Новости для бухгалтера, бухучет, налогообложение, отчетность, ФСБУ, прослеживаемость и маркировка, 1С:Бухгалтерия

Вход или Регистрация

Сбор персональных данных: новые требования для компаний с 1 сентября 2022 года

23.08.2022
Бухгалтерский ДЗЕН подписывайтесь на наш канал

Сбор персональных данных: новые требования для компаний с 1 сентября 2022 года

С 1 сентября 2022 года меняется порядок сбора и обработки персональных данных физлиц. Одним из изменений станет введение для работодателей обязанности по уведомлению Роскомнадзора о сборе персональных сведений в рамках трудовых отношений.

Изменения для работодателей с 1 сентября 2022 года

Федеральный закон от 14.07.2022 № 266-ФЗ, вступающий в силу с 1 сентября 2022 года, значительно расширил перечень персональных данных, о начале обработки и распространения которых потребуется предварительно уведомлять Роскомнадзор.

Напомним, в настоящее время до начала обработки персональных данных компания в обязательном порядке должна уведомить о предстоящей обработке Роскомнадзор (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Данная обязанность распространяется как на организации, так и на индивидуальных предпринимателей. Но это общее правило, из которого есть исключения. До начала обработки персональных данных уведомлять Роскомнадзор не требуется работодателям (получающим персональные данные в рамках трудовых отношений) и компаниям, для которых персональные данные физлица нужны исключительно в целях исполнения заключенного с ним договора (без передачи данных третьим лицам без согласия самого физлица). 

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 01.09.22г. компании и ИП должны уведомлять Роскомнадзор о намерении осуществлять сбор и обработку персональных данных физических лиц. Уведомление нужно направить в ведомство до начала обработки персданных.

2. Уведомлять Роскомнадзор нужно будет даже об обработке персданных, получаемых работодателями в рамках трудовых отношений; для исполнения заключенного с физлицом договора (без передачи данных третьим лицам) или даже необходимых в целях однократного пропуска физлица на территорию организации или ИП.

3. Работодатели, которые уже осуществляют сбор персданных физлиц, также должны сообщить об этом Роскомнадзору.

4. Сообщение о сборе и обработке персональных данных физлиц работодатель должен направить в Роскомнадзор однократно. Уведомлять о сборе персональных данных по каждому работнику отдельно не требуется.

5. Если сбор персданных осуществляется без применения средств автоматизации (данные записываются в журнал), то информировать об этом Роскомнадзор не нужно.

6. Уведомление о сборе персданных направляется в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе.

7. Роскомнадзор вносит компании, приславшие уведомления, в специальный реестр операторов персональных данных, с помощью которого любой желающий сможет проверить, законно ли осуществляется сбор и обработка его сведений.

8. За непредставление уведомления об обработке персданных Роскомнадзор может оштрафовать компании и ИП на сумму от 300 до 5000 рублей. 

Не требует предварительного уведомления Роскомнадзора и обработка персональных сведений, включающих в себя только фамилии, имена и отчества физлиц. Кроме того, без уведомления Роскомнадзора разрешается осуществлять обработку персональных данных, необходимых в целях однократного пропуска физлица на территорию организации или ИП.

С 1 сентября 2022 года во всех перечисленных случаях компании должны будут уведомлять Роскомнадзор о своем намерении осуществлять сбор и обработку персональных данных. Уведомление нужно будет направлять в ведомство до начала обработки персданных. В противном случае компании будут оштрафованы за непредоставление Роскомнадзору сведений, необходимых для осуществления контрольных полномочий.

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • получаемых и обрабатываемых в рамках трудового законодательства;
  • получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
  • относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
  • разрешенных физлицом для распространения;
  • включающих в себя только фамилии, имена и отчества физлиц;
  • необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Таким образом, практически любые компании и ИП, являющиеся работодателями или планирующие заключать договоры с физлицами, должны будут заблаговременно уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных до начала такой обработки. Причем действующих работодателей, которые уже осуществляют обработку данных своих сотрудников, данная обязанность также коснется. Все они должны будут направить в Роскомнадзор уведомление о том, что планируют осуществлять сбор сведений, необходимых для оформления трудовых отношений с работниками.

Отметим, что уведомлять о предстоящей обработке конкретной группы персданных (в частности, данных, необходимых для заключения трудовых договоров) требуется однократно. Это значит, что работодателю не нужно направлять в Роскомнадзор уведомление всякий раз, когда он планирует оформлять на должность нового сотрудника. В указанных целях достаточно одного уведомления, в котором работодатель известит ведомство, что занимается обработкой соответствующих сведений.

При этом представлять такое уведомление нужно только в том случае, если обработка персональных данных будет осуществляться с применением компьютерной техники (смартфонов). Если компания планирует осуществлять сбор персданных без применения средств автоматизации, записывая их, скажем, в бумажный журнал, книгу или тетрадь, то уведомлять Роскомнадзор не нужно (п. 8 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Если же персданные планируется заносить в компьютер, планшет или смартфон, то без предварительного уведомления Роспотребнадзора уже не обойтись.

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • наименование компании (ФИО ИП) и ее адрес;
  • цель обработки персональных данных (например, заключение трудовых договоров);
  • категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
  • категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
  • сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
  • ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
  • предполагаемая дата начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
  • сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

  • в бумажном виде,
  • в электронном виде с использованием усиленной квалифицированной электронной подписи,
  • в электронном виде с использованием средств аутентификации ЕСИА.

Получив от компании уведомление, Роскомнадзор в течение 30 дней внесет ее в специальный реестр операторов персональных данных, с помощью которого любой желающий сможет проверить, законно ли та или иная компания осуществляет сбор и обработку его сведений или нет.

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.


Поделиться с друзьями:

Подписаться на комментарии
Отправить на почту
Печать
Написать комментарий

 
Изменение правил сдачи статистической отчетности для малого бизнеса

Нужно ли изменять правила сдачи статистической отчетности для малого бизнеса?

Предложения партнеров
Обучение пользователей продуктов 1С