|
|
Ответ Эксперта Линии консультаций по юридическим вопросам |
Рассмотрев Ваш вопрос, сообщаем следующее:
С 01.09.2022 уведомлять Роскомнадзор о начале обработки персональных данных работников обязаны все работодатели. Причем компаниям, еще не включенным в реестр операторов персональных данных, предпринять определенные действия нужно до 01.09.2022г.
Если ИП или юр.лицо журнал посетителей ведет только на бумаге, то уведомлять не нужно (пп. 7-9 ч. 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в будущей редакции). Но при этом вы должны помнить, что если у вас есть работники работающие по трудовому договору-Уведомление в отношении них обязательно.
Представлять уведомление об обработке персональных данных должен оператор. Форма уведомления утверждена приказом Роскомнадзора от 30.05.2017 № 94 (ред. от 30.10.2018) «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
Обоснование:
Раньше многих предпринимателей закон о персональных данных не касался. Они могли обрабатывать персональные данные и не уведомлять Роскомнадзор в таких ситуациях:
-
обработка персональных данных по трудовому законодательству;
-
получение личной информации с согласия субъекта персональных данных только для исполнения заключённого с ним договора;
-
обработка персональных участников религиозных организаций или общественных объединений;
-
распространение личной информации с согласия субъекта персональных данных;
-
обработка персональных данных, состоящих только из Ф.И.О.;
-
получение информации для оформления разового пропуска на территорию оператора персональных данных.
С 1 сентября 2022 года этих ситуаций в перечня в п. 2 ст. 22 закона от 27.07.2006 № 152-ФЗ не будет, а значит операторы персональных данных (ОПД), чья деятельность до 1 сентября 2022 года попадала под эти исключения, должны сообщить в Роскомнадзор о намерении обрабатывать персональные данные. Это коснётся, например, всех работодателей, организаций с пропускным режимом, торговых предприятий со службами доставки.
Согласно пп. 7-9 ч. 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в будущей редакции:
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) - 6) утратили силу с 1 сентября 2022 года. - Федеральный закон от 14.07.2022 N 266-ФЗ;
7) включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
(п. 7 в ред. Федерального закона от 14.07.2022 N 266-ФЗ)
8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
(п. 8 в ред. Федерального закона от 14.07.2022 N 266-ФЗ)
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
(п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
Кто по-прежнему после 01.09.2022 не должен подавать уведомление о включении в реестр?
Обязанность включаться в реестр по-прежнему не возникает у тех, кто осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (то есть без использования компьютера, на только лишь бумаге), лиц, которые являются операторами государственных информационных систем в области безопасности, а также лиц, обрабатывающих данные в соответствии с законодательством о транспортной безопасности (пп. 7-9 ч. 2 ст. 22 Закона в будущей редакции).
Т.е. если вы будете у себя, например, в салоне или в магазине вести записи исключительно в тетрадке или блокноте на бумаге и никуда их не передавать и не вводить персональные данные в компьютер, то у вас не возникнет обязанности уведомлять Роскомнадзор и включаться в реестр операторов персональных данных
Ответственность
Неисполнение обязанности уведомить Роскомнадзор о намерении осуществлять обработку персональных данных может повлечь наложение административного штрафа от 100 до 300 руб. – на физических лиц; на должностных лиц от 300 до 500 руб.;от 3 до 5 тыс. руб. – на юридических лиц (ст. 19.7 КоАП РФ ), также Роскомнадзор может просто вынести предупреждение оператору.
Пока размер штрафа не является значительным и сам по себе он может не мотивировать исполнять обязанность по уведомлению. Кроме того, зачастую Роскомнадзор предварительно направляет операторам требование о включении в реестр или предоставлении пояснений об отсутствии обязанности включиться в реестр.
Тем не менее, судя по тренду изменений в законодательство РФ в области защиты персональных данных, ответственность будет увеличиваться. Пока для операторов всё еще будет имеется время для привыкания работы с персональными данными.
Особенно это актуально для тех, кто обрабатывает большое количество данных о людях (сотни, тысячи, десятки тысяч и т.д.). В этом случае нужно иметь в виду, что оператор должен задуматься о системах криптозащиты и безопасности, чего нельзя сделать без соответствующих специалистов, обучения и без нового оборудования и/или организационных мероприятий (изменение документооборота, внедрение новых систем автоматизации и управления и т.п.)
Подборка: