В июле 2022 года приняты новые правила работы с персональными данными (далее – персданные, ПД). В частности, расширили обязанности оператора. Сделали это не только с 1 сентября 2022 года, но и с 1 марта 2023 года. В частности, операторы теперь должны подавать уведомление в Роскомнадзор практически в любом случае обработки персданных, а также – сообщать ведомству о выявлении неправомерной или случайной их передачи (Федеральный закон от 14.07.2022 № 266-ФЗ, далее – Закон № 266-ФЗ).
Обсудим, в каких случаях, в каком порядке и по каким формам направлять уведомление в Роскомнадзор с 01.09.2022, а также – какие изменения в уведомительном порядке учесть с 01.03.2023 (по Закону № 266-ФЗ).
Разобраться в последних правилах обработки персданных, грамотно выстроить алгоритм работы с ними, учесть и исправить допущенные ошибки и избежать крупных штрафов поможет новейший обучающий курс.
|
Скачайте образцы документов для работы: |
|
Выписка об обязанностях Роскомнадзора |
|
Образец заполнения уведомления об обработке персданных |
|
Таблица изменений в работе с персданными на 2022-2023 гг. |
Роскомнадзор: отправить уведомление – порядок и сроки
В новой редакции Федерального закона от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ) утратили силу многие положения о возможности работать с персданными без уведомления ведомства (прежние п. 1 – 6 ч. 2 ст. 22). Теперь направлять уведомления о персональных данных в Роскомнадзор нужно практически во всех случаях их обработки. По таким уведомлениям формируют реестр операторов ПД (Письмо Роскомнадзора от 19.08.2022 № 08-75348).
Таблицу со всеми изменениями по персональным данным с 1 сентября 2022 года скачайте по ссылке
Случаи, при которых направлять в Роскомнадзор уведомление об обработке данных не нужно
(даже после вступления в силу Закона № 266-ФЗ, п. 7, 8, 9 ч. 2 ст. 22 Закона № 152-ФЗ):
|
Каждый оператор до 1 сентября 2022 года должен был проверить, отмечен ли он в реестре Роскомнадзора. Такая функция доступна на сайте ведомства (по вкладкам: «Персональные данные» – «Портал персональных данных Уполномоченного органа по защите прав субъектов персональных данных» – «Реестр операторов» – «Реестр»).
Реестр операторов ПД – общедоступный, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке (ч. 4 ст. 22 Закона № 152-ФЗ). Информацию из него также можно получить в поисковой строке на сайте по запросу в виде названия или ОГРН оператора.
Если сведений в реестре Роскомнадзора нет, нужно подать уведомление о начале обработки персданных. В противном случае грозит ответственность в виде предупреждения или административного штрафа (ст. 19.7 КоАП РФ):
-
для граждан – от 100 до 300 рублей;
-
для должностных лиц – от 300 до 500 рублей;
-
для юридических лиц – от 3000 до 5000 рублей.
Оператор должен уведомлять Роскомнадзор о намерении обрабатывать персданные до начала их обработки (ч. 1 ст. 22 Закона № 152-ФЗ). Такое уведомление о намерении (либо о непосредственной обработке ПД) по новым правилам направляют в управление ведомства в субъекте России по месту регистрации оператора в налоговом органе (Письмо Роскомнадзора от 19.08.2022 № 08-75348, далее – Письмо № 08-75348). Оно однократное и его не нужно предоставлять по каждому работнику.
Когда сведения в уведомлении изменятся, об этом также нужно сообщить Роскомнадзор. Сделать это следует в течение 10 рабочих дней с даты возникновения изменений. При прекращении обработки персданных ведомство также уведомляют в течение 10 рабочих дней с даты прекращения обработки ПД (ч. 7 ст. 22 Закона № 152-ФЗ).
Предельный срок, когда нужно подать в Роскомнадзор уведомление об обработке данных, не определен. Это означает, что 1 сентября 2022 года не являлось последней датой подачи уведомления об обработке персданных.
Сроки внесения сведений в реестр Роскомнадзора и их особенности
(ч. 4 – 6 ст. 22 Закона № 152-ФЗ)
1. Роскомнадзор вносит сведения и отмечает дату их направления в реестре операторов в течение 30 дней с даты поступления уведомления об обработке ПД.
2. Такие сведения исключают из реестра также в течение 30 дней с даты поступления от оператора уведомления о прекращении обработки ПД.
3. Действия по внесению и исключению сведений, а также по их рассмотрению для работодателя – бесплатны.
4. Если данные из уведомления – неполные или недостоверные, Роскомнадзор вправе потребовать оператора уточнить их до внесения в реестр. |
Кто такие оператор и субъект при обработке персданных и каковы их основные права и обязанности, разъяснят наши опытные эксперты
|
Роскомнадзор: подать уведомление – новые формы
Новые формы уведомления Роскомнадзора об обработке персональных данных ведомство утвердило Приказом от 28.10.2022 №180. Ввели три новые формы уведомления в Роскомнадзор
-
о намерении осуществлять обработку персданных;
-
о внесении изменений в ранее предоставленные в Роскомнадзор сведения;
-
о прекращении обработки ПД
Если вы составили и отправили уведомление по старой форме, то по Приказу ведомства от 30.05.2017 № 94 следует направить информационное письмо о внесении изменений в реестр (Письмо № 08-75348, ч. 7 ст. 22 Закона № 152-ФЗ).
Примеры уведомлений в Роскомнадзор можно найти на портале ведомства. Заполнить такое уведомление допустимо: в электронной форме, подписанной УКЭП; с помощью средств аутентификации ЕСИА и распечатав на бумажном носителе (ч. 3 ст. 22 Закона № 152-ФЗ).
Пример уведомления Роскомнадзора об обработке персональных данных, представленный ведомством с заполнением всех граф можно скачать здесь.
Ждать решения по уведомлению о персональных данных в Роскомнадзор не требуется. Порядок извещения ведомства – уведомительный. Поэтому обрабатывать ПД можно после получения таких сведений Роскомнадзором.
Уведомление в Роскомнадзор о персональных данных: требования к содержанию
По новым требованиям с 1 сентября 2022 года сведения подают для каждой цели обработки. Общие сведения больше не вносят. Поэтому в уведомлении в Роскомнадзор важно указать (ч. 3 и 3.1 ст. 22 Закона № 152-ФЗ):
-
категории ПД;
-
категории субъектов ПД;
-
правовое основание обработки ПД;
-
перечень действий с ПД;
-
общее описание используемых оператором способов обработки ПД.
Кроме того, в уведомлении добавлен новый пункт: фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПД, которые содержатся в государственных и муниципальных информационных системах (ч. 3 ст. 22 Закона № 152-ФЗ).
Сведения, которые должны быть в уведомлении в Роскомнадзор о начале обработки ПД
(ч. 3 ст. 22 Закона № 152-ФЗ):
|
Роскомнадзор: подать уведомление об обработке – правила с марта 2023 года
С 1 марта 2023 года Закон 266-ФЗ установит новые сроки по формированию реестра операторов ПД. Они предусмотрены для случаев:
-
уведомления оператором в случае изменения сведений (не позднее 15 числа, следующего за месяцем, в котором они возникли (пп. «д» п. 14 ст. 1 Закона 266-ФЗ);
-
исключения данных из реестра операторов, если оператор отправит уведомлении о прекращении обработки ПД: для самого исключения – в течение 30 дней, для подачи уведомления о прекращении – в течение 10 рабочих дней (пп. «б» п. 14 ст. 1 Закона 266-ФЗ).
Следовательно, всего будут применяться три формы уведомлений Роскомнадзора в такие сроки:
-
уведомление до начала обработки ПД (перед началом обработки);
-
уведомление о прекращении обработки ПД (в течение 10 рабочих дней);
-
уведомление об изменении данных по обработке (до 15 числа следующего месяца).
Обратите внимание! Уведомление о прекращении обработки ПД заменит заявление о внесении в реестр операторов сведений о прекращении оператором такой обработки. По содержанию эти документы идентичны.
|
Важно! Ведомство предупреждает о необходимости операторам, которые уже сейчас передают личные сведения за границу, подать в Роскомнадзор уведомление о трансграничной передаче, не дожидаясь 1 марта 2023 года. |
О новых правилах уведомления Роскомнадзора при трансграничной передаче и иных последних изменениях Закона № 152-ФЗ читайте здесь
Обязанности Роскомнадзора уточните по ссылке
Топ-5 документов по персональным данным, которые скачивают ваши коллеги: |
|
Бланк приказа о назначении ответственного за обработку персданных |
|
Образец положений согласия на распространение персданных |
|
Примерная форма политики по персданным |
|
Пример нового согласия на обработку персданных
|
|
Чек-лист для аудита документов по персданным
|