Top.Mail.Ru

Как работодателю уведомить Роскомнадзор об обработке персональных данных

С 1 сентября 2022 г. вступили в силу поправки в законодательство, согласно которым работодатели обязаны официально уведомлять Роскомнадзор о начале или осуществлении обработки персональных данных в соответствии с трудовым законодательством. Появились и новые обязанности направлять отдельные уведомления: об осуществлении трансграничной передачи персданных, при неправомерной или случайной передаче. В статье рассказываем, что конкретно должны делать работодатели, всегда ли нужно уведомлять ведомство (узнаете о существующих исключениях), по какой форме, в какие сроки и каким образом направлять уведомление, а также какая ответственность грозит организациям и их должностным лицам за нарушения в этой сфере.

По общему правилу еще до начала обработки персональных данных лица, которые собираются их обрабатывать (операторы персональных данных), должны уведомлять Роскомнадзор о своем намерении, за исключением случаев, предусмотренных ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»1. Уведомления следует направлять и в ряде других случаев. Прежде чем перейти к подробным инструкциям для работодателей, что и как им теперь нужно делать, чтобы не нарушить закон, скажем об оставшихся исключениях, когда можно обойтись без оповещения Роскомнадзора.

Исключения из правил

До 1 сентября 2022 года таких случаев было 9. Сейчас же их осталось всего 32. Ставить в известность ведомство не нужно, если персональные данные:

  • включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются исключительно без средств автоматизации;
  • обрабатываются в целях защиты транспортной безопасности, обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Ранее, напомним, в перечень исключений, наряду с указанными выше, входили персданные:

  • обрабатываемые в соответствии с трудовым законодательством;
  • необходимые для однократного пропуска субъекта персданных на территорию, на которой находится оператор (и в иных аналогичных целях);
  • включающие в себя только Ф.И.О. субъектов персданных;
  • полученные в связи с заключением договора, стороной которого является субъект персданных, если они не распространяются и не представляются третьим лицам без согласия их субъекта и используются исключительно для исполнения указанного договора и заключения иных договоров с субъектом персданных и др.

Как видите, раньше в категорию исключений попадала довольно большая группа данных. Сейчас же их осталось совсем немного: если данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности и без средств автоматизации3.

Почему были внесены такие изменения? Уведомление Рос­комнадзора о намерении осуществлять обработку персональных данных представляет собой форму контроля за деятельностью операторов. Видимо, законодатель при разработке данной нормы руководствовался тем, что уведомление госоргана приведет к более ответственному характеру обработки данных операторами. Сам Роскомнадзор в своем официальном телеграм-канале комментирует, что все принятые изменения призваны надежнее защищать личные данные граждан и максимально эффективно бороться с утечками4. Ведь после направления уведомления компания-оператор окажется под пристальным вниманием Роскомнадзора. Не исключено, что спустя некоторое время после подачи уведомления об обработке персональных данных в Роскомнадзор работодатель может получить от ведомства «встречное» уведомление – об обязательном профилактическом визите, с запросом документов. По поводу него сильно переживать не стоит – это не проверка. Но узнать о профвизите все же лучше заранее: план профвизитов (не путайте с планом проверок, он публикуется отдельно) можно найти на сайте управления Роскомнадзора по федеральному округу, на территории которого зарегистрирован работодатель5.

Когда обработку персданных можно считать автоматизированной?

Наибольший интерес из перечисленных выше исключений представляет обработка персданных без средств автоматизации. Что под этим понимается? Согласно п. 4 ст. 3 Закона № 152‑ФЗ автоматизированная обработка персданных – ​это обработка с помощью средств вычислительной техники.

Значит, если работодатель ведет учет персональных данных работников без использования компьютера, исключительно на бумажных носителях, тогда он по-прежнему может не уведомлять Роскомнадзор об обработке персданных. Хоть такую ситуацию сложно представить, но все-таки можно. Например, микропредприятие, занимающееся торговлей овощами и фруктами в палатке с одним директором и тремя работниками.

Если же работодатель на компьютере:

  • собирает, записывает, систематизирует;
  • накапливает, хранит;
  • уточняет (обновляет, изменяет);
  • извлекает, использует, передает (распространяет, предоставляет, дает доступ);
  • обезличивает;
  • блокирует, удаляет, уничтожает

персональные данные работников, то это будет считаться автоматизированной обработкой.

Работодатели осуществляют обработку персональных данных своих работников (например, Ф.И.О., возраст, паспортные и др. данные). Абсолютное большинство из них заносит и хранит информацию в различных базах, использует бухгалтерские программы и программное обеспечение для составления и отправки отчетности в ПФР и другие инстанции6. А значит, попадает под регламентацию деятельности операторов и несет соответствующие обязанности, в том числе по уведомлению Роскомнадзора.

Причем уведомление в Роскомнадзор надо будет подать всем без исключения работодателям:

  • и тем, кто ранее никогда не подавал уведомления об обработке персональных данных;
  • и тем, кто подавал (но по другой причине) и уже состоит в реестре операторов персональных данных. Ведь сейчас появилось новое основание для уведомления об обработке персданных – ​обработка в соответствии с трудовым законодательством.

Форма и содержание уведомления

Поправки в закон ввели новые требования к содержанию уведомления. Во-первых, если данные обрабатываются в разных целях, то для каждой из них нужно указать (ч. 3.1 ст. 22 Закона № 152‑ФЗ):

  • категории данных и их субъектов;
  • персональные данные, которые обрабатываются;
  • правовое основание их обработки;
  • перечень действий с персданными;
  • способы их обработки.

Во-вторых, если у граждан или юридических лиц есть доступ к персональным данным, содержащимся в государственных и муниципальных информационных системах, и/или они обрабатывают данные из этих систем на основании договора, то в уведомлении придется указать их Ф.И.О. или наименование (п. 10.2 ч. 3 ст. 22 Закона № 152‑ФЗ).

Соответственно, понадобилось разработать и новые формы уведомлений, которые предусматривали бы включение всех этих сведений. Такие формы должен установить Роскомнадзор (ч. 8 ст. 22 Закона № 152-ФЗ). Ведомство разработало проект приказа7, который утверждает 3 формы уведомлений:

  • о намерении осуществлять обработку персональных данных (см. образец оформления такого уведомления в Примере);
  • о внесении изменений в ранее представленные сведения;
  • о прекращении обработки персональных данных.

До официального принятия новых форм уведомлений Роскомнадзор предлагает8 использовать рекомендуемые, утвержденные им в составе Методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения приказом от 30.05.2017 № 949:

  • уведомление об обработке (о намерении осуществлять обработку) персональных данных;
  • уведомление о внесении изменений в сведения об операторе в Реестре (информационное письмо);
  • заявление о прекращении оператором обработки персональных данных;
  • заявление о предоставлении выписки из Реестра.

Как подать уведомление и в какой срок

Подавать уведомление необходимо в территориальное управление Рос­комнадзора по месту нахождения работодателя (в соответствии с учредительными документами):

  • в бумажном виде;
  • в электронной форме. Подписать уведомление можно усиленной квалифицированной электронной подписью или с помощью авторизации через портал госуслуг.

В частности, до появления утвержденных приказом Роскомнадзора форм рекомендуемые формы можно заполнить на портале персональных данных Роскомнадзора10 и:

  • распечатать и отправить в ведомство на бумаге;
  • подать через тот же портал.

Если работодателя изначально в реестре11 нет, то он подает уведомление (см. Рисунок); если есть и надо внести изменения (добавить новую цель обработки – ​в соответствии с трудовым законодательством), то информационное письмо.

Рисунок. Заполнение уведомления на портале персональных данных Роскомнадзора

Посмотреть и скачать образец заполнения уведомления можно на сайте Роскомнадзора12.

Ведомство разъяснило13, что после вступления в силу приказа, устанавливающего новую форму уведомления, оператор может направить уведомление о внесении изменений в ранее представленные сведения в реестр операторов, осуществляющих обработку персональных данных.

Срок рассмотрения уведомления исчисляется со дня его регистрации в территориальном органе Роскомнадзора. Сведения об операторе вносятся в реестр не позднее 30 дней с даты регистрации уведомления (п. 3.2 Рекомендаций).

Новая обязанность появилась у работодателей с 1 сентября 2022 года, и многие эксперты полагали, что уведомить необходимо до этой даты, что заставило ряд работодателей суетиться и в спешке подавать уведомления через портал Роскомнадзора. Однако сам Роскомнадзор отметил (в виде информационного сообщения на своем официальном сайте 1 сентября)14, что поскольку предельный срок уведомления Роскомнадзора об обработке персональных данных не определен, то это можно сделать и позже указанной даты.

