Содержание
С 1 сентября 2022 года вступили в силу изменения в закон об обработке персональных данных (ПД). Ситуаций, при которых сообщать об обработке ПД не требуется, стало значительно меньше. В частности, теперь направлять уведомление в Роскомнадзор обязаны все работодатели, хотя раньше такой обязанности у них не было.
Обработка персональных данных регулируется законом № 152-ФЗ от 27 июля 2006 года. К сожалению, конкретики в отношении самого понятия персональных данных в этом документе нет.
В статье 3 закона № 152-ФЗ сказано следующее: «Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».
В Указе Президента РФ от 06.03.1997 № 188 персональными данными называются «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность».
Больше всего подробностей про состав персональных данных можно найти в п. 2.5 Методических рекомендаций, утвержденных приказом Роскомнадзора от 30.05.2017 № 94. Это следующие сведения:
Добавим сюда другие данные, по которым можно идентифицировать человека: номер телефона, адрес электронной почты, аккаунты в соцсетях и мессенджерах, паспортные данные, номер СНИЛС, биометрические данные.
Что касается номера ИНН, то с одной стороны, он полностью позволяет идентифицировать физлицо. С другой стороны, в письмах от 28.01.2020 № 03-01-11/4925 и от 12.02.2020 № 03-01-11/9505 Минфин сообщает, что ИНН не относится к персональным данным и используется только для учета налогоплательщиков.
Тем не менее, в отношении ИНН нельзя исключать спорных ситуаций, потому что мнения разных ведомств по одним и тем же вопросам часто расходятся. С учётом этого, стоит относить к персональным данным и идентификационный номер налогоплательщика.
Ещё один спорный вопрос – сочетание разных персональных данных. Например, сам по себе номер телефона или email без имени владельца не позволит его идентифицировать. Является ли в таком случае номер мобильного без других сведений персональными данными? На такой вопрос РКН отвечает отрицательно.
Если вы не уверены, осуществляется ли в вашем случае обработка персональных данных, задайте вопрос в Роскомнадзор – письмом или через электронную форму на сайте ведомства.
Важно: обработка персональных данных с нарушением установленного порядка наказывается по статье 13.11 КоАП РФ. За некоторые нарушения штрафы исчисляются сотнями тысяч и даже миллионами рублей. Так, если допустить обработку персональных данных без письменного согласия лица, когда оно требуется по закону, могут оштрафовать на 700 тыс. рублей. А при повторном нарушении штраф может вырасти до полутора млн. Если же данные российских граждан хранятся в базах, расположенных за пределами РФ, то штраф может составлять 6 и даже 18 млн рублей (при повторном нарушении). А за отсутствие уведомления о начале обработке персональных данных накажут штрафом до 5 000 рублей по статье ст. 19.7 КоАП РФ.
В законе № 152-ФЗ операторами персональных данных называются государственные и муниципальные органы, а также юридические и физические лица, которые производят с ПД любые действия: сбор, накопление, запись, хранение, систематизацию, использование, передачу, блокирование, уничтожение и др.
С 1 сентября 2022 года обработка персональных данных операторами без уведомления Роскомнадзора допускается только в ситуациях, перечисленных в п. 2 статьи 22 закона № 152-ФЗ:
Таким образом, с 01.09.2022 подавать уведомление об обработке персональных данных должны также операторы, которые занимаются:
Ранее действовавшее исключение для таких ситуаций больше не применяется.
По сути, если говорить о бизнесе, то подавать уведомление в РКН должны практически все организации и ИП. Даже если у них нет работников, персональные данные обрабатываются также при заключении договоров, выполнении работ, оказании услуг, продаже товаров, сборе базы покупателей и клиентов, регистрации на сайтах и др.
Важно: если вы уже подавали уведомление об обработке персональных данных, когда действовали перечисленные исключения, необходимо добавить в него новые основания. В частности, если ранее работодатели не указывали своих работников в качестве субъектов ПД, то теперь это требуется. Подробнее об этом расскажем далее.
Проще всего заполнить уведомление об обработке персональных данных через сайт Роскомнадзора. Здесь же можно выбрать способ подачи:
Разберёмся, как подать уведомление в бумажном виде, для этого надо выбрать первый способ. Верхняя часть уведомления заполняется, как и большинство других документов. Обратите внимание, что при наведении курсора на поле всплывает подсказка.
Заранее подготовьте сведения об операторе. Если это организация, то указывают полное ее фирменное наименование, местонахождение, почтовый адрес, контакты для связи, регистрационные коды.
Если в качестве оператора регистрируется индивидуальный предприниматель, то он вписывает паспортные данные, адрес проживания, контакты, коды ИНН и ОГРНИП.
А вот дальше при заполнении полей возможны сложности, поэтому стоит пользоваться подсказками формы.
В разделе «Цель обработки персональных данных» прежде всего из выпадающего списка выбирается цель. Она должна описывать действия оператора, для осуществления которых он обрабатывает ПД.
Компании, как минимум, используют личные данные сотрудников для ведения кадрового и бухгалтерского учета, для обеспечения соблюдения трудового законодательства, также они могут использоваться для подготовки, заключения, исполнения ГПХ, для обеспечения пропускного режима. Кроме того, компания может работать с ПД сторонних лиц — представителей контрагентов, клиентов и так далее. Так что целей обработки персональных данных может быть множество. В самом низу раздела, после пункта «Способы обработки», есть кнопка «Добавить цель обработки». При добавлении второй цели под названием раздела «Цели обработки персональных данных» появится вкладка «2». Безопаснее охватить все возможные случаи, когда будет обрабатываться персональная информация.
В том же разделе в следующих пунктах нужно отметить для каждой цели:
Сначала нужно отметить категории ПД.
При описании мер, предусмотренных статьями 18.1 и 19 закона № 152-ФЗ, можно воспользоваться формулировками, в них же приведенными. Например, в пп.1 п.1 статьи 18.1 приводится такое описание: «назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных». Конечно, не стоит полностью цитировать формулировки статей, можно их видоизменить, сократить и перечислить только те меры, которые реально предпринимаются оператором ПД.
Далее в поле «средство обеспечения безопасности» указывают название специального ПО, если оно применяется, а ниже — используется или нет криптографические средства.
Заканчивается уведомление указанием адреса базы данных, где хранятся ПД, а также контактов ответственного лица. Кроме того, в финальном блоке указывают дату начала обработки ПД, срок или условие окончания обработки, а также будет ли осуществляться трансграничная передача данных.
Среди характерных ошибок при оформлении уведомлений по обработке ПД Роскомнадзор перечисляет следующее:
Если вы испытываете сложности при заполнении уведомления, можно обратиться за разъяснениями в территориальное отделение РКН. Есть и другой способ – найти в реестре оператора, который осуществляет аналогичную коммерческую деятельность, и посмотреть, как эти поля заполнены у него.
Многие операторы ПД уже зарегистрированы в реестре Роскомнадзора, ведь закон № 152-ФЗ действует давно. Если организация или ИП раньше подавали уведомление по другому поводу, например, для направления рекламных и информационных рассылок, то повторно регистрироваться не надо.
Однако стоит убедиться, что вы есть в реестре операторов, заодно проверить, какие основания обработки ПД были указаны при регистрации. Для этого надо ввести в форму поиска ИНН организации/индивидуального предпринимателя или регистрационный номер.
Предположим, вы обнаружили, что среди оснований нет обработки персональных данных работникова. В таком случае надо заполнить и направить в Роскомнадзор информационное письмо о внесении изменений в сведения об операторе.
Способы подачи информационного письма такие же, как при подаче уведомления, а для его подготовки предусмотрена специальная форма. Впрочем, она практически идентична описанной выше, только заполнить ее нужно в отношении новых оснований обработки ПД. Для ее формирования пройдите по ссылке «перейти к форме», как указано на картинке.
Что касается сроков сообщения о наличии новых оснований обработки ПД (в первую очередь, это относится к работодателям), то Роскомнадзор указал, что дата вступления в силу изменений (1 сентября 2022) не является крайним сроком подачи уведомления либо внесения изменений. Так что если вдруг вы не уведомили РКН о новых основаниях, сделать это нужно как можно раньше. Ведь если обработка персональных данных проводится с нарушениями закона, организацию или ИП могут оштрафовать.