О чем и как нужно уведомлять Роскомнадзор с 01.09.2022 или какие персональные данные есть у вас

С 01.09.2022 вступают в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных», которые обяжут всех операторов отправлять данные в Роскомнадзор. Какую именно информацию и как должно представлять юридическое лицо или физическое лицо после вступления в силу закона расскажем в публикации
189 тыс. 37,9 тыс.
О чем и как нужно уведомлять Роскомнадзор с 01.09.2022 или какие персональные данные есть у вас
Иллюстрация Бориса Мальцева / Клерк

В настоящее время не нужно становится на учет в Роскомнадзор и уведомлять об обработке персональных данных, обрабатываемых в соответствии с трудовым законодательством и полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

С 01 сентября 2022 г. при обработке персональных данных в перечисленных случаях нужно будет сообщать в Роскомнадзор в общем порядке до начала обработки оператором персональных данных. Речь идет о федеральном законе от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».

Представлять уведомление об обработке персональных данных должен оператор (ч. 1 ст. 22 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных», далее по тексту – «Закон»).

Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Закона).

Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор.

Уведомление рекомендуется наваляется в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе (абз. 2 п. 3.1.13 Рекомендаций).

Срок рассмотрения уведомления исчисляется со дня его регистрации в Роскомнадзоре (ТО Роскомнадзора). Сведения об операторе вносятся в реестр не позднее 30 дней с даты регистрации уведомления (п. 3.2 Рекомендаций).

В самом уведомлении с 1 сентября 2022 года следующие сведения нужно будет указывать для каждой цели обработки персональных данных (ч. 3 ст. 22 Закона № 152-ФЗ):

  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.

При этом в уведомлении нужно будет указывать:

  • Ф. И. О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.

Форма уведомления утвержде6на приказом Роскомнадзора от 30.05.2017 № 94 (ред. от 30.10.2018) «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

Порядок заполнения уведомления описывается в Рекомендациях. Хотя они носят рекомендательный (необязательный) характер, чтобы избежать возникновения конфликтных ситуаций с уполномоченным органом, следует учитывать содержащиеся в них разъяснения.

Уведомление рекомендуется оформлять на бланке оператора (п. 3.1.13 Рекомендаций). Оно может быть составлено и направлено в уполномоченный орган как на бумажном носителе, так и в электронной форме (ч. 3 ст. 22 Закона, п. 3.2 Рекомендаций). Об особенностях заполнения и представления уведомления в электронной форме см. в разделе о представлении уведомления в уполномоченный орган.

В уведомлении указываются следующие сведения

1. Наименование (Ф.И.О.), адрес оператора.

2. Правовое основание обработки персональных данных.

В этой графе рекомендуется указать весь перечень нормативных правовых актов, которые закрепляют основания и порядок обработки оператором персональных данных и соответствуют его полномочиям. Не рекомендуется указывать в качестве правового основания ч. 1 ст. 6 Закона № 152-ФЗ.

3. Цель обработки персональных данных.

Согласно п. 3.1.2 Рекомендаций в этой графе следует указать цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.

4. Категории персональных данных.

К ним могут быть отнесены (п. п. 2.5 - 2.7 Рекомендаций):

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных): фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация;

- специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни). Случаи, когда допускается обработка специальных категорий персональных данных, установлены ч. 2, ч. 2.1 ст. 10 Закона;

- биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных). К ним относятся физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, голос и др.), а также иные физиологические или биологические характеристики человека, в том числе его изображения (фотография и видеозапись) (Письма Минцифры России от 17.07.2020 № ОП-П24-070-19433, Роскомнадзора от 10.02.2020 № 08АП-6782). Биометрические персональные данные могут обрабатываться оператором только при наличии письменного согласия субъекта персональных данных (за исключением случаев, установленных в ч. 2 ст. 11 Закона) (ч. 1 ст. 11 Закона).

5. Категории субъектов, персональные данные которых обрабатываются.

Согласно п. 3.1.4 Рекомендаций в этой графе указываются категории субъектов и виды отношений с ними (физическими лицами), например:

- работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором);

- физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором).

6. Перечень действий с персональными данными, общее описание используемых оператором способов их обработки.

В этой графе указываются действия оператора и описания используемых способов обработки персональных данных (п. 3.1.6 Рекомендаций):

- неавтоматизированная обработка персональных данных;

- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

- смешанная обработка персональных данных.

7. Описание мер, предусмотренных ст. ст. 18.1 и 19 Закона.

В этой графе оператор приводит (п. 3.1.7 Рекомендаций) описание мер, предусмотренных ст. ст. 18.1 и 19 Закона, предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.

8. Дата начала обработки персональных данных.

В этой графе рекомендуется указывать конкретную дату (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными (как правило, это дата начала осуществления оператором деятельности, закрепленной в уставных документах) (п. 3.1.9 Рекомендаций).

9. Срок или условие прекращения обработки персональных данных.

10. Сведения о наличии или отсутствии трансграничной передачи персональных данных.

11. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ.

12. Сведения об обеспечении безопасности персональных данных.

Способы передачи уведомления и внесение сведений в реестр

Роскомнадзор объявил о приостановке очных форматов взаимодействия из-за угрозы распространения коронавируса. Для организации взаимодействия рекомендуется обращаться в Роскомнадзор:

  1. в электронной форме через электронную почту (rsoc_in@rkn.gov.ru);
  2. официальный сайт (www.rkn.gov.ru);
  3. портал госуслуг (www.gosuslugi.ru);
  4. портал операторов связи, расположенный на сайте Роскомнадзора;
  5. в письменной форме через Почту России.

Контактная информация территориальных органов уполномоченного органа приведена на сайте Роскомнадзора http://rkn.gov.ru и на портале персональных данных http://pd.rkn.gov.ru

В соответствии с ч. 3 ст. 22 Закона оператор вправе составить и направить в уполномоченный орган уведомление в форме электронного документа, подписанного уполномоченным лицом. Для этого может быть использован официальный сайт Роскомнадзора (www.rkn.gov.ru), а именно портал персональных данных (www.pd.rkn.gov.ru) (п. п. 2.2, 2.3 Рекомендаций).

Согласно п. 3.2 Рекомендаций электронная форма уведомления и порядок ее заполнения размещены на указанном портале персональных данных.

В течение 30 дней с даты поступления уведомления уполномоченный орган вносит содержащиеся в нем сведения (а также сведения о дате направления уведомления) в реестр операторов, осуществляющих обработку персональных данных (ч. 4 ст. 22 Закона).

Информация о внесении сведений об операторе в реестр размещается на официальном сайте и портале персональных данных (п. 3.5 Рекомендаций).

Сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора. Ни Законом, ни Рекомендациями не предусмотрена обязательная выдача оператору какого-либо документа, подтверждающего подачу уведомления и факт внесения в реестр соответствующих сведений. В то же время любое заинтересованное лицо может по собственной инициативе получить выписку из реестра. Для этого в Роскомнадзор (его территориальный орган по месту регистрации оператора в налоговом органе) необходимо направить заявление. Его форма определенна в Приложении 4 к Рекомендациям (п. п. 6.1, 6.2 Рекомендаций).

Что ещё можно до 01.09.2022 и потом станет нельзя без уведомления

Согласно ч. 1 ст. 22 Закона № 152-ФЗ до начала обработки персональных данных оператор должен уведомить о своем намерении Роскомнадзор. Часть 2 этой же статьи предусматривает ряд случаев, когда уведомлять необязательно. С 1 сентября 2022 года этот список исключений станет меньше, из него уберут случаи обработки персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;
  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующим общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  • разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 Закона № 152-ФЗ;
  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем.

Кто по-прежнему после 01.09.2022 не должен подавать уведомление о включении в реестр?

Обязанность включаться в реестр по-прежнему не возникает у тех, кто осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (то есть без использования компьютера, на только лишь бумаге), лиц, которые являются операторами государственных информационных систем в области безопасности, а также лиц, обрабатывающих данные в соответствии с законодательством о транспортной безопасности (пп. 7-9 ч. 2 ст. 22 Закона в будущей редакции).

Т.е. если вы будете у себя, например, в салоне или в магазине будете вести записи исключительно в тетрадке или блокноте на бумаге и никуда их не передавать и не вводить персональные данные в компьютер, то у вас не возникнет обязанности уведомлять Роскомнадзор и включаться в реестр операторов персональных данных

Ответственность

Неисполнение обязанности уведомить Роскомнадзор о намерении осуществлять обработку персональных данных может повлечь наложение административного штрафа от 100 до 300 руб. - на физических лиц; на должностных лиц от 300 до 500 руб.; от 3 до 5 тыс. руб. – на юридических лиц (ст. 19.7 КоАП РФ ), также Роскомнадзор может просто вынести предупреждение оператору.

Пока размер штрафа не является значительным и сам по себе он может не мотивировать исполнять обязанность по уведомлению. Кроме того, зачастую Роскомнадзор предварительно направляет операторам требование о включении в реестр или предоставлении пояснений об отсутствии обязанности включиться в реестр.

Тем не менее, судя по тренду изменений в законодательство РФ в области защиты персональных данных, ответственность будет увеличиваться. Пока для операторов всё еще будет имеется время для привыкания работы с персональными данными.

Особенно это актуально для тех, кто обрабатывает большое количество данных о людях (сотни, тысячи, десятки тысяч и т.д.). В этом случае нужно иметь в виду, что оператор должен задуматься о системах криптозащиты и безопасности, чего нельзя сделать без соответствующих специалистов, обучения и без нового оборудования и/или организационных мероприятий (изменение документооборота, внедрение новых систем автоматизации и управления и т.п.)

Вывод и обращение к читателям клерка

Видно, что к 01.09.2022 нужно подготовиться, т.к. многие операторы уже обрабатывают персональные данные, а уведомление нужно отправить до начала обработки, т.е. до 01 сентября 2022 г.

Прошу уважаемых читателей, кто уже посылал уведомление в Роскомнадзор рассказать в комментариях о своём опыте, которые может быть полезен не только нам, но и другим читателем нашего сайта.

Комментарии

458
  • Жанна
    • Это еще один отчет о каждом принятом на работу сотруднике?
    • что значит:
    до начала обработки персональных данных оператор должен уведомить о своем намерении Роскомнадзор.

    что значит "до начала"? ДО заключения трудового договора? Так в этот момент перс.данные потенциальный РД еще не знает. А когда трудовой договор подписан - это же уже не "до", т.е. уже опоздали?

    • По ТКС через СБИС/Контур и т.п. отправить нельзя, получается?

    • Александр Заворин

      Нет, не по каждому, а по всем сразу. Т.е. вы начали обрабатывать вот такой вид персональных данных нужно уведомить.

      • Наталия

        А если новый сотрудник пришел? Или уволился и мы больше его данные не обрабатываем... и что делать если он согласие отозвал?

        Конкретики мало...

        • Александр Заворин

          Если один сотрудник появился или уволился, ничего не подается.

          • Наталия

            Т.е. это разовое уведомление о том что мы в принципе обрабатываем какие-то данные? И все??

            • Александр Заворин

              Да, что вы обрабатываете такого-то рода персональные данные и всё. Вас включают в реестр.

    • Александр Заворин

      Данные численности и информация по персоналу в этом отчете не нужна.

