С 1 сентября 2022 года меняется порядок сбора и обработки персональных данных физлиц. Одним из изменений станет введение для работодателей обязанности по уведомлению Роскомнадзора о сборе персональных сведений в рамках трудовых отношений.
Изменения для работодателей с 1 сентября 2022 года
Федеральный закон от 14.07.2022 № 266-ФЗ, вступающий в силу с 1 сентября 2022 года, значительно расширил перечень персональных данных, о начале обработки и распространения которых потребуется предварительно уведомлять Роскомнадзор.
Напомним, в настоящее время до начала обработки персональных данных компания в обязательном порядке должна уведомить о предстоящей обработке Роскомнадзор (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Данная обязанность распространяется как на организации, так и на индивидуальных предпринимателей. Но это общее правило, из которого есть исключения. До начала обработки персональных данных уведомлять Роскомнадзор не требуется работодателям (получающим персональные данные в рамках трудовых отношений) и компаниям, для которых персональные данные физлица нужны исключительно в целях исполнения заключенного с ним договора (без передачи данных третьим лицам без согласия самого физлица).
Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени
1. С 01.09.22 г. компании и ИП должны уведомлять Роскомнадзор о намерении осуществлять сбор и обработку персональных данных физических лиц.
2. Уведомлять Роскомнадзор нужно будет даже об обработке персданных, получаемых работодателями в рамках трудовых отношений; для исполнения заключенного с физлицом договора (без передачи данных третьим лицам) или даже необходимых в целях однократного пропуска физлица на территорию организации или ИП.
3. Работодатели, которые уже осуществляют сбор персданных физлиц, также должны сообщить об этом Роскомнадзору.
4. Сообщение о сборе и обработке персональных данных физлиц работодатель должен направить в Роскомнадзор однократно. Уведомлять о сборе персональных данных по каждому работнику отдельно не требуется.
5. Если сбор персданных осуществляется без применения средств автоматизации (данные записываются в журнал), то информировать об этом Роскомнадзор не нужно.
6. Уведомление о сборе персданных направляется в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе.
7. Роскомнадзор вносит компании, приславшие уведомления, в специальный реестр операторов персональных данных, с помощью которого любой желающий сможет проверить, законно ли осуществляется сбор и обработка его сведений.
8. За непредставление уведомления об обработке персданных Роскомнадзор может оштрафовать компании и ИП на сумму от 300 до 5000 рублей.
Не требует предварительного уведомления Роскомнадзора и обработка персональных сведений, включающих в себя только фамилии, имена и отчества физлиц. Кроме того, без уведомления Роскомнадзора разрешается осуществлять обработку персональных данных, необходимых в целях однократного пропуска физлица на территорию организации или ИП.
С 1 сентября 2022 года во всех перечисленных случаях компании должны будут уведомлять Роскомнадзор о своем намерении осуществлять сбор и обработку персональных данных. Уведомление нужно будет направлять в ведомство до начала обработки персданных. В противном случае компании будут оштрафованы за непредоставление Роскомнадзору сведений, необходимых для осуществления контрольных полномочий.
В каких случаях потребуется уведомление Роскомнадзора
С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- получаемых и обрабатываемых в рамках трудового законодательства;
- получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
- относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
- разрешенных физлицом для распространения;
- включающих в себя только фамилии, имена и отчества физлиц;
- необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.
Таким образом, практически любые компании и ИП, являющиеся работодателями или планирующие заключать договоры с физлицами, должны будут заблаговременно уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных до начала такой обработки. Причем действующих работодателей, которые уже осуществляют обработку данных своих сотрудников, данная обязанность также коснется. Все они должны будут направить в Роскомнадзор уведомление о том, что планируют осуществлять сбор сведений, необходимых для оформления трудовых отношений с работниками.
Отметим, что уведомлять о предстоящей обработке конкретной группы персданных (в частности, данных, необходимых для заключения трудовых договоров) требуется однократно. Это значит, что работодателю не нужно направлять в Роскомнадзор уведомление всякий раз, когда он планирует оформлять на должность нового сотрудника. В указанных целях достаточно одного уведомления, в котором работодатель известит ведомство, что занимается обработкой соответствующих сведений.
