Top.Mail.Ru

Как работодателю уведомить Роскомнадзор об обработке персональных данных

С 1 сентября 2022 г. вступили в силу поправки в законодательство, согласно которым работодатели обязаны официально уведомлять Роскомнадзор о начале или осуществлении обработки персональных данных в соответствии с трудовым законодательством. Появились и новые обязанности направлять отдельные уведомления: об осуществлении трансграничной передачи персданных, при неправомерной или случайной передаче. В статье рассказываем, что конкретно должны делать работодатели, всегда ли нужно уведомлять ведомство (узнаете о существующих исключениях), по какой форме, в какие сроки и каким образом направлять уведомление, а также какая ответственность грозит организациям и их должностным лицам за нарушения в этой сфере.

По общему правилу еще до начала обработки персональных данных лица, которые собираются их обрабатывать (операторы персональных данных), должны уведомлять Роскомнадзор о своем намерении, за исключением случаев, предусмотренных ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»1. Уведомления следует направлять и в ряде других случаев. Прежде чем перейти к подробным инструкциям для работодателей, что и как им теперь нужно делать, чтобы не нарушить закон, скажем об оставшихся исключениях, когда можно обойтись без оповещения Роскомнадзора.

Исключения из правил

До 1 сентября 2022 года таких случаев было 9. Сейчас же их осталось всего 32. Ставить в известность ведомство не нужно, если персональные данные:

  • включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются исключительно без средств автоматизации;
  • обрабатываются в целях защиты транспортной безопасности, обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Ранее, напомним, в перечень исключений, наряду с указанными выше, входили персданные:

  • обрабатываемые в соответствии с трудовым законодательством;
  • необходимые для однократного пропуска субъекта персданных на территорию, на которой находится оператор (и в иных аналогичных целях);
  • включающие в себя только Ф.И.О. субъектов персданных;
  • полученные в связи с заключением договора, стороной которого является субъект персданных, если они не распространяются и не представляются третьим лицам без согласия их субъекта и используются исключительно для исполнения указанного договора и заключения иных договоров с субъектом персданных и др.

Как видите, раньше в категорию исключений попадала довольно большая группа данных. Сейчас же их осталось совсем немного: если данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности и без средств автоматизации3.

Почему были внесены такие изменения? Уведомление Рос­комнадзора о намерении осуществлять обработку персональных данных представляет собой форму контроля за деятельностью операторов. Видимо, законодатель при разработке данной нормы руководствовался тем, что уведомление госоргана приведет к более ответственному характеру обработки данных операторами. Сам Роскомнадзор в своем официальном телеграм-канале комментирует, что все принятые изменения призваны надежнее защищать личные данные граждан и максимально эффективно бороться с утечками4. Ведь после направления уведомления компания-оператор окажется под пристальным вниманием Роскомнадзора. Не исключено, что спустя некоторое время после подачи уведомления об обработке персональных данных в Роскомнадзор работодатель может получить от ведомства «встречное» уведомление – об обязательном профилактическом визите, с запросом документов. По поводу него сильно переживать не стоит – это не проверка. Но узнать о профвизите все же лучше заранее: план профвизитов (не путайте с планом проверок, он публикуется отдельно) можно найти на сайте управления Роскомнадзора по федеральному округу, на территории которого зарегистрирован работодатель5.

Когда обработку персданных можно считать автоматизированной?

Наибольший интерес из перечисленных выше исключений представляет обработка персданных без средств автоматизации. Что под этим понимается? Согласно п. 4 ст. 3 Закона № 152‑ФЗ автоматизированная обработка персданных – ​это обработка с помощью средств вычислительной техники.

Значит, если работодатель ведет учет персональных данных работников без использования компьютера, исключительно на бумажных носителях, тогда он по-прежнему может не уведомлять Роскомнадзор об обработке персданных. Хоть такую ситуацию сложно представить, но все-таки можно. Например, микропредприятие, занимающееся торговлей овощами и фруктами в палатке с одним директором и тремя работниками.

Если же работодатель на компьютере:

  • собирает, записывает, систематизирует;
  • накапливает, хранит;
  • уточняет (обновляет, изменяет);
  • извлекает, использует, передает (распространяет, предоставляет, дает доступ);
  • обезличивает;
  • блокирует, удаляет, уничтожает

персональные данные работников, то это будет считаться автоматизированной обработкой.

Работодатели осуществляют обработку персональных данных своих работников (например, Ф.И.О., возраст, паспортные и др. данные). Абсолютное большинство из них заносит и хранит информацию в различных базах, использует бухгалтерские программы и программное обеспечение для составления и отправки отчетности в ПФР и другие инстанции6. А значит, попадает под регламентацию деятельности операторов и несет соответствующие обязанности, в том числе по уведомлению Роскомнадзора.

Причем уведомление в Роскомнадзор надо будет подать всем без исключения работодателям:

  • и тем, кто ранее никогда не подавал уведомления об обработке персональных данных;
  • и тем, кто подавал (но по другой причине) и уже состоит в реестре операторов персональных данных. Ведь сейчас появилось новое основание для уведомления об обработке персданных – ​обработка в соответствии с трудовым законодательством.

Форма и содержание уведомления

Поправки в закон ввели новые требования к содержанию уведомления. Во-первых, если данные обрабатываются в разных целях, то для каждой из них нужно указать (ч. 3.1 ст. 22 Закона № 152‑ФЗ):

  • категории данных и их субъектов;
  • персональные данные, которые обрабатываются;
  • правовое основание их обработки;
  • перечень действий с персданными;
  • способы их обработки.

Во-вторых, если у граждан или юридических лиц есть доступ к персональным данным, содержащимся в государственных и муниципальных информационных системах, и/или они обрабатывают данные из этих систем на основании договора, то в уведомлении придется указать их Ф.И.О. или наименование (п. 10.2 ч. 3 ст. 22 Закона № 152‑ФЗ).

Соответственно, понадобилось разработать и новые формы уведомлений, которые предусматривали бы включение всех этих сведений. Такие формы должен установить Роскомнадзор (ч. 8 ст. 22 Закона № 152-ФЗ). Ведомство разработало проект приказа7, который утверждает 3 формы уведомлений:

  • о намерении осуществлять обработку персональных данных (см. образец оформления такого уведомления в Примере);
  • о внесении изменений в ранее представленные сведения;
  • о прекращении обработки персональных данных.

До официального принятия новых форм уведомлений Роскомнадзор предлагает8 использовать рекомендуемые, утвержденные им в составе Методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения приказом от 30.05.2017 № 949:

  • уведомление об обработке (о намерении осуществлять обработку) персональных данных;
  • уведомление о внесении изменений в сведения об операторе в Реестре (информационное письмо);
  • заявление о прекращении оператором обработки персональных данных;
  • заявление о предоставлении выписки из Реестра.

Как подать уведомление и в какой срок

Подавать уведомление необходимо в территориальное управление Рос­комнадзора по месту нахождения работодателя (в соответствии с учредительными документами):

  • в бумажном виде;
  • в электронной форме. Подписать уведомление можно усиленной квалифицированной электронной подписью или с помощью авторизации через портал госуслуг.

В частности, до появления утвержденных приказом Роскомнадзора форм рекомендуемые формы можно заполнить на портале персональных данных Роскомнадзора10 и:

  • распечатать и отправить в ведомство на бумаге;
  • подать через тот же портал.

Если работодателя изначально в реестре11 нет, то он подает уведомление (см. Рисунок); если есть и надо внести изменения (добавить новую цель обработки – ​в соответствии с трудовым законодательством), то информационное письмо.

Рисунок. Заполнение уведомления на портале персональных данных Роскомнадзора

Посмотреть и скачать образец заполнения уведомления можно на сайте Роскомнадзора12.

Ведомство разъяснило13, что после вступления в силу приказа, устанавливающего новую форму уведомления, оператор может направить уведомление о внесении изменений в ранее представленные сведения в реестр операторов, осуществляющих обработку персональных данных.

Срок рассмотрения уведомления исчисляется со дня его регистрации в территориальном органе Роскомнадзора. Сведения об операторе вносятся в реестр не позднее 30 дней с даты регистрации уведомления (п. 3.2 Рекомендаций).

Новая обязанность появилась у работодателей с 1 сентября 2022 года, и многие эксперты полагали, что уведомить необходимо до этой даты, что заставило ряд работодателей суетиться и в спешке подавать уведомления через портал Роскомнадзора. Однако сам Роскомнадзор отметил (в виде информационного сообщения на своем официальном сайте 1 сентября)14, что поскольку предельный срок уведомления Роскомнадзора об обработке персональных данных не определен, то это можно сделать и позже указанной даты.

Для тех, кто хочет подать уведомление, приводим образец его заполнения по новой (на дату передачи данной статьи в печать еще официально не утвержденной Роскомнадзором) форме в конце статьи.

Уведомления при неправомерной или случайной передаче персданных

У работодателей также появились новые обязанности по уведомлению Роскомнадзора в ситуациях, когда будет обнаружена неправомерная или случайная передача персданных (ч. 3.1 ст. 21 Закона № 152-ФЗ).

Мнение эксперта

При выявлении случаев неправомерной или случайной передачи персданных оператор-работодатель обязан:

1) в течение 24 часов с момента обнаружения такого нарушения уведомить ведомство об инциденте, его причинах, предполагаемом вреде субъекту перс­данных, принятых мерах, уполномоченном лице, которое от имени оператора взаимодействует с ведомством;

2) в течение 72 часов сообщить ведомству о результатах внутреннего расследования, а также направить сведения о лицах, действия которых стали причиной инцидента.

Оператору персональных данных также стоит иметь в виду, что с 1 сентября сокращаются с 30 до 10 рабочих дней сроки некоторых действий (ч. 1, 2, 4 ст. 20 Закона № 152‑ФЗ). В частности, оператору в этот период необходимо:

  • ответить на обращение субъекта персональных данных по поводу того, обрабатывает он его данные или нет, и если да, то предоставить к ним доступ;
  • дать мотивированный ответ об отказе предоставить информацию о наличии обрабатываемых персданных;
  • сообщить Роскомнадзору необходимые сведения по его запросу.

Кстати, при обращении субъекта персданных к оператору с требованием прекратить их обработку последний обязан это сделать в течение 10 рабочих дней. Этот срок может быть продлен, но не более чем на 5 рабочих дней, при этом придется направить гражданину мотивированное уведомление с указанием причин такой меры (ч. 5.1 ст. 21 Закон № 152‑ФЗ). Невыполнение данных требований будет свидетельствовать о нарушении закона со стороны оператора, в связи с чем Рос­комнадзор может его привлечь к административной ответственности по ст. 13.11 КоАП РФ.

Особенности уведомлений о трансграничной передаче персданных

С 1 марта 2023 года работодатели, осуществляющие трансграничную передачу персональных данных своих работников, должны уведомить об этом Роскомнадзор.

Напомним, что трансграничная передача персональных данных – это передача таких данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Например, если для приема соискателей на отдельные должности или для внутреннего перевода необходимо согласование учредителей (участников, акционеров), которые являются иностранцами, и для этого им будут направляться персданные, то их передача будет считаться трансграничной.

Мнение эксперта

С 01.03.2023 ст. 12 Закона № 152‑ФЗ о трансграничной передаче персональных данных начнет действовать в новой редакции. По новым правилам придется ориентироваться на перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов персональных данных, такой перечень будет формировать и вести Роскомнадзор. Кроме того, до начала трансграничной передачи данных о своем намерении это делать нужно будет уведомить Роскомнадзор. Если вы осуществляете трансграничную передачу уже сейчас, такое уведомление необходимо направить в ведомство до 01.03.2023.

Уведомление придется подавать отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных. Это сделано для того, чтобы вовремя вмешаться и предотвратить возможные нарушения прав субъектов персональных данных. Очевидно, что в большом потоке входящей информации Роскомнадзор не сможет оперативно выявлять нужные уведомления.

Наиболее сложным нововведением является требование к оператору до подачи уведомления получить от органов власти иностранных государств, иностранных физических или юридических лиц сведения:

  • о принимаемых мерах по защите прав субъектов персональных данных;
  • правовом регулировании персданных в иностранном государстве;
  • об органах власти иностранного государства, иностранных юридических и физических лицах, которым будут передаваться данные.

