Добрый день, уважаемые коллеги и партнеры!
В последние дни во многих информационных сетях появилась информация о том, что срочно надо до 01.09.2022 уведомить Роскомнадзор о начале обработки персональных данных работников, согласно Федерального закона от 27.07.2006 № 152-ФЗ.
Даже штрафные санкции уже предусмотрены:
— от 3 000 руб. до 5 000 руб. – для организаций;
— от 300 руб. до 500 руб. — для должностных лиц (ст. 19.7 КоАП).
Не торопитесь с отправкой информации, т.к отправив отчет, вы автоматически становитесь оператором обработки персональных данных со всеми вытекающими последствиями по попаданию под проверки: как вы это делаете, храните, распоряжаетесь, защищаете и т.д.
Не соглашусь с утверждением некоторых коллег, что любой работодатель, как оператор персональных данных обязан отчитаться перед РКН. Не совсем это так и вот почему.
Во-первых, принимая сотрудника на работу, мы обязаны попросить его предъявить паспорт. Мы не храним его копию, а его данные нам необходимы исключительно для целей обеспечения соблюдения законов РФ, содействия работникам в трудоустройстве, получении образования и продвижения по службе, обеспечения личной безопасности работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст 86 ТК РФ).
Во-вторых, программный комплекс 1С, куда вносятся данные сотрудников, чтобы впоследствии корректно формировался отчет, не является автоматизированной системой.
Теперь правовой аспект.
Ранее имеющаяся в части 2 ст.22 Федерального закона № 52-ФЗ «льгота», освобождающая работодателей от подачи уведомления в Роскомнадзор в случае, если обработка ПД осуществляется в соответствии с трудовым законодательством, утрачивает свое действие с 01.09.2022 г. – это ДА!
Перечень ситуаций, когда уведомление Роскомнадзора не требуется, теперь включает только два пункта:
— ПД, включенные в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
— в случае, если оператор осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации. – и это наш с вами случай!
Поэтому критерием для определения того, необходимо ли уведомлять Роскомнадзор, может являться также способ обработки ПД:
— если работодатель обрабатывает ПД с помощью средств автоматизации, то уведомлять Роскомнадзор необходимо.
— если работодатель обрабатывает ПД неавтоматизированным способом, то уведомлять Роскомнадзор не нужно.
Соответственно, исключение из части 2 ст.22 Федерального закона № 52-ФЗ «льготы», освобождающей работодателей от подачи уведомления об обработке ПД в соответствии с трудовым законодательством в Роскомнадзор, не означает автоматически обязанность работодателей подать уведомление в Роскомнадзор.
Рекомендуем работодателям воспользоваться другой «льготой» уведомление в Роскомнадзор не требуется, если работодатель обрабатывает ПД неавтоматизированным способом.
Что такое обработка ПД (не)автоматизированным способом?
Продолжает действовать Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», в которое изменения с 01.09.2022 не вносятся.
Согласно п.1 указанного Положения обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Таким образом, по смыслу пункта 1 Положения:
— автоматизированная обработка – это использование, уточнение, распространение, уничтожение ПД, осуществляемая с помощью средств вычислительной техники без непосредственного участия человека
Например, автоматизированной обработкой может быть обработка ПД платежными системами при осуществлении покупки при безналичном расчете: ПД покупателя (ФИО, номер телефона, номер банковского счета) обработаны без непосредственного участия человека — платежная система оператора обработала их автоматически и направила соответствующие сообщения в банки, СМС на номер телефона субъекта ПД и т.д.
— неавтоматизированная обработка — обработка ПД осуществляется при непосредственном участии человека.
Например, бухгалтер в 1С производит расчет заработной платы работникам, кадровый специалист заносит ПД работника в программе 1С и формирует кадровый приказ или трудовой договор, дополнительное соглашение и т.д.
Вывод: У работодателей, которые обрабатывают ПД исключительно неавтоматизированным способом, в силу пункта 8 части 2 ст.22 Федерального закона №152-ФЗ не возникает обязанности подавать уведомление в Роскомнадзор.
В ближайшее время нами будет также подготовлен официальный запрос в Роскомнадзор за оф. разъяснениями исходя из выше представленной логике.
С уважением компания «БиПИ»,
Мейсак Валентина Олеговна
Налоговый консультант.
Евстратенко Наталья
Юрист.
