30.05.2025 вступают в силу новые штрафы за некорректное обращение с персональными данными. Штрафы будут распространяться на операторов.
Оператор персональных данных.
В соответствии с пунктом 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ О персональных данных оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Такое определение дал однажды Роскомнадзор (РКН) у себя на сайте.
Исходя из этого определения, работодатели и заказчики по ГПД также являются операторами персональных данных. Есть физлица, у которых затребовали личные данные, чтобы заключить с ними договор, произвести оплату и т.д. – есть обработка персональных данных.
Персональные данные.
Персональные данные бывают нескольких типов, статьи 10-11 закона № 152-ФЗ:
▪️Обычные – ФИО, паспортные данные, адреса проживания и регистрации и т.д.;
▪️Биометрические – отпечатки пальцев, форма лица, глаз и т.д.;
▪️Специальные – национальность, политические взгляды, философские убеждения и т.д.
Сбор и распоряжение такими данными делают того, кто этим занят, оператором персональных данных.
Когда надо уведомлять РКН об обработке персональных данных?
РКН ведет реестр операторов персональных данных. Оператор должен самостоятельно уведомить РКН.
По общему правилу уведомление в РКН о намерении работать с персональными данными надо подать ДО начала такой работы. До настоящего момента санкций за неуведомление не было.
А будут они как раз с 30 мая 2025 года.
Уведомлять РКН надо по форме, приведенной в Приложении № 1 к Приказу Роскомнадзора от 28.10.2022 N 180. В нем указывают (ч. 3, 3.1 ст. 22 Закона о персональных данных):
▪️наименование юрлица (ФИО ИП), адрес;
▪️цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных;
▪️дату начала обработки персональных данных;
▪️срок или условие прекращения обработки персональных данных;
▪️сведения об обеспечении безопасности персональных данных в соответствии с установленными требованиями к защите таких данных.
Подписывает уведомление уполномоченное на это лицо (например, руководитель).
Как подать уведомление об обработке персданных в РКН?
На своем сайте Роскомнадзор разъяснил, каким способом оператор может направить уведомление.
Подать уведомление можно одним их трех способов:
▪️На бумаге. Распечатайте форму на сайте РКН, заполните, подпишите и отнесите в территориальный орган РКН. Также документ можно отправить письмом по почте.
▪️В электронной форме. Заполните электронный документ на сайте РКН, подпишите электронной подписью и отправьте онлайн.
▪️На «Госуслугах». Этот способ также подразумевает отправку уведомления в электронной форме. Потребуется подтвержденный профиль. Уведомление от компании должно быть привязано к учетной записи физлица (например, директора или руководителя).
Что дальше?
РКН рассматривает уведомление в течение 30 дней. Если вы направили почтой бумажное уведомление, то этот срок начинает течь со дня, когда РКН получил письмо.
Как правило, в течение этого срока РКН принимает решение о внесении нового оператора персональных данных в реестр. Дальше можно жить спокойно, если ничего не поменяется у самого оператора.
Узнать о включении в реестр можно, поискав себя там.
Реестр доступен по ссылке 👉🏻 https://pd.rkn.gov.ru/operators-registry/operators-list/
Для работы с персональными данными работников утвердите:
▪️Положение о защите персональных данных;
▪️Политику обработки персональных данных.
В Положении о защите персональных данных сотрудников устанавливают порядок работы с данными в организации (или у ИП с работниками), перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов. Утвердите положение приказом руководителя и ознакомьте с ним работников под роспись (ст. 88 ТК РФ, п. 15 Положения об обработке персональных данных).
Политика обработки должна содержать основные принципы и регламенты, используемые у конкретного оператора при работе с персональными данными. Политика должна быть публичной! Если обработка идет внутри компании, то Политику можно разместить на информационном стенде. Если же сбор данных идет, например, через сети, то тогда Политику нужно разместить в такой сети.
При взаимодействии с физлицом, например, при приеме сотрудника на работу, с него берется согласие на обработку персональных данных. Можно сделать отдельный документ или включить условие о согласии в трудовой договор.
При изменении персональных данных изменения в кадровые документы вносят по заявлению работника или на основании поступивших подтверждающих документов. Менять данные в трудовом договоре не обязательно, но при желании можно оформить соответствующее допсоглашение. Изменения в трудовую книжку вносят при смене ФИО, даты рождения и сведений об образовании (п. п. 7, 8 Порядка ведения трудовых книжек).
Персональные данные без согласия работника можно передать третьим лицам только в установленных законом случаях, например, в налоговый орган и СФР. В других ситуациях надо получить письменное согласие работника.