Продукты по направлению

Обеспечение конфиденциальности информации

152DOC

Автоматизация процессов соблюдения требований 152-ФЗ «О персональных данных» в облачном сервисе

Безопасность и защита информации

Как обрабатывать персональные данные

Сергей Феоктистов

13.02.2023

15 296

С 1 сентября 2022 года произошли изменения в законодательстве. Закон о персональных данных 2022 обязывает компании и ИП уведомить Роскомнадзор о сборе персональной информации, касающейся своих работников и клиентов. Перед этим предоставители такой информации должны дать своё согласие. Без согласия или договора обрабатывать такие данные запрещено.

Расскажем подробнее о нововведениях, о том, когда и каким способом передать данные, и какой штраф ждёт работодателя в случае их непредставления.

В Федеральном законе №152-ФЗ произошли изменения. Согласно новой редакции от 14.07.22, оператор больше не вправе осуществлять сбор личных данных без уведомления уполномоченного органа. Закон о персональных данных с 1 сентября 2022 года обязал юрлиц и индивидуальных предпринимателей сообщать в Роскомнадзор о том, что они намерены вести их обработку.

Важно! Любая организация и ИП, которые обрабатывают или планируют обрабатывать личные данные, после отправки такого уведомления становится оператором персональных данных.

Ранее в Федеральном законе от 30.12.2020 № 519-ФЗ уже были определены основные принципы на согласие обработки личных данных:

Бездействие и молчание не приравниваются к согласию на обработку личных данных.
Для получения согласия на обработку данных, разрешённых к распространению, составляется отдельное разрешение.
Запрещено передавать личные данные неограниченному кругу лиц, если такая информация указана в согласии на обработку.

Эти требования операторы обязаны были соблюдать ещё до 1 сентября 2022 года.

К персональным данным относят информацию, которую:

получают и обрабатывают в рамках ТК РФ и иных федеральных законов, касающихся трудовых отношений;
получают при заключении договоров с физлицами, используют только внутри компании и не предоставляют данные третьим лицам;
разрешено распространять с согласия физлица;
будут использовать в качестве пропуска физлица на территорию компании и в аналогичных ситуациях.

К ним также относятся личные сведения:

содержащие в себе только Ф.И.О. физлица;
касающиеся участников общественных объединений или религиозных организаций и обрабатываемые соответствующими организациями.

Для обработки таких сведений предоставитель личных данных должен дать оператору своё согласие. В свою очередь, с 1 сентября 2022 года оператор должен уведомить Роскомнадзор о планируемой обработке данных сведений.

С 1 сентября 2022 года практически любая организация и ИП обязаны отправить уведомление, если они являются работодателями или заключают договоры с физлицами. Данное действие необходимо сделать операторам до начала обработки персональных данных.

Операторы должны направить уведомление в случае, если данные записываются с помощью средств автоматизации, например, компьютера или смартфона. Когда сбор сведений происходит на бумажный носитель, информацию отправлять не требуется. Если в компании планируется перенос личных сведений с бумаги в автоматизированную систему, сообщение в Роскомнадзор становится обязанностью.

Что делать компаниям, которые сбор личных данных уже осуществляют? В таком случае ведомство также потребуется проинформировать.

Уведомление направляется операторами однократно. При оформлении работодателем нового сотрудника каждый раз информировать Роскомнадзор не требуется.

Важно! Закон применяется к иностранным юридическим и физлицам, если оператор осуществляет обработку личных данных на основании договора с гражданином РФ или с его согласия.

С 1 сентября 2022 года, оператор может отправить уведомление в Роскомнадзор тремя способами.

В бумажном виде — бланк заполняется на официальном сайте ведомства, распечатывается и отправляется в территориальный орган;
Через Госуслуги — направляется в электронном виде через портал с учётной записи организации.
С помощью электронной подписи — требуется заполнить и подписать документ усиленной квалифицированной электронной подписью. Заполнение уведомления осуществляется на сайте Роскомнадзора.

Руководители организаций и индивидуальные предприниматели получают УКЭП в УЦ ФНС и её доверенных лиц. Их уполномоченные работники в удостоверяющих центрах, которые имеют аккредитацию Министерства цифрового развития.

Удостоверяющий центр «Калуга Астрал» предоставляет услугу Получение КЭП в ФНС под ключ. С помощью неё ИП и руководители организаций смогут получить электронную подпись в налоговой в ускоренном порядке. Также УЦ аккредитован Минцифры, имеет все лицензии для выпуска «Астрал-ЭТ» и «1С-ЭТП». Данные подписи позволяют уполномоченным работникам подписывать электронные документы от имени компании.

Напомним, после 1 сентября 2023 года работники и уполномоченные представители юрлица или ИП, должны использовать электронную подпись физического лица вместе с машиночитаемой доверенностью (МЧД).

Подробнее ознакомиться с понятием МЧД рекомендуем в нашей статье.

После отправки уведомления Роскомнадзор вносит компанию в специальный реестр операторов персональных данных. Если у гражданина возникли сомнения в законности сборов и обработки личных сведений, он обращается к данному списку. Посмотреть его может любой желающий.

Если не отправить уведомление после 1 сентября 2022 года, оператора оштрафуют. За непредставление уведомления о том, что оператор планирует собирать или уже собирает личные данные, ему грозит наказание в соответствии со ст. 19.7 КоАП РФ.

Согласно статье, размер штрафа составит:

от 300 до 500 рублей — для должностных лиц и индивидуальных предпринимателей;
от 3000 до 5000 рублей — для организаций.

Запрещена биометрическая обработка персональных данных несовершеннолетних.
Работник вправе добровольно отказаться от биометрической обработки персональных данных.
Обработка личных данных осуществляется оператором только с согласия.
Сотрудник вправе запросить сведения о том, как оператор обрабатывает личные данные и какая информация о нём хранится. Работодатель обязан ответить в течение 10 рабочих дней. При уважительной причине работодатель вправе увеличить срок ответа ещё на 5 рабочих дней.
В течение 24 часов работодатель обязан сообщить об утечке персональных данных в Роспотребнадзор, а в течение 72 часов провести расследование инцидента и сообщить о его результатах. Указать виновных и принятые меры.

Бумажные персональные данные хранят в сейфе, несгораемом шкафу или специально оборудованном помещении. Электронные — с использованием логина и пароля. Доступ к ним обеспечивают отдельным лицам, которые работают с данными документами: бухгалтеру или HR-специалисту. Перечень утверждается предварительно.

Причины уничтожения персональных данных прописаны в ст. 21 266-ФЗ. Это можно сделать в следующих случаях:

окончание срока хранения;
потребность в обработке закончена;
неправомерность сбора и обработки;
отзыв сотрудника разрешения об обработке.

Порядок и требования к месту хранения, положение об уничтожении закрепляют во внутреннем акте компании.

Ниже представлены документы, которые понадобятся операторам с 1 сентября 2022 года:

«Астрал Отчёт 5.0» — это удобный онлайн-сервис, в котором можно вести несколько организаций в режиме одного окна, «Астрал Отчёт 4.5» — программа для ПК, в которой есть всё для сдачи отчётности онлайн, а «1С-Отчётность» можно использовать в привычном интерфейсе 1С. Данные продукты компании «Калуга Астрал» будут полезны операторам с 1 сентября 2022 года.

Сергей Феоктистов

13 февраля 2023

15296

Читайте по теме

Безопасность и защита информации

Оператор обработки персональных данных: обязанности и функции в 2025 году