Мы вкратце уже писали о том, какие поправки вступают в силу с 1 сентября.
Однако вопросы не утихают, особенно связанные с уведомлениями, поэтому решили напомнить вам ещё раз.
Если ваша организация или ИП хотя бы один раз внесли в компьютер информацию о контрагентах или работниках, то всё — по новым нормам закона № 152-ФЗ от 27.07.06 «О персональных данных» вы обрабатываете персональные данные и являетесь оператором.
По обработке данных клиентов и поставщиков отправлять уведомления в РКН надо было уже давно, если вы об этом не знали. Нововведение с 1 сентября — уведомление об обработке персональных данных в рамках трудовых отношений. Вот это и есть именно то новое, что у всех вызывает вопросы.
Как это сделать — для начала поискать ООО или ИП по реестру Роскомнадзора. Вполне возможно, что когда-то вы уже отправляли уведомление и уже там числитесь.
Далее действовать нужно так:
- если компании там нет, то следовало бы до 1 сентября уведомить РКН о начале обработки персданных;
- если есть, то до 15 сентября нужно уведомить о новой цели обработки персданных — в рамках трудовых отношений.
Да, 1 сентября уже прошло, но это не значит, что об уведомлении можно забыть. Во-первых, штрафы. Правда, они не очень велики (до 5 тыс. рублей на организацию), да и вряд ли кого-то сразу начнут штрафовать, могут ограничиться предупреждением.
Но, судя по тенденции, ситуация в этой сфере будет только ужесточаться. А впереди у нас биометрические персданные, Банк России активно над этим работает.
А во-вторых, уведомление это «одноразовое» — проще один раз сделать и забыть. Может сложиться ошибочное мнение, что работодателю придётся уведомлять по каждому новому сотруднику. А у сотрудников — что они могут зайти на сайт Роскомнадзора и увидеть, какая компания занимается обработкой их персданных.
Но это не так. Компании не передают сведения по каждому работнику или клиенту. В уведомлении они информируют, что начали обрабатывать вот такой вид персональных данных, — в частности, в рамках трудовых отношений. Фамилии, данные по численности персонала и другая подобная информация в уведомление не включается. Хотя сведения о самих операторах, содержащиеся в реестре, являются общедоступными.
Уведомление отправляется один раз и более не дублируется, если ничего не меняется. Например, пока компания не начнёт обрабатывать новый вид персональных данных или пока не сменит реквизиты (адрес, название и др.).
Об исключениях, когда уведомление не требуется, можно почитать в ч. 2 ст. 22 № 152-ФЗ. В частности, не нужно уведомлять РКН, если персданные обрабатываются без использования средств автоматизации, т.е. только на бумаге.
Ну, например, вы в своём салоне красоты записываете клиентов исключительно ручкой в тетрадку и никакие данные в компьютер не переносите, — тогда уведомлять Роскомнадзор не придётся.
Уведомление в Роскомнадзор можно отправить на бумаге (в территориальный орган), можно электронно — на электронную почту, через сайт Роскомнадзора или через портал «Госуслуг».
Казалось бы, ничего сложного, но сама форма уведомления не очень проста и доступна для понимания. У нас уже спрашивают, что указывать в некоторых разделах о шифровании, безопасности, цели обработки и др. Поэтому мы советуем всё же посоветоваться со специалистами при заполнении этой формы либо внимательно изучить текст закона.
Кроме прочего, в компании должен быть оформлен пакет документов в отношении обработки персональных данных. Хотя конкретный перечень не установлен, но требования о создании документов содержатся в Трудовом кодексе и законе о персональных данных.
Т.к. персональные данные в рамках трудовых отношений должны храниться отдельно от остальных, то обычно создают 2 документа:
- положение о персональных данных или иной локальный нормативный акт, в котором описываются действия с персданными работников;
- и политика оператора в отношении обработки персональных данных.
С первым нужно будет ознакомить работников (потребуется порядок ознакомления, бланки согласия по новым правилам и др.), а со вторым всех заинтересованных (разместить документ в доступных для ознакомления местах). Если такие документы уже разработаны, то следует их обновить в связи с изменениями законодательства.
При нарушениях в отношении обработки персональных данных ответственность уже намного серьёзнее, уже даже есть уголовные дела.
Обратите внимание, что исключений из новых правил нет ни для кого — физлицам, т.е. самозанятым или ИП тоже нужно отправлять уведомления в РКН.
И ещё одно — уведомлять нужно о намерении, т.е. перед тем, как вы начнёте обрабатывать новый вид данных. А не о факте обработки.
У нас нет цели вас напугать, мы лишь хотим, чтобы вы избежали штрафов и других санкций за нарушения закона. Если у вас остались вопросы, обращайтесь, обязательно вам поможем.