Закон 266-ФЗ от 14.07.2022 меняет правила работы с персональными данными.
До 1 сентября 2022 года все работодатели должны уведомить Роскомнадзор об обработке личной информации своих работников, чтобы попасть в реестр операторов персональных данных.
Эта обязанность коснётся большинство организаций и ИП. Рассказываем, как и когда уведомить Роскомнадзор.
Раньше многих предпринимателей закон о персональных данных не касался. Они могли обрабатывать персональные данные и не уведомлять Роскомнадзор в таких ситуациях:
С 1 сентября 2022 года работодатели обязаны направлять уведомление в Роскомнадзор о начале обработки персональных данных.
Перечень персональных данных в 152-ФЗ открытый, то есть к ним относится любая личная информация, которая позволяет определить конкретное лицо — субъекта персональных данных. Это могут быть фамилия, ИНН, адрес страницы в соцсетях, номер телефона и прочее. Если предприниматель собирает любую личную информацию о своих работниках или клиентах, даже просто имя и телефон для записи на услугу, он уже считается оператором персональных данных.
Закон о персональных данных не распространяется на обработку информации для личных и семейных нужд, гостайну и ведение Архивного фонда — п. 2 ст. 1 закона 152-ФЗ.
До сентября 2022 г. уведомлять об их (персональных данных) обработке Роскомнадзор было не нужно, поскольку данные используются только в рамках трудовых отношений (ст. ст. 3, 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в редакции, действующей до 01.09.2022 года).
Обрабатывая персональные данные в рамках трудовых отношений, можно было не уведомлять о такой обработке Роскомнадзор.
С 01.09.2022 вступает в силу Федеральный закон от 14.07.2022 N 266-ФЗ, которым в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» внесены изменения, предусматривающие для работодателей обязанность уведомления Роскомнадзора о начале обработки персональных данных работников.
Интересно, что с новыми изменениями уведомлять Роскомнадзор нужно, даже если оператор оформляет лицу разовый пропуск (например, для входа на территорию работодателя) или заключает гражданско-правовой договор.
Работодателям, еще не включенным в реестр операторов персональных данных, рекомендуем направить уведомление об обработке персональных данных до 01.09.2022.
Работодателям, уже включенным в реестр операторов, не позднее 15.09.2022 рекомендуем уведомить Роскомнадзор о новой цели обработки персональных данных - обработке в рамках трудовых отношений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в редакции, действующей с 01.09.2022).
Проверить организацию в реестре операторов персональных данных можно по ИНН по следующей ссылке: https://pd.rkn.gov.ru/operators-registry/operators-list/.
Форма уведомления размещена на сайте Роскомнадзора по ссылке: https://pd.rkn.gov.ru/operators-registry/notification/form/.
На сайте можно сформировать само уведомлением.
По этой же ссылке можно заполнить уведомление и подать его на сайте Роскомнадзора.
Для подачи уведомления через сайт Роскомнадзора необходимо наличие усиленной квалифицированной электронной подписи. Дублировать уведомление на бумаге не нужно.
Также вам помогут Методические рекомендации, утверждённые приказом Роскомнадзора от 30.05.2017 № 94 -
Если у вас возникают трудности с уведомлением, можно подсмотреть, как это делают крупные компании. Все данные в реестре открыты, кроме способов защиты персональных данных. Найдите в реестре операторов компанию, которой доверяете и посмотрите, какие сведения о себе она указывала для Роскомнадзора.
С 1 сентября 2022 года можно не уведомлять Роскомнадзор о намерении обрабатывать персональные только в трёх ситуациях:
Обработка без средств автоматизации:
Автоматизированная обработка:
Если не отправить уведомление или не проинформировать Роскомнадзор об изменениях, штраф по ст. 19.7 КоАП РФ составит до 5000 рублей. За нарушение законодательства о персональных данных установлены санкции по ст. 13.11 КоАП РФ: от 10 000 рублей для ИП, и от 60 000 рублей — для организаций.
Уголовная ответственность предусмотрена за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации — ст. 137, 272 УК.
Также ст. 24 152-ФЗ предусматривает обязательное возмещение морального вреда субъекту персональных данных вследствие нарушения правил обработки его личной информации. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но инспектор придёт внепланово по жалобе от клиента или работника. Например, если сотрудник возмутится, что его данные хранятся у оператора, которого нет в государственном реестре.
мы подготовили свой пример, его можно скачать ниже и заполнить по аналогии на сайте РКН - https://pd.rkn.gov.ru/operators-registry/notification/form/
Это образец
А это готовое уведомление от нашей компании, которая обрабатывает персональные данные лишь в рамках трудовых отношений
Мы создали пошаговое руководство по заполнению уведомления в видео формате, если вдруг у кого-то возникнут сложности с этим: