' fill='%23d91920'%3E%3Cpath fill-rule='evenodd' d='M0 4.996v3.203h3.428v16.789H6.43V4.996H0zm11.115 19.991H7.993V3.332H3.428V.002h7.687v24.985zm15.63-8.486c-.224 0-1.404-.008-1.622-.028-.369-.033-.905-.092-1.249-.176-.388-.111-.753-.257-.917-.353-1.153-.665-1.938-1.964-1.938-3.461 0-2.178 1.654-3.943 3.698-3.943 2 0 3.626 1.696 3.691 3.815h2.98c-.062-3.873-3.023-6.993-6.671-6.993-3.69 0-6.681 3.187-6.681 7.121 0 2.773 1.491 5.17 3.663 6.343.334.208.962.427 1.142.477.613.172 1.436.29 2.104.341.248.021 1.456.032 1.712.034v.005h21.415v-3.18H26.745zm-1.8 5.173c-.929-.065-2-.239-2.845-.5a13.63 13.63 0 0 1-.98-.387c-2.941-1.453-4.991-4.625-4.991-8.304 0-5.048 3.851-9.157 8.588-9.157 4.694 0 8.518 4.041 8.583 9.03h3.102C36.338 5.542 31.122.02 24.717.02c-6.445 0-11.689 5.591-11.689 12.462 0 4.738 2.498 8.858 6.158 10.963a13.61 13.61 0 0 0 1.93.862c1.042.332 2.322.55 3.463.644.386.031 1.737.047 2.131.049h21.364v-3.295H26.745c-.283 0-1.522-.012-1.8-.032z'/%3E%3Cpath d='M42.555 4.232c-.929 0-1.73-.779-1.73-1.84 0-1.009.801-1.807 1.73-1.807s1.725.799 1.725 1.807c0 1.061-.796 1.84-1.725 1.84zm0-3.997c-1.125 0-2.057.956-2.057 2.157s.932 2.193 2.057 2.193c1.16 0 2.056-.994 2.056-2.193S43.715.235 42.555.235zm.097 2.035h-.441v-.679h.378c.261 0 .439.087.439.349 0 .138-.064.33-.376.33zm.686.712c0-.242-.033-.467-.293-.555a.48.48 0 0 0 .358-.487c0-.557-.474-.628-.669-.628h-.897v2.157h.374v-.886h.295c.423 0 .459.208.459.399 0 .368 0 .437.081.487h.375c-.082-.087-.05-.156-.082-.487z'/%3E%3C/g%3E%3Cdefs%3E%3CclipPath id='A'%3E%3Cpath fill='%23fff' d='M0 0h48.077v25H0z'/%3E%3C/clipPath%3E%3C/defs%3E%3C/svg%3E){kind=small}
Содержание
С 1 сентября 2022 года вступили в силу изменения в закон об обработке персональных данных(ПД). Ситуаций, при которых сообщать об обработке ПД не требуется, стало значительно меньше. В частности, теперь направлять уведомление в Роскомнадзор обязаны все работодатели, хотя раньше такой обязанности у них не было.
Что такое персональные данные
Обработка персональных данных регулируется законом № 152-ФЗ от 27 июля 2006 года. К сожалению, конкретики в отношении самого понятия персональных данных в этом документе нет.
В статье 3 закона № 152-ФЗ сказано следующее: «Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».
В Указе Президента РФ от 06.03.1997 № 188 персональными данными называются «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность».
Больше всего подробностей про состав персональных данных можно найти в п. 2.5 Методических рекомендаций, утвержденных приказом Роскомнадзора от 30.05.2017 № 94. Это следующие сведения:
- фамилия, имя, отчество;
- год, месяц, дата рождения;
- место рождения;
- адрес проживания;
- семейное положение;
- социальное и имущественное положение;
- образование и профессия;
- доходы.
Добавим сюда другие данные, по которым можно идентифицировать человека: номер телефона, адрес электронной почты, аккаунты в соцсетях и мессенджерах, паспортные данные, номер СНИЛС, биометрические данные.
Что касается номера ИНН, то с одной стороны, он полностью позволяет идентифицировать физлицо. С другой стороны, в письмах от 28.01.2020 № 03-01-11/4925 и от 12.02.2020 № 03-01-11/9505 Минфин сообщает, что ИНН не относится к персональным данным и используется только для учета налогоплательщиков.
Тем не менее, в отношении ИНН нельзя исключать спорных ситуаций, потому что мнения разных ведомств по одним и тем же вопросам часто расходятся. С учётом этого, стоит относить к персональным данным и идентификационный номер налогоплательщика.
Ещё один спорный вопрос – сочетание разных персональных данных. Например, сам по себе номер телефона или email без имени владельца не позволит его идентифицировать. Является ли в таком случае номер мобильного без других сведений персональными данными? На такой вопрос РКН отвечает отрицательно.
Если вы не уверены, осуществляется ли в вашем случае обработка персональных данных, задайте вопрос в Роскомнадзор – письмом или через электронную форму на сайте ведомства.
Важно: обработка персональных данных с нарушением установленного порядка наказывается по статье 13.11 КоАП РФ. Сумма штрафа за разные правонарушения достигает 75 тысяч рублей. Если же данные российских граждан хранятся в базах, расположенных за пределами РФ, то штраф может составлять 6 и даже 18 млн рублей (при повторном нарушении). А за отсутствие уведомления о начале обработке персональных данных накажут штрафом до 5 000 рублей по статье ст. 19.7 КоАП РФ.
Кто должен подавать уведомление об обработке персональных данных
В законе № 152-ФЗ операторами персональных данных называются государственные и муниципальные органы, а также юридические и физические лица, которые производят с ПД любые действия: сбор, накопление, запись, хранение, систематизацию, использование, передачу, блокирование, уничтожение и др.
С 1 сентября 2022 года обработка персональных данных операторами без уведомления Роскомнадзора допускается только в ситуациях, перечисленных в п. 2 статьи 22 закона № 152-ФЗ:
- персональные данные включены в государственные информационные системы, созданные для защиты безопасности государства и общественного порядка (МВД и другие силовые структуры);
- деятельность по обработке ПД осуществляется без использования средств автоматизации (например, ведётся только бумажный журнал учёта посетителей);
- ПД обрабатываются в целях безопасности транспорта и объектов транспортного комплекса.
Таким образом, с 01.09.2022 подавать уведомление об обработке персональных данных должны также операторы, которые занимаются:
- обработкой ПД по трудовому законодательству;
- получением информации с согласия субъекта только для исполнения договора, с ним заключённого;
- обработкой ПД участников религиозных организаций и общественных объединений;
- распространение личной информации с согласия субъекта;
- обработка ПД, состоящих только из имени, отчества, фамилии;
- оформление разового пропуска для прохождения на территорию оператора ПД.
Ранее действовавшее исключение для таких ситуаций больше не применяется.
По сути, если говорить о бизнесе, то подавать уведомление в РКН должны практически все организации и ИП. Даже если у них нет работников, персональные данные обрабатываются также при заключении договоров, выполнении работ, оказании услуг, продаже товаров, сборе базы покупателей и клиентов, регистрации на сайтах и др.
Важно: если вы уже подавали уведомление об обработке персональных данных, когда действовали перечисленные исключения, необходимо добавить в него новые основания. В частности, если ранее работодатели не указывали своих работников в качестве субъектов ПД, то теперь это требуется. Подробнее об этом расскажем далее.
Как направить уведомление в Роскомнадзор
Проще всего заполнить уведомление об обработке персональных данных через сайт Роскомнадзора. Здесь же можно выбрать способ подачи:
- в бумажном виде (почтой, курьером или лично в территориальное отделение РКН);
- в электронном виде с использованием ЭЦП;
- через портал Госуслуг (для этого надо быть идентифицированным в ЕСИА, а если уведомление об обработке персональных данных подается от имени организации, то учётная запись должна быть привязана к этому юрлицу).
Разберёмся, как подать уведомление в бумажном виде, для этого надо выбрать первый способ. Верхняя часть уведомления заполняется, как и большинство других документов. Обратите внимание, что при наведении курсора на поле всплывает подсказка.
Заранее подготовьте сведения об операторе. Если это организация, то указывают полное ее фирменное наименование, местонахождение, почтовый адрес, контакты для связи, регистрационные коды.
Если в качестве оператора регистрируется индивидуальный предприниматель, то он вписывает паспортные данные, адрес проживания, контакты, коды ИНН и ОГРНИП.
А вот дальше при заполнении полей возможны сложности, поэтому стоит пользоваться подсказками формы.
В разделе «Правовое основание обработки персональных данных» надо перечислить перечень документов и нормативно-правовых актов, на основании которых обрабатываются ПД.
Это может быть политика обработки персональных данных, публичная оферта сайта, согласие на получение рекламных рассылок, устав организации, договоры с контрагентами, реквизиты законов, кодексов, приказов, постановлений и др.
В разделе «Цель обработки персональных данных» описывают действия оператора, для осуществления которых он обрабатывает ПД. Например: исполнение договорных обязательств; оформление доверенностей; регистрация пользователей в личном кабинете на сайте; взаимодействие с контрагентами через контактных лиц; сбор и составление статистики; техническая поддержка пользователей; обработка входящих обращений и звонков; осуществление рекламных звонков и рассылок; работа электронных сервисов; принятие управленческих и кадровых решений; исполнение требований трудового законодательства; оформление социальных льгот; организация командировок работников; организация мероприятий для работников и их для детей; публикация данных работников на сайте компании; выполнение конкретных работ; оказание услуг и др.
При описании мер, предусмотренных статьями 18.1 и 19 закона № 152-ФЗ, можно воспользоваться формулировками, в них же приведенными. Например, в пп.1 п.1 статьи 18.1 приводится такое описание: «назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных». Конечно, не стоит полностью цитировать формулировки статей, можно их видоизменить, сократить и перечислить только те меры, которые реально предпринимаются оператором ПД.
В перечне действий с персональными данными обычно также указывают формулировку из закона, в частности: запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.
Далее надо отметить в форме способы обработки ПД, например, так.
Переходим к описанию категорий ПД. Как правило, предложенного перечня недостаточно, поэтому надо дополнить его в поле ниже.
Например, в отношении работников запрашивается больше персональных данных. Это реквизиты паспорта, пол, СНИЛС, номер телефона, адрес по прописке и адрес проживания, сведения о страховом и льготном стаже, доходах, банковских счетах, периоде временной нетрудоспособности и др.
В разделе «Категории субъектов, персональные данные которых обрабатываются» обычно перечисляют работников и членов семей, клиентов, покупателей, контактных лиц контрагентов, пользователей сайтов и сервисов, др. Заканчивается уведомление указанием адреса базы данных, где хранятся ПД, а также контактов ответственного лица.
Среди характерных ошибок при оформлении уведомлений по обработке ПД Роскомнадзор перечисляет следующее:
- отсутствие реквизитов и конкретных статей нормативно-правовых актов, на основании которых осуществляется обработка персональных данных;
- неполный перечень категорий лиц, чьи персональные данные подвергаются обработке;
- отсутствие конкретики при описании категорий ПД, например, обобщение типа «иная информация», «другие сведения»;
- нечеткое указание на порядок передачи информации при смешанной и (или) автоматизированной обработке;
- отсутствие даты, с которой начинается обработка ПД, а также срока или основания прекращения этих действий.
Если вы испытываете сложности при заполнении уведомления, можно обратиться за разъяснениями в территориальное отделение РКН. Есть и другой способ – найти в реестре оператора, который осуществляет аналогичную коммерческую деятельность, и посмотреть, как эти поля заполнены у него.
Как сообщить о новых основаниях, если вы уже подавали уведомление
Многие операторы ПД уже зарегистрированы в реестре Роскомнадзора, ведь закон № 152-ФЗ действует давно. Если организация или ИП раньше подавали уведомление по другому поводу, например, для направления рекламных и информационных рассылок, то повторно регистрироваться не надо.
Однако стоит убедиться, что вы есть в реестре операторов, заодно проверить, какие основания обработки ПД были указаны при регистрации. Для этого надо ввести в форму поиска ИНН организации/индивидуального предпринимателя или регистрационный номер.
Предположим, вы обнаружили, что среди оснований нет обработки персональных данных работников, ведь это требование ввели только с 1 сентября 2022 года. В таком случае надо заполнить и направить в Роскомнадзор информационное письмо о внесении изменений в сведения об операторе.
Способы подачи информационного письма такие же, как при подаче уведомления, а для его подготовки предусмотрена специальная форма. Для этого пройдите по ссылке «перейти к форме», как указано на картинке.
Что касается сроков сообщения о наличии новых оснований обработки ПД (в первую очередь, это относится к работодателям), то Роскомнадзор указал, что 1 сентября 2022 не является крайним сроком подачи уведомления либо внесения изменений. Тем не менее, тянуть с этим не стоит, ведь если обработка персональных данных проводится с нарушениями закона, организацию или ИП могут оштрафовать.