Причем Роскомнадзор может принять отказное решение, запрещающее трансграничную передачу данных, в целях защиты основ конституционного строя, безопасности жизни и здоровья граждан, а также в иных значимых целях. На принятие решения чиновникам дается 10 рабочих дней (с момента поступления уведомления). При положительном решении регулятора оператор может осуществлять трансграничную передачу персданных на тех территориях и в том объеме, которые указаны в решении Роскомнадзора. Вполне очевидно, что до принятия соответствующего решения оператор этим заниматься не вправе, поскольку с марта начинает действовать разрешительный, а не уведомительный порядок.

Направить уведомление можно теми же способами, что описаны выше. Кстати, для таких случаев на сайте Роскомнадзора размещен отдельный образец заполнения уведомления об осуществлении трансграничной передачи персданных15.

Ответственность за непредставление уведомления

Затягивать с подачей уведомлений не стоит, ведь за их непредставление (или несвоевременное представление), а равно передачу таких сведений (информации) в неполном объеме или в искаженном виде предусмотрена ответственность по ст. 19.7 КоАП РФ. Размер штрафа по ней составляет:

  • для должностных лиц – ​от 300 до 500 рублей;
  • для юридических лиц – ​от 3000 до 5000 рублей.

Вроде бы штраф небольшой, и многие работодатели склоняются к тому, что можно новыми обязанностями пренебречь, ведь, в крайнем случае, все, что им грозит сейчас, – это уплата незначительного штрафа. А, например, срок для подачи уведомления об обработке персданных (если речь не идет об их трансграничной передаче), как отметил сам Роскомнадзор, не установлен. Однако нельзя исключить, что со временем введут срок для подачи и таких уведомлений (а это новшество можно ненароком пропустить в череде других поправок, которых с каждым годом становится все больше и больше), штрафы в целом повысят, да и введения иных мер административной ответственности (вплоть до дисквалификации) тоже можно ожидать в связи с все повышающимся интересом властей к сфере обработки персданных.

Пример. Образец заполнения уведомления в Роскомнадзор о намерении осуществить обработку персональных данных с целью соблюдения трудового законодательства

Обращаем внимание читателей, что образец уведомления, приведенный в Примере, составлен до издания Роскомнадзором каких-либо официальных разъяснений о заполнении новой формы. Мы будем следить за их появлением и обязательно расскажем вам о них на страницах журнала.

Сноски 15

  1. Далее – Закон № 152-ФЗ. Вернуться назад
  2. Изменения внесены Федеральным законом от 14.07.2022 № 266‑ФЗ «О внесении изменений в Федеральный закон “О персональных данных”, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона “О банках и банковской деятельности”». Вернуться назад
  3. В статье мы рассматриваем порядок уведомления Роскомнадзора об обработке персональных данных работников. Но данная технология подходит и для других случаев уведомления ведомства в связи с обработкой персданных, перечисленных выше и которые теперь не входят в исключения. Вернуться назад
  4. Официальный телеграм-канал Роскомнадзора (https://t.me/rkn_tg). В нем, кстати, ведомство указывает, что если у работодателей есть вопросы, касающиеся нововведений, то можно их направить по адресу электронной почты: ask@rkn.gov.ru. Вернуться назад
  5. Например, см. План-график проведения обязательных профилактических визитов Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу в 2022 году, утв. приказом Управления Роскомнадзора по Центральному федеральному округу от 07.02.2022 № 26 (https://77.rkn.gov.ru/docs/77/Plan-grafik_provedenija_profilakticheskikh_vizitov.pdf). Вернуться назад
  6. См., например, постановление ФАС Восточно-Сибирского округа от 05.04.2011 по делу № А19-25289/09. Вернуться назад
  7. На момент подготовки материала документ принят не был (https://regulation.gov.ru/projects/ #npa=130665). Вернуться назад
  8. https://rkn.gov.ru/news/rsoc/news74488.htm Вернуться назад
  9. Далее – Рекомендации. Вернуться назад
  10. https://pd.rkn.gov.ru/operators-registry/notification/ Вернуться назад
  11. https://pd.rkn.gov.ru/operators-registry/operators-list/ Вернуться назад
  12. https://32.rkn.gov.ru/docs/32/uvedomlenie_21.06.docx Вернуться назад
  13. https://rkn.gov.ru/news/rsoc/news74488.htm Вернуться назад
  14. https://rkn.gov.ru/news/rsoc/news74488.htm. Вернуться назад
  15. https://pd.rkn.gov.ru/cross-border-transmission/form/ Вернуться назад
Оценить статью
s
В избранное

