С 1 сентября 2022 года существенно изменились правила работы с персональными данными. Некоторые нововведения касаются практически всех бизнесменов и некоммерческих организаций. Расскажем, о чем идет речь и как уведомлять Роскомнадзор об обработке персональных данных после 1 сентября 2022 года.

Что такое персональные данные и кто такой оператор персональных данных

Основные понятия, связанные с персональными данными, перечислены в статье 3 закона от 27.07.2006 № 152-ФЗ.

Персональные данные (ПД) — это любая информация, которая прямо или косвенно относится к конкретному физическому лицу: субъекту персональных данных.

Списка персональных данных в законе нет, поэтому любые сведения о физическом лице, которые позволяют его идентифицировать, могут быть отнесены к персональным данным.

Например, ФИО плюс номер телефона позволяют однозначно определить человека, поэтому эта информация относится к персональным данным. А фамилия сама по себе не является персональными данными, так как у человека может быть немало однофамильцев.

Оператор персональных данных — это госструктура, юридическое или физическое лицо, которые осуществляют любые операции с персональными данными. К операциям относится сбор, накопление, систематизация, передача другим лицам и т.п.

Например, если работодатель внес в свою базу данных ФИО и телефон кандидата на вакансию, чтобы пригласить его на собеседование — это уже будет относиться к обработке персональных данных.

Кто должен уведомлять Роскомнадзор об обработке персональных данных после 1 сентября 2022 года

С 1 сентября 2022 года существенно сокращен перечень ситуаций, когда оператор персональных данных может обрабатывать их без уведомления Роскомнадзора. В новой редакции п. 2 ст. 22 закона № 152-ФЗ остались только три случая, когда можно не уведомлять ведомство при обработке персональных данных:

1. Персональные данные находятся в государственных информационных системах, созданных в целях обеспечения безопасности и общественного порядка. Например — базы данных полиции или других подобных структур.
2. Персональные данные обрабатываются в целях обеспечения транспортной безопасности. Например — данные камер видеонаблюдения на вокзалах.
3. Оператор обрабатывает персональные данные без применения средств автоматизации. Например — контролеры на проходной ведут бумажный журнал учета посетителей, не занося информацию в компьютер.

Из перечня исключений исчезла обработка персональных данных для целей трудовых отношений или для исполнения договора с покупателем (заказчиком).  А компании или ИП, как правило, ведут базы своих клиентов, сотрудников и кандидатов на вакансии в электронном виде.

Поэтому обязанность уведомлять Роскомнадзор об обработке персональных данных теперь распространяется практически на всех бизнесменов и некоммерческие организации.

Ведомство отдельно отметило в своем разъяснении, что уведомления должны направить все, кто обрабатывает персональные данные в связи с трудовыми отношениями (письмо от 19.08.2022 N 08-75348).

В какие сроки и как уведомить Роскомнадзор об обработке персональных данных после 1 сентября 2022 года

Положения закона от 14.07.2022 № 266-ФЗ, которые сократили перечень исключений при обработке персональных данных, вступили в силу с 1 сентября 2022 года.

Однако Роскомнадзор (РКН) в своем информационном письме отметил, что 1 сентября не является крайним сроком для подачи уведомления об обработке персональных данных. Ведомство планирует утвердить новую форму, а до этого операторы персональных данных могут использовать бланки, ранее утвержденные приказом Роскомнадзора от 30.05.2017 № 94. Но конкретные сроки для предоставления этой информации Роскомнадзор в своем разъяснении не указал.

Однако в п. 7 ст. 22 закона № 152-ФЗ сказано, что оператор должен уведомить Роскомнадзор об изменениях порядка работы с персональными данными в течение 10 рабочих дней. Появление у оператора новой обязанности в связи с изменениями закона тоже можно считать изменением порядка работы с персональными данными.

