Как без штрафов работать с персданными: новые разъяснения Роскомнадзора
В статье найдете новые разъяснения Роскомнадзора, как работать с персданными, чтобы не было штрафов (ответ на запрос журнала «Главбух» от 02.11.2022 № 08-97513). Узнаете, кто должен отчитываться в Роскомнадзор, кого назначить ответственным и за какие нарушения сейчас штрафуют.
Памятка
Семь ответов на вопросы по работе с персданными
Могут ли наказать компанию, если она хранит копии документов сотрудников в программах бухучета или в личном деле работников?
Нет, в действиях компании нет нарушения.
Сколько ответственных лиц за обработку персданных должно быть в компании?
Ответственным должно быть одно лицо, даже если по факту с персданными работают несколько сотрудников. Подробнее.
В законе сказано, что нужно уведомлять Роскомнадзор, если компания использует автоматизированную обработку персданных. Что это значит?
Автоматизированная обработка — это когда вносите персданные в 1С или другие учетные программы. Если записываете и передаете персданные только на бумаге без компьютера, уведомлять Роскомнадзор не нужно. Подробнее.
Нужно ли уведомлять Роскомнадзор о начале обработки персданных, если в компании нет работников, кроме директора?
Да. Все компании должны подавать уведомление о начале обработки персданных независимо от количества сотрудников. Подробнее.
Если человек обратился с требованием прекратить обработку персданных устно, к примеру по телефону, оператор обязан исполнить такой запрос?
Сообщите гражданину, что он должен составить письменный запрос с указанием своих паспортных данных, реквизитов договора или другого документа, который подтверждает взаимодействие с компанией (ч. 3 ст. 14 Закона № 152-ФЗ).
Нужно ли получать согласие на распространение персданных сотрудников, если их данные нужны для исполнения договора с контрагентом?
Нет, не нужно. Распространение персданных — действия, направленные на раскрытие информации неопределенному кругу лиц. Когда передаете персданные сотрудника контрагенту, чтобы исполнить сделку, круг лиц, которые получают такую информацию, ограничен. Подробнее.
Что делать компаниям, у которых изменились данные после того, когда подали уведомления о начале обработки персданных?
Сейчас рассматривают проект об утверждении новых форм уведомлений. До этого момента подавать уведомление о внесении изменений в ранее предоставленные сведения можно по старой форме, утвержденной приложением № 2 к приказу Роскомнадзора от 30.05.2017 № 94. Подробнее
Важная деталь
Если не назначите ответственного за обработку персданных, проверяющие потребуют устранить нарушение. Не устраните — оштрафуют (ч. 1 ст. 19.5 КоАП).
Кого назначить ответственным за обработку персданных
Каждая компания и ИП должны назначить лицо, ответственное за обработку персданных (ст. 18.1, 22.1 Федерального закона от 27.07.2006 № 152-ФЗ). Ответственным должен быть один сотрудник, даже если по факту с персданными работают несколько человек.
Часто такие обязанности возлагают на кадровика или бухгалтера. Логика такая: сотрудник работает с документами работников, значит, его можно назначить ответственным. Однако возлагать такие функции закон разрешает не на любого сотрудника.
Во-первых, это должно быть лицо, которое разбирается в законодательстве о персданных. Ведь ему предстоит организовать обработку персданных в масштабе компании. Например, вести контроль за соблюдением правил работы с персданными, отвечать на обращения физлиц. Во-вторых, такое лицо должно быть подотчетно директору. Обычно бухгалтер или кадровик не знают Закон о персданных. Им будет сложно справиться с таким участком работы. Но в небольших компаниях это допустимо.
Назначить ответственным генерального директора тоже рискованно. В законе четко сказано, что сотрудник, который отвечает за работу с персданными, должен быть подотчетен директору (ч. 2 ст. 22.1 Закона № 152-ФЗ). Если нет подходящего сотрудника, можете поручить обработку персданных сторонней компании.
Какие формулировки нельзя включать в согласие на обработку
С 1 сентября 2022 года требования к оформлению согласия на обработку персданных изменились. Добавили два дополнительных требования — согласие должно быть предметным и однозначным.
Конечно, из-за таких поправок не нужно полностью менять форму согласия на обработку персданных. Представители Роскомнадзора уточнили, что такие поправки приняли, чтобы человек из текста согласия понимал конкретные цели обработки, в каких ситуациях его персданные будут обрабатывать, что с ними будут делать, а также кто из третьих лиц имеет доступ к его данным. Также представители ведомства привели примеры ошибок, которые компании допускают в форме согласия. Перепроверьте, нет ли в вашей форме согласия таких формулировок.
В согласии не должно быть неопределенностей. Роскомнадзор заявил, что согласие на обработку персданных должно быть срочным. Оформлять согласие на неопределенный срок — это нарушение.
| Неправильно | Правильно |
|---|---|
| <...> Настоящее согласие действует неопределенный срок. <...> | <...> Настоящее согласие действует в течение одного года. <...> |
В согласии не должно быть условий, которые противоречат закону.
| Неправильно | Правильно |
|---|---|
| <...> Настоящее согласие действует в течение пяти лет, после чего оно может быть отозвано путем направления соответствующего письменного уведомления оператору. <...> | <...> Субъект персональных данных вправе отозвать свое согласие на обработку персданных в любое время (ч. 2 ст. 9 Закона № 152-ФЗ). <...> |
В согласии на обработку персданных четко обозначьте перечень третьих лиц, которые получают доступ к личным данным человека. Например, если оформляете сотруднику зарплатную карту, впишите наименование банка, которому будете перенаправлять сведения. Формулировки без конкретики — нарушение. За него проверяющие из Роскомнадзора могут оштрафовать.
Если собираетесь раскрыть персданные сотрудника или клиента для неограниченного круга лиц, к примеру хотите опубликовать персданные физлица на сайте, обязательно возьмите у него отдельное согласие на распространение персональных данных (ст. 88 ТК, ст. 10.1 Закона № 152-ФЗ). Это требование закона. Одного согласия на обработку персданных в этом случае будет недостаточно.
| Неправильно | Правильно |
|---|---|
| <...> В случае необходимости оператор вправе передать любые персональные данные субъекта любым третьим лицам. <...> | <...> Оператор вправе передавать персданные субъекта в ПАО «Сбербанк», контрагентам оператора c целью выполнения договорных обязательств с участием субъекта персданных. <...> |
Осторожно
Когда передаете персональные данные сотрудника неограниченному кругу лиц, возьмите у него согласие на распространение персданных отдельно от согласия на обработку.
Кто обязан отчитываться в Роскомнадзор
Все компании должны подавать уведомление о начале обработки персданных независимо от количества сотрудников организации. Даже если в компании трудоустроен только один директор. Такие разъяснения дал Роскомнадзор.
Не нужно подавать уведомление в Роскомнадзор, если собираете персональные сведения только вручную и на бумаге. Если же задействуете учетные программы, например 1С, то вы обязаны уведомить ведомство о начале обработки персональных данных.
Уведомление надо подать один раз, чтобы Роскомнадзор включил компанию в реестр операторов. Проверьте, есть ли ваша компания в реестре на сайте Роскомнадзора. Если нет, уведомьте территориальное ведомство по местонахождению компании как можно скорее. Как подать уведомление о начале обработки персданных.
1 сентября Роскомнадзор на своем сайте разместил информационное сообщение о том, что планирует утвердить новые формы уведомлений. Сейчас проект находится на рассмотрении. Также ведомство сообщило, что после вступления в силу новых приказов можно будет представить уведомление о внесении изменений в ранее представленные сведения.
Из сообщения было непонятно, что делать компаниям, у которых произойдут изменения в работе с персданными до того момента, когда вступят в силу новые формы уведомлений. Ждать новых форм или уведомлять Роскомнадзор об изменениях по старой форме. Представители Роскомнадзора пояснили, что до утверждения новых форм подавать уведомление о внесении изменений можно по старой форме, утвержденной приложением № 2 к приказу Роскомнадзора от 30.05.2017 № 94.
