О чем и как нужно уведомлять Роскомнадзор с 01.09.2022 или какие персональные данные есть у вас

С 01.09.2022 вступают в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных», которые обяжут всех операторов отправлять данные в Роскомнадзор. Какую именно информацию и как должно представлять юридическое лицо или физическое лицо после вступления в силу закона расскажем в публикации
189,6 тыс. 38,1 тыс.
О чем и как нужно уведомлять Роскомнадзор с 01.09.2022 или какие персональные данные есть у вас
Иллюстрация Бориса Мальцева / Клерк

В настоящее время не нужно становится на учет в Роскомнадзор и уведомлять об обработке персональных данных, обрабатываемых в соответствии с трудовым законодательством и полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

С 01 сентября 2022 г. при обработке персональных данных в перечисленных случаях нужно будет сообщать в Роскомнадзор в общем порядке до начала обработки оператором персональных данных. Речь идет о федеральном законе от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».

Представлять уведомление об обработке персональных данных должен оператор (ч. 1 ст. 22 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных», далее по тексту – «Закон»).

Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Закона).

Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор.

Уведомление рекомендуется наваляется в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе (абз. 2 п. 3.1.13 Рекомендаций).

Срок рассмотрения уведомления исчисляется со дня его регистрации в Роскомнадзоре (ТО Роскомнадзора). Сведения об операторе вносятся в реестр не позднее 30 дней с даты регистрации уведомления (п. 3.2 Рекомендаций).

В самом уведомлении с 1 сентября 2022 года следующие сведения нужно будет указывать для каждой цели обработки персональных данных (ч. 3 ст. 22 Закона № 152-ФЗ):

  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.

При этом в уведомлении нужно будет указывать:

  • Ф. И. О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.

Форма уведомления утвержде6на приказом Роскомнадзора от 30.05.2017 № 94 (ред. от 30.10.2018) «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

Порядок заполнения уведомления описывается в Рекомендациях. Хотя они носят рекомендательный (необязательный) характер, чтобы избежать возникновения конфликтных ситуаций с уполномоченным органом, следует учитывать содержащиеся в них разъяснения.

Уведомление рекомендуется оформлять на бланке оператора (п. 3.1.13 Рекомендаций). Оно может быть составлено и направлено в уполномоченный орган как на бумажном носителе, так и в электронной форме (ч. 3 ст. 22 Закона, п. 3.2 Рекомендаций). Об особенностях заполнения и представления уведомления в электронной форме см. в разделе о представлении уведомления в уполномоченный орган.

В уведомлении указываются следующие сведения

1. Наименование (Ф.И.О.), адрес оператора.

2. Правовое основание обработки персональных данных.

В этой графе рекомендуется указать весь перечень нормативных правовых актов, которые закрепляют основания и порядок обработки оператором персональных данных и соответствуют его полномочиям. Не рекомендуется указывать в качестве правового основания ч. 1 ст. 6 Закона № 152-ФЗ.

3. Цель обработки персональных данных.

Согласно п. 3.1.2 Рекомендаций в этой графе следует указать цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.

4. Категории персональных данных.

К ним могут быть отнесены (п. п. 2.5 - 2.7 Рекомендаций):

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных): фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация;

- специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни). Случаи, когда допускается обработка специальных категорий персональных данных, установлены ч. 2, ч. 2.1 ст. 10 Закона;

- биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных). К ним относятся физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, голос и др.), а также иные физиологические или биологические характеристики человека, в том числе его изображения (фотография и видеозапись) (Письма Минцифры России от 17.07.2020 № ОП-П24-070-19433, Роскомнадзора от 10.02.2020 № 08АП-6782). Биометрические персональные данные могут обрабатываться оператором только при наличии письменного согласия субъекта персональных данных (за исключением случаев, установленных в ч. 2 ст. 11 Закона) (ч. 1 ст. 11 Закона).

5. Категории субъектов, персональные данные которых обрабатываются.

Согласно п. 3.1.4 Рекомендаций в этой графе указываются категории субъектов и виды отношений с ними (физическими лицами), например:

- работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором);

- физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором).

6. Перечень действий с персональными данными, общее описание используемых оператором способов их обработки.

В этой графе указываются действия оператора и описания используемых способов обработки персональных данных (п. 3.1.6 Рекомендаций):

- неавтоматизированная обработка персональных данных;

- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

- смешанная обработка персональных данных.

7. Описание мер, предусмотренных ст. ст. 18.1 и 19 Закона.

В этой графе оператор приводит (п. 3.1.7 Рекомендаций) описание мер, предусмотренных ст. ст. 18.1 и 19 Закона, предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.

8. Дата начала обработки персональных данных.

В этой графе рекомендуется указывать конкретную дату (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными (как правило, это дата начала осуществления оператором деятельности, закрепленной в уставных документах) (п. 3.1.9 Рекомендаций).

9. Срок или условие прекращения обработки персональных данных.

10. Сведения о наличии или отсутствии трансграничной передачи персональных данных.

11. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ.

12. Сведения об обеспечении безопасности персональных данных.

Способы передачи уведомления и внесение сведений в реестр

Роскомнадзор объявил о приостановке очных форматов взаимодействия из-за угрозы распространения коронавируса. Для организации взаимодействия рекомендуется обращаться в Роскомнадзор:

  1. в электронной форме через электронную почту (rsoc_in@rkn.gov.ru);
  2. официальный сайт (www.rkn.gov.ru);
  3. портал госуслуг (www.gosuslugi.ru);
  4. портал операторов связи, расположенный на сайте Роскомнадзора;
  5. в письменной форме через Почту России.

Контактная информация территориальных органов уполномоченного органа приведена на сайте Роскомнадзора http://rkn.gov.ru и на портале персональных данных http://pd.rkn.gov.ru

В соответствии с ч. 3 ст. 22 Закона оператор вправе составить и направить в уполномоченный орган уведомление в форме электронного документа, подписанного уполномоченным лицом. Для этого может быть использован официальный сайт Роскомнадзора (www.rkn.gov.ru), а именно портал персональных данных (www.pd.rkn.gov.ru) (п. п. 2.2, 2.3 Рекомендаций).

Согласно п. 3.2 Рекомендаций электронная форма уведомления и порядок ее заполнения размещены на указанном портале персональных данных.

В течение 30 дней с даты поступления уведомления уполномоченный орган вносит содержащиеся в нем сведения (а также сведения о дате направления уведомления) в реестр операторов, осуществляющих обработку персональных данных (ч. 4 ст. 22 Закона).

Информация о внесении сведений об операторе в реестр размещается на официальном сайте и портале персональных данных (п. 3.5 Рекомендаций).

Сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора. Ни Законом, ни Рекомендациями не предусмотрена обязательная выдача оператору какого-либо документа, подтверждающего подачу уведомления и факт внесения в реестр соответствующих сведений. В то же время любое заинтересованное лицо может по собственной инициативе получить выписку из реестра. Для этого в Роскомнадзор (его территориальный орган по месту регистрации оператора в налоговом органе) необходимо направить заявление. Его форма определенна в Приложении 4 к Рекомендациям (п. п. 6.1, 6.2 Рекомендаций).

Что ещё можно до 01.09.2022 и потом станет нельзя без уведомления

Согласно ч. 1 ст. 22 Закона № 152-ФЗ до начала обработки персональных данных оператор должен уведомить о своем намерении Роскомнадзор. Часть 2 этой же статьи предусматривает ряд случаев, когда уведомлять необязательно. С 1 сентября 2022 года этот список исключений станет меньше, из него уберут случаи обработки персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;
  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующим общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  • разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 Закона № 152-ФЗ;
  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем.

Кто по-прежнему после 01.09.2022 не должен подавать уведомление о включении в реестр?

Обязанность включаться в реестр по-прежнему не возникает у тех, кто осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (то есть без использования компьютера, на только лишь бумаге), лиц, которые являются операторами государственных информационных систем в области безопасности, а также лиц, обрабатывающих данные в соответствии с законодательством о транспортной безопасности (пп. 7-9 ч. 2 ст. 22 Закона в будущей редакции).

Т.е. если вы будете у себя, например, в салоне или в магазине будете вести записи исключительно в тетрадке или блокноте на бумаге и никуда их не передавать и не вводить персональные данные в компьютер, то у вас не возникнет обязанности уведомлять Роскомнадзор и включаться в реестр операторов персональных данных

Ответственность

Неисполнение обязанности уведомить Роскомнадзор о намерении осуществлять обработку персональных данных может повлечь наложение административного штрафа от 100 до 300 руб. - на физических лиц; на должностных лиц от 300 до 500 руб.; от 3 до 5 тыс. руб. – на юридических лиц (ст. 19.7 КоАП РФ ), также Роскомнадзор может просто вынести предупреждение оператору.

Пока размер штрафа не является значительным и сам по себе он может не мотивировать исполнять обязанность по уведомлению. Кроме того, зачастую Роскомнадзор предварительно направляет операторам требование о включении в реестр или предоставлении пояснений об отсутствии обязанности включиться в реестр.

Тем не менее, судя по тренду изменений в законодательство РФ в области защиты персональных данных, ответственность будет увеличиваться. Пока для операторов всё еще будет имеется время для привыкания работы с персональными данными.

Особенно это актуально для тех, кто обрабатывает большое количество данных о людях (сотни, тысячи, десятки тысяч и т.д.). В этом случае нужно иметь в виду, что оператор должен задуматься о системах криптозащиты и безопасности, чего нельзя сделать без соответствующих специалистов, обучения и без нового оборудования и/или организационных мероприятий (изменение документооборота, внедрение новых систем автоматизации и управления и т.п.)

Вывод и обращение к читателям клерка

Видно, что к 01.09.2022 нужно подготовиться, т.к. многие операторы уже обрабатывают персональные данные, а уведомление нужно отправить до начала обработки, т.е. до 01 сентября 2022 г.

Прошу уважаемых читателей, кто уже посылал уведомление в Роскомнадзор рассказать в комментариях о своём опыте, которые может быть полезен не только нам, но и другим читателем нашего сайта.

Комментарии

458
  • Жанна
    • Это еще один отчет о каждом принятом на работу сотруднике?
    • что значит:
    до начала обработки персональных данных оператор должен уведомить о своем намерении Роскомнадзор.

    что значит "до начала"? ДО заключения трудового договора? Так в этот момент перс.данные потенциальный РД еще не знает. А когда трудовой договор подписан - это же уже не "до", т.е. уже опоздали?

    • По ТКС через СБИС/Контур и т.п. отправить нельзя, получается?

    • Александр @42

      Нет, не по каждому, а по всем сразу. Т.е. вы начали обрабатывать вот такой вид персональных данных нужно уведомить.

      • Наталия

        А если новый сотрудник пришел? Или уволился и мы больше его данные не обрабатываем... и что делать если он согласие отозвал?

        Конкретики мало...

        • Александр @42

          Если один сотрудник появился или уволился, ничего не подается.

          • Наталия

            Т.е. это разовое уведомление о том что мы в принципе обрабатываем какие-то данные? И все??

            • Александр @42

              Да, что вы обрабатываете такого-то рода персональные данные и всё. Вас включают в реестр.

    • Александр @42

      Данные численности и информация по персоналу в этом отчете не нужна.

    • Чалдон

      Как создали юрлицо, так сразу и нарушили. Персданные (учредителей и директора) уже получены и обработаны до подачи документов на регистрацию. Захотел получить ЭЦП для уведомления РКН, а на сайте оператор ЭДО тебе тычет персданные менеджера с фото и ФИО

  • Джон Вокер

    Обычно в статьях/блогах для бухгалтеров на русский язык переводится нечитаемый канцелярит официальных текстов. В этой статье канцелярита больше чем в иных законах. Уважаемый автор не пишите, пожалуйста, предложения длинной в абзац и шириной в 10 строчек. Они нечитаемы. А просто переносить текст закона в статью смысла нет, законы сейчас в свободном доступе.

    • Александр @42

      В статье вначале информация дано "доступным языком", далее дано объяснение по каждому пункту формы уведомления. Автор сам определяет, как писать, нет ни одной статьи идеальной. Но за критику - спасибо.

  • Елена Бурехина

    То есть все действующие работодатели тоже обязаны подать это уведомление до 01.09?

    • Александр @42

      Ну да, если уже обрабатываете, то нужно отправить уведомление, т.е. главное отправить в зависимости от способа, но до 24-00 31 августа 2022 г.

      • Старый ворчун
        если уже обрабатываете, то нужно отправить уведомление

        Нет. Нужно отправить ДО начала обработки.

        • Екатерина Рогожина

          Получается если мы обрабатываем, то ничего не подаём, ТК надо до начала обработки верно?

        • pyramis

          Как можно отправить ДО начала обработки, если они уже обрабатываются. Ведь до 1 сентября компании работали с перс данными.

      • pyramis

        Почему ДО 1 сентября? Ведь это требование появляется С 1 сентября, а до этой даты таких требований не было. Полагаю, что нужно подавать 1-го сентября.

    • Александр @42

      А что клиен6тов физических лиц нет у вас?

Банки

В переводах и платежах начнут отказывать чаще

FATF выпустила новые указания для борьбы с отмыванием денег и финансированием терроризма. Несмотря на то, что участие РФ в международной группе приостановлено, российские банки будут обязаны их исполнять и проверять в собственных базах получателей платежей. Если будет несовпадение, в переводах и платежах откажут.

Курсы повышения
квалификации

20
Официальное удостоверение с занесением в госреестр Рособрнадзора

СФР уточнил сроки по детским выплатам и пенсиям в связи с майскими праздниками

Россияне получат в мае пенсии и детские выплаты по обычному графику.

НДС

Заявление на возмещение НДС — только в электронном виде: почему

ФНС отказалась принимать в бумажном виде заявления на применение заявительного порядка возмещения НДС, акциза.

Лучшие спикеры, новый каждый день

Для оплаты допвыходных ввели новую форму заявления

Обновили бланк заявления о возмещении расходов на оплату дополнительных выходных дней для ухода за детьми-инвалидами.

Врачи назвали три продукта против депрессии. Бухгалтерам на заметку

Депрессия — это серьезное психическое расстройство, которое может существенно повлиять на качество жизни. Существует множество методов лечения депрессии, в том числе медикаменты, психотерапия и изменения образа жизни.

Врачи назвали три продукта против депрессии. Бухгалтерам на заметку

💥Главное к утру четверга: новые штрафы для электросамокатов, снег в Москве, шпильки укрепляют ноги

Добавим в ленту самых свежих новостей на сегодня. Рассказываем обо всем, что писали и обсуждали сегодня в мире.

Опытом делятся эксперты-практики, без воды
6-НДФЛ

❗❗❗ Налоговики по-прежнему в своей программе сравнивают 6-НДФЛ и РСВ, но претензии предъявляют редко

РСВ заполняют по начислению, 6-НДФЛ – по выплате. Поэтому данные в этих отчетах не совпадают.

Как заполнить новую форму ЕФС-1 по исполнителям на ГПХ: инструкция для заказчика

При заключении и расторжении с исполнителем договора ГПХ заказчик должен заполнить подраздел 1.1 формы ЕФС-1. Расскажем, как это сделать и какие изменения нужно учесть.

Иллюстрация: Вера Ревина/Клерк.ру
Кадры

В список регионов-участников программы стимулирования занятости включили еще один регион

Сотрудники оборонно-промышленного комплекса на Камчатке смогут бесплатно получить дополнительное образование. Такое обучение организуют и для всех желающих найти работу.

Святой рандом апреля. POSI — акции Группы Позитив

Продолжаю третий сезон святого рандома с покупкой российских акций. Каждый месяц я выбираю одну рандомную акцию из индекса Мосбиржи. Ну как я, делает это святой рандом, он же генератор случайных чисел. Я её потом просто покупаю. Почему? Да потому что какой смысл ручками выбирать акции, если рынок ведет себя непредсказуемо ¯\_(ツ)_/¯

Святой рандом апреля. POSI — акции Группы Позитив
Банки

У вроде бы уходящего из России банка обнаружено более 2,4 тыс. вакансий здесь

Райффайзен Банк поспешил уточнить, что просто забыл обновить информацию в рекламе.

Есть ли деньги на Wildberries? О чем молчат селлеры

Наталья — поставщик на Wildberries честно о том, есть ли деньги на WB, какую наценку делает на самом деле поставщик и можно ли вообще обойтись без бухгалтера, когда хочешь выйти на маркетплейсы?

Миникурсы, текстовые и видеоинструкции для бухгалтеров

Должная осмотрительность и суд. Шокирующая правда

На прошлой неделе я проводил вебинар и одним из блоков был разбор нескольких свежих арбитражных дел стадии кассации, где одним из рассмотренных судом аргументов было проявление осмотрительности. И так получилось, что через несколько дней в нашем чате у подписчицы возник вопрос.

Должная осмотрительность и суд. Шокирующая правда

Если льготу отменили, то НДС можно взыскать с другой стороны сделки

Опасное дело, которое на взгляд экспертов создаст прецедент по взысканию НДС по сделкам, в том числе с ПО, не попавшими в отечественный реестр программ.

Если льготу отменили, то НДС можно взыскать с другой стороны сделки

Банк ВТБ начал тестировать свою метавселенную

Разработка напоминает игру Roblox, в которой у пользователей есть свои цифровые личности.

307
Бухгалтеры

Зарабатывай с «Клерком». Реферальная программа Клерк.Партнер

Да-да, теперь и у нас появилась собственная реферальная программа. Вы можете рекомендовать наши курсы и вебинары и получать доход. 

Иллюстрация: Вера Ревина / Клерк.ру
1
401
Маркетплейсы

Банкам не нравится, что маркетплейсы проводят оплату через свои структуры

Ozon и Wildberries дают клиентам скидки, если они проводят оплату заказов через свои финансовые инструменты. Банки расценивают это как нарушение конкуренции и просят ЦБ внимательно следить за действия маркетплейсов.

505
Акцизы

Акцизы на игристые вина повысят, но налог будет меньше запланированного

Совет Федерации решил снизить новые ставки акциза на игристые вина отечественного производства.

174
Экономика России

Прогноз Центробанка: доля безналичных платежей вырастет до 90%

По итогам 2023 года безналичные платежи составили 83% от всех расчетов. За несколько лет этот показатель будет 90%.

Интересные материалы

Банки

Экс-менеджеры банка «Открытие» заплатят 107 млрд рублей

Ответчики оплатят убытки при первой санации банка «Траст», которую проводило «Открытие».