Уведомление Роскомнадзора об обработке персональных данных с 01.09.2022

С 1 сентября 2022 года работодатели должны сообщать в Роскомнадзор о намерении обрабатывать персональные данные работников. Уведомлять ведомство необходимо, даже если работодатели получили данные в рамках трудовых отношений. Такой вывод можно сделать из письма Роскомнадзора от 19.08.2022 № 08-75348.

В письме отмечается, что с 1 сентября 2022 года статья 22 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) будет действовать в новой редакции с учетом изменений, внесенных Федеральным законом от 14.07.2022 № 266-ФЗ.

Напомним, в этой статье закреплена обязанность операторов персональных данных уведомлять Роскомнадзор о намерении обрабатывать эти данные, а также определен перечень случаев, когда подача такого уведомления не требуется. С 1 сентября этот перечень будет существенно сокращен, сообщать в Роскомнадзор о таком намерении потребуется практически во всех случаях обработки перс. данных. В частности, из перечня исключен п. 1, согласно которому не требуется подавать уведомление, если персональные данные обрабатываются в соответствии с трудовым законодательством. Иными словами, теперь подавать уведомление нужно будет и перед заключением трудового договора, и при оформлении пропусков для прохода работников на территорию работодателя и т. д.

В письме напомнили, что уведомление направляется в территориальное управление Роскомнадзора по месту нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе.

Уведомление можно направить по форме, приведенной в приложении № 1 к Методическим рекомендациям, утв. приказом Роскомнадзора от 30.05.2017 № 94, в виде документа на бумажном носителе или в форме электронного документа.

Электронная форма уведомления и порядок ее заполнения размещены на Портале персональных данных Роскомнадзора. На интернет-странице оператору предоставлена возможность сформировать уведомление в электронной форме и направить в его в территориальный орган Роскомнадзора одним из следующих способов:

• в бумажном виде;
• в электронном виде с использованием усиленной квалифицированной электронной подписи (УКЭП);
• в электронном виде с использованием средств аутентификации ЕСИА.

Напоминаем, что согласно ч. 1 ст. 22 Закона № 152-ФЗ подать в Роскомнадзор уведомление необходимо до начала обработки персональных данных. При этом под обработкой понимается любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение ( п. 3 ч. 1 ст. 3 Закона № 152-ФЗ).

Учитывая это требование, работодатели должны направлять уведомление в Роскомнадзор:

• до приема сотрудника на работу (по каждому вновь принимаемому сотруднику подавать уведомление не требуется);
• до обработки данных соискателей (если они будут направлять работодателю резюме с именем, фамилией, номером телефона, адресом электронной почты и т. д.).

Вместе с тем остается вопрос о дате начала обработки персональных данных, которая должна быть указана в уведомлении. В случае с соискателем эта дата неизвестна, поскольку она напрямую зависит от воли самого соискателя. Работодатель не может предположить, когда соискатель пришлет свое резюме, и, соответственно, не может сообщить об этом заранее в Роскомнадзор. Полагаем, для решения этого вопроса следует дождаться дополнительных разъяснений от Роскомнадзора.

Поскольку Федеральным законом от 14.07.2022 № 266-ФЗ не предусмотрены переходные положения, считаем целесообразным работодателям после вступления в силу Закона № 152-ФЗ отправить уведомление в Роскомнадзор об обработке персональных данных сотрудников. Уведомление подается один раз и не содержит сведений о данных конкретных лиц. Поэтому такое уведомление формально будет касаться и всех действующих сотрудников, и тех, кого работодатель только планирует принять в будущем.

Пример заполнения данного уведомления, приведенный на сайте Роскомнадзора:

УВЕДОМЛЕНИЕ

об обработке (о намерении осуществлять обработку) персональных данных

Наименование оператора: Общество с ограниченной ответственностью "Домовой" (ООО "Домовой"),

Адрес оператора

Адрес местонахождения: 241020, г. Брянск, проспект Московский, дом 6

Почтовый адрес: 241020, г. Брянск, проспект Московский, дом 6

Контактная информация оператора:

телефон: 8(4832)22-00-00

адрес электронной почты: domovoy@mail.ru

Регионы: Брянская область;

ИНН: 3254005555

Коды: ОГРН 1063254011000; ОКВЭД 45.44.1; ОКПО 95276087; ОKФС 16; ОКОГУ 49013; ОКОПФ 65;

Филиалы:

Обособленное подразделение (241050, г. Брянск, ул. Дуки, 4);

Правовое основание обработки персональных данных

руководствуясь Трудовым кодексом РФ от 30.12.2001 № 197-ФЗ; Налоговым кодексом РФ; Федеральным законом от 06.04.2011 № 63-ФЗ "Об электронной подписи", указать федеральные законы по основному виду деятельности, предполагающие обработку персональных данных, договоры с контрагентами (третьими лицами) на оказание услуг (при наличии), согласие на обработку персональных данных (при наличии), Уставом ООО "Домовой"

Цель обработки персональных данных

с целью оказания услуг в сфере ЖКХ, ведения кадровой работы и бухгалтерского учета

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона "О персональных данных":

Разработаны локальные акты по вопросам обработки персональных данных: положение об обработке персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных. Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Опубликован и размещен на стенде организации документ, определяющий политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных. Персональные данные доступны для строго определенного круга сотрудников, в здании установлены охранная и пожарная сигнализации, сведения на бумажных носителях хранятся в сейфах или запирающихся металлических шкафах, определены места хранения персональных данных, физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации; учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме). 

средства обеспечения безопасности: электронная цифровая подпись, используются антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных.

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ: Определены места хранения персональных данных (материальных носителей). Определен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ. Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Обеспечен учет материальных носителей. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, учтены в соответствующих журналах. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации.

Дата начала обработки персональных данных: 28.06.2006

Срок или условие прекращения обработки персональных данных: прекращение деятельности ООО "Домовой"

Сведения об информационной системе № 1:

Категории персональных данных

осуществляет обработку следующих категорий персональных данных:

Фамилия, Имя, Отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; образование; профессия; доходы;

а также: СНИЛС, ИНН, стаж, данные документа, удостоверяющего личность

Категории субъектов, персональные данные которых обрабатываются

принадлежащих: работникам, членам семьи работника

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, удаление.

обработка вышеуказанных персональных данных будет осуществляться путем: автоматизированная; без передачи по внутренней сети юридического лица; без передачи по сети Интернет;

осуществление трансграничной передачи персональных данных: не осуществляется

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ:

страна: Россия

адрес ЦОДа: Брянская обл, Брянск г, , Московский пр-кт, дом 6

собственный ЦОД: да

Сведения об информационной системе № 2:

Категории персональных данных

осуществляет обработку следующих категорий персональных данных:

Фамилия, Имя, Отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; профессия; доходы; 

а также: СНИЛС, ИНН, данные документа, удостоверяющего личность

Категории субъектов, персональные данные которых обрабатываются

принадлежащих: работников ООО "Домовой", членов семьи работника

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, удаление

обработка вышеуказанных персональных данных будет осуществляться путем: автоматизированная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет; 

осуществление трансграничной передачи персональных данных: не осуществляется 

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ:

cтрана: Россия

адрес ЦОДа: Брянская обл, Брянск г, , Московский пр-кт, дом 6

собственный ЦОД: нет

наименование организации: ООО "СистемаПлюс"

организационно-правовая форма: общество с ограниченной ответственностью

адрес организации: 1178596, г. Москва, ул. Дорожная, д.4 стр.4

ИНН: 7752960298

ОГРН: 1025212535396

использование шифровальных (криптографических) средств: используются

наименование, регистрационные номера и производители используемых криптографических средств: КриптоПРО 3.6, ООО "Информационные системы"

уровень криптографической защиты персональных данных: К1

Ответственный за организацию обработки персональных данных: Иванов Иван Иванович,

номера контактных телефонов, почтовые адреса и адреса электронной почты: 241020, Брянская обл, Брянск г, , Московский пр-кт, дом 6, телефон 22-00-00

Документ сформирован на портале Роскомнадзора

Номер уведомления: _____, ключ: _____

(должность) (подпись) (расшифровка подписи)

"___" ____________ 20___ г.

Исполнитель: Петров П.П.;

Контактная информация исполнителя: 22-00-00;