С 1 сентября 2022 вступили в силу новые правила по сбору и обработке персональных данных. Из-за этого многие работодатели теперь должны отправить в Роскомнадзор особое уведомление. Расскажем, в какие сроки его отправлять, надо ли ждать утверждения новой формы уведомления и какие правила теперь действуют для работы с персданными.
В этой статье:
- Из-за чего изменили правила по работе с персданными
- Что меняется для работодателей
- Кто должен отправить уведомление в Роскомнадзор
- В какие сроки и по какой форме подать уведомление
- Какие сведения еще нужно передавать
- Какие персданные можно собирать
- Какие документы должны быть в компании для сбора персданных
- Часто задаваемые вопросы
Автоматизируйте работу с сотрудниками
Легко считайте зарплату, НДФЛ, взносы, заводите кадровые документы. Контур.Бухгалтерия сама сделает расчеты, подготовит платежки и создаст отчеты.
Из-за чего изменили правила по работе с персданными
В последние годы личные данные граждан попадают в руки мошенников все чаще. Государство решило бороться с утечками: тщательнее следить за тем, как персональные данные обрабатываются и защищаются. Новые правила по работе с данными утверждены Федеральным законом от 14.07.2022 г. № 266-ФЗ.
За нормами и их соблюдением будет следить ФСБ с помощью системы по профилактике кибератак на российские информационные ресурсы ГосСОПКА (п. 12 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ). При утечках персданных лица и органы, которые занимаются обработкой данных, должны сообщать в ГосСОПКА о событии в течение 24 часов, а затем в течение 72 часов представлять отчет о причинах и связанных лицах.
Что меняется для работодателей
Все, кто собирает и обрабатывает персональные данные граждан, относятся к операторам персональных данных. Это могут быть муниципальные и государственные органы, юридические и физические лица. Роскомнадзор на своем сайте ведет особый реестр операторов персданных: он открытый, кто угодно может в него заглянуть и найти любого участника реестра.
Закон «О персональных данных» действует в РФ с 2006 года, с момента принятия в него несколько раз вносили изменения и дополнения. Последние изменения внесены Федеральным законом от 14.07.2022 №266-ФЗ и вступили в силу с 1 сентября 2022. С этого момента работодателям нужно более строго работать с персданными, а многим еще и придется подать уведомление в Роскомнадзор для включения в реестр операторов.
С 1 сентября из закона исключили шесть ситуаций, когда операторы могли не сообщать Роскомнадзору о начале обработки данных(ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Теперь в реестре операторов должны числиться все компании и ИП, которые обрабатывают персданные таких лиц:
- сотрудники на трудовых договорах;
- подрядчики на договорах ГПХ;
- клиенты компании, которые сообщают свои личные данные для заключения договора или обработки заказа;
- посетители, которым выписывают разовый пропуск для прохода на территорию компании;
- другие лица, сообщающие компании свои имя, отчество и фамилию.
Есть случаи, когда даже при работе с перечисленными данными можно не уведомлять об этом Роскомнадзор, но их мало:
- если обрабатываемые персданные находятся в государственных защищенных информсистемах;
- если данные собирают и обрабатывают не с помощью компьютеров и программ, а вручную — например, в бумажной тетради;
- если данные обрабатывают с целью безопасной работы транспорта.
Легко отчитывайтесь за сотрудников
Отчеты за сотрудников, по бухгалтерскому и налоговому учету, в Росстат. Онлайн-бухгалетрия сама заполнит отчетность по данным учета.
Кто должен отправить уведомление в Роскомнадзор
Первое, что стоит сделать, — зайти на сайт Роскомнадзора в раздел «Реестр операторов» и поискать свою компанию по названию, ИНН или ОГРН. Если вы в реестре — все хорошо, можно пока ничего не отправлять в ведомство.
Если вы не нашли себя в реестре, нужно уведомить Роскомнадзор о начале работы с персданными. К слову о начале работы. Большинство из тех, кто будет подавать уведомление после 1 сентября 2022, уже давно обрабатывает персданные. В уведомлении нужно будет указать дату начала обработки данных. Роскомнадзор разъяснил, что этой датой нужно считать день регистрации компании или ИП (информация пресс-службы Роскомнадзора от 25.08.2022).
В какие сроки и по какой форме подать уведомление
Сейчас для подачи уведомления о начале работы с персданными есть форма, утвержденная приказом Роскомнадзора от 30.05.2017 № 94, а в тексте этого документа прописан и порядок заполнения формы. Список сведений, которые вписывают в поля уведомления, приведен в ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.
Роскомнадзор планирует утвердить новую форму уведомления, через которое можно будет более полно передать сведения. В ведомстве сообщили, что до этого момента операторы могут заполнить текущую форму. А еще обозначили, что 1 сентября 2022 не является крайним сроком подачи уведомления и предельный срок для этого действия пока не определен (Информация Роскомнадзора от 01.09.2022).
Из этого можно сделать вывод, что операторов, которые не подали уведомление до 1 сентября 2022, штрафовать не будут. Но все же мы рекомендуем не откладывать эту задачу и уведомить территориальное отделение Роскомнадзора по текущей форме. Для этого есть три способа:
- отправить бумажную заполненную и заверенную форму заказным письмом;
- заполнить форму на сайте Роскомнадзора и заверить квалифицированной электронной подписью;
- заполнить форму в подтвержденном аккаунте на Портале Госуслуг, который связан с организацией, и тоже заверить КЭП.
В новой форме уведомления появятся поля для передачи данных, которые невозможно передать по текущей форме. Это значит, что после утверждения новой формы, вероятно, придется воспользоваться ею, чтобы внести изменения в ранее переданные сведения. Новые поля в будущей форме касаются категорий собираемых персданных, категорий лиц и их данных для каждой цели обработки сведений, самих целей сбора и правовых оснований для сбора. Мы рассчитываем, что после появления нового бланка уведомления ведомство даст новые разъяснения.
Какие сведения еще нужно передавать
Уведомление отправляют только один раз. В нем не нужно перечислять лиц, у которых вы собираете персданные, так что не придется подавать дополнительные уведомления при найме новых сотрудников или работе с новыми клиентами.
Но если в работе оператора с персданными происходят существенные изменения, придется сообщить об этом Роскомнадзору:
- если изменится состав персданных, которые вы собираете: например, вы узнаете о семейном положении работников, — сообщите об этом информационным письмом о внесении изменений в сведения (форма утверждена приказом Роскомнадзора от 30.05.2017 № 94);
- если сменится работник, отвечающий за обработку персданных — его ФИО передайте по форме уведомления, которое будет актуальным на этот момент;
- если вы прекращаете собирать и обрабатывать персданные, обычно это связано с реорганизацией или ликвидацией предприятия — сообщите об этом в заявлении о прекращении обработки данных (форма утверждена приказом Роскомнадзора от 30.05.2017 № 94).
А еще оператор обязан отвечать на запросы Роскомнадзора и работников по поводу обработки персданных. Ответить на запрос или сообщить об изменениях в работе с персданными теперь нужно не в течение 30, а только в течение 10 рабочих дней (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
Расчет зарплаты — это просто!
Авторасчет зарплаты, НДФЛ и взносов в несколько кликов. Отпускные, пособия, удержания. Платежки и отчеты онлайн.
Какие персданные можно собирать
Собирать и обрабатывать персданные можно только для определенной цели, и перечень таких целей ограничен (ст. 86 ТК РФ):
- для выполнения законов: например, для оформления трудового договора или отправки персданных работника в отчете для контролирующих органов;
- для помощи сотрудникам в обучении, повышении квалификации и карьерном росте;
- для личной безопасности работников;
- для контроля за качеством и объемом выполняемой работы;
- для сбережения имущества компании.
Если сведения служат этим целям, работодатель может их запрашивать. В противном случае — нет, даже если сотрудник согласен их предоставить. А еще не запрашивайте сведения из особых категорий: о национальности, расовой принадлежности, политических пристрастиях, религиозном исповедании, философских предпочтениях, личной жизни и здоровье. Сведения о членстве сотрудников в профсоюзе или общественных организациях тоже не обрабатывайте.
Изменились нормы работы с биометрическими данными: теперь сотрудник может отказаться передать биометрию — скажем, фото на пропуск. Работодатель не вправе требовать такие данные и не должен отказывать оформлять пропуск и другие документы, в которых требуется фото.
Соберите у сотрудников согласия на обработку персданных, укажите в согласии цель сбора данных: она должна быть сформулирована ясно и просто, без разночтений. Убедитесь, что в текущих согласиях нет моментов, которые противоречат ст. 86 ТК РФ. Если передаете персданные для обработки, защиты и хранения другой организации, это тоже должно быть отражено в согласии как передача данных третьим лицам.
