Сбор персональных данных: новые требования для компаний с 1 сентября 2022 года

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Сбор персональных данных: новые требования для компаний с 1 сентября 2022 года». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.


Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Как проверяет Роскомнадзор?

Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.

Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.

По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.

Кратко порядок проверки выглядит так:

  1. Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
  2. Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
  3. На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
  4. По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
  5. По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.

Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.

  1. Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
  2. Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
  3. Назначить ответственных.
  4. Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
  5. Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
  6. Ознакомить всех причастных сотрудников с разработанной документацией.
  7. Заполнить журналы.
  8. Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
  9. Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

Проверки Роскомнадзора: что нужно знать

В первую очередь нужно изучить, какими документами регламентируются проверки. Список таких документов представлен ниже.

  • Постановление Правительства РФ от 16.03.2009 № 228. Здесь указана структура Роскомнадзора и его законные полномочия.
  • Постановление Правительства РФ от 29.06.2021 № 1046. Описывает порядок и правила поведения инспекционных проверок Роскомнадзором. Здесь же расписаны права и обязанности инспекторов контролирующего органа, а также операторов персональных данных. Указаны типы проверок, группы риска.
  • Приказ Минкомсвязи РФ от 14.11.2011 № 312. Это документ пригодится, если появилось желание оспорить результаты состоявшейся проверки Роскомнадзора.
Читайте также:  ВС указал, в каких случаях продлевается срок исковой давности

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Подотчетным станет сбор персональных данных:

  • в ходе трудовых отношений,
  • при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
  • уже упомянутых ФИО,
  • даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
  • для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

Кто должен уведомлять Роскомнадзор об обработке персональных данных?

Требование Закона об уведомлении Роскомнадзора касается всех организаций, которые имеют дело с обработкой персональных данных. Но есть исключения, которыми в принципе могут воспользоваться участники рынка туриндустрии. Одно из исключений — обработка персональных данных, полученных в связи с заключением договора. Такие конфиденциальные сведения могут предоставляться другим лицам с согласия субъекта персональных данных и использоваться только для исполнения договора (заключения новых договоров с субъектом персональных данных).

В цепочке «турагент — туроператор — гостиница» передаваемые персональные данные клиентов, как правило, используются в целях выполнения принятых обязательств по договору о реализации туристского продукта или отдельных туристических услуг. Поэтому практически у всех участников цепочки есть основание обрабатывать персональные данные без уведомления Роскомнадзора . Однако на практике не все турфирмы уверены в том, что они смогут предотвратить использование персональных данных в иных целях, а их клиенты дадут согласие на передачу личных данных третьим лицам. Иногда возникают сложности с соблюдением условий указанного исключения и у гостиниц (отелей). Если они заключают договор на проживание непосредственно с постояльцем, то проблем нет, если же места выкуплены туроператором, турист не является стороной договорных отношений, а это обязывает гостиницу (отель) уведомлять Роскомнадзор в общем порядке.

Этот факт не освобождает фирмы от необходимости соблюдать требования Закона к порядку обработки и хранения персональных данных.

Таким образом, чтобы не повышать свои риски, туроператорам, турагентам, гостиницам и отелям следует уведомить Роскомнадзор об обработке персональных данных. До окончания формирования реестра операторов персональных данных осталось около трех месяцев, после чего те организации, которые не направили уведомления и не попали под исключение, могут быть привлечены к ответственности за нарушение Закона о персональных данных. Пока уполномоченный орган не спешит наказывать нарушителей — у них еще есть время подать уведомление и попасть в реестр операторов, осуществляющих обработку персональных данных. При этом Роскомнадзор может проверить любую организацию, вне зависимости от того, подавала она уведомление или нет. Не стоит обольщаться тем, что, подав уведомление, компания освобождается от контроля со стороны Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Хотя сам факт подачи уведомления позволяет организации освободиться от рисков, связанных с решением спорного для турфирм и гостиниц вопроса о возможности обрабатывать персональные данные своих клиентов (туристов и постояльцев) без уведомления Роскомнадзора.

Административным регламентом №312 определена последовательность действий (административных процедур) Роскомнадзора и его территориальных органов.

В частности, предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных являются (п. 5 Административного регламента №312):

  • документы, характер информации в которых предполагает или допускает включение в них персональных данных (напр., личные дела работников)
  • информационные системы персональных данных (напр., правила ведения электронного документооборота в программе 1С)
  • деятельность по обработке персональных данных (напр., локальный нормативный акт о защите ПДР, согласие на обработку персональных данных и др.)

Общий перечень документов, подлежащих проверке, законодательно не определен.

Приведем примерный список документов:

  • Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав и др.)
  • Список ПД, обрабатываемых работодателем
  • Список работников, имеющих доступ к ПД, приказ об их допуске
  • Инструкции работников, которые в ходе своей трудовой деятельности обрабатывают ПД и обеспечивают информационную защиту
  • Положение об ответственности работников за разглашение ПД и нарушение запрета доступа к ним
  • Локальный нормативный акт о защите ПД
  • Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности)
  • Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи работников по требованиям информационной безопасности)
  • Соглашения о неразглашении ПД с подписями работников
  • Бланки согласия работников на обработку их ПД
  • Журналы инструктажей работников по вопросам информационной безопасности и других внутренних контрольных мероприятий режима защиты
  • Журналы учета всех носителей информации, а также средств защиты информационных систем

Уведомление оператора персональных данных

Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

  • уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
  • уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
  • персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Проверочные листы Роскомнадзора

В целях уменьшения рисков нарушений Роскомнадзор может направлять предприятиям проверочные листы с вопросами, ответы на которые могут свидетельствовать о несоблюдении требований законодательства о персональных данных (ст. 53 Закона № 248-ФЗ. На практике такие листы могут использоваться непосредственно при проверках и, соответственно, предварительное ознакомление с перечнем вопросов, приведенных там, поможет предприятию лучше подготовиться к проверке, как и устранить нарушения. Действующая форма проверочного листа по проверкам Роскомнадзора утверждена приказом ведомства от 24.12.2021 № 253.

Положением № 1046 определена особая категория мероприятий с участием Роскомнадзора и хозяйствующих субъектов — мероприятия без взаимодействия ведомства с контролируемыми лицами. На такие мероприятия не распространяется действие Закона № 248-ФЗ (п. 6 Положения). Представлены они могут быть (п. 59 Положения):

  • наблюдением за соблюдением требований при публикации сведений в интернете;
  • наблюдением за соблюдением требований с помощью анализа данных о деятельности контролируемого лица, имеющихся в распоряжении Роскомнадзора.

Регламент проведения проверок обращения с персданными

Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.

Объект проверки

Проверять будут юрлиц и ИП, являющихся операторами персданных.

Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.

Виды проверок

Ревизии могут проходить в виде:

  1. плановых проверок – выездных и документарных;
  2. внеплановых проверок – выездных;
  3. мероприятий без взаимодействия инспекторов с операторами.

Плановые проверки

Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.

Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.

В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.

Внеплановые проверки

Проводятся на основании:

  • обращений граждан;
  • по требованию прокурора;
  • в случае неисполнения оператором предписания.

Уведомление компании

Роскомнадзор должен уведомить фирму:

  • о проведении плановой проверки – не позднее чем за 3 рабочих дня:
  • о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

Способ уведомления – направление копии приказа о проведении проверки (либо-либо):

  • заказным письмом с уведомлением о вручении;
  • электронным документом с усиленной квалифицированной электронной подписью на электронную почту.

Что будут проверять

Инспекторы проверят:

  • документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
  • обработку персданных на предмет ее соответствия установленным требованиям;
  • информационные системы персданных.

Данные клиентов из Интернета можно использовать без уведомления Роскомнадзора

Роскомнадзор провел проверку в компании, выявил несколько нарушений при работе с персданными и выдал предписание об устранении нарушений.
Компания оспорила это предписание и выиграла суд по всем пунктам.
Почему – читайте в таблице.

ТАБЛИЦА: «Пять законных способов работы с персданными»

Действия компании по работе с персональными данными Позиция Роскомнадзора Позиция компании и судов

При оформлении заказа на сайте интернет-магазина клиенты указывают свои персданные, необходимые для доставки заказа.

Данные сведения компания обрабатывает в информационной системе «1С:Предприятия (Магазины)»

Компания обязана уведомлять Роскомнадзор об обработке

персональных данных такими способами, поскольку она проводится с использованием информационных систем. Поэтому не подпадает под исключения, предусмотренные ч. 2

ст. 22 закона о персональных данных

Частью 2 ст. 22 закона о персданных № 152-ФЗ прямо предусмотрен перечень из 9 случаев, когда фирма освобождается от обязанности представлять в Роскомнадзор уведомление об обработке персданных.

Одним из таких случаев (п. 2) является обработка личных данных, полученных оператором в связи с заключением договора, стороной которого является субъект этих данных, если они не распространяются и не предоставляются третьим лицам без согласия субъекта и используются только оператором.

Способ, которым обрабатываются персданные, – без использования средств автоматизации или с использованием информационных систем – не имеет правового значения.

Поэтому в силу п. 1 ч. 2 ст. 22 закона № 152-ФЗ о персданных уведомлять Роскомнадзор в данном случае не требуется

Используется система «1С:Зарплата и управление персоналом 8»

Указанные системы используются компанией в рамках трудовых договоров, заключенных с работниками.

При этом абз. 17 ст. 22 ТК РФ закреплена обязанность работодателя выплачивать работникам зарплату в полном размере и в установленные сроки.

Статья 91 ТК РФ обязывает работодателя вести учет времени, отработанного каждым сотрудником.

Таким образом, использование указанных систем подпадает под исключение, предусмотренное п. 1 ч. 2 ст. 22 закона о персональных данных, то есть обработка таких данных осуществляется в соответствии с трудовым законодательством

Используется система БСУВ «Биометрическая система учета времени»

В ходе подбора персонала компания размещает вакансии на сайтах в сети Интернет, а полученные резюме в электронном виде хранит на рабочих компьютерах в отделе подбора персонала

Компания обязана уведомлять Роскомнадзор об обработке

персданных таким способом, так как работа по подбору персонала не регулируется трудовым законодательством.

В связи с этим обработка личных данных не подпадает под исключения ч. 2 ст. 22 закона о персданных

Трудовые и иные непосредственно связанные с ними отношения регулируются не только кодексом, но и другими нормативными актами (ст. 5 ТК РФ).

Правоотношения между кандидатом и будущим работником регулируются законом о занятости населения.

Из него следует, что работодатели должны содействовать проведению госполитики занятости населения, оказывая помощь в трудоустройстве. При этом они вправе принимать на работу граждан, непосредственно обратившихся к ним, на равных основаниях с теми, кто имеет направление органов службы занятости (ч. 1, ч. 3.1 ст. 25, ч. 1 ст. 26).

Таким образом, работодатель вправе обрабатывать персданные кандидатов на вакансии и сохранять их резюме, как в бумажном, так и в электронном виде, формируя базу соискателей при наличии письменного согласия кандидатов

Читайте также:  Материнский капитал-2023. Как его потратить на ипотеку и покупку жилья?

Особенности проверки Роскомнадзором защиты персональных данных на предприятии

Соблюдение норм действующего законодательства является ключевой обязанностью работодателя. Если знать законодательные нормы и неукоснительно им следовать, вопрос подготовки к визиту Роскомнадзора можно свести к минимуму.

Предпринимателю не стоит паниковать, потому как у проверяющих существует свой регламент. Важно знать, что перед инспекцией представителями Роскомнадзора должно быть направлено уведомление. В нём должны содержаться сведения о нормативной базе, на которой базируется проверка, её цель, сроки и план проверочных мероприятий.

По прибытии сотрудников Роскомнадзора важно проверить их служебные удостоверения. Предприниматель также имеет право записать сведения о проверяющих в специальный журнал.

Перед выездной проверкой Роскомнадзор направляет письменный запрос, в котором указывает перечень интересующих документов. Ответить на него следует в течение 10 рабочих дней и если у проверяющих не возникнет вопросов касательно качества и полноты представленной документации, то необходимость выезда может вовсе исчезнуть. Если Роскомнадзор всё же решает провести выездную проверку, то обычно такое мероприятие длится не более 20 рабочих дней.

Итогом комплексной инспекции является специальный акт, составляемый представителями Роскомнадзора. Если на предприятии выявляются нарушения, то в него включается предписание на их устранение.

Советы предпринимателям

Во время проверки:

  1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
  2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
  3. Не паникуйте;
  4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
  5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
  6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
  7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Порядок истребования документов у организаций и ИП

Согласно ч. 1 ст. 14 закона № 294 обязательным условием для начала проверки является издание руководством территориального органа Роскомнадзора соответствующего приказа. Перечень требований к данному приказу обозначен в ч. 2 ст. 14 закона № 294. В приказе о проведении проверки должен быть указан исчерпывающий перечень документов, которые организации нужно представить для достижения цели проверки.

Для справки! В законодательстве нет конкретного перечня документов, которые вправе истребовать проверяющие сотрудники Роскомнадзора, или ограничений по истребованию отдельных видов документов. Поэтому в рамках проверки может быть запрошен любой документ (кроме уже имеющихся в Роскомнадзоре), но только в пределах проверяемых Роскомнадзором направлений.

В то же время порядок истребования документов установлен достаточно подробно и выглядит он следующим образом:

  • согласно чч. 4 и 5 ст. 11 закона № 294 Роскомнадзор должен направить в проверяемую организацию письменный запрос и копию приказа о проведении проверки с указанием списка всех необходимых документов;
  • после получения такого запроса организация должна в течение 10 дней направить заверенные ее руководителем копии указанных документов.

Важно! Копии документов можно отправить как по почте, так и в электронном виде, заверив их усиленной ЭЦП, если такая возможность есть у организации.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *