Изменения в закон о персональных данных

С 1 сентября 2022 года произошли изменения в законодательстве. Закон о персональных данных 2022 обязывает компании и ИП уведомить Роспотребнадзор о сборе персональной информации, касающейся своих работников и клиентов. Перед этим предоставители такой информации должны дать своё согласие. Без согласия или договора обрабатывать такие данные запрещено.

Расскажем подробнее о нововведениях, о том, когда и каким способом передать данные, и какой штраф ждёт работодателя в случае их непредставления.

Что такое закон об обработке персональных данных

В Федеральном законе №152-ФЗ произошли изменения. Согласно новой редакции от 14.07.22, оператор больше не вправе осуществлять сбор личных данных без уведомления уполномоченного органа. Закон о персональных данных с 1 сентября 2022 года обязал юрлиц и индивидуальных предпринимателей сообщать в Роскомнадзор о том, что они намерены вести их обработку.

Важно! Любая организация и ИП, которые обрабатывают или планируют обрабатывать личные данные, после отправки такого уведомления становится оператором персональных данных.

Ранее в Федеральном законе от 30.12.2020 № 519-ФЗ уже были определены основные принципы на согласие обработки личных данных:

1. Бездействие и молчание не приравниваются к согласию на обработку личных данных.
2. Для получения согласия на обработку данных, разрешённых к распространению, составляется отдельное разрешение.
3. Запрещено передавать личные данные неограниченному кругу лиц, если такая информация указана в согласии на обработку.

Эти требования операторы обязаны были соблюдать ещё до 1 сентября 2022 года.

Что относят к личным данным, которые можно обрабатывать

К персональным данным относят информацию, которую:

• получают и обрабатывают в рамках ТК РФ и иных федеральных законов, касающихся трудовых отношений;
• получают при заключении договоров с физлицами, используют только внутри компании и не предоставляют данные третьим лицам;
• разрешено распространять с согласия физлица;
• будут использовать в качестве пропуска физлица на территорию компании и в аналогичных ситуациях.

К ним также относятся личные сведения:

• содержащие в себе только Ф.И.О. физлица;
• касающиеся участников общественных объединений или религиозных организаций и обрабатываемые соответствующими организациями.

Для обработки таких сведений предоставитель личных данных должен дать оператору своё согласие. В свою очередь, с 1 сентября 2022 года оператор должен уведомить Роскомнадзор о планируемой обработке данных сведений.

В каких случаях потребуется уведомить Роскомнадзор об обработке

С 1 сентября 2022 года практически любая организация и ИП обязаны отправить уведомление, если они являются работодателями или заключают договоры с физлицами. Данное действие необходимо сделать операторам до начала обработки персональных данных.

Операторы должны направить уведомление в случае, если данные записываются с помощью средств автоматизации, например, компьютера или смартфона. Когда сбор сведений происходит на бумажный носитель, информацию отправлять не требуется. Если в компании планируется перенос личных сведений с бумаги в автоматизированную систему, сообщение в Роскомнадзор становится обязанностью.

Что делать компаниям, которые сбор личных данных уже осуществляют? В таком случае ведомство также потребуется проинформировать.

Уведомление направляется операторами однократно. При оформлении работодателем нового сотрудника каждый раз информировать Роскомнадзор не требуется.

Важно! Закон применяется к иностранным юридическим и физлицам, если оператор осуществляет обработку личных данных на основании договора с гражданином РФ или с его согласия.

Как оператору уведомить Роскомнадзор об обработке персональных данных

С 1 сентября 2022 года, оператор может отправить уведомление в Роскомнадзор тремя способами.

1. В бумажном виде — бланк заполняется на официальном сайте ведомства, распечатывается и отправляется в территориальный орган;
2. Через Госуслуги — направляется в электронном виде через портал с учётной записи организации.
3. С помощью электронной подписи — требуется заполнить и подписать документ усиленной квалифицированной электронной подписью. Заполнение уведомления осуществляется на сайте Роскомнадзора.

Руководители организаций и индивидуальные предприниматели получают УКЭП в УЦ ФНС и её доверенных лиц. Их уполномоченные работники в удостоверяющих центрах, которые имеют аккредитацию Министерства цифрового развития.

Удостоверяющий центр «Калуга Астрал» предоставляет услугу Получение КЭП в ФНС под ключ. С помощью неё ИП и руководители организаций смогут получить электронную подпись в налоговой в ускоренном порядке. Также УЦ аккредитован Минцифры, имеет все лицензии для выпуска «Астрал-ЭТ» и «1С-ЭТП». Данные подписи позволяют уполномоченным работникам подписывать электронные документы от имени компании.

Напомним, после 1 сентября 2023 года работники и уполномоченные представители юрлица или ИП, должны использовать электронную подпись физического лица вместе с машиночитаемой доверенностью (МЧД).

Подробнее ознакомиться с понятием МЧД рекомендуем в нашей статье.

После отправки уведомления Роскомнадзор вносит компанию в специальный реестр операторов персональных данных. Если у гражданина возникли сомнения в законности сборов и обработки личных сведений, он обращается к данному списку. Посмотреть его может любой желающий.

Штрафы за неуведомление Роскомнадзора

Если не отправить уведомление после 1 сентября 2022 года, оператора оштрафуют. За непредставление уведомления о том, что оператор планирует собирать или уже собирает личные данные, ему грозит наказание в соответствии со ст. 19.7 КоАП РФ.

Согласно статье, размер штрафа составит:

• от 300 до 500 рублей — для должностных лиц и индивидуальных предпринимателей;
• от 3000 до 5000 рублей — для организаций.

Какие ещё изменения произошли

1. Запрещена биометрическая обработка персональных данных несовершеннолетних.
2. Работник вправе добровольно отказаться от биометрической обработки персональных данных.
3. Обработка личных данных осуществляется оператором только с согласия.
4. Сотрудник вправе запросить сведения о том, как оператор обрабатывает личные данные и какая информация о нём хранится. Работодатель обязан ответить в течение 10 рабочих дней. При уважительной причине работодатель вправе увеличить срок ответа ещё на 5 рабочих дней.
5. В течение 24 часов работодатель обязан сообщить об утечке персональных данных в Роспотребнадзор, а в течение 72 часов провести расследование инцидента и сообщить о его результатах. Указать виновных и принятые меры.

Как хранить и уничтожать персональные данные

Бумажные персональные данные хранят в сейфе, несгораемом шкафу или специально оборудованном помещении. Электронные — с использованием логина и пароля. Доступ к ним обеспечивают отдельным лицам, которые работают с данными документами: бухгалтеру или HR-специалисту. Перечень утверждается предварительно.

Причины уничтожения персональных данных прописаны в ст. 21 266-ФЗ. Это можно сделать в следующих случаях:

• окончание срока хранения;
• потребность в обработке закончена;
• неправомерность сбора и обработки;
• отзыв сотрудника разрешения об обработке.

Порядок и требования к месту хранения, положение об уничтожении закрепляют во внутреннем акте компании.

Документы для скачивания

Ниже представлены документы, которые понадобятся операторам с 1 сентября 2022 года:

• Уведомление Роскомнадзора об уничтожении персональных данных сотрудника
• Уведомление о необходимости получить персональные данные от третьих лиц
• Положение о порядке хранения и защите персональных данных пользователей
• Согласие на обработку биометрических персональных данных