В последние несколько лет утечки личной информации участились, и государство хочет пристальнее следить за её обработкой и защитой. Так, вступают в силу новые правила, утверждённые Законом от 14.07.2022 г. № 266-ФЗ. 

До 1 сентября организации и предприниматели должны сообщить Роскомнадзору об обработке персональных данных сотрудников.

Появляется новая обязанность — уведомлять о сборе и обработке данных, которые нужны для составления и исполнения трудового договора.

Правило распространяется не только на работников, но и на всех физических лиц. Например, когда персданные фиксируют для оформления разового пропуска на территорию предприятия.

Исключение — неавтоматизированная обработка данных. Если данные записывают в бумажный журнал, уведомлять Роскомнадзор не нужно.

Кроме этого работодатели в течение 10 дней должны:

  • уведомлять об изменении состава сведений, которые собираете. Например, если начали спрашивать у сотрудников об их семейном положении;
  • отвечать на запросы Роскомнадзора и сотрудников о том, собираете ли вы данные, и какие именно;
  • сообщать Роскомнадзору о прекращении обработки персональных данных.

Чтобы повысить защиту персональных данных, компании и предприниматели должны подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы (ГосСОПК).

После подключения к системе вы считаетесь оператором персональных данных. Если произойдёт утечка данных, то в течение 24 часов нужно направить в ГосСОПК уведомление и назвать возможные причины утечки. В течение 72 часов операторы предоставляют отчёт о причинах и причастных лицах.

Новым ИП — год Эльбы в подарок

Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев

Попробовать бесплатно

Проверьте, есть ли организация или ИП в базе данных Роскомнадзора. Если организация уже есть в реестре, повторно отправлять уведомление не нужно.

Если записи нет, подготовьте уведомление по форме, которая утверждена Приказом от 30.05.2017 г. № 94. 

Уведомление подают:

  • в электронном виде через сайт Роскомнадзора — подписывают электронной подписью;
  • в электронном виде через ЕСИА;
  • заказным письмом через Почту России.

Документ подают один раз без указания сотрудников. Поэтому Роскомнадзор не требует уведомлений при найме нового персонала. Но, если меняется состав собираемой информации, ведомству сообщают о новых категориях обрабатываемых данных.

Если меняется сотрудник, который отвечает за обработку персональных данных, в Роскомнадзор отправляют уведомление с ФИО и должностью нового ответственного лица.

Согласие на обработку персональных данных должны дать все сотрудники. В документе указывают цель сбора информации — без противоречивых и размытых формулировок. 

Проверьте текущие согласия, чтобы в них не было пунктов, которые нарушают права сотрудников. Сверьте цель сбора данных со ст. 86 ТК РФ — произвольные формулировки запрещены. Если нашли ошибки, подготовьте и подпишите новые документы.

Если отправляете данные сторонней организации для обработки, хранения и защиты, получите согласие от сотрудников на передачу сведений третьим лицам. Здесь можно указать произвольную цель.

За обработку данных без уведомления Роскомнадзора штрафуют по ст. 19.7 КоАП РФ:

  • 300 ₽ – 500 ₽ — должностных лиц и ИП;
  • 3 000 ₽ – 5 000  — организации.

Скорее всего, в будущем штрафы увеличат. Пока что их оставили минимальными, чтобы дать бизнесу время на адаптацию к новым правилам.

  1. С 1 сентября 2022 года работодатели уведомляют Роскомнадзор об обработке персональных данных сотрудников.
  2. До 1 сентября уведомление сдают организации и ИП, которые уже обрабатывают персданные работников.
  3. Форма уведомления утверждена Приказом Роскомнадзора от 30.05.2017 г. № 94.
  4. Работодатели подключаются к ГосСОПК для защиты информации от утечки.
  5. За нарушение правил ИП и должностных лиц штрафуют на 300 ₽ – 500 , организации — от 3 000 ₽ до 5 000 .

Статья актуальна на