Разработаем все необходимые документы за вас!

О чем и как нужно уведомлять Роскомнадзор с 01.09.2022?

С 1 сентября 2022 года вступают в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных», которые обяжут всех операторов отправлять данные в Роскомнадзор. Какую именно информацию и как должно представлять юридическое лицо или физическое лицо после вступления в силу закона расскажем в публикации.

Локальные нормативные акты и документооборот по работе с персональными данными

Оператор обязан регламентировать свою деятельность в области обработки персональных данных и разработать, утвердить локальные нормативные акты. Специалисты Ростов-Аудит готовы разработать для вашего бизнеса эти документы.

• Приказ об утверждении положения о персональных данных работников
• Положение о защите, хранении, обработке и передаче персональных данных работников с утверждением документооборота по работе с персональными данными
• Перечень персональных данных работников
• Приказ об утверждении состава документов, подлежащих включению в Личное дело Работников
• Положение об ответственности работников за нарушение режима конфиденциальности персональных данных с утверждением обязательства о неразглашении персональных данных работников
• Приказ о назначении лица, ответственного за организацию обработки персональных данных, за обработку персональных данных,
• Приказ об утверждении списка должностных лиц, имеющих доступ к персональным данным
• Согласие на обработку персональных данных работника
• Согласие работника на обработку персональных данных, разрешенных им для распространения
• Согласие на передачу персональных данных работника третьим лицам

В настоящее время не нужно становится на учет в Роскомнадзор и уведомлять об обработке персональных данных, обрабатываемых в соответствии с трудовым законодательством и полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

С 01 сентября 2022 г. при обработке персональных данных в перечисленных случаях нужно будет сообщать в Роскомнадзор в общем порядке до начала обработки оператором персональных данных. Речь идет о федеральном законе от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».

Представлять уведомление об обработке персональных данных должен оператор (ч. 1 ст. 22 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных», далее по тексту – «Закон»).

Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Закона).

Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор.

Уведомление рекомендуется направлять в территориальный орган Роскомнадзора – управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе (абз. 2 п. 3.1.13 Рекомендаций).

Срок рассмотрения уведомления исчисляется со дня его регистрации в Роскомнадзоре (ТО Роскомнадзора). Сведения об операторе вносятся в реестр не позднее 30 дней с даты регистрации уведомления (п. 3.2 Рекомендаций).

В самом уведомлении с 1 сентября 2022 года следующие сведения нужно будет указывать для каждой цели обработки персональных данных (ч. 3 ст. 22 Закона № 152-ФЗ):

• категории персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.

При этом в уведомлении нужно будет указывать:

• Ф. И. О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.

Форма уведомления утвержде6на приказом Роскомнадзора от 30.05.2017 № 94 (ред. от 30.10.2018) «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

Порядок заполнения уведомления описывается в Рекомендациях. Хотя они носят рекомендательный (необязательный) характер, чтобы избежать возникновения конфликтных ситуаций с уполномоченным органом, следует учитывать содержащиеся в них разъяснения.

Уведомление рекомендуется оформлять на бланке оператора (п. 3.1.13 Рекомендаций). Оно может быть составлено и направлено в уполномоченный орган как на бумажном носителе, так и в электронной форме (ч. 3 ст. 22 Закона, п. 3.2 Рекомендаций). Об особенностях заполнения и представления уведомления в электронной форме см. в разделе о представлении уведомления в уполномоченный орган.

Способы передачи уведомления и внесение сведений в реестр

Роскомнадзор объявил о приостановке очных форматов взаимодействия из-за угрозы распространения коронавируса. Для организации взаимодействия рекомендуется обращаться в Роскомнадзор:

1. в электронной форме через электронную почту (rsoc_in@rkn.gov.ru);
2. официальный сайт (www.rkn.gov.ru);
3. портал госуслуг (www.gosuslugi.ru);
4. портал операторов связи, расположенный на сайте Роскомнадзора;
5. в письменной форме через Почту России.

Контактная информация территориальных органов уполномоченного органа приведена на сайте Роскомнадзора http://rkn.gov.ru и на портале персональных данных http://pd.rkn.gov.ru

В соответствии с ч. 3 ст. 22 Закона оператор вправе составить и направить в уполномоченный орган уведомление в форме электронного документа, подписанного уполномоченным лицом. Для этого может быть использован официальный сайт Роскомнадзора (www.rkn.gov.ru), а именно портал персональных данных (www.pd.rkn.gov.ru) (п. п. 2.2, 2.3 Рекомендаций).

Согласно п. 3.2 Рекомендаций электронная форма уведомления и порядок ее заполнения размещены на указанном портале персональных данных.

В течение 30 дней с даты поступления уведомления уполномоченный орган вносит содержащиеся в нем сведения (а также сведения о дате направления уведомления) в реестр операторов, осуществляющих обработку персональных данных (ч. 4 ст. 22 Закона).

Информация о внесении сведений об операторе в реестр размещается на официальном сайте и портале персональных данных (п. 3.5 Рекомендаций).

Сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора. Ни Законом, ни Рекомендациями не предусмотрена обязательная выдача оператору какого-либо документа, подтверждающего подачу уведомления и факт внесения в реестр соответствующих сведений. В то же время любое заинтересованное лицо может по собственной инициативе получить выписку из реестра. Для этого в Роскомнадзор (его территориальный орган по месту регистрации оператора в налоговом органе) необходимо направить заявление. Его форма определенна в Приложении 4 к Рекомендациям (п. п. 6.1, 6.2 Рекомендаций).

Что ещё можно до 01.09.2022 и потом станет нельзя без уведомления

Согласно ч. 1 ст. 22 Закона № 152-ФЗ до начала обработки персональных данных оператор должен уведомить о своем намерении Роскомнадзор. Часть 2 этой же статьи предусматривает ряд случаев, когда уведомлять необязательно. С 1 сентября 2022 года этот список исключений станет меньше, из него уберут случаи обработки персональных данных:

• обрабатываемых в соответствии с трудовым законодательством;
• полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
• относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующим общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
• разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 Закона № 152-ФЗ;
• включающих в себя только фамилии, имена и отчества субъектов персональных данных;
• необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
• включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем.

Кто по-прежнему после 01.09.2022 не должен подавать уведомление о включении в реестр?

Обязанность включаться в реестр по-прежнему не возникает у тех, кто осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (то есть без использования компьютера, на только лишь бумаге), лиц, которые являются операторами государственных информационных систем в области безопасности, а также лиц, обрабатывающих данные в соответствии с законодательством о транспортной безопасности (пп. 7-9 ч. 2 ст. 22 Закона в будущей редакции).

Т.е. если вы будете у себя, например, в магазине будете вести записи исключительно в журнале  или блокноте на бумаге и никуда их не передавать и не вводить персональные данные в компьютер, то у вас не возникнет обязанности уведомлять Роскомнадзор и включаться в реестр операторов персональных данных.

Ответственность

Неисполнение обязанности уведомить Роскомнадзор о намерении осуществлять обработку персональных данных может повлечь наложение административного штрафа от 100 до 300 руб. – на физических лиц; на должностных лиц от 300 до 500 руб.; от 3 до 5 тыс. руб. – на юридических лиц (ст. 19.7 КоАП РФ ), также Роскомнадзор может просто вынести предупреждение оператору.

Разработка документов для обработки персональных данных необходима большинству работодателей. Услуги по разработке готова предоставить команда ООО “Ростов-Аудит”