Изменения в закон «О персональных данных»: каким организациям и ИП необходима регистрация в Роскомнадзоре
Летом 2022 года серьезные нововведения коснулись федерального закона «О персональных данных». Эти изменения зафиксированы № 266-ФЗ от 14.07.2022 года и затрагивают, главным образом, деятельность практически всех работодателей.
До 1 сентября 2022 года все работодатели должны уведомить Роскомнадзор об обработке личной информации своих работников, чтобы попасть в реестр операторов персональных данных.
Операторов персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, большинства организаций и ИП признаются операторами персональных данных, а значит должны пройти процедуру регистрации в Роскомнадзоре.
Операторов персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, большинства организаций и ИП признаются операторами персональных данных, а значит должны пройти процедуру регистрации в Роскомнадзоре.
Постановка на учёт в реестре происходит один раз. Если компания или ИП в нём уже есть, повторно отправлять уведомление не нужно. Так, например, работодатель один раз информирует Роскомнадзор о намерении осуществлять обработку персональных данных сотрудников в рамках трудовых отношений. Он не сообщает в ведомство о приёме на работу или увольнении конкретного работника.
В соответствии со статьей 22 ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
РЕГИСТРАЦИЯ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ В РЕЕСТРЕ РОСКОМНАДЗОРА
ШАГ 1. ПОДГОТОВКА И ПОДАЧА УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Вы можете направить уведомление одним из следующих способов:
1. Сформировать уведомление и направить в бумажном виде.
Вы можете заполнить форму, распечатать и отправить в территориальный орган.
2. Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи.
При этом у вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним.
3. Сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.
Пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде. Отправка копии в бумажном виде в данному случае не потребуется. У вас должна быть подтвержденная учетная запись. В случае если вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале Госуслуг.
Уведомление в Роскомнадзор должно содержать:
- наименование (фамилия, имя, отчество), адрес оператора
- цель обработки персональных данных
- категории персональных данных
- категории субъектов, персональные данные которых обрабатываются
- правовое основание обработки персональных данных
- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных
- описание мер по обеспечению безопасности персональных данных, предусмотренных законом, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств
- ФИО физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты
- дату начала обработки персональных данных
- срок или условие прекращения обработки персональных данных
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки
- сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
ШАГ 2. ВНЕСЕНИЕ СВЕДЕНИЙ В РЕЕСТР РОСКОМНАДЗОРА (ПУБЛИКАЦИЯ СВЕДЕНИЙ В РЕЕСТРЕ).
Роскомнадзор на основании предоставленного уведомления вносит сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления.
Госпошлина за регистрацию в реестре операторов персональных данных Роскомнадзора не уплачивается.
В случае предоставления неполных или недостоверных сведений в уведомлении Роскомнадзор вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов (отказ во внесении в реестр законом не предусмотрен).
В случае изменения сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
Важно! За непредставление или несвоевременное представление уведомления предусмотрена административная ответственность: предупреждение или штраф для должностных лиц — от 300 до 500 рублей; для юридических лиц — от 3 000 до 5 000 руб. (ст. 19.7 КоАП РФ).
Электронные формы уведомлений для заполнения размещены по ссылке.