Рубрики
Бизнес-новости

Уведомить Роскомнадзор о начале обработки персональных № 152-ФЗ

Добрый день, уважаемые коллеги и партнеры!

В последние дни во многих информационных сетях появилась информация о том, что срочно надо до 01.09.2022 уведомить Роскомнадзор о начале обработки персональных данных работников, согласно Федерального закона от 27.07.2006 № 152-ФЗ.

Даже штрафные санкции уже предусмотрены:

— от 3 000 руб. до 5 000 руб. – для организаций;

— от 300 руб. до 500 руб. —  для должностных лиц (ст. 19.7 КоАП).

Не торопитесь с отправкой информации, т.к отправив отчет, вы автоматически становитесь оператором обработки персональных данных со всеми вытекающими последствиями по попаданию под проверки:  как вы это делаете, храните, распоряжаетесь, защищаете и т.д.

Не соглашусь с утверждением некоторых коллег, что любой работодатель, как оператор персональных данных обязан отчитаться перед РКН. Не совсем это так и вот почему.

Во-первых, принимая сотрудника на работу, мы обязаны попросить его предъявить паспорт. Мы не храним его копию, а его данные нам необходимы исключительно для целей обеспечения соблюдения законов РФ, содействия работникам в трудоустройстве, получении образования и продвижения по службе, обеспечения личной безопасности работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст 86 ТК РФ).

Во-вторых, программный комплекс 1С, куда вносятся данные сотрудников, чтобы впоследствии корректно формировался отчет, не является автоматизированной системой.

Теперь правовой аспект.

Ранее имеющаяся в части 2 ст.22 Федерального закона № 52-ФЗ «льгота», освобождающая работодателей от подачи уведомления в Роскомнадзор в случае, если обработка ПД осуществляется в соответствии с трудовым законодательством, утрачивает свое действие с 01.09.2022 г. – это ДА!

Перечень ситуаций, когда уведомление Роскомнадзора не требуется, теперь включает только два пункта:

— ПД, включенные в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;

— в случае, если оператор осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации. – и это наш с вами случай!

Поэтому критерием для определения того, необходимо ли уведомлять Роскомнадзор, может являться также способ обработки ПД:

— если работодатель обрабатывает  ПД с помощью средств автоматизации, то уведомлять Роскомнадзор необходимо.

— если работодатель обрабатывает  ПД  неавтоматизированным способом, то уведомлять Роскомнадзор не нужно.

Соответственно, исключение из части 2 ст.22 Федерального закона № 52-ФЗ «льготы», освобождающей  работодателей от подачи уведомления об обработке ПД в соответствии с трудовым законодательством в Роскомнадзор, не означает автоматически обязанность работодателей подать уведомление в Роскомнадзор.

Рекомендуем работодателям воспользоваться другой «льготой»  уведомление в Роскомнадзор не требуется, если работодатель обрабатывает  ПД  неавтоматизированным способом.

Что такое обработка ПД (не)автоматизированным способом?

Продолжает действовать Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», в которое изменения с 01.09.2022 не вносятся.

Согласно п.1 указанного Положения обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Таким образом, по смыслу пункта 1 Положения:

автоматизированная обработка – это использование, уточнение, распространение, уничтожение ПД, осуществляемая с помощью средств вычислительной техники без непосредственного участия человека

Например, автоматизированной обработкой может быть обработка ПД платежными системами при осуществлении покупки при безналичном расчете: ПД покупателя (ФИО, номер телефона, номер банковского счета) обработаны без непосредственного участия человека — платежная система оператора обработала их автоматически и направила соответствующие сообщения в банки, СМС на номер телефона субъекта ПД и т.д.

неавтоматизированная обработка — обработка ПД осуществляется при непосредственном участии человека.

Например, бухгалтер в 1С производит расчет заработной платы работникам, кадровый специалист заносит ПД работника в программе 1С и формирует кадровый приказ или трудовой договор, дополнительное соглашение и т.д.

 

Вывод: У работодателей, которые обрабатывают ПД исключительно неавтоматизированным способом, в силу пункта 8 части 2 ст.22 Федерального закона №152-ФЗ не возникает обязанности подавать уведомление в Роскомнадзор.

 

В ближайшее время нами будет также подготовлен официальный запрос в Роскомнадзор за оф. разъяснениями исходя из выше представленной логике.

 

С уважением компания «БиПИ»,

Мейсак Валентина Олеговна

Налоговый консультант.

Евстратенко Наталья

Юрист.

Добавить комментарий

Ваш адрес email не будет опубликован.