При этом представлять такое уведомление нужно только в том случае, если обработка персональных данных будет осуществляться с применением компьютерной техники (смартфонов). Если компания планирует осуществлять сбор персданных без применения средств автоматизации, записывая их, скажем, в бумажный журнал, книгу или тетрадь, то уведомлять Роскомнадзор не нужно (п. 8 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Если же персданные планируется заносить в компьютер, планшет или смартфон, то без предварительного уведомления Роскомнадзора уже не обойтись.
Как уведомить Роскомнадзор о сборе персональных данных
Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- наименование компании (ФИО ИП) и ее адрес;
- цель обработки персональных данных (например, заключение трудовых договоров);
- категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
- категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
- сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
- ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
- предполагаемая дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
- сведения об обеспечении безопасности персональных данных.
Направить уведомление можно следующими способами:
- в бумажном виде,
- в электронном виде с использованием усиленной квалифицированной электронной подписи,
- в электронном виде с использованием средств аутентификации ЕСИА.
Получив от компании уведомление, Роскомнадзор в течение 30 дней внесет ее в
Штрафы за неуведомление Роскомнадзора
Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).
Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.
Добрый день! Планируется ли возможность отправки такого уведомления через 1С- отчетность? К сожалению на Мониторинге Законодательства не нашла информацию.
Муза программиста, перечень способов отправки такого уведомления ограничен. в настоящее время предусмотрена возможность направления уведомления в ркн в бумажном виде по почте, либо в электронном виде с использованием усиленной квалифицированной электронной подписи через сайт ведомства. также можно сформировать уведомление и направить его в электронном виде через портал госуслуг.
Уведомление создается на портале Роскомнадзора, можно подписать электронной подписью или распечатать и отправить по почте.
Т.е.при оформлении сотрудника на работу нужно брать согласие Ина обработку персданных и сообщать об этом в Роскомнадзор? А так же сообщить о тех, с кого уже ранее брали согласие на обработку?
Минибух, не совсем так. просто после 1 сентября вы, как работодатель, направляете в роскомнадзор уведомление о планируемом сборе и обработке персональных данных. именно тех, которые необходимы в целях оформления с работниками трудовых правоотношений. заключения с ними трудовых договоров, допсоглашений и т.д. это уведомление подается однократно. оно нужно для того, чтобы ркн внес вас в реестр операторов персданных. при приеме новых сотрудников ничего подавать повторно не требуется.
что касается согласия на обработку персональных данных, то компания-работодатель в любом случае обязана получать данное согласие в письменной форме с сотрудника при его оформлении на работу. данное согласие требовалось и ранее. кроме того, с 1 марта 2021 года от работодателей требуется еще получать с сотрудников и согласие на распространение персональных данных. это для случаев, если данные работников планируется передавать третьим лицам
Если у фирмы числятся работники - эти данные есть у ПФР, что мешает включить в список Роскомнадзора все эти фирмы автоматически, между ведомствами?
Товаровед в мыле, Вот да, или взять данные из ЕГРЮЛ и ЕГРИП. Ведь получается, что практически все хозяйствующие субъекты одновременно являются работодателями, в редком исключении - потенциальными, а, значит, все обрабатывают персданные.
Надменный главбух, если в реестр роскомнадзора автоматически внести все данные из егрюл и егрип, то в реестре внезапно окажутся абсолютно все компании. вместе с тем. реестр как раз и служит для того, чтобы отделить добросовестных операторов персональных данных от тех, кто распространяет эти данные противозаконно. если дублировать реестры фнс в реестре ркн, то физлицо и контролеры не смогут определить, законно ли фирма осуществляет сбор тех или иных сведений.
Товаровед в мыле, и кому вы этим предлагаете заняться? работникам пфр? к тому же включение данных сведений в реестр не будет означать исполнения новых требований. намерение обрабатывать данные выражает сам работодатель. данное намерение прямо не следует из персонифицированной отчетности. персональные сведения, собираемые в рамках трудовых отношений, представляют только часть персданных об обработке которых нужно информировать ркн.