Прежде чем приступить к обработке персональных данных работников, организация обязана уведомить об этом региональное подразделение Роскомнадзора. Это требование действует даже в случае, если обработка осуществляется исключительно в рамках исполнения трудового законодательства. Несоблюдение этой обязанности может повлечь наложение штрафа в размере до 300 000 рублей.
Существуют лишь три ситуации, при которых уведомление в Роскомнадзор не требуется:
- Если персональные данные сотрудников уже содержатся в государственных информационных системах, созданных в целях обеспечения безопасности государства и правопорядка.
- Если данные обрабатываются исключительно вручную, без применения автоматизированных средств. Важно помнить, что работа с текстовыми редакторами и кадровыми программами считается автоматизированной обработкой.
- Если сбор и обработка персональных данных осуществляется в рамках законодательства о транспортной безопасности — для обеспечения стабильности и защищённости транспортной инфраструктуры и предотвращения противоправных действий.
Таким образом, исключения касаются, в основном, использования государственных информационных систем, а не деятельности работодателей. Эти положения закреплены в части 2 статьи 22.2 Федерального закона от 27.07.2006 № 152-ФЗ.
Форма уведомления и порядок её заполнения утверждены приказом Роскомнадзора от 28 октября 2022 года № 180. Также перечень обязательной информации, подлежащей указанию в уведомлении, содержится в части 3 статьи 22 того же закона.
В уведомлении необходимо отразить следующую информацию:
- Полное наименование или Ф.И.О. работодателя, а также его адрес;
- Цели обработки персональных данных;
- Описание принимаемых мер по защите данных и соблюдению требований законодательства;
- Ф.И.О. ответственного лица (или наименование организации), контактные телефоны, почтовый адрес и электронная почта;
- Дата начала обработки персональных данных;
- Срок обработки данных или условия её прекращения;
- Информация о наличии или отсутствии трансграничной передачи данных;
- Местонахождение базы данных, содержащей обрабатываемые персональные данные;
- Сведения о соблюдении требований к безопасности персональных данных.
Кроме того, по каждой цели обработки следует отдельно указать категории обрабатываемых данных, категории субъектов, правовые основания для обработки и перечень операций, производимых с этими данными. Это регламентируется частями 3 и 3.1 статьи 22 Федерального закона № 152-ФЗ.
Подать уведомление можно в электронном виде — через специальную форму на официальном сайте Роскомнадзора. В этом случае документ необходимо подписать электронной подписью и отправить либо через сайт ведомства, либо через портал Госуслуг.
Для этого потребуется установить специальный плагин, предлагаемый на сайте Роскомнадзора. При оформлении уведомления на бумаге, его подписывает руководитель организации, после чего документ направляется в соответствующее территориальное управление ведомства.
За несоблюдение обязанности по уведомлению предусмотрена административная ответственность. Штраф для должностных лиц составляет от 30 000 до 50 000 рублей, а для юридических лиц — от 100 000 до 300 000 рублей (часть 10 статьи 13.11 КоАП РФ).
Вы можете оставить заявку на демо или купить в нашем онлайн-магазине.
КУПИТЬ СО СКИДКОЙ 10%
Автор статьи:
Сперанский Михаил Игоревич,
Государственный советник Российской Федерации,
эксперт Образовательного центра «ЕРМАК».
Сперанский Михаил Игоревич,
Государственный советник Российской Федерации,
эксперт Образовательного центра «ЕРМАК».