У работодателей появилась новая обязанность, связанная с обработкой персональных данных. До 1 сентября 2022 г. работодатели должны направить уведомление в Роскомнадзор об обработке личной информации сотрудников. Всех ли касается данная обязанность? Каковы штрафы за ее игнорирование?
ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
По общему правилу работодатели до 1 сентября 2022 г. обязаны направить в Роскомнадзор уведомление об обработке персональных данных своих сотрудников для последующего включения компании в специальный реестр (Федеральный закон от 14.07.2022 г. №266-ФЗ).
Реестр работодателей ведет Роскомнадзор. Работодатель - оператор персданных может проверить о своем включении в реестр на сайте: https://pd.rkn.gov.ru/operators-registry/operators-list/.
Что представляют собой персональные данные работника?
Персональные данные сотрудника – это ФИО, паспортные данные, ИНН, СНИЛС, возраст, контактные данные (номер телефона, электронная почта), сведения о доходах, образовании, составе семьи и т.п. (п.2 ст.3 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», письма Минфина РФ от 19.01.2021 г. №03-01-11/2330, Минкомсвязи РФ от 28.08.2020 г. №ЛБ-С-074-24059).
При этом работодатель является оператором персональных данных (по тексту – ОПД).
Все ли бизнесмены должны уведомлять Роскомнадзор?
До 1 сентября 2022 г. действовало множество ситуаций, позволяющих работодателям избежать сообщений в Роскомнадзор об обработке персональных данных сотрудников.
Например, самой распространенной ситуацией было наличие трудовых отношений с работником.
Также не нужно было уведомлять Роскомнадзор, если обработка данных включала в себя только ФИО, либо человеку выписывался одноразовый пропуск для прохождения на территорию компании.
Не было необходимости уведомлять Роскомнадзор, если персональные данные сотрудника: не передавались третьим лицам, получены религиозной организацией или общественным объединением от своих участников, при обработке данных не используются средства автоматизации учета.
В последнем случае было много спорных моментов, которые даже приводили к судебным баталиям.
Например, проверяющие Роскомнадзора оштрафовали компанию за неподачу уведомлений, потому что обработка персональных данных осуществлялась с помощью программ 1С «Зарплата и управление персоналом» и «Биометрическая система учета времени». Но судьи встали на сторону компании, т.к. обработка персональных данных использовалась только в рамках трудовых договоров (постановление Четвертого ААС от 07.02.2018 г. №А1917054/2017).
Многие работодатели игнорировали обязанность уведомлять Роскомнадзор. Например, перед проведением аудиторской проверки компания передает персональные сведения своих сотрудников, ответственных за учет.
Компания может передавать также персональные данные и страховой компании для заключения ДМС.
У многих работодателей заключен с банками зарплатный проект. Все эти случаи не связаны с реализацией работодателем требований трудового законодательства. Поэтому работодатели должны были подавать уведомление в Роскомнадзор и до 1 сентября 2022 г.
Однако если работодатель перечислял деньги на банковские карты работников, без зарплатного проекта, то сведения не должны были подаваться.
А с 1 сентября 2022 г. ситуация изменилась в связи с сужением перечня, который позволял работодателям не подавать уведомления в Роскомнадзор. Теперь осталось только три исключительных ситуации:
- персональные данные включены в государственные информсистемы данных, которые созданы для защиты безопасности государства и общественного порядка;
Например, АДИС полиции.
- работодатель обрабатывает персональные данные без средств автоматизации;
Например, при обработке данных не используется вычислительная техника. Бланк согласия о персональных данных работник заполняет вручную.
- обработка данных осуществляется в соответствии с требованиями транспортной безопасности.
Например, системы видеонаблюдения на железнодорожных вокзалах.
Поэтому большинство работодателей обязаны подавать уведомление в Роскомнадзор до 1 сентября 2022 года, если их нет в реестре и в списке исключений.
Как подать уведомление в Роскомнадзор?
Уведомление можно подать несколькими способами на сайте Роскомнадзора ( https://pd.rkn.gov.ru/operators-registry/notification/form/):
-
заполнить форму, распечатать и направить на бумаге в территориальный орган;
-
заполнить форму, подписать ее электронной подписью;
-
зайти через Госуслуги, заполнить форму и направить ее в электронном виде.
Далее Роскомнадзор вносит работодателя в реестр в течение 30 дней.
Если у компании есть зарплатный проект, а также обработка персональных данных осуществляется в рамках трудовых отношений, то в уведомлении указываются две цели.
Когда потребуется новое уведомление?
Подача уведомления до 1 сентября 2022 г.– не одноразовая акция.
Впоследствии уведомление в Роскомнадзор необходимо представлять, если:
- изменились ранее поданные сведения;
Например, у сотрудницы сменилась фамилия.
Срок подачи – не позже 15 числа месяца, следующего за месяцем изменения данных.
- прекратилась обработка персональных данных.
Например, сотрудник уволился.
Срок подачи – в течение 10 рабочих дней с даты прекращения обработки.
УВЕДОМЛЕНИЕ О РАСТОРЖЕНИИ ТРУДОВОГО ДОГОВОРА
Какие санкции за неподачу уведомления?
Неуведомление Роскомнадзора может стоить работодателю штрафов (ст.13.23 КоАП РФ):
-
на физических лиц – от 200 рублей до 500 рублей;
-
на должностных лиц – от 1 тысячи рублей до 2 тысяч рублей;
-
на компании – от 10 тысячи до 20 тысяч рублей.
Отметим, что в 2022 году Роскомнадзор не будет проводить контрольные проверки (постановление Правительства РФ от 10.03.2022 г. №336). Однако по жалобе, например, обиженного сотрудника, может проводиться внеплановая проверка.