Если вы оформляете пропуска для посетителей компании, это тоже обработка персональных данных. Но если пропускной режим организует сама компания, то согласия на обработку не нужно, так разъяснил Роскомнадзор. Главное, чтобы у компании был оформлен документ о правилах посещения организации и чтобы посетителя с ним ознакомили.
Какие документы должны быть в компании для сбора персданных
В законе нет четкого перечня документов, которые диктовали бы порядок обработки персданных сотрудников, клиентов и посетителей. Но обязательный минимум таких документов для работодателя назван (ст. 86 ТК РФ, 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Расскажем о всех возможных документах для регламентации обработки персданных в компании.
Сервис сам рассчитает авансы и налоги
Контур.Бухгалтерия рассчитает суммы на основе данных учета, подготовит платежки и отчеты, напомнит об уплате и отправке.
Положение о персональных данных
Один из обязательных локальных актов организации — документ с правилами, по которым ведется обработка персданных. Это может быть положение о работе с персональными данными работников.
В документе определите цели обработки данных, а для каждой цели назначьте:
- категории и перечень персданных;
- категории лиц, у которых собираете данные;
- методы и сроки обработки и хранения сведений;
- порядок уничтожения данных, когда они больше не нужны.
Убедитесь, что в положении нет пунктов, которые ущемляют права работников или вменяют им обязанности, которые в законе не прописаны. Скажем, вы не можете обязать сотрудника предоставить паспорт в течение 5 дней после смены фамилии.
Составьте положение, утвердите его приказом директора. Если в компании есть профсоюз, документ принимают с учетом его мнения (ст. 372 ТК РФ).
Политика обработки персональных данных
Если вы обрабатываете персданные на сайте организации, скажем, когда клиенты оформляют заказы, придется принять еще один документ — политику защиты и обработки персональных данных. Этот документ нужно будет разместить на сайте, так как организация обязана сообщить гражданам, что она делает для защиты их данных (п. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).
Роскомнадзор установил требования к такому документу (рекомендация от 27.07.2017). В политику обработки включают такие пункты:
- основные понятия документа;
- цели обработки данных;
- правовые основания обработки;
- категории данных и категории субъектов (лиц);
- способы, сроки и условия обработки;
- права и обязанности субъектов персданных и пр.
Положение о защите данных
Для защиты данных нужна надежная система, чтобы не допустить их разглашения. Нужно описать меры защиты: что вы делаете, чтобы предотвратить, обнаружить и устранить нарушения закона о персданных. Это можно сделать в отдельном локальном акте или включить правила в любое другое положение компании.
Пропишите, какие антивирусные программы вы устанавливаете, назначьте ответственных за защиту данных. Утвердите положение приказом директора и ознакомьте с ним работников под роспись. Если в компании есть профсоюз — он участвует в обсуждении положения.
Веб‑сервис для малого бизнеса
Автоматизируйте работу с сотрудниками, сдавайте отчеты и ведите учет в Контур.Бухгалтерии без авралов и рутины.
Приказ о назначении ответственного
В каждой компании должен быть сотрудник, который отвечает за обработку персданных. Он может быть только один. Нельзя назначить ответственным за данные работников одного специалиста, а за данные клиентов другого. Это запрещает Роскомнадзор и штрафует за нарушения. К тому же нужно передать ведомству ФИО ответственного лица для реестра операторов, и внести двух специалистов в одно поле не получится.
Ответственного сотрудника назначает приказом руководитель — обычно из числа работников кадровой службы. В приказе прописывают обязанности ответственного лица:
- вести внутренний контроль того, как компания и работники соблюдают закон о персданных и выполняют требования по их защите;
- знакомить работников с положениями закона о персданных, внутренних документов компании по обработке данных и их защите;
- обеспечить прием и обработку запросов от субъектов персданных — работников, клиентов, посетителей — контролировать прием и обработку таких запросов.
После издания приказа ответственный сотрудник расписывается в нем.
Обязательство о неразглашении персданных
Чтобы защищать данные сотрудников или клиентов, нужно установить обязательство об их неразглашении. Такие обязательства нужно оформить с работниками, которые имеют доступ к данным. Можно закрепить условие о неразглашении персданных в допсоглашении к трудовому договору.
Важный нюанс: ответственность за разглашение данных для сотрудника наступает, если сведения он получил при исполнении трудовых обязанностей, а не в другой ситуации (п. 7 ст. 86 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2).
