Изменения в закон о персональных данных
С 1 сентября 2022 года произошли изменения в законодательстве. Закон о персональных данных 2022 обязывает компании и ИП уведомить Роспотребнадзор о сборе персональной информации, касающейся своих работников и клиентов. Перед этим предоставители такой информации должны дать своё согласие. Без согласия или договора обрабатывать такие данные запрещено.
Расскажем подробнее о нововведениях, о том, когда и каким способом передать данные, и какой штраф ждёт работодателя в случае их непредставления.
Что такое закон об обработке персональных данных
В Федеральном законе №152-ФЗ произошли изменения. Согласно новой редакции от 14.07.22, оператор больше не вправе осуществлять сбор личных данных без уведомления уполномоченного органа. Закон о персональных данных с 1 сентября 2022 года обязал юрлиц и индивидуальных предпринимателей сообщать в Роскомнадзор о том, что они намерены вести их обработку.
Важно! Любая организация и ИП, которые обрабатывают или планируют обрабатывать личные данные, после отправки такого уведомления становится оператором персональных данных.
Ранее в Федеральном законе от 30.12.2020 № 519-ФЗ уже были определены основные принципы на согласие обработки личных данных:
- Бездействие и молчание не приравниваются к согласию на обработку личных данных.
- Для получения согласия на обработку данных, разрешённых к распространению, составляется отдельное разрешение.
- Запрещено передавать личные данные неограниченному кругу лиц, если такая информация указана в согласии на обработку.
Эти требования операторы обязаны были соблюдать ещё до 1 сентября 2022 года.
Что относят к личным данным, которые можно обрабатывать
К персональным данным относят информацию, которую:
- получают и обрабатывают в рамках ТК РФ и иных федеральных законов, касающихся трудовых отношений;
- получают при заключении договоров с физлицами, используют только внутри компании и не предоставляют данные третьим лицам;
- разрешено распространять с согласия физлица;
- будут использовать в качестве пропуска физлица на территорию компании и в аналогичных ситуациях.
К ним также относятся личные сведения:
- содержащие в себе только Ф.И.О. физлица;
- касающиеся участников общественных объединений или религиозных организаций и обрабатываемые соответствующими организациями.
Для обработки таких сведений предоставитель личных данных должен дать оператору своё согласие. В свою очередь, с 1 сентября 2022 года оператор должен уведомить Роскомнадзор о планируемой обработке данных сведений.
В каких случаях потребуется уведомить Роскомнадзор об обработке
С 1 сентября 2022 года практически любая организация и ИП обязаны отправить уведомление, если они являются работодателями или заключают договоры с физлицами. Данное действие необходимо сделать операторам до начала обработки персональных данных.
Операторы должны направить уведомление в случае, если данные записываются с помощью средств автоматизации, например, компьютера или смартфона. Когда сбор сведений происходит на бумажный носитель, информацию отправлять не требуется. Если в компании планируется перенос личных сведений с бумаги в автоматизированную систему, сообщение в Роскомнадзор становится обязанностью.
Что делать компаниям, которые сбор личных данных уже осуществляют? В таком случае ведомство также потребуется проинформировать.
Уведомление направляется операторами однократно. При оформлении работодателем нового сотрудника каждый раз информировать Роскомнадзор не требуется.
Важно! Закон применяется к иностранным юридическим и физлицам, если оператор осуществляет обработку личных данных на основании договора с гражданином РФ или с его согласия.
Как оператору уведомить Роскомнадзор об обработке персональных данных
С 1 сентября 2022 года, оператор может отправить уведомление в Роскомнадзор тремя способами.
- В бумажном виде — бланк заполняется на официальном сайте ведомства, распечатывается и отправляется в территориальный орган;
- Через Госуслуги — направляется в электронном виде через портал с учётной записи организации.
- С помощью электронной подписи — требуется заполнить и подписать документ усиленной квалифицированной электронной подписью. Заполнение уведомления осуществляется на сайте Роскомнадзора.
Руководители организаций и индивидуальные предприниматели получают УКЭП в УЦ ФНС и её доверенных лиц. Их уполномоченные работники в удостоверяющих центрах, которые имеют аккредитацию Министерства цифрового развития.
Удостоверяющий центр «Калуга Астрал» предоставляет услугу Получение КЭП в ФНС под ключ. С помощью неё ИП и руководители организаций смогут получить электронную подпись в налоговой в ускоренном порядке. Также УЦ аккредитован Минцифры, имеет все лицензии для выпуска «Астрал-ЭТ» и «1С-ЭТП». Данные подписи позволяют уполномоченным работникам подписывать электронные документы от имени компании.
Напомним, после 1 сентября 2023 года работники и уполномоченные представители юрлица или ИП, должны использовать электронную подпись физического лица вместе с машиночитаемой доверенностью (МЧД).
Подробнее ознакомиться с понятием МЧД рекомендуем в нашей статье.
После отправки уведомления Роскомнадзор вносит компанию в специальный реестр операторов персональных данных. Если у гражданина возникли сомнения в законности сборов и обработки личных сведений, он обращается к данному списку. Посмотреть его может любой желающий.
Штрафы за неуведомление Роскомнадзора
Если не отправить уведомление после 1 сентября 2022 года, оператора оштрафуют. За непредставление уведомления о том, что оператор планирует собирать или уже собирает личные данные, ему грозит наказание в соответствии со ст. 19.7 КоАП РФ.
Согласно статье, размер штрафа составит:
- от 300 до 500 рублей — для должностных лиц и индивидуальных предпринимателей;
- от 3000 до 5000 рублей — для организаций.
Какие ещё изменения произошли
- Запрещена биометрическая обработка персональных данных несовершеннолетних.
- Работник вправе добровольно отказаться от биометрической обработки персональных данных.
- Обработка личных данных осуществляется оператором только с согласия.
- Сотрудник вправе запросить сведения о том, как оператор обрабатывает личные данные и какая информация о нём хранится. Работодатель обязан ответить в течение 10 рабочих дней. При уважительной причине работодатель вправе увеличить срок ответа ещё на 5 рабочих дней.
- В течение 24 часов работодатель обязан сообщить об утечке персональных данных в Роспотребнадзор, а в течение 72 часов провести расследование инцидента и сообщить о его результатах. Указать виновных и принятые меры.
Как хранить и уничтожать персональные данные
Бумажные персональные данные хранят в сейфе, несгораемом шкафу или специально оборудованном помещении. Электронные — с использованием логина и пароля. Доступ к ним обеспечивают отдельным лицам, которые работают с данными документами: бухгалтеру или HR-специалисту. Перечень утверждается предварительно.
Причины уничтожения персональных данных прописаны в ст. 21 266-ФЗ. Это можно сделать в следующих случаях:
- окончание срока хранения;
- потребность в обработке закончена;
- неправомерность сбора и обработки;
- отзыв сотрудника разрешения об обработке.
Порядок и требования к месту хранения, положение об уничтожении закрепляют во внутреннем акте компании.
Документы для скачивания
Ниже представлены документы, которые понадобятся операторам с 1 сентября 2022 года: