Обязанность подавать уведомление в Роскомнадзор о начале обработки персональных данных сохраняется с момента вступления в силу Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Все организации, в которых работают наемные сотрудники, обязаны предоставлять такое уведомление. Если компания ранее уже направляла соответствующий документ, повторного направления не требуется.
Задача уведомления заключается в том, чтобы внести организацию или индивидуального предпринимателя в реестр операторов персональных данных. Как только Роскомнадзор получает уведомление, компания или ИП включается в этот реестр.Обязанность уведомить Роскомнадзор распространяется и на самозанятых граждан. В соответствии с законом операторами персональных данных признаются не только организации и ИП, но также физические лица без статуса ИП, включая самозанятых (п.2 ст.3 Федерального закона № 152-ФЗ). Таким образом, если самозанятый собирается заниматься обработкой персональных данных, он обязан проинформировать об этом надзорный орган.
Обработка персональных данных без подачи уведомления допускается только в случаях, когда сбор, хранение и использование личной информации осуществляется исключительно вручную, без помощи автоматизированных средств (п.8 ч.2 ст.22 данного закона).
Однако стоит учитывать, что даже частичное использование компьютера при обработке информации — например, для составления платежных документов — требует подачи уведомления.
Даже если организация взаимодействует исключительно с юридическими лицами, необходимость подачи уведомления все равно актуальна. В договорах и иных первичных документах контрагентов часто содержится информация о руководителях и сотрудников этих юрлиц, что автоматически квалифицируется как обработка персональных данных.
В таком случае компания становится оператором персональных данных и обязана уведомить Роскомнадзор.Конкретных сроков для подачи уведомления о намерении начать обработку персональных данных не установлено, однако его следует подать до начала самой обработки. Уведомление необходимо подавать при приёме на работу первых сотрудников. При дальнейшем трудоустройстве других работников подавать повторное уведомление уже не требуется. Это связано с тем, что при приёме на работу происходит обработка персональных данных. Для заключения трудового договора соискатель предоставляет работодателю паспорт, СНИЛС, трудовую книжку и другие сведения, перечисленные в статье 65 ТК РФ.
В разделе «Правовое основание обработки персональных данных» следует перечислить законодательные акты, на основании которых осуществляется сбор и обработка данных физлиц вашей организацией.
Для работодателей такими основаниями обычно являются Трудовой кодекс Российской Федерации — требующий предоставления информации о сотрудниках при их трудоустройстве, Налоговый кодекс Российской Федерации — обязательный для подачи сведений о работниках в отчетности, а также другие нормативные акты, регулирующие вопросы персонифицированной отчетности. Сюда также можно отнести устав компании и ее локальные нормативные документы.
Для организаций, взаимодействующих с контрагентами, в данном поле достаточно указать факт заключения договоров, не раскрывая каждый из них детально. Можно сослаться на общую практику заключения договоров или упомянуть политику обработки персональных данных.
Кроме того, важно четко обозначить цели обработки данных, объяснив необходимость их использования в рамках деятельности компании, индивидуального предпринимателя или самозанятого. Например, это может быть ведение кадрового и налогового учета или выполнение договорных обязательств в рамках оказываемых услуг. Все цели должны быть перечислены в одном уведомлении, чтобы избежать излишней фрагментации информации.
Убедиться, поступило ли уведомление в Роскомнадзор и выполнила ли компания свои обязательства, можно через реестр операторов персональных данных.
Если уведомление направлено, организация будет включена в список. На главной странице необходимо ввести ИНН, регистрационный номер или название ИП (фамилию, имя, отчество предпринимателя или самозанятого). Если информация о компании или ИП отображается на экране, это свидетельствует о выполнении обязательств по подаче уведомления.
Федеральный закон от 30 ноября 2024 года № 420-ФЗ вносит изменения в Кодекс Российской Федерации об административных правонарушениях, значительно увеличивая штрафы за несоблюдение требований по уведомлению Роскомнадзора о начале обработки персональных данных.
В соответствии с нововведениями, размер штрафов для организаций и индивидуальных предпринимателей возрастет с 5 тысяч рублей до 300 тысяч рублей. Данный закон вступает в силу 30 мая.
Для должностных лиц организаций предусмотрены штрафы в размере от 30 до 50 тысяч рублей, а для индивидуальных предпринимателей и юридических лиц — от 100 до 300 тысяч рублей.
Однако избежать наказания можно, если направить уведомление до 30 мая. Более того, при первом нарушении закона организация, ИП или самозанятый могут отделаться предупреждением вместо штрафа, что позволяет исправить ситуацию и избежать серьезных санкций. Это правило закреплено в части 1 статьи 4.1.1 КоАП РФ.
Если же после получения предупреждения компания продолжает игнорировать обязанность подачи уведомления, последует наложение штрафа.
Свежие комментарии