• Публикации

Уведомление РКН о персональных данных с 01 сентября 2022 года! Что делать?

Закон 266-ФЗ от 14.07.2022 меняет правила работы с персональными данными.

До 1 сентября 2022 года все работодатели должны уведомить Роскомнадзор об обработке личной информации своих работников, чтобы попасть в реестр операторов персональных данных.

Эта обязанность коснётся большинство организаций и ИП. Рассказываем, как и когда уведомить Роскомнадзор.

Раньше многих предпринимателей закон о персональных данных не касался. Они могли обрабатывать персональные данные и не уведомлять Роскомнадзор в таких ситуациях:

• обработка персональных данных по трудовому законодательству;
• получение личной информации с согласия субъекта персональных данных только для исполнения заключённого с ним договора;
• обработка персональных участников религиозных организаций или общественных объединений;
• распространение личной информации с согласия субъекта персональных данных;
• обработка персональных данных, состоящих только из Ф.И.О.;
• получение информации для оформления разового пропуска на территорию оператора персональных данных.

С 1 сентября 2022 года работодатели обязаны направлять уведомление в Роскомнадзор о начале обработки персональных данных.

Перечень персональных данных в 152-ФЗ открытый, то есть к ним относится любая личная информация, которая позволяет определить конкретное лицо — субъекта персональных данных. Это могут быть фамилия, ИНН, адрес страницы в соцсетях, номер телефона и прочее. Если предприниматель собирает любую личную информацию о своих работниках или клиентах, даже просто имя и телефон для записи на услугу, он уже считается оператором персональных данных.

Закон о персональных данных не распространяется на обработку информации для личных и семейных нужд, гостайну и ведение Архивного фонда — п. 2 ст. 1 закона 152-ФЗ.

До сентября 2022 г. уведомлять об их (персональных данных) обработке Роскомнадзор было не нужно, поскольку данные используются только в рамках трудовых отношений (ст. ст. 3, 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в редакции, действующей до 01.09.2022 года).

Обрабатывая персональные данные в рамках трудовых отношений, можно было  не уведомлять о такой обработке Роскомнадзор.

С 01.09.2022 вступает в силу Федеральный закон от 14.07.2022 N 266-ФЗ, которым в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» внесены изменения, предусматривающие для работодателей обязанность уведомления Роскомнадзора о начале обработки персональных данных работников.

Интересно, что с новыми изменениями уведомлять Роскомнадзор нужно, даже если оператор оформляет лицу разовый пропуск (например, для входа на территорию работодателя) или заключает гражданско-правовой договор.

Работодателям, еще не включенным в реестр операторов персональных данных, рекомендуем направить уведомление об обработке персональных данных до 01.09.2022.

Работодателям, уже включенным в реестр операторов, не позднее 15.09.2022 рекомендуем уведомить Роскомнадзор о новой цели обработки персональных данных - обработке в рамках трудовых отношений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в редакции, действующей с 01.09.2022).

Проверить организацию в реестре операторов персональных данных можно по ИНН по следующей ссылке: https://pd.rkn.gov.ru/operators-registry/operators-list/.

Форма уведомления размещена на сайте Роскомнадзора по ссылке: https://pd.rkn.gov.ru/operators-registry/notification/form/.

На сайте можно сформировать само уведомлением.

По этой же ссылке можно заполнить уведомление и подать его на сайте Роскомнадзора.

Для подачи уведомления через сайт Роскомнадзора необходимо наличие усиленной квалифицированной электронной подписи. Дублировать уведомление на бумаге не нужно.

Также вам помогут Методические рекомендации, утверждённые приказом Роскомнадзора от 30.05.2017 № 94 -

https://www.moedelo.org/Pro/View/Legals/97-425972006876?utm_source=klerk-pr&utm_medium=referral&utm_campaign=article&utm_content=blogs-moedelo-29082022

Если у вас возникают трудности с уведомлением, можно подсмотреть, как это делают крупные компании. Все данные в реестре открыты, кроме способов защиты персональных данных. Найдите в реестре операторов компанию, которой доверяете и посмотрите, какие сведения о себе она указывала для Роскомнадзора.

• Заполнить форму на портале Роскомнадзора, распечатать, подписать и подать в бумажном виде в территориальное управление ведомства по месту своей регистрации.
• Отправить электронное уведомление, подписанное усиленной квалифицированной электронной подписью, на сайте Роскомнадзора. У заявителя должен быть установлен плагин КриптоПро ЭЦП Browser plug-in, и настроена работа с ним. Дублировать уведомление на бумаге не нужно.
• Подать уведомление через Госуслуги. При переходе по ссылке на сайте Роскомнадзора сервис предложит пройти аутентификацию, поэтому понадобится подтверждённая учётная запись, привязанная к организации или ИП. В этом случае также не нужно отправлять бумажное уведомление с подписью.

С 1 сентября 2022 года можно не уведомлять Роскомнадзор о намерении обрабатывать персональные только в трёх ситуациях:

• персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка — например, автоматизированные дактилоскопические информационные системы (АДИС) полиции;
• обработка личной информации производится исключительно без средств автоматизации, то есть без использования вычислительной техники;
• персональные данные используются в случаях, предусмотренных законами о транспортной безопасности. Например, записи с видеокамер систем видеонаблюдения в аэропортах и на ж/д вокзалах.

Обработка без средств автоматизации:

• распечатали или скопировали пустой бланк согласия на обработку персональных данных, а человек заполнил его от руки;
• ведёте журнал учёта посетителей на вахте вручную;
• передали документ лично сотруднику.

Автоматизированная обработка:

• отсканировали заполненный бланк согласия на обработку персональных данных;
• отправили фамилию и ИНН работника по e-mail.

Если не отправить уведомление или не проинформировать Роскомнадзор об изменениях, штраф по ст. 19.7 КоАП РФ составит до 5000 рублей. За нарушение законодательства о персональных данных установлены санкции по ст. 13.11 КоАП РФ: от 10 000 рублей для ИП, и от 60 000 рублей — для организаций.

Уголовная ответственность предусмотрена за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации — ст. 137, 272 УК.

Также ст. 24 152-ФЗ предусматривает обязательное возмещение морального вреда субъекту персональных данных вследствие нарушения правил обработки его личной информации. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но инспектор придёт внепланово по жалобе от клиента или работника. Например, если сотрудник возмутится, что его данные хранятся у оператора, которого нет в государственном реестре.

мы подготовили свой пример, его можно скачать ниже и заполнить по аналогии на сайте РКН -  https://pd.rkn.gov.ru/operators-registry/notification/form/

Это образец

А это готовое уведомление от нашей компании, которая обрабатывает персональные данные лишь в рамках трудовых отношений

Мы создали пошаговое руководство по заполнению уведомления в видео формате, если вдруг у кого-то возникнут сложности с этим: