ТРЕБУЕТСЯ ЛИ УВЕДОМЛЕНИЕ?
С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных по новой редакции ч. 2 ст. 22 Федерального закона № 152-ФЗ от 27.07.2006 г.:

• получаемых и обрабатываемых в рамках трудового законодательства;
• получаемых при заключении договора с физическим лицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
• относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
• разрешенных физическим лицом для распространения;
• включающих в себя только фамилии, имена и отчества физлиц;
• необходимых в целях однократного пропуска физического лица на территорию, на которой находится компания, или в иных аналогичных целях.

 
В итоге, компании и ИП, являющиеся работодателями или заключающие договоры с физическими лицами, должны уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных до начала такой обработки. Действующих компаний это также касается. Всем необходимо направить в Роскомнадзор уведомление о том, что планируется осуществление сбора сведений.

Уведомлять о предстоящей обработке конкретной группы персональных данных требуется однократно. Например, работодателю не требуется направлять в Роскомнадзор уведомление на каждого нового сотрудника. Достаточно одного уведомления, которым руководитель сообщит ведомству об обработке соответствующих сведений.

Представлять такое уведомление нужно в том случае, если обработка персональных данных будет осуществляться с электронным применением. Если данные записываются, скажем, в бумажный журнал, то уведомлять Роскомнадзор не нужно, в соответствии с п. 8 ч. 2 ст. 22 закона № 152-ФЗ от 27.07.2006 г.

КАК УВЕДОМИТЬ РОСКОМНАДЗОР?

Срок направления уведомления законодательством не установлен. Главное - уведомить до начала обработки тех или иных персональных данных.

Уведомление предоставляется по форме, утвержденной приказом № 94 Роскомнадзора от 30.05.2017 г. Предоставить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать следующее, в соответствии с ч. 3 ст. 22 закона № 152-ФЗ от 27.07.2006 ):

• наименование компании (ФИО ИП) и ее адрес;
• цель обработки персональных данных (например, заключение трудовых договоров);
• категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
• категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
• сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
• ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
• предполагаемая дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
• сведения об обеспечении безопасности персональных данных.

 
Способы направления уведомления найдете здесь.

Чтобы упростить заполнение с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавались ранее. Там можно даже найти подобного оператора. Заполняя уведомление, обратитесь к "Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных", утвержденным приказом Роскомнадзора. В них приведены доступные и понятные примеры.

ШТРАФЫ ЗА НЕУВЕДОМЛЕНИЕ

Если работодатель или компания, планирующая заключать договоры с физическими лицами, в том числе через сайт компании, не предоставит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль.

Размер штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.