В последнюю неделю новость о том, что все работодатели до 1 сентября 2022 года должны зарегистрироваться как операторы персональных данных в Роскомнадзоре (РКН), переполошила не только бухгалтерское сообщество, но и предпринимателей.
Коротко про обработку персональных данных:
1. Персональные данные - это любая информация, относящаяся прямо или косвенно к определенному физлицу (субъекту персональных данных), в т.ч. ФИО, ИНН, СНИЛС, телефон, дата рождения, размер зарплаты и т.п.
2. Оператор персональных данных (ОПД) – гос или муниципальный орган, юрлицо или физлицо, организующие и (или) осуществляющие обработку персональных данных. Это данные работников, физлиц и самозанятых по договору ГПХ, клиентов и поставщиков -физлиц и ИП;
3. Оператор до начала обработки персональных данных обязан уведомить РКН о своем намерении осуществлять обработку персданных!
До 01.09.2022 были исключения, позволяющие оператору не уведомлять РПН:
- при обработке данных в соответствии с трудовым законодательством, т.е. с работниками;
- при заключении договоров, если персданные не распространяются и используются исключительно для исполнения договора;
- если обрабатываются данные, включающие в себя только ФИО;
- при использовании данных с целью однократного пропуска субъекта персданных на территорию, где находится оператор или в иных аналогичных целях.
С 1 сентября этих исключений не будет, и из-за этого весь сыр-бор.
Остались мизерные исключения. Например, если оператор обрабатывает персданные без использования средств автоматизации. Но таких практически нет.
Фактически все юридические лица, а также ИП, имеющие сотрудников и (или) работающие с физлицами (и ИП), являются операторами персональных данных и обязаны встать на учёт в Роскомнадзоре!
4. Уведомить РКН можно 3мя способами:
1) Сформировать уведомление и направить в бумажном виде
Вы можете заполнить форму, распечатать и отправить в территориальный орган.
2) Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи
3) Сформировать уведомление и направить в электронном виде через сайт Госуслуги
Отправка копии в бумажном виде в данному случае не потребуется. У Вас должна быть подтвержденная учетная запись.
НО, предварительно проверьте есть ли Вы в реестре - https://pd.rkn.gov.ru/operators-registry/operators-list/ и даже если вы там есть- внесите изменения, т.к. возможно, своих сотрудников как субъектов персональных данных ранее вы не записали.
5. Сформировать уведомление в РКН – это верхушка айсберга, т.к. на каждом предприятии, работающем с персональными данными, кроме этого, должны быть разработаны и введены в работу нормативные локальные акты (их много). Например, документ, определяющий политику оператора в отношении обработки персональных данных, и подтверждение ознакомления с ним работников оператора; приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора и т.д.
6. Ответственность
Если не отправить уведомление или не проинформировать Роскомнадзор об изменениях, штраф по ст. 19.7 КоАП РФ составит до 5 000 рублей.
За нарушение законодательства о персональных данных установлены санкции по ст. 13.11 КоАП РФ: от 10 000 рублей для ИП, и от 60 000 рублей — для организаций.
Что делать?
Прикрыть тылы, что бы не допустить штрафов:
1. Подать уведомление в Роскомнадзор. Желательно до 1 сентября 2022, но если не успеваете - лучше подать с нарушением сроков, чем не подать совсем.
2. Разработать локальные нормативные акты и использовать в работе бизнеса.
