Может ли собственник использовать персональные данные других собственников для проведения общего собрания? Ответ: может, – в тех пределах, которые необходимы для организации собрания и оформления результатов голосования.

Проблема: УК или оппозиция указывает на нарушение закона о персональных данных

Некоторым управляющим компаниям не нравится активность жильцов. Например, что собственники проводят общие собрания для решения вопросов, связанных с управлением домом. Одни УК не дают реестр собственников, который нужен для проведения собрания, другие настраивают соседей против инициатора собрания, который получил данные собственников самостоятельно. 

Пример от читателя:

Напомним, что Жилищный кодекс закрепляет обязанность управляющей компании выдавать реестр инициатору собрания, но тот реестр не содержит всех сведений, которые нужны для оформления протокола собрания в соответствии с требованиями Приказа Минстроя №44/пр. Поэтому часто инициаторы составляют реестр сами – с помощью загрузки выписок из ФГИС ЕГРН, путем обхода всех квартир или используя сервисы, помогающие в проведении общих собраний. 

Почему здесь нет нарушения закона о персональных данных

Инициатор общего собрания не нарушает закон о защите персональных данных.

Готовя документы для собрания, он действительно работает с данными собственников и в период проведения собрания является оператором по обработке данных собственников.

Однако закон предусматривает случаи-исключения, когда согласие субъектов персональных данных (в данном случае собственников) не требуется. Действия инициатора собрания подпадают под эти исключения:

оператор не обязан получать согласие на обработку данных, если она нужна для достижения целей, предусмотренных законом, для выполнения обязанностей, предусмотренных законодательством (п. 2 ч.1 ст. 6 закона о персональных данных).

При проведении собрания инициатор обязан выполнять требования Жилищного кодекса РФ и подзаконных актов, в том числе уведомить собственников о собрании, обеспечить оформление протокола в соответствии с требованиями приказа Минстроя №44/пр.

Этот приказ предусматривает обязанность инициатора подготовить бюллетени, а к протоколу приложить реестр всех собственников, включающий гораздо больше сведений, чем тот реестр, который ведет и выдает управляющая компания на основании ч. 3.1 ст.

45 Жилищного кодекса РФ.

Таким образом, инициатор действует в рамках жилищного законодательства и закона о защите персональных данных.

Позиция Роскомнадзора

Мы попросили Роскомнадзор дать свои пояснения. Ведомство в ответе 16.12.2021 № 08 – 85481 озвучило примерно такую же позицию:

Как составить согласие на обработку персональных данных после 1 сентября 2022 года

При подготовке бланка нужно учитывать, что в законе от 27.07.2006 № 152-ФЗ «О защите персональных данных» вся обработка личной информации граждан привязана к целям, которые бывают двух видов:

• исполнение требований законодательства. Например, работодатель обязан включать данные сотрудника в кадровую отчётность;
• выполнение оператором обязательств перед физическим лицом в рамках своей предпринимательской деятельности. Например, интернет-магазин собирает личные данные покупателей, чтобы оформить покупку и организовать доставку товара клиенту.

Оператор не может собирать персональные данные, которые не относятся к конкретным целям или избыточны по отношению к ним. Например, интернет-магазин может запрашивать Ф.И.О. покупателя, телефон, адрес доставки, паспортные и платёжные данные для оформления доставки. А вот адрес страницы в социальных сетях клиента и сведения о составе его семьи будут уже избыточными.

Ещё одно правило: одна цель — одно согласие. Это следует из п. 4 ч. 4 ст. 9 закона № 152-ФЗ. Это не значит, что нужно оформлять столько бланков согласий, сколько у оператора целей обработки.

Их можно включить в один документ, но для каждой цели отдельно прописать перечень ПД, действия с ними и получить на них подпись субъекта ПД, либо другое выражение его доброй воли — хоть галочку или крестик.

Из документа должно быть понятно, что субъект согласился с каждой целью.

Цели в одном согласии должны быть совместимы между собой. Если оператор запрашивает разрешение клиента на обработку ПД для выполнения обязательств перед ним по договору, нельзя включать туда же разрешение на рассылку рекламных материалов для продвижения компании на рынке.

Что должно быть в согласии на обработку персональных данных:

1. Ф.И.О., адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи и выдавшем органе.
2. Ф.И.О., адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи и выдавшем органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя (при получении согласия от представителя).
3. Наименование или Ф.И.О. и адрес оператора, получающего согласие субъекта ПД.
4. Цель обработки персональных данных.
5. Перечень данных, на обработку которых дается согласие.
6. Наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу.
7. Перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД.
8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.
9. Подпись субъекта ПД.

Утверждённого бланка согласия на обработку ПД нет. Каждый оператор разрабатывает и использует свою форму. Не рекомендуем скачивать образцы из интернета, поскольку они не адаптированы под деятельность конкретной компании и могут не учитывать все её цели. Также есть риск, что они не актуальны.

Подарок для наших читателей — практическое пособие по подготовке отчётности в ПФР, ФСС и ИФНС в 2022 году от экспертов интернет-бухгалтерии «Моё дело». 62 страницы подробнейших инструкций с примерами заполнения форм.

Как оформить согласие на обработку персональных данных

Разрешение на обработку персональных может быть получено любым способом, который подтверждает его получение. Например, если гражданин записал его на диктофон — это законно, если по записи можно точно идентифицировать личность.

Но в ряде случаев закон № 152-ФЗ требует, чтобы согласие было оформлено именно в письменном виде. Например, на обработку биометрических персональных данных. Исключения, когда согласие на обработку не нужно, указаны в самом законе о ПД: пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2. ст. 11.

Например, проводить видеосъёмку посетителей торгового центра как места массового пребывания людей законно без их согласия. Это делается в целях антитеррористической защищённости и охраны правопорядка. А вот устанавливать видеокамеры в рабочих кабинетах без разрешения сотрудников незаконно.

Письменное согласие на обработку ПД можно оформить на бумаге или в электронном виде. Цифровой документ признаётся равнозначным документу с личной подписью гражданина, если он подписан электронной подписью, соответствующей требованиям закона.

В законе не написано, какой именно вид электронной подписи нужен, поэтому гражданин может подписать его простой электронной подписью. Но оператор должен доказать, что согласие получено именно от субъекта ПД. Поэтому целесообразно определить локальным актом, какой подписью подписывать электронные согласия на обработку ПД и как проверять их подлинность.

Когда согласие на обработку персональных данных не нужно

В законе о защите персональных данных есть три статьи, в которых перечислены случаи обработки ПД оператором без согласия гражданина:

1. пп. 2-11 ч. 1 ст. 6. Например, согласие не нужно, если персональные данные используются в судебном деле, где физлицо участвует в качестве одной из сторон;
2. ч. 2 ст. 10— в отношении специальных ПД. Например, не нужно письменное согласие гражданина на обработку сведений о его национальности в рамках Всероссийской переписи населения;
3. ч. 2. ст. 11 — в отношении биометрических ПД. Например, без письменного согласия гражданина проводят обязательную государственную дактилоскопическую регистрацию.

Оператор имеет право поручить обработку персональных данных другому лицу с согласия субъекта ПД. Это может быть физлицо или компания. Тогда третьему лицу не нужно получать согласие субъекта ПД на обработку его личной информации.

Ответственность перед субъектом несёт оператор, если обработка поручена российскому физическому лицу или компании. Если иностранному лицу, то оно отвечает перед гражданином вместе с оператором за соблюдение его прав при действиях с ПД.

Как составить согласие на распространение персональных данных

Распространение ПД — это их передача неограниченному кругу лиц. Например, компания указывает на своём сайте Ф.И.О., должности, e-mail и номера мобильных телефонов некоторых сотрудников. Или публикует отзыв клиента с его фотографией, Ф.И.О., ссылкой на профиль в социальных сетях.

На все случаи распространения персональных данных нужно оформлять отдельное согласие. Молчание или бездействие гражданина ни при каких обстоятельствах не считаются разрешением на обработку ПД для распространения. Например, если работник не потребовал убрать с сайта номер своего мобильного телефона, ещё не означает, что он согласился его предоставить всем посетителям сайта.

