Работодатели обязаны уведомлять Роскомнадзор об обработке персональных данных работников с 1 сентября 2022 года: как и когда это сделать
Закон 266-ФЗ от 14.07.2022 меняет правила работы с персональными данными. До 1 сентября 2022 года все работодатели должны уведомить Роскомнадзор об обработке личной информации своих работников, чтобы попасть в реестр операторов персональных данных. Эта обязанность коснётся большинство организаций и ИП. Рассказываем, как и когда уведомить Роскомнадзор.
Что меняется в законе о персональных данных
Раньше многих предпринимателей закон о персональных данных не касался. Они могли обрабатывать персональные данные и не уведомлять Роскомнадзор в таких ситуациях:
- обработка персональных данных по трудовому законодательству;
- получение личной информации с согласия субъекта персональных данных только для исполнения заключённого с ним договора;
- обработка персональных участников религиозных организаций или общественных объединений;
- распространение личной информации с согласия субъекта персональных данных;
- обработка персональных данных, состоящих только из Ф.И.О.;
- получение информации для оформления разового пропуска на территорию оператора персональных данных.
С 1 сентября 2022 года этих ситуаций в перечня в п. 2 ст. 22 закона от 27.07.2006 № 152-ФЗ не будет, а значит операторы персональных данных (ОПД), чья деятельность до 1 сентября 2022 года попадала под эти исключения, должны сообщить в Роскомнадзор о намерении обрабатывать персональные данные. Это коснётся, например, всех работодателей, организаций с пропускным режимом, торговых предприятий
Кто может не отправлять уведомление
С 1 сентября 2022 года можно не уведомлять Роскомнадзор о намерении обрабатывать персональные только в трёх ситуациях:
- персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка — например, автоматизированные дактилоскопические информационные системы (АДИС) полиции;
- обработка личной информации производится исключительно без средств автоматизации, то есть без использования вычислительной техники;
- персональные данные используются в случаях, предусмотренных законами о транспортной безопасности. Например, записи с видеокамер систем видеонаблюдения в аэропортах и на ж/д вокзалах.
Согласно постановлению от 15.08.2008 № 687 обработка персональных данных без средств автоматизации — это использование, уточнение, распространение и уничтожение персональных данных при непосредственном участии человека.
Что делать тем, кто уже есть в реестре РКН
Если раньше вы уже сообщали в Роскомнадзор о намерении обрабатывать персональные данные, повторно заполнять и отправлять форму не нужно. Для надёжности проверьте по ИНН, что вы есть в реестре операторов.
Но посмотрите, какие цели обработки персональных данных вы указывали. Возможно, это было оказание услуг клиентам, а своих сотрудников как субъектов персональных данных вы не записали. С 1 сентября 2022 года появляется обязанность уведомлять Роскомнадзор при ведении кадрового делопроизводства, бухгалтерского учёта в отношении работников, заключении и расторжении трудовых договоров.
В этом случае в течение 10 рабочих дней после вступления в силу нового закона, то есть до 15 сентября, нужно проинформировать Роскомнадзор о внесении изменений в реестр. Информационное письмо заполняют на сайте ведомства, а отправить его можно теми же способами, что и уведомление:
- по почте или отнести лично подписанный бумажный вариант в территориальное управление;
- через сайт Роскомнадзора;
- через портал Госуслуг.
- использовать онлайн сервис Альфа-док.
Если изменения произошли уже после 1 сентября, информационное письмо нужно отправить в течение 10 рабочих дней после этого.
Что будет за нарушения
Ответственность может быть административной, уголовной и гражданской.
За нарушение законодательства о персональных данных установлены санкции по ст. 13.11 КоАП РФ: от 10 000 рублей для ИП, и от 60 000 рублей — для организаций.
Уголовная ответственность предусмотрена за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации — ст. 137, 272 УК.
Также ст. 24 152-ФЗ предусматривает обязательное возмещение морального вреда субъекту персональных данных вследствие нарушения правил обработки его личной информации. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но инспектор придёт внепланово по жалобе от клиента или работника. Например, если сотрудник возмутится, что его данные хранятся у оператора, которого нет в государственном реестре.
По всем вопросам обращаться по телефону — 8(4112)31-80-31 доб №22, Контактное лицо: Сотников Артур