Для тех, кто хочет подать уведомление, приводим образец его заполнения по новой (на дату передачи данной статьи в печать еще официально не утвержденной Роскомнадзором) форме в конце статьи.

Уведомления при неправомерной или случайной передаче персданных

У работодателей также появились новые обязанности по уведомлению Роскомнадзора в ситуациях, когда будет обнаружена неправомерная или случайная передача персданных (ч. 3.1 ст. 21 Закона № 152-ФЗ).

Мнение эксперта

При выявлении случаев неправомерной или случайной передачи персданных оператор-работодатель обязан:

1) в течение 24 часов с момента обнаружения такого нарушения уведомить ведомство об инциденте, его причинах, предполагаемом вреде субъекту перс­данных, принятых мерах, уполномоченном лице, которое от имени оператора взаимодействует с ведомством;

2) в течение 72 часов сообщить ведомству о результатах внутреннего расследования, а также направить сведения о лицах, действия которых стали причиной инцидента.

Оператору персональных данных также стоит иметь в виду, что с 1 сентября сокращаются с 30 до 10 рабочих дней сроки некоторых действий (ч. 1, 2, 4 ст. 20 Закона № 152‑ФЗ). В частности, оператору в этот период необходимо:

  • ответить на обращение субъекта персональных данных по поводу того, обрабатывает он его данные или нет, и если да, то предоставить к ним доступ;
  • дать мотивированный ответ об отказе предоставить информацию о наличии обрабатываемых персданных;
  • сообщить Роскомнадзору необходимые сведения по его запросу.

Кстати, при обращении субъекта персданных к оператору с требованием прекратить их обработку последний обязан это сделать в течение 10 рабочих дней. Этот срок может быть продлен, но не более чем на 5 рабочих дней, при этом придется направить гражданину мотивированное уведомление с указанием причин такой меры (ч. 5.1 ст. 21 Закон № 152‑ФЗ). Невыполнение данных требований будет свидетельствовать о нарушении закона со стороны оператора, в связи с чем Рос­комнадзор может его привлечь к административной ответственности по ст. 13.11 КоАП РФ.

Особенности уведомлений о трансграничной передаче персданных

С 1 марта 2023 года работодатели, осуществляющие трансграничную передачу персональных данных своих работников, должны уведомить об этом Роскомнадзор.

Напомним, что трансграничная передача персональных данных – это передача таких данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Например, если для приема соискателей на отдельные должности или для внутреннего перевода необходимо согласование учредителей (участников, акционеров), которые являются иностранцами, и для этого им будут направляться персданные, то их передача будет считаться трансграничной.

Мнение эксперта

С 01.03.2023 ст. 12 Закона № 152‑ФЗ о трансграничной передаче персональных данных начнет действовать в новой редакции. По новым правилам придется ориентироваться на перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов персональных данных, такой перечень будет формировать и вести Роскомнадзор. Кроме того, до начала трансграничной передачи данных о своем намерении это делать нужно будет уведомить Роскомнадзор. Если вы осуществляете трансграничную передачу уже сейчас, такое уведомление необходимо направить в ведомство до 01.03.2023.

Уведомление придется подавать отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных. Это сделано для того, чтобы вовремя вмешаться и предотвратить возможные нарушения прав субъектов персональных данных. Очевидно, что в большом потоке входящей информации Роскомнадзор не сможет оперативно выявлять нужные уведомления.

Наиболее сложным нововведением является требование к оператору до подачи уведомления получить от органов власти иностранных государств, иностранных физических или юридических лиц сведения:

  • о принимаемых мерах по защите прав субъектов персональных данных;
  • правовом регулировании персданных в иностранном государстве;
  • об органах власти иностранного государства, иностранных юридических и физических лицах, которым будут передаваться данные.

Причем Роскомнадзор может принять отказное решение, запрещающее трансграничную передачу данных, в целях защиты основ конституционного строя, безопасности жизни и здоровья граждан, а также в иных значимых целях. На принятие решения чиновникам дается 10 рабочих дней (с момента поступления уведомления). При положительном решении регулятора оператор может осуществлять трансграничную передачу персданных на тех территориях и в том объеме, которые указаны в решении Роскомнадзора. Вполне очевидно, что до принятия соответствующего решения оператор этим заниматься не вправе, поскольку с марта начинает действовать разрешительный, а не уведомительный порядок.

Направить уведомление можно теми же способами, что описаны выше. Кстати, для таких случаев на сайте Роскомнадзора размещен отдельный образец заполнения уведомления об осуществлении трансграничной передачи персданных15.

Ответственность за непредставление уведомления

Затягивать с подачей уведомлений не стоит, ведь за их непредставление (или несвоевременное представление), а равно передачу таких сведений (информации) в неполном объеме или в искаженном виде предусмотрена ответственность по ст. 19.7 КоАП РФ. Размер штрафа по ней составляет:

  • для должностных лиц – ​от 300 до 500 рублей;
  • для юридических лиц – ​от 3000 до 5000 рублей.

Вроде бы штраф небольшой, и многие работодатели склоняются к тому, что можно новыми обязанностями пренебречь, ведь, в крайнем случае, все, что им грозит сейчас, – это уплата незначительного штрафа. А, например, срок для подачи уведомления об обработке персданных (если речь не идет об их трансграничной передаче), как отметил сам Роскомнадзор, не установлен. Однако нельзя исключить, что со временем введут срок для подачи и таких уведомлений (а это новшество можно ненароком пропустить в череде других поправок, которых с каждым годом становится все больше и больше), штрафы в целом повысят, да и введения иных мер административной ответственности (вплоть до дисквалификации) тоже можно ожидать в связи с все повышающимся интересом властей к сфере обработки персданных.

Пример. Образец заполнения уведомления в Роскомнадзор о намерении осуществить обработку персональных данных с целью соблюдения трудового законодательства

Обращаем внимание читателей, что образец уведомления, приведенный в Примере, составлен до издания Роскомнадзором каких-либо официальных разъяснений о заполнении новой формы. Мы будем следить за их появлением и обязательно расскажем вам о них на страницах журнала.

Сноски 15

  1. Далее – Закон № 152-ФЗ. Вернуться назад
  2. Изменения внесены Федеральным законом от 14.07.2022 № 266‑ФЗ «О внесении изменений в Федеральный закон “О персональных данных”, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона “О банках и банковской деятельности”». Вернуться назад
  3. В статье мы рассматриваем порядок уведомления Роскомнадзора об обработке персональных данных работников. Но данная технология подходит и для других случаев уведомления ведомства в связи с обработкой персданных, перечисленных выше и которые теперь не входят в исключения. Вернуться назад
  4. Официальный телеграм-канал Роскомнадзора (https://t.me/rkn_tg). В нем, кстати, ведомство указывает, что если у работодателей есть вопросы, касающиеся нововведений, то можно их направить по адресу электронной почты: ask@rkn.gov.ru. Вернуться назад
  5. Например, см. План-график проведения обязательных профилактических визитов Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу в 2022 году, утв. приказом Управления Роскомнадзора по Центральному федеральному округу от 07.02.2022 № 26 (https://77.rkn.gov.ru/docs/77/Plan-grafik_provedenija_profilakticheskikh_vizitov.pdf). Вернуться назад
  6. См., например, постановление ФАС Восточно-Сибирского округа от 05.04.2011 по делу № А19-25289/09. Вернуться назад
  7. На момент подготовки материала документ принят не был (https://regulation.gov.ru/projects/ #npa=130665). Вернуться назад
  8. https://rkn.gov.ru/news/rsoc/news74488.htm Вернуться назад
  9. Далее – Рекомендации. Вернуться назад
  10. https://pd.rkn.gov.ru/operators-registry/notification/ Вернуться назад
  11. https://pd.rkn.gov.ru/operators-registry/operators-list/ Вернуться назад
  12. https://32.rkn.gov.ru/docs/32/uvedomlenie_21.06.docx Вернуться назад
  13. https://rkn.gov.ru/news/rsoc/news74488.htm Вернуться назад
  14. https://rkn.gov.ru/news/rsoc/news74488.htm. Вернуться назад
  15. https://pd.rkn.gov.ru/cross-border-transmission/form/ Вернуться назад
Оценить статью
s
В избранное

Выбери свой вариант доступа

Получать бесплатные
статьи на e-mail
Подписаться на
журнал на почте
Подписаться на
журнал сейчас

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 0

Рекомендовано для вас

Профилактический визит Роскомнадзора. Стоит ли бояться?

