Сбор персональных данных: новые требования для компаний с 1 сентября 2022 года

С 1 сентября 2022 года меняется порядок сбора и обработки персональных данных физлиц. Одним из изменений станет введение для работодателей обязанности по уведомлению Роскомнадзора о сборе персональных сведений в рамках трудовых отношений.

Изменения для работодателей с 1 сентября 2022 года

Федеральный закон от 14.07.2022 № 266-ФЗ, вступающий в силу с 1 сентября 2022 года, значительно расширил перечень персональных данных, о начале обработки и распространения которых потребуется предварительно уведомлять Роскомнадзор.

Напомним, в настоящее время до начала обработки персональных данных компания в обязательном порядке должна уведомить о предстоящей обработке Роскомнадзор (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Данная обязанность распространяется как на организации, так и на индивидуальных предпринимателей. Но это общее правило, из которого есть исключения. До начала обработки персональных данных уведомлять Роскомнадзор не требуется работодателям (получающим персональные данные в рамках трудовых отношений) и компаниям, для которых персональные данные физлица нужны исключительно в целях исполнения заключенного с ним договора (без передачи данных третьим лицам без согласия самого физлица). 

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 01.09.22г. компании и ИП должны уведомлять Роскомнадзор о намерении осуществлять сбор и обработку персональных данных физических лиц. Уведомление нужно направить в ведомство до начала обработки персданных.

2. Уведомлять Роскомнадзор нужно будет даже об обработке персданных, получаемых работодателями в рамках трудовых отношений; для исполнения заключенного с физлицом договора (без передачи данных третьим лицам) или даже необходимых в целях однократного пропуска физлица на территорию организации или ИП.

3. Работодатели, которые уже осуществляют сбор персданных физлиц, также должны сообщить об этом Роскомнадзору.

4. Сообщение о сборе и обработке персональных данных физлиц работодатель должен направить в Роскомнадзор однократно. Уведомлять о сборе персональных данных по каждому работнику отдельно не требуется.

5. Если сбор персданных осуществляется без применения средств автоматизации (данные записываются в журнал), то информировать об этом Роскомнадзор не нужно.

6. Уведомление о сборе персданных направляется в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе.

7. Роскомнадзор вносит компании, приславшие уведомления, в специальный реестр операторов персональных данных, с помощью которого любой желающий сможет проверить, законно ли осуществляется сбор и обработка его сведений.

8. За непредставление уведомления об обработке персданных Роскомнадзор может оштрафовать компании и ИП на сумму от 300 до 5000 рублей. 

Не требует предварительного уведомления Роскомнадзора и обработка персональных сведений, включающих в себя только фамилии, имена и отчества физлиц. Кроме того, без уведомления Роскомнадзора разрешается осуществлять обработку персональных данных, необходимых в целях однократного пропуска физлица на территорию организации или ИП.

С 1 сентября 2022 года во всех перечисленных случаях компании должны будут уведомлять Роскомнадзор о своем намерении осуществлять сбор и обработку персональных данных. Уведомление нужно будет направлять в ведомство до начала обработки персданных. В противном случае компании будут оштрафованы за непредоставление Роскомнадзору сведений, необходимых для осуществления контрольных полномочий.

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • получаемых и обрабатываемых в рамках трудового законодательства;
  • получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
  • относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
  • разрешенных физлицом для распространения;
  • включающих в себя только фамилии, имена и отчества физлиц;
  • необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Таким образом, практически любые компании и ИП, являющиеся работодателями или планирующие заключать договоры с физлицами, должны будут заблаговременно уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных до начала такой обработки. Причем действующих работодателей, которые уже осуществляют обработку данных своих сотрудников, данная обязанность также коснется. Все они должны будут направить в Роскомнадзор уведомление о том, что планируют осуществлять сбор сведений, необходимых для оформления трудовых отношений с работниками.

Отметим, что уведомлять о предстоящей обработке конкретной группы персданных (в частности, данных, необходимых для заключения трудовых договоров) требуется однократно. Это значит, что работодателю не нужно направлять в Роскомнадзор уведомление всякий раз, когда он планирует оформлять на должность нового сотрудника. В указанных целях достаточно одного уведомления, в котором работодатель известит ведомство, что занимается обработкой соответствующих сведений.

При этом представлять такое уведомление нужно только в том случае, если обработка персональных данных будет осуществляться с применением компьютерной техники (смартфонов). Если компания планирует осуществлять сбор персданных без применения средств автоматизации, записывая их, скажем, в бумажный журнал, книгу или тетрадь, то уведомлять Роскомнадзор не нужно (п. 8 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Если же персданные планируется заносить в компьютер, планшет или смартфон, то без предварительного уведомления Роспотребнадзора уже не обойтись.

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • наименование компании (ФИО ИП) и ее адрес;
  • цель обработки персональных данных (например, заключение трудовых договоров);
  • категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
  • категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
  • сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
  • ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
  • предполагаемая дата начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
  • сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

  • в бумажном виде,
  • в электронном виде с использованием усиленной квалифицированной электронной подписи,
  • в электронном виде с использованием средств аутентификации ЕСИА.

Получив от компании уведомление, Роскомнадзор в течение 30 дней внесет ее в специальный реестр операторов персональных данных, с помощью которого любой желающий сможет проверить, законно ли та или иная компания осуществляет сбор и обработку его сведений или нет.

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Роскомнадзор: предельные сроки подачи уведомлений об обработке персональных данных не установлены