Поэтому всем, кто имеет дело с персональными данными, безопаснее не позднее 14 сентября 2022 года поступить следующим образом:

1. Проверить наличие компании или ИП в реестре операторов Роскомнадзора. Если компания (ИП) включена в реестр, и все актуальные основания для обработки персональных данных указаны, то повторно подавать уведомление не нужно.
2. Если компании (ИП) нет в реестре, то нужно подать уведомление по форме согласно приложению № 1 к приказу № 94. Это можно сделать на бумажном носителе, а также в электронном виде на портале Роскомнадзора или через Госуслуги. Для электронного формата нужна усиленная квалифицированная электронная подпись или подтвержденная учетная запись на Госуслугах. Бумажную форму также удобно заполнить и распечатать с портала Роскомнадзора, так как там есть подсказки по каждому пункту.
3. Если компания (ИП) есть в реестре, но нужно уточнить информацию, то следует воспользоваться приложением № 2 к приказу № 94. Например, ранее в реестре была только информация об обработке персональных данных для оформления договоров с покупателями, а теперь добавится еще и обработка персональных данных в рамках трудовых отношений.

Далее нужно следить за новостями на портале Роскомнадзора и на других источниках, например, справочных правовых системах. Скорее всего, Роскомнадзор вместе с новой формой уведомления выпустит и разъяснения, в которых укажет, как поступать тем, кто уже направил информацию по старой форме.

Как уведомлять Роскомнадзор в особых случаях, связанных с обработкой персональных данных

Если оператор передает персональные данные за границу, он должен до 1 марта 2023 года направить в Роскомнадзор отдельное уведомление об этом (п. 5 ст. 6 закона № 266-ФЗ).

Уведомление можно заполнить в электронном виде и передать с помощью подтвержденной учетной записи на Госуслугах. Бумажная форма этого документа по состоянию на начало сентября 2022 года не утверждена.

Те операторы, которые передают данные за границу, но не зарегистрированы на Госуслугах, могут подождать, пока Роскомнадзор утвердит бумажную форму. Главное — не пропустить 1 марта 2023 года, иначе затем передача персональных данных за границу станет незаконной.

Но лучше заранее оформить учетную запись на Госуслугах и воспользоваться электронным сервисом Роскомнадзора. Тогда будет меньше вероятность ошибок и оператор персональных данных сможет без проблем работать с иностранными получателями информации.

При инцидентах, связанных с утечками персональных данных теперь действует следующий порядок (п. 3.1 ст. 21 закона № 152-ФЗ):

1. В течение 24 часов нужно сообщить в Роскомнадзор о сути инцидента, его предполагаемых причинах, причиненном вреде, принятых мерах.
2. В течение 72 часов сообщить о результатах проведенного внутреннего расследования и виновных лицах, если они выявлены.

Электронные формы этих уведомлений также можно заполнить на портале Роскомнадзора и переслать с помощью подтвержденной учетной записи на Госуслугах.

Что будет, если нарушить порядок уведомления Роскомнадзора об обработке персональных данных

За нарушения порядка предоставления информации в государственные контролирующие органы, в т. ч. и в Роскомнадзор, предусмотрено предупреждение или штрафы по ст. 19.7 КоАП РФ:

1. Для должностных лиц или ИП — от 300 до 500 руб.
2. Для юридических лиц — от 3 000 до 5 000 руб.

Плановых и внеплановых проверок Роскомнадзора до конца 2022 года не будет (постановление Правительства РФ от 10.03.2022 № 336). Но с 2023 года, если мораторий не продлят, все контрольные мероприятия возобновятся на общих основаниях.

Вывод

С 1 сентября 2022 года практически все бизнесмены и некоммерческие организации обязаны уведомить Роскомнадзор об обработке персональных данных. Исключение закон делает только для тех, кто использует для обработки персональных данных исключительно бумажные носители информации.

Хотя в разъяснениях Роскомнадзора и не установлен срок подачи данного уведомления, лучше направить его до 14 сентября 2022 года, используя действующую форму.

Кроме того, теперь предусмотрены специальные правила уведомления Роскомнадзора при передаче персональных данных за границу и при их утечке.

Доверьте бухгалтерию команде экспертов

Нулевая отчетность

от 1 000

Заказать

Микро бизнес

от 3 000

Заказать

Малый бизнес

от 7 000

Заказать

Активный бизнес

от 10 000

Заказать