Закон 266-ФЗ от 14.07.2022 меняет правила работы с персональными данными. Для всех работодателей наступила обязанность уведомить Роскомнадзор об обработке личной информации своих работников, чтобы попасть в реестр операторов персональных данных.
Ранее, для многих предпринимателей закон о персональных данных не касался. Они могли обрабатывать персональные данные без уведомления Роскомнадзора в следующих ситуациях:
- обработка персональных данных по трудовому законодательству;
- получение личной информации с согласия субъекта персональных данных только для заключения с ним договора;
- обработка персональных участников религиозных организаций или общественных объединений;
- распространение личной информации с согласия субъекта персональных данных;
- обработка персональных данных, состоящих только из Ф.И.О.;
- получение информации для оформления разового пропуска на территорию оператора персональных данных.
С 1 сентября 2022 года этих ситуации исключаются, а значит операторы персональных данных, чья деятельность до 1 сентября 2022 года попадала под эти исключения, должны сообщить в Роскомнадзор о намерении обрабатывать персональные данные. Это коснётся, например, всех работодателей, организаций с пропускным режимом, торговых предприятий со службами доставки.
К примеру: в ИП работает два сотрудника. Руководитель делает кадровые приказы, ведёт отчётность на компьютере, используя средства автоматизации. Ранее ИП не сообщал в Роскомнадзор о начале обработки персональных данных сотрудников, поскольку это было необязательно по п. 2 ст. 22 152-ФЗ. С 1 сентября 2022 года он должен направить уведомление.
Перечень персональных данных в 152-ФЗ открытый, то есть к ним относится любая личная информация, которая позволяет определить конкретное лицо — субъекта персональных данных. Это могут быть фамилия, ИНН, СНИЛС, адрес страницы в социальных сетях, номер телефона. Если предприниматель собирает любую личную информацию о своих работниках или клиентах, даже простая запись имени и номера телефона для оформления услуги, уже считается оператором персональных данных.
К операторам персональных данных относятся физические лица, юридические лица, государственные и муниципальные органы, которые занимаются обработкой персональных данных: сбором, записью, накоплением, хранением, и другими действиями. Иностранные граждане и компании, работающие с данными российских граждан, тоже подпадают под действие закона. Микропредприятия, СОНКО, общественные объединения также относятся к операторам персональных данных.
Мало кто попадает под исключения, поэтому уведомление должны отправлять практически все. Разве что ИП, который не нанимает сотрудников, совсем не работает с документами физлиц или записывает всех своих клиентов ручкой, приказы пишет от руки и отчётность тоже заполняет вручную. Такой предприниматель уведомлять Роскомнадзор не должен.
Закон о персональных данных не распространяется на обработку информации для личных и семейных нужд, гостайну и ведение Архивного фонда.
Как подать уведомление в Роскомнадзор
Направить сведения можно тремя способами.
- Заполнить форму на портале Роскомнадзора, распечатать, подписать и подать в бумажном виде в территориальное управление ведомства по месту своей регистрации
- Отправить электронное уведомление, подписанное усиленной квалифицированной электронной подписью, на сайте Роскомнадзора. У заявителя должен быть установлен плагин КриптоПро ЭЦП Browser plug-in, и настроена работа с ним
- Подать уведомление через Госуслуги
