С 01.09.2022 работодатели обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников.
Работодатель признается оператором персональных данных. До 1 сентября 2022 г. уведомлять об их обработке Роскомнадзор не требовалось, поскольку данные используются только в рамках трудовых отношений (ст. ст. 3, 22 Закона N 152-ФЗ).
С 1 сентября 2022 года следует проинформировать ведомство, если компания собирается обрабатывать, в частности, персональные данные :
— своих работников;
— клиентов (когда данные о них нужны исключительно для заключения и исполнения договоров);
— физлиц, которые разрешили их распространять;
— физлиц — только в части Ф.И.О.;
— физлиц — для однократного пропуска на территорию или в аналогичных целях.
Если для обработки персональных данных не используют средства автоматизации, уведомлять ведомство не нужно. Например, данные о посетителях организации записывают в бумажный журнал при выдаче им разовых пропусков.
В законе закрепили положение о том, что формы уведомлений должен установить Роскомнадзор (пока действует рекомендуемая форма, которую можно заполнить и подать через портал персональных данных (https://pd.rkn.gov.ru/operators-registry/notification/ )).
- Вот что с 1 сентября 2022 года исключено из статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) «О персональных данных» {КонсультантПлюс}:
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
КонсультантПлюс: примечание.
С 01.09.2022 п. 1 — 6 ч. 2 ст. 22 утрачивают силу (ФЗ от 14.07.2022 N 266-ФЗ).
1) обрабатываемых в соответствии с трудовым законодательством;
(п. 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;
(п. 4 в ред. Федерального закона от 30.12.2020 N 519-ФЗ)
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
Иными словами, теперь любой работодатель должен уведомлять Роскомнадзор об обработке ПД, используемых в целях трудовой деятельности.
- Кроме того,
Изменения коснулись широкого круга вопросов.
Среди них: когда нужно уведомить о намерении обрабатывать персональные данные; что включать в локальные акты и как их правильно размещать на сайте компании; что делать, если произошла утечка данных.
- Также скорректировали требования к содержанию уведомления. Если данные будут обрабатывать в разных целях, то для каждой из них понадобится указать:
— категорию данных и их субъектов;
— правовое основание обработки;
— перечень действий с данными и способы их обработки.
- Если у физлиц или юрлиц есть доступ к персональным данным в государственных (муниципальных) информационных системах или они обрабатывают данные из этих систем по договору, Ф.И.О. таких физлиц (наименование юрлиц) нужно привести в уведомлении.
- В законе закрепили положение о том, что формы уведомлений должен установить Роскомнадзор (пока действует рекомендуемая форма, которую можно заполнить и подать через портал персональных данных).
- Организациям, еще не включенным в реестр операторов персональных данных, рекомендуем направить уведомление об обработке персональных данных до 01.09.2022. Это можно сделать на сайте Роскомнадзора. Организациям, уже включенным в реестр операторов, не позднее 15.09.2022 рекомендуем уведомить Роскомнадзор о новой цели обработки персональных данных — обработке в рамках трудовых отношений (ст. 22 Закона N 152-ФЗ в редакции, действующей с 01.09.2022).
- За непредставление или несвоевременное представление уведомления предусмотрена административная ответственность: предупреждение или штраф для должностных лиц — от 300 до 500 руб.; для юридических лиц — от 3 000 до 5 000 руб. (ст. 19.7 КоАП РФ).
- Закон о персональных данных не распространяется на обработку информации для личных и семейных нужд, гостайну и ведение Архивного фонда — п. 2 ст. 1 закона 152-ФЗ.
Рекомендуем документы в КонсультантПлюс:
- Типовая ситуация: Как обрабатывать персональные данные работников (Издательство «Главная книга», 2022) {КонсультантПлюс}
- Обзор: «Персональные данные: какие изменения учесть компаниям с 1 сентября» (КонсультантПлюс, 2022) {КонсультантПлюс}
- ст. 1, Федеральный закон от 14.07.2022 N 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» {КонсультантПлюс}
- ст. 22, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) «О персональных данных» {КонсультантПлюс}
