С 1 сентября 2022 г. вступает в силу Федеральный закон № 266-ФЗ от 14 июля 2022 г. Он вносит множество важных изменений в порядок работы с персональными данными, который установлен Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ (далее — Закон № 152-ФЗ или Закон о персональных данных), и касается, в том числе, усиления защищенности персональных данных граждан.
В каких случаях нужно уведомить Роскомнадзор
ФИО, адрес, телефон, паспортные данные и другие сведения о физическом лице — эта информация относится к персональным данным. А организации и ИП, которым сообщают такие данные — операторы персональных данных, которые эти данные обрабатывают. Поэтому любая компания, имеющая такие данные о своих работниках, клиентах или покупателях является оператором персональных данных.
Организация или ИП вправе осуществлять обработку персональных данных физического лица с его письменного согласия либо без согласия в установленных законом случаях. Исчерпывающий перечень таких случаев содержится в п.2—11 ч.1 ст.6 Закона о персональных данных.
Планы на строительный сезон | Как подать уведомление о планируемом строительстве
При этом, до начала обработки персональных данных организация обязана сообщить об этом в Роскомнадзор, за исключением установленных законом случаев. С 1 сентября исключений почти не останется (ст.22 Закона № 152 ФЗ).
Сообщать об обработке персональных данных будет необходимо даже в том случае, если организация или ИП становится обладателем информации только о фамилии, имени и отчестве физического лица. Например, при оформлении дисконтных карт клиентов. Кроме того, если раньше не требовалось подавать уведомление, когда персональные данные собирались для однократного пропуска на ее территорию, то с 1 сентября это нужно будет делать.
С 1 сентября возникает обязанность уведомлять Роскомнадзор, если организация или ИП будет заключать «обычные» договоры с физическими лицами, даже если их персональные данные не распространяются и не предоставляются третьим лицам. Например, сообщить в Роскомнадзор нужно будет интернет-магазину или организации, оказывающей услуги, в случае, когда они заключают договор с физическим лицом, и в договоре содержатся персональные данные (Ф.И.О., адрес и другие персональные данные, необходимые для оформления заказа).
Но самый распространенный повод для уведомления — обработка персональных данных работников. Т.е. ВСЕМ работодателям необходимо сообщить в Роскомнадзор об обработке персональных данных работников.
В новой редакции Закона № 152-ФЗ предусмотрено всего три ситуации, когда обрабатывать данные можно без уведомления Роскомнадзора:
- Работа государственных информационных систем по охране безопасности и общественного порядка.
- Обработка персональных данных без каких-либо средств автоматизации.
- Обработка персональных данных в случаях, предусмотренных законодательством о транспортной безопасности.
Однако, данные ситуации достаточно редки и большинству компаний при сборе персональных данных придется уведомлять Роскомнадзор.
Разрешение строительство! Как подать уведомление о строительстве дома! Вопросы и ответы!
Обратите внимание! Действие Закона № 152-ФЗ распространяется также на иностранных юридических и физических лиц, если они обрабатывают персональные данные граждан РФ:
- на основании договора или соглашения, стороной которого является гражданин России;
- или на основании согласия такого гражданина на обработку его персональных данных.
Таким образом, по новым правилам иностранная организация или иностранный гражданин, даже если они зарегистрированы и осуществляют свою деятельность на территории иностранного государства, обязаны соблюдать все требования Закона № 152-ФЗ (вкл. получение согласия субъекта персональных данных, уведомление Роскомнадзора и т.п.), если они обрабатывают персональные данные российских граждан.
Что нужно сделать с 1 сентября 2022 г.
1. Уведомить Роскомнадзор об обработке персональных по новым основаниям (ст.22 Закона о персональных данных в новой редакции).
Все работодатели должны направить уведомление в Роскомнадзор об обработке персональных данных своих работников (в бумажном виде или по электронной форме). Тогда данная организация включается в реестр операторов персональных данных. Ранее такая обязанность в Законе о персональных данных отсутствовала. Уведомление необходимо направить и тем операторам, которые стали обязанными информировать Роскомнадзор по другим новым основаниям.
Если организация уже включена в реестр операторов, она должна не позднее 15.09.2022 (п.7 ст. 22 Закона № 152-ФЗ в новой редакции) уведомить Роскомнадзор о новой цели обработки персональных данных. Например, «Обработка в рамках трудовых отношений» или «Обработка при получении данных о ФИО». Подробно об этом мы расскажем ниже.
В случае непредставления или несвоевременного представления уведомления организация может быть привлечена к административной ответственности по ст.19.7 КоАП РФ с взысканием штрафа в размере:
- от 3 000 руб. до 5 000 руб. — для организаций;
- от 300 руб. до 500 руб. — для должностных лиц.
Обращаем внимание! Рекомендуемая форма уведомления в настоящее время утверждена приказом Роскомнадзора от 30.05.2017 N 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения» (Приложение № 1).
Организации вправе, пока Роскомнадзор не утвердит новые обязательные формы, использовать данную форму. Однако, с 1 сентября 2022 г. в ней дополнительно нужно будет указать:
- категории персональных данных и субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными и способы обработки персональных данных отдельно для каждой цели обработки персональных данных (ч. 3.1 ст. 22 Закона N152-ФЗ в новой редакции);
- Ф.И.О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, которые содержатся в государственных и муниципальных информационных системах (п. 10.2 ч. 3 ст. 22 Закона N152-ФЗ в новой редакции).
Порядок направления уведомления содержится в Письме Роскомнадзора от 19.08.2022 N 08-75348.
2. Внести изменения и дополнения в политику персональных данных. В данном документе нужно (п.2 ч.1 ст.18.1. Закона о персональных данных в новой редакции):
- прописать категории и перечень персональных данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения для каждой цели обработки;
- исключить все положения, ограничивающие права субъектов персональных данных, а также полномочия и обязанности операторов, не предусмотренные законодательством РФ.
3. Опубликовать политику персональных данных на всех страницах сайта, на которых осуществляется сбор персональных данных (ч.2 ст.18.1. Закона о персональных данных в новой редакции).
4. Внести изменения и дополнения в форму согласия на обработку персональных данных 2022 (образец согласия — здесь >>) (ч.1 ст.9, ч.2 ст.18 Закона о персональных данных в новой редакции).
5. Внести изменения и дополнения в форму договора поручения на обработку персональных данных (образец договора — здесь >>) (ч.3 ст.6 Закона о персональных данных в новой редакции).
6. При сборе персональных данных разъяснять гражданам юридические последствия отказа предоставить персональные данные и/или дать согласие на их обработку (если в соответствии с законом их предоставление и/или согласие на их обработку обязательно) (ч.2 ст.18 Закона о персональных данных в новой редакции).
7. Если персональные данные получены оператором не от субъекта персональных данных, то дополнительно к информации, указанной в п.3 ст.18 Закона № 152-ФЗ, надо предоставлять также сам перечень полученных персональных данных (п.2.1. ч.3 ст.18 Закона о персональных данных в новой редакции).
8. Выполнять иные требования, предусмотренные Законом № 152-ФЗ, с учетом внесённых изменений в персональные данные в 2022 г.
Источник: pravovest-audit.ru