    • Чалдон

      Как создали юрлицо, так сразу и нарушили. Персданные (учредителей и директора) уже получены и обработаны до подачи документов на регистрацию. Захотел получить ЭЦП для уведомления РКН, а на сайте оператор ЭДО тебе тычет персданные менеджера с фото и ФИО

  • Джон Вокер

    Обычно в статьях/блогах для бухгалтеров на русский язык переводится нечитаемый канцелярит официальных текстов. В этой статье канцелярита больше чем в иных законах. Уважаемый автор не пишите, пожалуйста, предложения длинной в абзац и шириной в 10 строчек. Они нечитаемы. А просто переносить текст закона в статью смысла нет, законы сейчас в свободном доступе.

    • Александр Заворин

      В статье вначале информация дано "доступным языком", далее дано объяснение по каждому пункту формы уведомления. Автор сам определяет, как писать, нет ни одной статьи идеальной. Но за критику - спасибо.

  • Елена Бурехина

    То есть все действующие работодатели тоже обязаны подать это уведомление до 01.09?

    • Александр Заворин

      Ну да, если уже обрабатываете, то нужно отправить уведомление, т.е. главное отправить в зависимости от способа, но до 24-00 31 августа 2022 г.

      • Старый ворчун
        если уже обрабатываете, то нужно отправить уведомление

        Нет. Нужно отправить ДО начала обработки.

        • Екатерина Рогожина

          Получается если мы обрабатываем, то ничего не подаём, ТК надо до начала обработки верно?

        • pyramis

          Как можно отправить ДО начала обработки, если они уже обрабатываются. Ведь до 1 сентября компании работали с перс данными.

      • pyramis

        Почему ДО 1 сентября? Ведь это требование появляется С 1 сентября, а до этой даты таких требований не было. Полагаю, что нужно подавать 1-го сентября.

    • Александр Заворин

      А что клиен6тов физических лиц нет у вас?

Документы для работы на маркетплейсе: список

Собрали перечень документов, которые необходимы бизнесу, чтобы начать работу с маркетплейсами.

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора
Кадры

Исследование: искусственный интеллект заменит бухгалтеров через 3 года. Сами бухгалтеры смеются

Исследование заведующего лабораторией искусственного интеллекта, нейротехнологий и бизнес-аналитики РЭУ им. Г.В. Плеханова Тимура Садыкова показало, что в ближайшие 3 года технологии искусственного интеллекта смогут заменить бухгалтеров и специалистов по кадрам.

На сдачу декларации УСН компаниями осталось меньше недели

УФНС по Московской области напомнило (актуально для всей России), что налоговую декларацию по УСН за 2023 год необходимо сдать по обновленной форме.

Лучшие спикеры, новый каждый день

Роструд уточнил особенности гибкого режима рабочего времени

Специалисты Роструда разъяснили основные особенности режима рабочего времени, о которых должны помнить бухгалтеры, кадровики и работники.

Отпуска

МТС Travel запустил продажу авиа, ж/д и автобусных билетов

Цифровая экосистема ПАО «МТС» сообщилп о запуске на платформе МТС Travel витрины с билетами на самолеты, автобусы и поезда.

34

Вестник государственной регистрации: публикация сообщения в журнале

Все заинтересованные лица могут оперативно и из одного ресурса черпать официальную информацию российских компаний, организаций и ИП, которую указанные лица должны публиковать в журнале «Вестник государственной регистрации» на основании действующих законодательных обязанностей.

Вестник государственной регистрации: публикация сообщения в журнале
Опытом делятся эксперты-практики, без воды
Бесплатно с Фиксированные взносы ИП

Ликбез по фиксированным взносам-2024: вопрос-ответ

Как теперь платить фиксированные взносы, как уменьшать на них налог, нужно ли уведомление и заявление о зачете?

Ликбез по фиксированным взносам-2024: вопрос-ответ
4
946

Налоговая тайна больше не тайна для Роструда. Роструд получил доступ к данным об организациях и ИП

Министерство труда предоставило доступ ведомству к некоторым сведениям, которые составляют налоговую тайну. Такая мера направлена на пресечение нелегальной занятости.

Налоговая тайна больше не тайна для Роструда. Роструд получил доступ к данным об организациях и ИП

С 26 марта начнет действовать новая форма заявления на соцвычеты

С 26 марта заявление о подтверждении права на социальный вычет по НДФЛ нужно подавать по обновленной форме.

Весеннее настроение на «Клерке». Красивые и интересные фото

Весна чувствуется с каждым днем все сильнее. Уже совсем скоро снег растает и появится зеленая травка. Сделали для вас весенне-снежную подборку фотографий для поднятия настроения. Присылайте свои фото!

Весеннее настроение на «Клерке». Красивые и интересные фото
219

Календарь вебинаров для бухгалтера в марте 2024. Платные и бесплатные

Собрали для вас анонсы вебинаров на март 2024 года и ссылки на записи прошедших в этом месяце эфиров.

1
1,4 тыс.

Закрывающие документы с самозанятыми. Что в них входит и как правильно их оформить

С самозанятыми удобно и выгодно сотрудничать: можно быстро приступить к выполнению задач, а налоги с вознаграждений исполнитель платит сам. Но чтобы избежать проблем с контролирующими органами, нужно правильно оформлять закрывающие документы с самозанятыми. 

Закрывающие документы с самозанятыми. Что в них входит и как правильно их оформить
Миникурсы, текстовые и видеоинструкции для бухгалтеров

Мигрантам разрешат работать по одному патенту в нескольких регионах

Минфин начал готовить поправки в закон о правовом положении иностранцев в России.

Как не надо оформлять сделку, чтобы потом ее не оспорили в банкротстве?

Представьте ситуацию: у человека есть имущество в виде машины, квартиры, загородного дома или нескольких квартир. Все было хорошо, пока не появилась просроченная задолженность перед  кредиторами.

Коды ОКВЭД для торговли на маркетплейсах: какие выбрать

Выбор кода ОКВЭД зависит от того, как бизнес будет вести продажи: только онлайн или еще и в офлайн-магазинах, будут ли у него пункты выдачи товара и доставка своими силами или с привлечением третьих лиц.

Как рассчитать затраты на перевозку грузов

Грузоперевозки — существенная статья в себестоимости продукции, которая включает в себя не только доставку, но и сопутствующие услуги, например, страхование, проезд по платным дорогам. Рассказываем, как рассчитать затраты на перевозку грузов и сэкономить.

Как рассчитать затраты на перевозку грузов
4
95
НДФЛ

👔Для ИП меняют срок уплаты НДФЛ. Мнение эксперта

Когда устанавливали единый срок уплаты налогов 28 число, забыли про ИП на ОСНО. Теперь это исправят.

5
601

🔥 Последние горячие новости по УСН и взносам

Собрали самые обсуждаемые и важные для бухгалтера новости по УСН, фиксированным взносам ИП и взносам за сотрудников. Кстати, сдать декларацию по УСН организации должны до 25 марта, а ИП до 25 апреля. Времени осталось совсем мало!

Вклады

Страховое возмещение по вкладам теперь можно получить дистанционно

Заявление на получение страхового возмещения по вкладу с 19 марта 2024 года можно подать дистанционно на сайте госкорпорации «Агентство по страхованию вкладов» (АСВ) или через портал Госуслуг.

56

Интересные материалы

Можно ли получить электронную подпись дистанционно? Рассказываем про все законные способы

В УЦ Айтиком можно приобрести все виды электронных подписей для личных и рабочих задач, средства криптографической защиты, сертифицированные носители ключевой информации (токены) от ведущих российских производителей. Выпускаем подписи в ускоренном режиме, а значит в день обращения при оплате счета вы получите саму подпись и все необходимое для работы с ней.

Можно ли получить электронную подпись дистанционно? Рассказываем про все законные способы
91