С 1 сентября 2022 года произошли изменения в законе о персональных данных. Теперь компании и ИП обязаны уведомить Роспотребнадзор о сборе персональной информации, касающейся своих работников и клиентов.
Расскажем подробнее о нововведениях, о том, когда и каким способом передать данные, и какой штраф ждёт работодателя в случае их непредставления.
Что подразумевают под персональными данными
В Федеральном законе №152-ФЗ произошли изменения. Согласно новой редакции от 14.07.22, оператор больше не вправе осуществлять сбор персональных данных без уведомления уполномоченного органа. С 1 сентября 2022 года юрлица и индивидуальные предприниматели обязаны сообщить в Роскомнадзор о том, что намерены их обрабатывать.
К персональным данным в этом случае относят информацию, которую:
- получают и обрабатывают в рамках ТК РФ и иных федеральных законов, касающихся трудовых отношений;
- получают при заключении договоров с физлицами, используют только внутри компании и не предоставляют данные третьим лицам;
- разрешено распространять с согласия физлица;
- будут использовать в качестве пропуска физлица на территорию компании и аналогичных ситуациях.
К ним также относятся личные сведения:
- содержащие в себе только Ф.И.О. физлица;
- касающиеся участников общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями.
В каких случаях потребуется уведомление Роскомнадзора
Практически любая организация и ИП обязаны отправить уведомление, если они являются работодателем или заключают договоры с физлицами. Данное действие необходимо сделать до начала обработки персональных данных.
Уведомление необходимо направить в случае, если данные записываются с помощью средств автоматизации, например, компьютера или смартфона. Когда сбор сведений происходит на бумажный носитель, информацию отправлять не требуется. Если в компании планируется перенос личных сведений с бумаги в автоматизированную систему, сообщение в Роскомнадзор становится обязанностью.
Что делать компаниям, которые сбор персональных данных уже осуществляют? В таком случае ведомство также потребуется проинформировать.
Уведомление направляется однократно. При оформлении работодателем нового сотрудника каждый раз информировать Роскомнадзор не требуется.
Как уведомить Роскомнадзор о сборе персональных данных
Отправить уведомление в Роскомнадзор можно тремя способами:
- В бумажном виде — бланк заполняется на официальном сайте ведомства, распечатывается и отправляется в территориальный орган;
- Через Госуслуги — направляется в электронном виде через портал с учётной записи организации.
- С помощью электронной подписи — требуется заполнить и подписать документ усиленной квалифицированной электронной подписью. Заполнение уведомления осуществляется на сайте Роскомнадзора.
Руководители организаций и индивидуальные предприниматели получают УКЭП в УЦ ФНС и её доверенных лиц. Их уполномоченные работники в удостоверяющих центрах, которые имеют аккредитацию Министерства цифрового развития.
Удостоверяющий центр «Калуга Астрал» предоставляет услугу Получение КЭП в ФНС под ключ. С помощью неё ИП и руководители организаций смогут получить электронную подпись в налоговой в ускоренном порядке. Также УЦ аккредитован Минцифры, имеет все лицензии для выпуска «Астрал-ЭТ» и «1С-ЭТП». Данные подписи позволяют уполномоченным работникам подписывать электронные документы от имени компании.
После отправки уведомления Роскомнадзор вносит компанию в специальный реестр операторов персональных данных. Если у гражданина возникли сомнения в законности сборов и обработки личных сведений, он обращается к данному списку. Посмотреть его может любой желающий.
Штрафы за неуведомление Роскомнадзора
За непредставление уведомления о том, что компания планирует собирать или уже собирает личные данные, ей грозит наказание в соответствии с ст. 19.7 КоАП РФ. Согласно статье, размер штрафа составит:
- от 300 до 500 рублей — для должностных лиц и индивидуальных предпринимателей;
- от 3000 до 5000 рублей — для организаций.
Какие ещё изменения произошли
- Запрещена биометрическая обработка персональных данных несовершеннолетних;
- Работник вправе добровольно отказаться от биометрической обработки персональных данных;
- Обработка персональных данных осуществляется только с согласия;
- Сотрудник вправе запросить сведения о том, как работодатель обрабатывает персональные данные и какая информация о нём хранится. Работодатель обязан ответить в течение 10 рабочих дней. При уважительной причине работодатель вправе увеличить срок ответа ещё на 5 рабочих дней;
- В течение 24 часов работодатель обязан сообщить об утечке персональных данных в Роспотребнадзор, а в течение 72 часов провести расследование инцидента и сообщить о его результатах. Указать виновных и принятые меры.
Как хранить и уничтожать персональные данные
Бумажные персональные данные хранят в сейфе, несгораемом шкафу или специально оборудованном помещении. Электронные — с использованием логина и пароля. Доступ к ним обеспечивают отдельным лицам, которые работают с данными документами: бухгалтеру или HR-специалисту. Перечень утверждается предварительно.
Причины уничтожения персональных данных прописаны в ст. 21 266-ФЗ. Это можно сделать в следующих случаях:
- окончание срока хранения;
- потребность в обработке закончена;
- неправомерность сбора и обработки;
- отзыв сотрудника разрешения об обработке.
Порядок и требования к месту хранения, положение об уничтожении закрепляют во внутреннем акте компании.
Документы для скачивания
«Астрал Отчёт 5.0» — это удобный онлайн-сервис, в котором можно вести несколько организаций в режиме одного окна, «Астрал Отчёт 4.5» — программа для ПК, в которой есть всё для сдачи отчётности онлайн, а «1С-Отчётность» можно использовать в привычном интерфейсе 1С.
