Какие запросы должен сделать Роскомнадзор в отношении контроля

Закон 266-ФЗ от 14. 2022 меняет правила работы с персональными данными. Все работодатели должны уведомить Роскомнадзор об обработке личной информации своих работников, чтобы попасть в реестр операторов персональных данных. Эта обязанность коснётся большинство организаций и ИП. Рассказываем, как и когда уведомить Роскомнадзор.

Какие запросы должен сделать Роскомнадзор в отношении контроля

Внимание! В последний момент Роскомнадзор сообщил, что 1 сентября 2022 года не является крайним сроком подачи уведомления об обработке персональных данных.

Раньше многих предпринимателей закон о персональных данных не касался. Они могли обрабатывать персональные данные и не уведомлять Роскомнадзор в таких ситуациях:

  • обработка персональных данных по трудовому законодательству;
  • получение личной информации с согласия субъекта персональных данных только для исполнения заключённого с ним договора;
  • обработка персональных участников религиозных организаций или общественных объединений;
  • распространение личной информации с согласия субъекта персональных данных;
  • обработка персональных данных, состоящих только из Ф.И.О.;
  • получение информации для оформления разового пропуска на территорию оператора персональных данных.

Подарок для наших читателей — практическое пособие по подготовке отчётности в ПФР, ФСС и ИФНС в 2022 году от экспертов интернет-бухгалтерии «Моё дело». 62 страницы подробнейших инструкций с примерами заполнения форм.

Оператору не нужно ждать разрешения от Роскомнадзора, чтобы работать с персональными данными. Главное — убедиться, что ведомство получило уведомление. В электронном виде датой оповещения будет считаться дата отправки письма на сайте, а при уведомлении в бумажном виде — дата получения письма территориальным управлением.

Какие запросы должен сделать Роскомнадзор в отношении контроля

Также вам помогут Методические рекомендации, утверждённые приказом Роскомнадзора от 30. 2017 № 94, и наш образец заполненного уведомления. Если у вас возникают трудности с уведомлением, можно подсмотреть, как это делают крупные компании. Все данные в реестре открыты, кроме способов защиты персональных данных. Найдите в реестре операторов компанию, которой доверяете и посмотрите, какие сведения о себе она указывала для Роскомнадзора. С 1 сентября 2022 года в уведомлении нужно будет указывать больше информации. Так по каждой цели обработки персональных данных придётся указывать:

  • категории персональных данных;
  • категории субъекта персональных данных;
  • правовое основание обработки;
  • перечень действий с персональными данными;

До 1 сентября операторы заполняют старую форму, а после утверждения нового бланка нужно ещё отправить информационное письмо о внесении изменений в реестр. Такой порядок действий рекомендует Роскомнадзор в письме от 19. 2022 № 08-75348.

Кто может не отправлять уведомлениеС 1 сентября 2022 года можно не уведомлять Роскомнадзор о намерении обрабатывать персональные только в трёх ситуациях:

  • персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка — например, автоматизированные дактилоскопические информационные системы (АДИС) полиции;
  • обработка личной информации производится исключительно без средств автоматизации, то есть без использования вычислительной техники;
  • персональные данные используются в случаях, предусмотренных законами о транспортной безопасности. Например, записи с видеокамер систем видеонаблюдения в аэропортах и на ж/д вокзалах.

Согласно постановлению от 15. 2008 № 687 обработка персональных данных без средств автоматизации — это использование, уточнение, распространение и уничтожение персональных данных при непосредственном участии человека. Обработка без средств автоматизации:

  • распечатали или скопировали пустой бланк согласия на обработку персональных данных, а человек заполнил его от руки;
  • ведёте журнал учёта посетителей на вахте вручную;
  • передали документ лично сотруднику.
  • отсканировали заполненный бланк согласия на обработку персональных данных;
  • отправили фамилию и ИНН работника по e-mail.

Даже если все персональные данные вы обрабатываете вручную, но отчётность за вас сдаёт бухгалтерия на аутсорсинге — уведомлять Роскомнадзор нужно, поскольку в этом случае есть обработка личной информации с использованием средств автоматизации. И учитывайте, что передавать персональные данные третьим лицам можно только с согласия субъекта персональных данных. Это дополнительная обязанность оператора — получать согласие. Разъяснения по такой ситуации дал Роскомнадзор в письме от 21. 2022 № 08-20152.

Какие запросы должен сделать Роскомнадзор в отношении контроля

Но посмотрите, какие цели обработки персональных данных вы указывали. Возможно, это было оказание услуг клиентам, а своих сотрудников как субъектов персональных данных вы не записали. С 1 сентября 2022 года появляется обязанность уведомлять Роскомнадзор при ведении кадрового делопроизводства, бухгалтерского учёта в отношении работников, заключении и расторжении трудовых договоров. В этом случае в течение 10 рабочих дней после вступления в силу нового закона, нужно проинформировать Роскомнадзор о внесении изменений в реестр. Информационное письмо заполняют на сайте ведомства, а отправить его можно теми же способами, что и уведомление:

  • по почте или отнести лично подписанный бумажный вариант в территориальное управление;
  • через сайт Роскомнадзора;
  • через портал Госуслуг.

Если изменения произошли уже после 1 сентября, информационное письмо нужно отправить в течение 10 рабочих дней после этого. Что будет за нарушенияОтветственность может быть административной, уголовной и гражданской. Если не отправить уведомление или не проинформировать Роскомнадзор об изменениях, штраф по ст. 7 КоАП РФ составит до 5000 рублей. За нарушение законодательства о персональных данных установлены санкции по ст. 11 КоАП РФ: от 10 000 рублей для ИП, и от 60 000 рублей — для организаций. Уголовная ответственность предусмотрена за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации — ст. 137, 272 УК. Также ст. 24 152-ФЗ предусматривает обязательное возмещение морального вреда субъекту персональных данных вследствие нарушения правил обработки его личной информации. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но инспектор придёт внепланово по жалобе от клиента или работника. Например, если сотрудник возмутится, что его данные хранятся у оператора, которого нет в государственном реестре.

Утечка персональных данных стала обыденностью, но государство не собирается с этим мириться. Поэтому с 1 сентября у всех операторов персональных данных — да, и у вас тоже, если имеется хотя бы один сотрудник, — появляется несколько новых повинностей. Штрафы за нарушения тоже будут.

Какие запросы должен сделать Роскомнадзор в отношении контроля

А что изменится с 1 сентября? С этой даты вступают в силу поправки в Федеральный закон от 27. 2006 № 152-ФЗ «О персональных данных», внесенные законом от 14. 22 № 266-ФЗ.

Биометрия не обязательнаПредоставлять работодателю биометрические персональные данные работник не обязан. И если он не хочет подписывать согласие на их обработку, то работодатель обрабатывать данные не вправе. К примеру, вести за работником видеонаблюдение или требовать его фотографию. Проверьте политику обработки ПДВ политике обработки персональных данных для каждой цели обработки следует указывать:

  • категории и перечень обрабатываемых ПД;
  • категории субъектов, данные которых обрабатываются;
  • способы, сроки их обработки и хранения;
  • порядок уничтожения ПД при достижении целей их обработки.

Важно! Если ПД получены не от самого субъекта, а из другого источника, то следует до начала обработки предоставить их список субъекту.

Сообщите РоскомнадзоруПриготовьтесь к тому, что с 1 сентября придется уведомлять Роскомнадзор о намерении обрабатывать ПД персонала — даже если речь идет о пропуске на вашу территорию или заключении договора ГПХ. Поэтому прямо сейчас имеет смысл проверить: а вы вообще зарегистрированы в реестре Роскомнадзора? Это можно сделать тут. Если ничего не найдено, то немедленно регистрируйтесь как оператор ПД, это надо сделать до 1 сентября 2022 года. Уведомлять о планах обрабатывать ПД необходимо не только сотрудников, которым принадлежат ПД, но и:

  • Контрагентов, а вы используете эти ПД для исполнения договоров или заключения новых соглашений с теми же гражданами. ПД не распространяются и не передаются третьим лицам без согласия субъектов.
  • Граждан, которым оформляется пропуск (в т.ч. однократный) на вашу территорию.

Подключите Астрал iКЭДО — облачный сервис кадрового делопроизводства с дистанционным выпуском УНЭП для всех сотрудников. Облегчите жизнь: себе — максимальная экономия ресурсов, минимум затрат на внедрение, и сотрудникам — исключение походов в отдел кадров или на почту, возможность быстро подписать и отправить любой документ, в т. Согласие на обработку ПД.

Подготовиться к оперативной реакции на запросыС 30 до 10 рабочих дней уменьшен срок ответа на запросы сотрудника относительно собственных ПД и их обработки. Ответ дается в той же форме, что и запрос, но сотрудник может попросить об ином. Например, в электронном виде запросить бумажный ответ. Срок для отправки ответа может быть продлен на пять рабочих дней при условии отправки мотивированного уведомления лицу, отправившему запрос. Важно! На поступивший запрос Роскомнадзора также надо ответить не позднее 10 дней. Если сотрудник или иной субъект ПД потребует прекращения обработки своих данных, то придется не позднее 10 рабочих дней с даты получения требования, прекратить их обработку или обеспечить ее прекращение. Будьте готовы сообщать об утечкахЕсли имел место факт неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, оператор обязан с момента выявления уведомить Роскомнадзор в течение 24 часов относительно:

  • самого факта произошедшего инцидента;
  • предполагаемых его причин;
  • принятых мер по устранению последствий инцидента,

а также предоставить сведения о лице, которое он уполномочил контактировать с сотрудниками Роскомнадзора по этому инциденту. В течение 72 часов необходимо:

  • отчитаться перед Роскомнадзором о результатах внутреннего расследования выявленного инцидента;
  • представить (при наличии) сведения о виновных лицах.

Подключиться к ГосСОПКАСудя по тому, что новая редакция закона обязывает операторов ПД взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, необходимо подключиться к ГосСОПКА. После чего туда надо будет направлять информацию обо всех инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. В заключение отметим, что ст. 11 КоАП предусматривает штрафы за нарушение законодательства РФ в области персональных данных, а ст. 7 — за непредставление сведений (информации) в виде предупреждение или штрафов: 100 — 300 руб. (для частных лиц), 300 — 500 руб. (для должностных лиц), 3 000 — 5 000 руб. (для юридических лиц).

Добавить комментарий

Ваш адрес email не будет опубликован.