В этом году многие компании и ИП получили уведомления от Роскомнадзора о проведении профилактических визитов. И многие еще получат. Цель такого визита, исходя из названия, ясна – ​профилактика нарушений. Однако работодатели с опаской относятся к подобному мероприятию, прежде всего, по причине необходимости предоставления инспектору внушительного количества документов, касающихся обработки персональных данных. Кроме того, многие не знают, можно ли отказаться от профилактического визита без каких-либо последствий. Рассматриваем правовую природу профилактического визита Роскомнадзора, порядок его проведения и последствия прохождения или отказа от него для работодателей.

Разглашение персональных данных: за что можно уволить работника

Каждый день работодателю и его сотрудникам приходится обрабатывать большое количество персональных данных как собственных кадров, так и сотрудников контрагентов, а также клиентов, иных третьих лиц. Количество споров об увольнениях за разглашение персональных данных с каждым годом увеличивается. На наш взгляд, это связано, во-первых, с возросшей ответственностью бизнеса в этой сфере, а также с тем, что работодатели стали более грамотными в вопросах установления порядка работы с персданными и начали принимать локальные нормативные акты, которые регулируют порядок работы с ними, и требовать выполнения правил от персонала. Одновременно с этим появились новые возможности «вычислить» лицо, которое подлежит привлечению к ответственности, возросло использование различных компьютерных программ по контролю распространения и передачи данных сотрудниками. Анализируем судебную практику за последние годы по вопросам увольнения сотрудников за разглашение персональных данных, чтобы вы могли использовать выводы из нее в своей работе.

Дополнительные документы соискателя

В статье приводим подробный обзор документов, которые работодатель на практике часто запрашивает у соискателей в целях оценки их соответствия вакансиям по профессиональным и деловым качествам, хотя это и не предусмотрено законом (резюме, анкета, заявление о приеме на работу и т. п.), а также тех, наличие которых обязательно должно быть обеспечено даже при отказе в трудоустройстве (согласие на обработку персданных). Со ссылками на судебную практику объясняем, с какими рисками может столкнуться работодатель в данной сфере, например, если будет обосновывать отказ в приеме на работу непредставлением полностью заполненной анкеты или резюме, – хотя в судебной практике есть и решения в пользу работодателей, о которых мы тоже рассказываем. Узнаете, как такие риски нивелировать. В вашем распоряжении окажутся формы анкеты для соискателя и заявления о приеме на работу (о его роли скажем отдельно), образец оформления согласия на обработку персданных кандидата (этот документ должен быть в любом случае). Будете в курсе, какие разъяснения дал Роскомнадзор, в т. ч. как быть в ситуации поступления в адрес работодателя резюме, составленного в произвольной форме, если однозначно определить лицо, его направившее, не представляется возможным.

О номере телефона – персданные или нет?

С коллегами возник спор, является ли номер телефона сотрудника персональными данными и можем ли мы его запрашивать у сотрудника и указывать в кадровых документах. Например, в личном деле, в трудовом договоре, допсоглашении и пр. Помогите разобраться, чтобы ничего не нарушить.

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Профилактический визит Роскомнадзора. Стоит ли бояться?

В этом году многие компании и ИП получили уведомления от Роскомнадзора о проведении профилактических визитов. И многие еще получат. Цель такого визита, исходя из названия, ясна – ​профилактика нарушений. Однако работодатели с опаской относятся к подобному мероприятию, прежде всего, по причине необходимости предоставления инспектору внушительного количества документов, касающихся обработки персональных данных. Кроме того, многие не знают, можно ли отказаться от профилактического визита без каких-либо последствий. Рассматриваем правовую природу профилактического визита Роскомнадзора, порядок его проведения и последствия прохождения или отказа от него для работодателей.

Можно ли обязать держать зарплату в тайне?

Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.

Персональные данные сотрудников, или Как поздравить с Днем рождения, ничего не нарушая

Нашей организации больше 20 лет. За все это время сложилась традиция – ​поздравлять сотрудников в день рождения открыткой на стенде. С приходом нового юриста все изменилось: перестали афишировать открытки, аргументируя, что это конфиденциальная информация. На открытках были написаны Ф.И.О., должность сотрудника и дата. Сотрудники все за то, чтоб поздравления все же были. Вопрос: что можно в этом случае предпринять? Может, какое коллективное соглашение составить? А может, юрист преувеличивает?