Если раньше организация обрабатывала персональные данные своих работников только в целях осуществления трудовых отношений, то уведомлять Роскомнадзор об этом не требовалось. С 1 сентября 2022 г. это нужно делать всем работодателям, которые обрабатывают такие данные автоматически. С этим нововведением и поможем вам разобраться.
Отсутствие специальной кадровой программы, но присутствие персональных данных работников, например, в бухгалтерской программе «1С:» считается их автоматической обработкой? До какого срока важно успеть уведомить Роскомнадзор? В какой форме это делать? Ну и конечно, какая ответственность грозит нарушителям?
Уведомлять надо также о неправомерной или случайной передаче персональных данных, а также об их трансграничной передаче... и даже если вы просто выписываете пропуска на свою территорию, используя автоматизацию.
По общему правилу еще до начала обработки персональных данных лица, которые собираются их обрабатывать (операторы персональных данных), должны уведомлять Роскомнадзор о своем намерении, за исключением случаев, предусмотренных ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» 1. Уведомления следует направлять и в ряде других случаев.
Однако раньше большинство работодателей подходили под одно из исключений этого правила: если персональные данные обрабатывались только для выполнения требований трудового законодательства, то уведомлять Роскомнадзор не требовалось.
Теперь же исключение звучит иначе: если персональные данные работников обрабатываются только на бумаге (без применения автоматизации), то Роскомнадзор об этом уведомлять не надо. Но сейчас большинство организаций перечисляет зарплату через систему «Клиент-банк» и начисляет ее в «1С:». Даже без использования специальной кадровой программы есть иные информационные системы, где хранятся и используются персональные данные работников: Ф.И.О., дата рождения, адрес, паспортные данные, банковские реквизиты, ИНН, СНИЛС и др.
Новые правила уже вступили в силу 1 сентября 2022 г. Они касаются не только тех, кто потом начнет автоматически обрабатывать персданные работников, но и всех работодателей, которые это уже делают! А сколько из них уведомили Роскомнадзор? Тогда еще хорошо бы понять, что грозит нарушителям.
Исключения из правил
Прежде чем перейти к подробным инструкциям, что и как теперь нужно делать, скажем об оставшихся исключениях, когда можно обойтись без оповещения Роскомнадзора.
До 01.09.2022 таких случаев было 9. Сейчас их осталось всего 3 2. Ставить в известность ведомство не нужно, если персональные данные:
- включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываются исключительно без средств автоматизации;
- обрабатываются в целях защиты транспортной безопасности, обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Ранее, напомним, в перечень исключений, наряду с указанными выше, входили персданные:
- обрабатываемые в соответствии с трудовым законодательством;
- необходимые для однократного пропуска субъекта персданных на территорию, на которой находится оператор (и в иных аналогичных целях);
- включающие в себя только Ф.И.О. субъектов персданных;
- полученные в связи с заключением договора, стороной которого является субъект персданных, если они не распространяются и не представляются третьим лицам без согласия их субъекта и используются исключительно для исполнения указанного договора и заключения иных договоров с субъектом персданных и др.
Как видите, раньше в категорию исключений попадала довольно большая группа данных. Сейчас же их осталось совсем немного.
Далее в статье мы...