23 сент. 2022 г. в 09:24Защита персональных данных

Что нужно знать о новых правилах обработки персональных данных

Роскомнадзор разрешил отправлять уведомления о начале обработки персональных данных, не ограничивая компании предельным сроком, которым прежде считалось 1 сентября 2022 года.

Иллюстрация: «Клерк»

Эксперт Контур.Бухгалтерии Татьяна Евдокимова поясняет, какое уведомление нужно подать в ведомство, когда придется отправить дополнительно информационное письмо и что изменилось для компаний в работе с персональными данными.

Почему изменились требования к обработке персданных

Утечки информации о личных данных граждан участились в последние годы, и государство намерено тщательнее следить за обработкой и защитой таких сведений. Для этого разработаны новые правила, утвержденные законом от 14.07.2022 № 266-ФЗ.

Что изменилось для работодателей

О начале обработки персональных данных сообщают все операторы — государственные или муниципальные органы, юридический или физические лица, которые собирают и обрабатывают персданные. Все они числятся в специальном открытом реестре операторов на сайте Роскомнадзора.

С 1 сентября 2022 из закона «О персональных данных» исключили шесть случаев, когда компании могли не уведомлять Роскомнадзор о скорой обработке данных (ст. 22 закона от 27.07.2006 № 152-ФЗ), и норма стала строже.

Теперь большему числу работодателей нужно отчитаться перед ведомством. Это касается компаний, которые обрабатывают персданные сотрудников, подрядчиков на договорах ГПХ, клиентов компании, посетителей и других лиц, которые сообщают свои фамилию, имя и отчество.

От подачи уведомления компания освобождается только в таких ситуациях:

если персональные данные включены в государственные защищенные информсистемы;
если оператор собирает персональные данные строго без средств автоматизации: например, записывает в тетрадь от руки (бухгалтерская программа или таблицы Excel на компьютере — это уже средства автоматизации);
если данные обрабатывают в целях устойчивой и безопасной работы транспорта, защиты интересов личности, общества и государства в сфере транспорта согласно законам РФ.

Кто должен отправить уведомление в Роскомнадзор

Прежде всего, работодателю нужно проверить, есть ли его компания в реестре Роскомнадзора. Это можно сделать на сайте ведомства в разделе «Реестр операторов». Для поиска достаточно ввести ИНН или ОГРН компании. Если организация числится в реестре, отправлять уведомление не нужно.

Если компании или ИП нет в реестре, нужно подать уведомление о начале работы с персданными. В течение месяца после получения уведомления Роскомнадзор добавит организацию или ИП в реестр операторов. При отправке письма в бумажном виде отсчет идет с даты его получения территориальным отделением.

В какие сроки и по какой форме подать уведомление

Сейчас уведомить о сборе персданных можно через форму, утвержденную приказом Роскомнадзора от 30.05.2017 № 94. В тексте приказа есть и порядок заполнения формы. Перечень сведений, которые нужно указать в уведомлении, приведен в ч. 3 ст. 22 закона от 27.07.2006 № 152-ФЗ.

В ведомстве предупредили, что скоро будут утверждены новые формы, но до этого оператор вправе воспользоваться текущей формой (информация Роскомнадзора от 01.09.2022).

Составить и отправить уведомление нужно в местное отделение Роскомнадзора одним из способов:

на бумаге заказным письмом через Почту России;
в электронном виде через сайт Роскомнадзора — понадобится сертификат КЭП;
в электронном виде через ЕСИА.

В текущей форме уведомления нет некоторых полей, которые появятся в новой форме документа согласно частям 3 и 3.1 ст. 22 закона от 27.07.2006 № 152-ФЗ. А значит, после утверждения новой формы работодателям придется передать уведомление о внесении изменений в ранее внесенные сведения: отдельно указать категории персданных, которые запрашиваете, а еще для каждой цели обработки данных указать категории персданных и категории лиц, которым принадлежат эти данные, и пояснить, что вы делаете с этими данными и на каком правовом основании.

Роскомнадзор сообщил, что предельный срок для отправки уведомления не назван и 1 сентября 2022 — не крайний срок (информация Роскомнадзора от 01.09.2022). Вероятно, при такой трактовке ведомство не будет штрафовать тех, кто задержался с подачей уведомления.

Но все же рекомендуем не откладывать эту задачу и воспользоваться текущей формой уведомления, а после утверждения новой внести дополнения в ранее переданные сведения.

В уведомлении нужно указать дату, с которой оператор начали обработку персданных. Специалисты Роскомнадзора разъяснили, что такой датой считается день государственной регистрации компании или ИП (информация пресс-службы Роскомнадзора от 25.08.2022).

Какие сведения еще нужно передавать

Уведомление подают один раз, не перечисляя в нем сотрудников, поэтому при найме новых работников или получении персданных от новых клиентов не придется отправлять новые уведомления.

В некоторых случаях оператор должен передать дополнительные сведения:

при изменении в составе собираемых персональных данных: например, вы начали спрашивать сотрудников об их семейном положении, хотя раньше этого не делали — передайте по форме письма о внесении изменений в сведения (утверждено приказом Роскомнадзора от 30.05.2017 № 94);
при смене сотрудника, ответственного за обработку персданных — передайте по форме актуального уведомления;
при прекращении обработки персданных: например, закрытии компании — передайте по форме заявления о прекращении обработки данных (утверждено приказом Роскомнадзора от 30.05.2017 № 94).

Сообщить об этих изменениях нужно в течение 10 рабочих дней (ч. 7 ст. 22 закона от 27.07.2006 № 152-ФЗ).

Также компании обязаны отвечать на запросы сотрудников и Роскомнадзора о том, какие персданные они собирают. На ответ теперь дается 10 рабочих дней, а не 30, как прежде (ст. 20 закона от 27.07.2006 № 152-ФЗ).

А еще для лучшей защиты данных операторы должны взаимодействовать с ФСБ и подключиться к ГосСОПКА — системе предотвращения кибератак на российские информресурсы. Если происходит утечка персданных, оператор должен в течение суток уведомить об этом ГосСОПКА и назвать возможные причины, а в течение трех суток подготовить отчет о причинах и причастных лицах.

Как именно подключаться к ресурсу ФСБ и что еще потребуется от оператора, определено в п. 12 ст. 19 закона от 27.07.2006 № 152-ФЗ.

Что стоит проверить в персональных данных

Закон разрешает работодателям обрабатывать персданные только в некоторых целях. Это связано с такими ситуациями:

заполнение трудового договора, передача сведений в контролирующие органы;
содействие карьерному росту и обучению сотрудников;
забота о личной безопасности сотрудников;
контроль объемов и качества выполняемой работы;
сохранность имущества предприятия.

Если личные данные не связаны с этими целями, работодатель не вправе их запрашивать, даже если сотрудник не возражает. Также нельзя обрабатывать данные из особых категорий: о расовой или национальной принадлежности, религиозных и политических убеждений, личной жизни и состояния здоровья, членстве в общественных организациях.

У всех лиц, от которых вы получили персданные, нужно взять согласие на их обработку. В согласии указывают цель сбора данных — ясно и без размытых формулировок.

Итак, прежде всего, важно проверить, числится ли компания в реестре операторов на сайте Роскомнадзора. Если нет — подать уведомление о начале сбора и обработки персональных данных по текущей форме, в качестве даты начала обработки указать дату регистрации компании или ИП.

Когда ведомство утвердит новую форму уведомления, стоит воспользоваться ею для отправки дополнительных сведений, которые не удалось указать в первый раз. Затем подключиться к ГосСОПКА и вовремя уведомлять ведомства об изменениях в обработке данных и утечках.

Автор: Татьяна Евдокимова, эксперт сервиса Контур.Бухгалтерия