Требования к составу сведений в согласии на распространение приведены в приложении к приказу Роскомнадзора от 24.02.2021 № 18:

1. Ф.И.О. субъекта персональных данных.
2. Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных).
3. Сведения об операторе-организации — наименование, адрес в ЕГРЮЛ, ИНН, основной государственный регистрационный номер (если он известен субъекту персональных данных). Сведения об операторе-физическом лице — Ф.И.О., место жительства или место пребывания. Сведения об операторе-гражданине, являющимся ИП — Ф.И.О., ИНН, основной государственный регистрационный номер (если он известен субъекту персональных данных).
4. Сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных.
5. Цель (цели) обработки ПД.
6. Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных: персональные данные (Ф.И.О.), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных); специальные категории ПД (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости); биометрические персональные данные.
7. Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта ПД).
8. Условия, при которых полученные персональные данные могут передаваться только сотрудникам оператора, либо передаваться свободно с использованием информационно-телекоммуникационных сетей, либо вообще не передаваться (заполняется по желанию субъекта персональных данных).
9. Срок действия согласия.

Оператор может разработать бланк разрешения на распространение персональных данных самостоятельно или использовать специальный сервис Роскомнадзора. Для пользования им нужна подтверждённая учётная запись на портале Госуслуг. Оператор формирует макет согласия на портале и может отправить его на проверку в Роскомнадзор. Так он обезопасит себя от возможных нарушений.

Типичные ошибки, которые допускают операторы при работе с персональными данными

Ситуации, которые Роскомнадзор считает за нарушения при получении согласия на обработку персональных данных:

• не получают согласие субъекта ПД, хотя по закону обязаны;
• указывают не все сведения по ст. 9 закона № 152-ФЗ или приказу № 18;
• в согласие на обработку включают согласие на распространение, не соблюдая требования приказа № 18;
• в одном документе берут разрешение на несовместимые цели. Например, для оказания услуги по проведению анализа крови и для целей направления информации о новых услугах клиники;
• получают согласие от неуполномоченного представителя субъекта ПД. Например, на ребёнка согласие заполняет его бабушка, а не родитель.

За такие нарушения оператор может получить штраф по п. 2 ст. 13.11 КоАП РФ: от 30 000 до 150 000 рублей для юридических лиц.

Кирилл Зоткин: Правило инвестиций – покупать, когд… Что такое военное положение и средний уровень реаг… Еще один киргизский банк прекратил принимать карты… ⚡ В четырех новых регионах вводят военное положени… В Госдуме предложили назначать уполномоченного по … Чиновникам-руководителям разрешили работать до 70 …

Что меняется в обработке персональных данных с 1 сентября 2022 года

1. Главная →
2. Журнал →
3. Бизнес →
4. Риски

В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ. Он должен повысить ответственность операторов персональных данных, сделать более прозрачной их деятельность и защитить личные данные россиян. Разберемся, что нового он несет предпринимателям.

Замглавы Роскомнадзора Милош Вагнер сообщил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян. Было скомпрометировано свыше 300 миллионов записей.

Его слова подтверждаются громкими новостями из открытых источников.

Еще в мае стало известно о слитых в открытый доступ базах данных клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна», «Гемотест».

С 1 сентября требования к работе с персональными данными в очередной раз ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.

Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки

Отчитаться

В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:

• Ф.И.О.;
• дата рождения;
• адрес регистрации и адрес проживания;
• паспортные данные, СНИЛС, ИНН;
• номер телефона;
• e-mail;
• адрес страницы в соцсетях;
• контакт в мессенджере.

То есть к персональным данным (ПД) относится любая информация, которая позволяет определить конкретного человека — субъекта ПД. 

По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД).

ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п.

 3 ст. 6 152-ФЗ).

ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ).

Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ.

По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.

С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).

С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.

1. В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ). 
2. Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
3. Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
4. Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
5. Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
6. Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
7. ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
8. Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).

Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.

Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД.

В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).

Кто и когда должен уведомить Роскомнадзор об обработке персональных данныхНапомним, что раньше таких ситуаций по ст. 22 152-ФЗ было девять. Например, можно было не уведомлять Роскомнадзор об обработке ПД штатных сотрудников. С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД.

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

За невыполнение требований законодательства в области обработки ПД предприниматели могут получить штраф от 60 до 100 тыс. рублей (ст. 13.11 КоАП РФ).

С 1 сентября 2022 года устанавливается административная ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных. Штраф за нарушение для ИП и юрлиц составит от 30 до 50 тыс. рублей (Федеральный закон от 28.05.2022 № 145-ФЗ).

Предприниматель по Закону от 01.05.

2022 № 135-ФЗ имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Например, покупатель выбирает доставку курьером, но не указывает адрес доставки. В этом случае продавец не будет нести ответственности за отказ в заключении договора.

Штраф по 145-ФЗ касается случаев избыточности требований о предоставлении ПД потребителем. Не секрет, что многие компании собирают много личной информации от клиентов, чтобы, как минимум, отправлять им рекламные рассылки.

Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.

Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).

Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).

Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.

Как соблюсти все требования 152-ФЗ и не получить штраф | Блог VK Cloud

Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.

Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.

Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.

Можно получить сразу два штрафа:

1. За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
2. За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.

Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.

Уведомить Роскомнадзор

Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.

Отправить уведомление можно онлайн, на сайте Роскомнадзора.

Что будет, если не отправить уведомление

Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:

• 100–500 рублей для физлиц
• 300–500 рублей для должностных лиц.
• 3 000—5 000 рублей для юрлиц.

Получать согласие на хранение и обработку персональных данных

Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными.

Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете.

По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

Получить согласие можно двумя способами:

1. Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
2. Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.

Что будет, если не спрашивать разрешения

За это нарушение положен большой штраф:

• 3 000–5 000 рублей для физлиц.
• 10 000–20 000 рублей для должностных лиц и ИП.
• 15 000–75 000 рублей для юрлиц.

Сбор и обработка персональных данных с 1 сентября 2022: новые правила и требования, уведомления в Роскомнадзор — Контур.Бухгалтерия

С 1 сентября 2022 вступили в силу новые правила по сбору и обработке персональных данных. Из-за этого многие работодатели теперь должны отправить в Роскомнадзор особое уведомление. Расскажем, в какие сроки его отправлять, надо ли ждать утверждения новой формы уведомления и какие правила теперь действуют для работы с персданными.

Легко считайте зарплату, НДФЛ, взносы, заводите кадровые документы. Контур.Бухгалтерия сама сделает расчеты, подготовит платежки и создаст отчеты.

Попробовать бесплатно

В последние годы личные данные граждан попадают в руки мошенников все чаще. Государство решило бороться с утечками: тщательнее следить за тем, как персональные данные обрабатываются и защищаются. Новые правила по работе с данными утверждены Федеральным законом от 14.07.2022 г. № 266-ФЗ. 

За нормами и их соблюдением будет следить ФСБ с помощью системы по профилактике кибератак на российские информационные ресурсы ГосСОПКА (п. 12 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ).

При утечках персданных лица и органы, которые занимаются обработкой данных, должны сообщать в ГосСОПКА о событии в течение 24 часов, а затем в течение 72 часов представлять отчет о причинах и связанных лицах.

Все, кто собирает и обрабатывает персональные данные граждан, относятся к операторам персональных данных. Это могут быть муниципальные и государственные органы, юридические и физические лица. Роскомнадзор на своем сайте ведет особый реестр операторов персданных: он открытый, кто угодно может в него заглянуть и найти любого участника реестра.

Закон «О персональных данных» действует в РФ с 2006 года, с момента принятия в него несколько раз вносили изменения и дополнения. Последние изменения внесены Федеральным законом от 14.07.

2022 №266-ФЗ и вступили в силу с 1 сентября 2022.

С этого момента работодателям нужно более строго работать с персданными, а многим еще и придется подать уведомление в Роскомнадзор для включения в реестр операторов.

С 1 сентября из закона исключили шесть ситуаций, когда операторы могли не сообщать Роскомнадзору о начале обработки данных(ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Теперь в реестре операторов должны числиться все компании и ИП, которые обрабатывают персданные таких лиц:

• сотрудники на трудовых договорах;
• подрядчики на договорах ГПХ;
• клиенты компании, которые сообщают свои личные данные для заключения договора или обработки заказа;
• посетители, которым выписывают разовый пропуск для прохода на территорию компании;
• другие лица, сообщающие компании свои имя, отчество и фамилию.

Есть случаи, когда даже при работе с перечисленными данными можно не уведомлять об этом Роскомнадзор, но их мало:

• если обрабатываемые персданные находятся в государственных защищенных информсистемах;
• если данные собирают и обрабатывают не с помощью компьютеров и программ, а вручную — например, в бумажной тетради;
• если данные обрабатывают с целью безопасной работы транспорта. 

Отчеты за сотрудников, по бухгалтерскому и налоговому учету, в Росстат. Онлайн-бухгалетрия сама заполнит отчетность по данным учета.

Попробовать бесплатно

Первое, что стоит сделать, — зайти на сайт Роскомнадзора в раздел «Реестр операторов» и поискать свою компанию по названию, ИНН или ОГРН. Если вы в реестре — все хорошо, можно пока ничего не отправлять в ведомство.

Если вы не нашли себя в реестре, нужно уведомить Роскомнадзор о начале работы с персданными. К слову о начале работы.

Большинство из тех, кто будет подавать уведомление после 1 сентября 2022, уже давно обрабатывает персданные. В уведомлении нужно будет указать дату начала обработки данных.

Роскомнадзор разъяснил, что этой датой нужно считать день регистрации компании или ИП (информация пресс-службы Роскомнадзора от 25.08.2022).

Сейчас для подачи уведомления о начале работы с персданными есть форма, утвержденная приказом Роскомнадзора от 30.05.2017 № 94, а в тексте этого документа прописан и порядок заполнения формы. Список сведений, которые вписывают в поля уведомления, приведен в ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. 

Роскомнадзор планирует утвердить новую форму уведомления, через которое можно будет более полно передать сведения. В ведомстве сообщили, что до этого момента операторы могут заполнить текущую форму. А еще обозначили, что 1 сентября 2022 не является крайним сроком подачи уведомления и предельный срок для этого действия пока не определен (Информация Роскомнадзора от 01.09.2022).

Из этого можно сделать вывод, что операторов, которые не подали уведомление до 1 сентября 2022, штрафовать не будут. Но все же мы рекомендуем не откладывать эту задачу и уведомить территориальное отделение Роскомнадзора по текущей форме. Для этого есть три способа:

• отправить бумажную заполненную и заверенную форму заказным письмом;
• заполнить форму на сайте Роскомнадзора и заверить квалифицированной электронной подписью; 
• заполнить форму в подтвержденном аккаунте на Портале Госуслуг, который связан с организацией, и тоже заверить КЭП.

В новой форме уведомления появятся поля для передачи данных, которые невозможно передать по текущей форме. Это значит, что после утверждения новой формы, вероятно, придется воспользоваться ею, чтобы внести изменения в ранее переданные сведения.

Новые поля в будущей форме касаются категорий собираемых персданных, категорий лиц и их данных для каждой цели обработки сведений, самих целей сбора и правовых оснований для сбора.

Мы рассчитываем, что после появления нового бланка уведомления ведомство даст новые разъяснения.

Уведомление отправляют только один раз. В нем не нужно перечислять лиц, у которых вы собираете персданные, так что не придется подавать дополнительные уведомления при найме новых сотрудников или работе с новыми клиентами.

Но если в работе оператора с персданными происходят существенные изменения, придется сообщить об этом Роскомнадзору:

• если изменится состав персданных, которые вы собираете: например, вы узнаете о семейном положении работников, — сообщите об этом информационным письмом о внесении изменений в сведения (форма утверждена приказом Роскомнадзора от 30.05.2017 № 94);
• если сменится работник, отвечающий за обработку персданных — его ФИО передайте по форме уведомления, которое будет актуальным на этот момент;
• если вы прекращаете собирать и обрабатывать персданные, обычно это связано с реорганизацией или ликвидацией предприятия — сообщите об этом в заявлении о прекращении обработки данных (форма утверждена приказом Роскомнадзора от 30.05.2017 № 94).

А еще оператор обязан отвечать на запросы Роскомнадзора и работников по поводу обработки персданных. Ответить на запрос или сообщить об изменениях в работе с персданными теперь нужно не в течение 30, а только в течение 10 рабочих дней (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

Авторасчет зарплаты, НДФЛ и взносов в несколько кликов. Отпускные, пособия, удержания. Платежки и отчеты онлайн.

Попробовать бесплатно

Собирать и обрабатывать персданные можно только для определенной цели, и перечень таких целей ограничен (ст. 86 ТК РФ):

• для выполнения законов: например, для оформления трудового договора или отправки персданных работника в отчете для контролирующих органов;
• для помощи сотрудникам в обучении, повышении квалификации и карьерном росте;
• для личной безопасности работников;
• для контроля за качеством и объемом выполняемой работы;
• для сбережения имущества компании.

Если сведения служат этим целям, работодатель может их запрашивать. В противном случае — нет, даже если сотрудник согласен их предоставить.

А еще не запрашивайте сведения из особых категорий: о национальности, расовой принадлежности, политических пристрастиях, религиозном исповедании, философских предпочтениях, личной жизни и здоровье.

Сведения о членстве сотрудников в профсоюзе или общественных организациях тоже не обрабатывайте.

Изменились нормы работы с биометрическими данными: теперь сотрудник может отказаться передать биометрию — скажем, фото на пропуск. Работодатель не вправе требовать такие данные и не должен отказывать оформлять пропуск и другие документы, в которых требуется фото.

Соберите у сотрудников согласия на обработку персданных, укажите в согласии цель сбора данных: она должна быть сформулирована ясно и просто, без разночтений.

Убедитесь, что в текущих согласиях нет моментов, которые противоречат ст. 86 ТК РФ.

Если передаете персданные для обработки, защиты и хранения другой организации, это тоже должно быть отражено в согласии как передача данных третьим лицам.

Если вы оформляете пропуска для посетителей компании, это тоже обработка персональных данных. Но если пропускной режим организует сама компания, то согласия на обработку не нужно, так разъяснил Роскомнадзор. Главное, чтобы у компании был оформлен документ о правилах посещения организации и чтобы посетителя с ним ознакомили.

В законе нет четкого перечня документов, которые диктовали бы порядок обработки персданных сотрудников, клиентов и посетителей. Но обязательный минимум таких документов для работодателя назван (ст. 86 ТК РФ, 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Расскажем о всех возможных документах для регламентации обработки персданных в компании.

Контур.Бухгалтерия рассчитает суммы на основе данных учета, подготовит платежки и отчеты, напомнит об уплате и отправке.

Попробовать бесплатно

Положение о персональных данных

Один из обязательных локальных актов организации — документ с правилами, по которым ведется обработка персданных. Это может быть положение о работе с персональными данными работников. 

В документе определите цели обработки данных, а для каждой цели назначьте:

• категории и перечень персданных;
• категории лиц, у которых собираете данные;
• методы и сроки обработки и хранения сведений;
• порядок уничтожения данных, когда они больше не нужны.

Убедитесь, что в положении нет пунктов, которые ущемляют права работников или вменяют им обязанности, которые в законе не прописаны. Скажем, вы не можете обязать сотрудника предоставить паспорт в течение 5 дней после смены фамилии.

Составьте положение, утвердите его приказом директора. Если в компании есть профсоюз, документ принимают с учетом его мнения (ст. 372 ТК РФ).

Политика обработки персональных данных

Если вы обрабатываете персданные на сайте организации, скажем, когда клиенты оформляют заказы, придется принять еще один документ — политику защиты и обработки персональных данных. Этот документ нужно будет разместить на сайте, так как организация обязана сообщить гражданам, что она делает для защиты их данных (п. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

Роскомнадзор установил требования к такому документу (рекомендация от 27.07.2017). В политику обработки включают такие пункты:

• основные понятия документа;
• цели обработки данных;
• правовые основания обработки;
• категории данных и категории субъектов (лиц);
• способы, сроки и условия обработки;
• права и обязанности субъектов персданных и пр.

Положение о защите данных

Для защиты данных нужна надежная система, чтобы не допустить их разглашения. Нужно описать меры защиты: что вы делаете, чтобы предотвратить, обнаружить и устранить нарушения закона о персданных. Это можно сделать в отдельном локальном акте или включить правила в любое другое положение компании.

Пропишите, какие антивирусные программы вы устанавливаете, назначьте ответственных за защиту данных. Утвердите положение приказом директора и ознакомьте с ним работников под роспись. Если в компании есть профсоюз — он участвует в обсуждении положения.

Автоматизируйте работу с сотрудниками, сдавайте отчеты и ведите учет в Контур.Бухгалтерии без авралов и рутины.

Попробовать бесплатно

Приказ о назначении ответственного

В каждой компании должен быть сотрудник, который отвечает за обработку персданных. Он может быть только один.

Нельзя назначить ответственным за данные работников одного специалиста, а за данные клиентов другого. Это запрещает Роскомнадзор и штрафует за нарушения.

К тому же нужно передать ведомству ФИО ответственного лица для реестра операторов, и внести двух специалистов в одно поле не получится.

