До начала обработки персональных данных сотрудников, работодатель обязан уведомить об этом территориальный орган Роскомнадзора. С 1 сентября работодатель обязан уведомлять о начале обработки персданных, даже если обрабатывает их в целях трудового законодательства. Если не отправить уведомление, организацию оштрафуют на сумму до 5000 руб. (письмо Роскомнадзора от 19.08.2022 № 08-75348).
Есть только три исключения, когда подавать уведомление в ведомство не нужно. Это случаи, когда:
- обрабатываете персданные сотрудника, которые включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываете персданные исключительно без использования средств автоматизации, то есть при непосредственном участии человека. При этом обработка персональных данных в текстовых редакторах, в кадровых программах – это автоматизированная обработка;
- обрабатываете персональные данные в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Таким образом, в исключениях речь идет об обработке персональных данных в госсистемах, а не работодателями. Такие правила установили в части 2 статьи 22.2 Федерального закона от 27.07.2006 № 152-ФЗ.
Тем, кто направил уведомление до 1 сентября 2022 года, дополнительных уведомлений направлять не нужно. Об этом говорится в информации Роскомнадзора от 08.09.2022.
Совет
Проверьте, внесли ли вашу компанию в реестр Роскомнадзора
С 1 сентября работодатель обязан уведомлять о начале обработки персданных, даже если обрабатывает их в целях трудового законодательства, для того чтобы оформить пропуск в офис или заключить гражданско-правовой договор. Поэтому все работодатели должны проверить, есть ли они в реестре Роскомнадзора.
Реестр открытый, поэтому любой может узнать сведения о своей компании – для этого достаточно ввести в поисковой строке название или ОГРН компании на сайте ведомства.
Если компании в реестре нет, подайте уведомление о начале обработке персданных. Если Роскомнадзор не получит уведомление, компанию могут привлечь к административной ответственности по статье 19.7 КоАП.
1 сентября 2022 года не является крайним сроком подачи уведомления об обработке персональных данных. Предельный срок не определен. Об этом говорится в информации Роскомнадзора от 01.09.2022.
Форма уведомления об обработке персональных данных, а также порядок ее заполнения утверждены приказом Роскомнадзора от 28.10.2022 № 180. Кроме того, подробный перечень сведений, которые нужно указать в уведомлении, приведен в части 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ. Скачайте образец уведомления.
В уведомлении укажите дату, с которой фактически начали обрабатывать персональные данные физлиц. Большинство компаний начали обрабатывать данные работников до 1 сентября 2022 года. Специалисты Роскомнадзора пояснили, что датой начала обработки персональных данных в таком случае считается дата государственной регистрации компании (информация пресс-службы Роскомнадзора от 25.08.2022). Значит, в уведомлении ставьте дату регистрации компании.
В новой форме уведомления о начале обработки персданных указывайте:
- наименование или фамилию, имя, отчество, адрес работодателя;
- цель обработки персональных данных;
- описание мер, которые принимаете для защиты персданных и выполнения обязанностей закона о персданных;
- фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
- дату начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных.
Для каждой цели обработки перечислите категории персданных и субъектов, чьи данные обрабатываете, правовое основание их обработки и перечень действий с этими данными. Такие правила установили в частях 3 и 3.1 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ.
Уведомление можно направить также в электронном виде через специальную форму на сайте Роскомнадзора. Если направили уведомление в электронном виде, подпишите его электронной подписью и отправьте через сайт Роскомнадзора или через Госуслуги. Чтобы подписать уведомление и направить его через сайт Роскомнадзора установите специальный плагин на сайте ведомства. Если заполнили уведомление на бумаге, подпишите его у руководители и направьте в территориальный орган Роскомнадзора в вашем регионе.
Если не отправить уведомление в Роскомнадзор, то работодателя привлекут к ответственности по статье 19.7 КоАП. За такое нарушение предусмотрен штраф для должностных лиц – от 300 до 500 рублей, для организаций – от 3000 до 5000 руб. (ст. 19.7 КоАП).
Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор. Сделать это нужно по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180 в течение 10 рабочих дней с момента изменения сведений (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
Когда прекратите обрабатывать персданные, также направьте уведомление об этом в Роскомнадзор. Сделать это нужно по форме из приложения № 3 к приказу Роскомнадзора от 28.10.2022 № 180 в течение 10 рабочих дней с момента прекращения обработки сведений (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
После того как направите уведомление, Роскомнадзор внесет работодателя в специальный реестр в течение 30 дней с момента, когда получит уведомление (п. 3, 4 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ, п. 3.2 Методических рекомендаций).
Когда Роскомнадзор получит сведения о том, что работодатель прекратил обработку персданных, сведения о компании удалят в течение 30 днеи? после того, как получат уведомление (ч. 4.1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
Спасибо, что вы вместе со мной следите за новостями нелегкой жизни бухгалтера.
Не забывайте подписаться на мой канал.
До новых встреч!