить дополнительные деньги может заглянуть в Реестр операторов и не обнаружить там своего работодателя, о чём поспешит сообщить в надзорный орган.
Да, плановые проверки до конца 2022 года не проводятся, однако не забывайте, что проверяющий может прийти на основании полученной жалобы, и тогда ответственности не избежать. Поэтому взвесьте все «за» и «против» уже сейчас и примите для себя верное решение.
Если у вас есть вопросы по обработке персональных данных, мы вас проконсультируем бесплатно в течение 15 минут. Оставьте заявку, мы вам перезвоним.