Ответственного сотрудника назначает приказом руководитель — обычно из числа работников кадровой службы. В приказе прописывают обязанности ответственного лица:

• вести внутренний контроль того, как компания и работники соблюдают закон о персданных и выполняют требования по их защите;
• знакомить работников с положениями закона о персданных, внутренних документов компании по обработке данных и их защите;
• обеспечить прием и обработку запросов от субъектов персданных — работников, клиентов, посетителей — контролировать прием и обработку таких запросов.

После издания приказа ответственный сотрудник расписывается в нем.

Обязательство о неразглашении персданных

Чтобы защищать данные сотрудников или клиентов, нужно установить обязательство об их неразглашении. Такие обязательства нужно оформить с работниками, которые имеют доступ к данным. Можно закрепить условие о неразглашении персданных в допсоглашении к трудовому договору.

Важный нюанс: ответственность за разглашение данных для сотрудника наступает, если сведения он получил при исполнении трудовых обязанностей, а не в другой ситуации (п. 7 ст. 86 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2).

Регламент допуска

Закрепите список работников, которые обрабатывают персданные или имеют к ним доступ. Обычно это бухгалтер, кадровик, секретарь компании. Каждому сотруднику должны быть доступны только те данные, которые нужны для выполнения его трудовой функции (ст. 88 ТК).

В законе не прописан порядок допуска к персданным, так что придется установить его самостоятельно и закрепить в локальном акте компании, например в Регламенте допуска работников к обработке персональных данных.

Кроме самого регламента издайте приказ, в котором пропишите ФИО и должности сотрудников вместе с закрепленными за ними данными для обработки (п. 13 положения, утв. постановлением Правительства от 15.09.2008 № 687).

Ведите учет в удобной онлайн-бухгалтерии: учет, расчет зарплаты и пособий, отправка отчетности в ФНС, ПФР и ФСС, Росстат.

Попробовать

Документы внутреннего контроля

Чтобы более полно защитить компанию, оформите документы внутреннего контроля за обработкой персданных: это правила внутреннего контроля и аудита, протоколы, материалы для проверочных мероприятий. Такие документы могут запросить инспекторы при проверке.

Что изменилось в работе с персональными данными с 1 сентября 2022?

С 1 сентября 2022 закон «О персональных данных» стал строже: из него исключили шесть случаев, когда работодатель не должен был уведомлять Роскомнадзор о начале обработки персданных. Теперь большинству работодателей нужно это делать.

Какое уведомление нужно отправить в Роскомнадзор в связи с персональными данными с 1 сентября 2022?

Сейчас для подачи уведомления о начале работы с персданными есть форма, утвержденная приказом Роскомнадзора от 30.05.2017 № 94. Скоро ведомство утвердит новую форму, с помощью которой можно будет передать более детальную информацию. 

Будет ли штраф за опоздание с отправкой уведомления в реестр Роскомнадзора?

Роскомнадзор сообщил, что предельная дата для отправки уведомления не определен, и 1 сентября 2022 — это не крайний срок. Вероятно, штрафовать за отправку уведомлений в более поздние сроки не будут. Но лучше уведомить Роскомнадзор в ближайшее время по текущей форме.

Какие изменения появились в законе 152-ФЗ «О персональных данных»?

С 1 сентября закон 152-ФЗ стал строже, чтобы защитить от утечки данные граждан. Теперь почти все работодатели должны сообщать Роскомнадзору о начале обработки персданных в организации и сотрудничать с системой ФСБ по предотвращению кибератак на российские информресурсы ГосСОПКА. 

Что такое реестр операторов персональных данных Роскомнадзора?

Реестр операторов персданных — это список всех работодателей, других лиц и органов, которые собирают и обрабатывают персональные данные граждан. Чтобы попасть в этот список, компания или ИП должны отправить в ведомство уведомление о начале сбора персданных. Начало этой деятельности — день регистрации организации или ИП.

Когда отправить в Роскомнадзор уведомление об обработке персональных данных?

Роскомнадзор сообщил на своем сайте, что 1 сентября 2022 не является крайним сроком для отправки уведомления, а предельный срок для его подачи не определен. Но рекомендуется уведомить Роскомнадзор в ближайшее время.

Легко считайте зарплату, НДФЛ, взносы, заводите кадровые документы. Контур.Бухгалтерия сама сделает расчеты, подготовит платежки и создаст отчеты.

Попробовать бесплатно