Нужно ли уведомлять Роскомнадзор об обработке персональных данных работников?
Документ
Письмо Роскомнадзора от 19.08.2022 № 08-75348
Комментарий
С 1 сентября 2022 года работодатели должны сообщать в Роскомнадзор о намерении обрабатывать персональные данные работников. Уведомлять ведомство необходимо, даже если работодатели получили данные в рамках трудовых отношений. Такой вывод можно сделать из письма Роскомнадзора от 19.08.2022 № 08-75348.
В письме отмечается, что с 1 сентября 2022 года статья 22 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) будет действовать в новой редакции с учетом изменений, внесенных Федеральным законом от 14.07.2022 № 266-ФЗ.
Напомним, в этой статье закреплена обязанность операторов персональных данных уведомлять Роскомнадзор о намерении обрабатывать эти данные, а также определен перечень случаев, когда подача такого уведомления не требуется. С 1 сентября этот перечень будет существенно сокращен, сообщать в Роскомнадзор о таком намерении потребуется практически во всех случаях обработки персданных. В частности, из перечня исключен п. 1, согласно которому не требуется подавать уведомление, если персональные данные обрабатываются в соответствии с трудовым законодательством. Иными словами, теперь подавать уведомление нужно будет и перед заключением трудового договора, и при оформлении пропусков для прохода работников на территорию работодателя и т. д.
В письме напомнили, что уведомление направляется в территориальное управление Роскомнадзора по месту нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе.
Уведомление можно направить по форме, приведенной в приложении № 1 к Методическим рекомендациям, утв. приказом Роскомнадзора от 30.05.2017 № 94, в виде документа на бумажном носителе или в форме электронного документа.
Электронная форма уведомления и порядок ее заполнения размещены на Портале персональных данных Роскомнадзора. На интернет-странице оператору предоставлена возможность сформировать уведомление в электронной форме и направить в его в территориальный орган Роскомнадзора одним из следующих способов:
- в бумажном виде;
- в электронном виде с использованием усиленной квалифицированной электронной подписи (УКЭП);
- в электронном виде с использованием средств аутентификации ЕСИА.
Напоминаем, что согласно ч. 1 ст. 22 Закона № 152-ФЗ подать в Роскомнадзор уведомление необходимо до начала обработки персональных данных. При этом под обработкой понимается любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение (п. 3 ч. 1 ст. 3 Закона № 152-ФЗ).
Учитывая это требование, работодатели должны направлять уведомление в Роскомнадзор:
- до приема сотрудника на работу (по каждому вновь принимаемому сотруднику подавать уведомление не требуется);
- до обработки данных соискателей (если они будут направлять работодателю резюме с именем, фамилией, номером телефона, адресом электронной почты и т. д.).
Вместе с тем остается вопрос о дате начала обработки персональных данных, которая должна быть указана в уведомлении. В случае с соискателем эта дата неизвестна, поскольку она напрямую зависит от воли самого соискателя. Работодатель не может предположить, когда соискатель пришлет свое резюме, и, соответственно, не может сообщить об этом заранее в Роскомнадзор. Полагаем, для решения этого вопроса следует дождаться дополнительных разъяснений от Роскомнадзора.
Поскольку Федеральным законом от 14.07.2022 № 266-ФЗ не предусмотрены переходные положения, считаем целесообразным работодателям после вступления в силу Закона № 152-ФЗ отправить уведомление в Роскомнадзор об обработке персональных данных сотрудников. Уведомление подается один раз и не содержит сведений о данных конкретных лиц. Поэтому такое уведомление формально будет касаться и всех действующих сотрудников и тех, кого работодатель только планирует принять в будущем.
Если я ясно выразился, значит вы меня не правильно поняли.
Сообщать в Роскомнадзор об обработке персональных данных придется почти всем работодателям
Федеральный закон от 14.07.2022 № 266-ФЗ
С 1 сентября 2022 года вступят в силу новые правила обработки и защиты персональных данных. Соответствующие изменения внесены в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Рассмотрим основные нововведения.
Случаев, когда персданные можно обрабатывать без уведомления Роскомнадзора, стало меньше
Согласно ч. 1 ст. 22 Закона № 152-ФЗ до начала обработки персональных данных оператор должен уведомить о своем намерении Роскомнадзор. Часть 2 этой же статьи предусматривает ряд случаев, когда уведомлять необязательно. С 1 сентября 2022 года этот список исключений станет меньше, из него уберут случаи обработки персональных данных:
- обрабатываемых в соответствии с трудовым законодательством;
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующим общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
- разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 Закона № 152-ФЗ;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем.
При обработке персональных данных в перечисленных случаях нужно будет сообщать в Роскомнадзор в общем порядке.
В самом уведомлении с 1 сентября 2022 года следующие сведения нужно будет указывать для каждой цели обработки персональных данных (ч. 3 ст. 22 Закона № 152-ФЗ):
- категории персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.
При этом в уведомлении нужно будет указывать:
Ф. И. О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.
https://its.1c.ru/db/newscomm#content:480389:hdoc
Если я ясно выразился, значит вы меня не правильно поняли.