Выбери свой вариант доступа

Получать бесплатные
статьи на e-mail
Подписаться на
журнал на почте
Подписаться на
журнал сейчас

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 0

Рекомендовано для вас

Работа с персональными данными: ответы на вопросы

В конце мая журнал «Кадровая служба и управление персоналом предприятия» и сайт delo-press.ru провели онлайн-семинар «Работа с персональными данными без ошибок». По итогам семинара мы собрали ответы спикера – ​эксперта по трудовым отношениям Юлии Жижериной – ​на вопросы слушателей семинара, дополнив их ссылками на нормативную базу и расширенную аргументацию. В частности, публикуем разбор следующих ситуаций: что делать, если работник отзывает свое согласие на обработку персданных; сколько целей обработки персданных можно указать в одном согласии; надо ли получать согласие работника на ведение видеозаписи, если камеры установлены только в коридорах; можно ли не издавать приказ о месте хранения и обработки персданных, а прописать это в ЛНА; кого указывать в приказе о перечне лиц, имеющих доступ к персданным; нужно ли согласие работника при добавлении его в общий чат мессенджера и пр.

Правила уничтожения персональных данных

В каких ситуациях и в какие сроки необходимо уничтожать персональные данные? Каков порядок их уничтожения? Что будет за нарушения в этой сфере? Какие документы составить, чтобы соблюсти установленные действующими нормативными правовыми актами требования? Отвечаем на эти и связанные с ними вопросы. Даем готовые образцы приказа о создании постоянно действующей комиссии по уничтожению документов, акта об уничтожении персданных, уведомления работника об уничтожении неправомерно использованных персональных данных. Предлагаем формулировки для локального нормативного акта компании (о порядке уничтожения таких конфиденциальных сведений) и договоров с контрагентами (с обязательством уничтожить передаваемые по договору персданные в установленных случаях).

Нужно ли новое согласие на обработку персданных при смене фамилии?

Сотрудница вышла замуж и сменила фамилию. Требуется ли получение от нее нового согласия на обработку персональных данных?

Документы по персональным данным, которые проверит Роскомнадзор

Любым организациям и ИП так или иначе приходится обрабатывать персональные данные граждан. Показываем на конкретных примерах, какие документы работодателям необходимо иметь в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как правильно их оформить, чтобы снизить риски возникновения споров.

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Правила уничтожения персональных данных

В каких ситуациях и в какие сроки необходимо уничтожать персональные данные? Каков порядок их уничтожения? Что будет за нарушения в этой сфере? Какие документы составить, чтобы соблюсти установленные действующими нормативными правовыми актами требования? Отвечаем на эти и связанные с ними вопросы. Даем готовые образцы приказа о создании постоянно действующей комиссии по уничтожению документов, акта об уничтожении персданных, уведомления работника об уничтожении неправомерно использованных персональных данных. Предлагаем формулировки для локального нормативного акта компании (о порядке уничтожения таких конфиденциальных сведений) и договоров с контрагентами (с обязательством уничтожить передаваемые по договору персданные в установленных случаях).

Можно ли обязать держать зарплату в тайне?

Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.

Работа с персональными данными: ответы на вопросы

В конце мая журнал «Кадровая служба и управление персоналом предприятия» и сайт delo-press.ru провели онлайн-семинар «Работа с персональными данными без ошибок». По итогам семинара мы собрали ответы спикера – ​эксперта по трудовым отношениям Юлии Жижериной – ​на вопросы слушателей семинара, дополнив их ссылками на нормативную базу и расширенную аргументацию. В частности, публикуем разбор следующих ситуаций: что делать, если работник отзывает свое согласие на обработку персданных; сколько целей обработки персданных можно указать в одном согласии; надо ли получать согласие работника на ведение видеозаписи, если камеры установлены только в коридорах; можно ли не издавать приказ о месте хранения и обработки персданных, а прописать это в ЛНА; кого указывать в приказе о перечне лиц, имеющих доступ к персданным; нужно ли согласие работника при добавлении его в общий чат мессенджера и пр.