ТОП популярных вопросов Линии консультаций (07.09.2022)

Безымянный-1_Монтажная область 1.png
 Безымянный-2.png


От нашего пользователя поступил вопрос:
Если для обработки персональных данных не используют средства автоматизации  (вычислительная техника, компьютеры), уведомлять ведомство не нужно. " вот этот момент поясните пожалуйста. он же все равно нас касается, в любом случае договоры все  распечатываются. ..а гипотетически-если я буду в договорах графу физ лица от руки заполнять-это уже не подпадает под уведомление ведомства?
"формы уведомлений будут утверждены приказом Роскомнадзора. " сейчас пока еще ничего не утверждено, можно подавать по старой форме, но потом нужно будет внести исправления по новой форме.. сроки также не оговорены, можно и первого сентября, а можно и позднее... вопрос-а смысл всех этих телодвижений, ответственности же нет пока? можно и подождать, пока новые формы утвердят?             


 Осипова Ирина Валерьевна01.jpg
Ответ Эксперта Линии консультаций по юридическим вопросам
Осиповой Ирины 
Добрый день!

Рассмотрев Ваш вопрос, сообщаем следующее:

С 01.09.2022 уведомлять Роскомнадзор о начале обработки персональных данных работников обязаны все работодатели. Причем компаниям, еще не включенным в реестр операторов персональных данных, предпринять определенные действия нужно до 01.09.2022г.

Если ИП или юр.лицо журнал посетителей ведет только на бумаге, то уведомлять не нужно (пп. 7-9 ч. 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в будущей редакции). Но при этом вы должны помнить, что если у вас есть работники работающие по трудовому договору-Уведомление в отношении них обязательно.

Представлять уведомление об обработке персональных данных должен оператор. Форма уведомления утверждена приказом Роскомнадзора от 30.05.2017 № 94 (ред. от 30.10.2018) «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения». 

Обоснование:

Раньше многих предпринимателей закон о персональных данных не касался. Они могли обрабатывать персональные данные и не уведомлять Роскомнадзор в таких ситуациях:

  • обработка персональных данных по трудовому законодательству;

  • получение личной информации с согласия субъекта персональных данных только для исполнения заключённого с ним договора;

  • обработка персональных участников религиозных организаций или общественных объединений;

  • распространение личной информации с согласия субъекта персональных данных;

  • обработка персональных данных, состоящих только из Ф.И.О.;

  • получение информации для оформления разового пропуска на территорию оператора персональных данных.

С 1 сентября 2022 года этих ситуаций в перечня в п. 2 ст. 22 закона от 27.07.2006 № 152-ФЗ не будет, а значит операторы персональных данных (ОПД), чья деятельность до 1 сентября 2022 года попадала под эти исключения, должны сообщить в Роскомнадзор о намерении обрабатывать персональные данные. Это коснётся, например, всех работодателей, организаций с пропускным режимом, торговых предприятий со службами доставки.

Согласно пп. 7-9 ч. 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в будущей редакции:

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) - 6) утратили силу с 1 сентября 2022 года. - Федеральный закон от 14.07.2022 N 266-ФЗ;

7) включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

(п. 7 в ред. Федерального закона от 14.07.2022 N 266-ФЗ)

8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

(п. 8 в ред. Федерального закона от 14.07.2022 N 266-ФЗ)

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

(п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ) 

Кто по-прежнему после 01.09.2022 не должен подавать уведомление о включении в реестр?

Обязанность включаться в реестр по-прежнему не возникает у тех, кто осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (то есть без использования компьютера, на только лишь бумаге), лиц, которые являются операторами государственных информационных систем в области безопасности, а также лиц, обрабатывающих данные в соответствии с законодательством о транспортной безопасности (пп. 7-9 ч. 2 ст. 22 Закона в будущей редакции).

Т.е. если вы будете у себя, например, в салоне или в магазине вести записи исключительно в тетрадке или блокноте на бумаге и никуда их не передавать и не вводить персональные данные в компьютер, то у вас не возникнет обязанности уведомлять Роскомнадзор и включаться в реестр операторов персональных данных

Ответственность

Неисполнение обязанности уведомить Роскомнадзор о намерении осуществлять обработку персональных данных может повлечь наложение административного штрафа от 100 до 300 руб. – на физических лиц; на должностных лиц от 300 до 500 руб.;от 3 до 5 тыс. руб. – на юридических лиц (ст. 19.7 КоАП РФ ), также Роскомнадзор может просто вынести предупреждение оператору.

Пока размер штрафа не является значительным и сам по себе он может не мотивировать исполнять обязанность по уведомлению. Кроме того, зачастую Роскомнадзор предварительно направляет операторам требование о включении в реестр или предоставлении пояснений об отсутствии обязанности включиться в реестр.

Тем не менее, судя по тренду изменений в законодательство РФ в области защиты персональных данных, ответственность будет увеличиваться. Пока для операторов всё еще будет имеется время для привыкания работы с персональными данными.

Особенно это актуально для тех, кто обрабатывает большое количество данных о людях (сотни, тысячи, десятки тысяч и т.д.). В этом случае нужно иметь в виду, что оператор должен задуматься о системах криптозащиты и безопасности, чего нельзя сделать без соответствующих специалистов, обучения и без нового оборудования и/или организационных мероприятий (изменение документооборота, внедрение новых систем автоматизации и управления и т.п.)           

Подборка:

1. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных" {КонсультантПлюс}

2. Приказ Роскомнадзора от 30.05.2017 N 94 (ред. от 30.10.2018) "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения" {КонсультантПлюс}

Скачать подборку документов


Другие статьи

Анонс журнала «ГЛАВНАЯ КНИГА», 2024, № 07
Анонс журнала «ГЛАВНАЯ КНИГА», 2024, № 07
Дата подписания номера-22.03.2024
22.03.2024 Читать далее
ТОП интересных вопросов Линии консультаций (20.03.2024)
От нашего пользователя поступил вопрос: С частным агентством (исполнителем) заключен договор по предоставлению труда работников (персонала).Согласно п. 3 ст. 18.1. ФЗ №1032-1 от 19 апреля 1991г. "О занятости населения в Российской Федерации", осуществлять деятельность по предоставлению труда работников (персонала) вправе частные агентства занятости - юридические лица, зарегистрированные на территории РФ и прошедшие аккредитацию на право осуществления данного вида деятельности. В процессе выполнения договора у частного агентства аккредитация Рострудом была отозвана. Какие риски могут возникнуть у Заказчика при продолжении получения услуг в рамках договора от такого частного агентства?
20.03.2024 Читать далее