Регламент допуска
Закрепите список работников, которые обрабатывают персданные или имеют к ним доступ. Обычно это бухгалтер, кадровик, секретарь компании. Каждому сотруднику должны быть доступны только те данные, которые нужны для выполнения его трудовой функции (ст. 88 ТК).
В законе не прописан порядок допуска к персданным, так что придется установить его самостоятельно и закрепить в локальном акте компании, например в Регламенте допуска работников к обработке персональных данных. Кроме самого регламента издайте приказ, в котором пропишите ФИО и должности сотрудников вместе с закрепленными за ними данными для обработки (п. 13 положения, утв. постановлением Правительства от 15.09.2008 № 687).
Онлайн‑бухгалтерия без авралов и рутины
Ведите учет в удобной онлайн-бухгалтерии: учет, расчет зарплаты и пособий, отправка отчетности в ФНС, СФР, Росстат.
Документы внутреннего контроля
Чтобы более полно защитить компанию, оформите документы внутреннего контроля за обработкой персданных: это правила внутреннего контроля и аудита, протоколы, материалы для проверочных мероприятий. Такие документы могут запросить инспекторы при проверке.
Часто задаваемые вопросы
Что изменилось в работе с персональными данными с 1 сентября 2022?
С 1 сентября 2022 закон «О персональных данных» стал строже: из него исключили шесть случаев, когда работодатель не должен был уведомлять Роскомнадзор о начале обработки персданных. Теперь большинству работодателей нужно это делать.
Какое уведомление нужно отправить в Роскомнадзор в связи с персональными данными с 1 сентября 2022?
Сейчас для подачи уведомления о начале работы с персданными есть форма, утвержденная приказом Роскомнадзора от 30.05.2017 № 94. Скоро ведомство утвердит новую форму, с помощью которой можно будет передать более детальную информацию.
Будет ли штраф за опоздание с отправкой уведомления в реестр Роскомнадзора?
Роскомнадзор сообщил, что предельная дата для отправки уведомления не определен, и 1 сентября 2022 — это не крайний срок. Вероятно, штрафовать за отправку уведомлений в более поздние сроки не будут. Но лучше уведомить Роскомнадзор в ближайшее время по текущей форме.
Какие изменения появились в законе 152-ФЗ «О персональных данных»?
С 1 сентября закон 152-ФЗ стал строже, чтобы защитить от утечки данные граждан. Теперь почти все работодатели должны сообщать Роскомнадзору о начале обработки персданных в организации и сотрудничать с системой ФСБ по предотвращению кибератак на российские информресурсы ГосСОПКА.
Что такое реестр операторов персональных данных Роскомнадзора?
Реестр операторов персданных — это список всех работодателей, других лиц и органов, которые собирают и обрабатывают персональные данные граждан. Чтобы попасть в этот список, компания или ИП должны отправить в ведомство уведомление о начале сбора персданных. Начало этой деятельности — день регистрации организации или ИП.
Когда отправить в Роскомнадзор уведомление об обработке персональных данных?
Роскомнадзор сообщил на своем сайте, что 1 сентября 2022 не является крайним сроком для отправки уведомления, а предельный срок для его подачи не определен. Но рекомендуется уведомить Роскомнадзор в ближайшее время.
Автоматизируйте работу с сотрудниками
Легко считайте зарплату, НДФЛ, взносы, заводите кадровые документы. Контур.Бухгалтерия сама сделает расчеты, подготовит платежки и создаст отчеты.
1.Считается ли передачей ПДн работников Сберу и СКб Контур при выплате зарплаты через Зарплатный проект? Платеж идет на карточку работника и отображается в СКБ КОНтур +в Контуре хранятся личные данные сотрудников, идет расчет отпусков. Если данные работников отображаются в сбере и в контуре то это передача третьим лицам или что-то другое?
2. Похожий вопрос по клиентам организации. Платежи клиентов при оплате через сайт отображаются в юмани, тильде, оповещения от тильды приходят на яндекс почту. Нужно ли прописывать в соглашение, что данные передаются организациям Юмани-Тильда-Яндекс?
3. При подписание согласия на обработку ПДн, где дается согласие на обработку номера телефона, мейла, нужно ли брать у работников и клиентов согласие на звонки, отправку сообщений по почте? и опять таки нужно ли указывать что это передается яндексу и тефонной компании?