с 1 сентября 2022 года
У работодателей появятся новые обязанности и запреты при обработке персданных сотрудников. По новым правилам согласия на обработку персональных данных должны быть предметными и однозначными, а не только конкретными, информированными и сознательными. Изменения вступят в силу 1 сентября 2022 года.
С 1 сентября работодатель обязан уведомлять о начале обработки персданных, даже если обрабатывает их в целях трудового законодательства, для того, чтобы оформить пропуск в офис или заключить гражданско-правовой договор.
Поэтому все работодатели до 1 сентября должны проверить, есть ли они в реестре Роскомнадзора. Если работодателя в реестре нет, то нужно направить уведомление. Уведомление нужно подать разово, чтобы данные работодателя попали в реестр. Если данные из уведомления поменяются, нужно подать об этом информационное письмо.
https://pd.rkn.gov.ru/operators-registry/operators-list/
Роскомнадзор разработал форму уведомления для всех, кто будет обрабатывать персональные данные. Есть три способа подать уведомление:
— заполнить, распечатать и отправить в местное отделение Роскомнадзора;
— заполнить, подписать и отправить в электронной форме на сайте Роскомнадзора;
— заполнить форму и направить её ведомству на «Госуслугах», если у вас есть подтверждённая учётная запись. Если хотите подать уведомление от имени компании, ваша учётная запись должна быть привязана к организации на портале «Госуслуг».
На сайте при клике на надпись «перейти к форме» отобразиться сама форма уведомления которую необходимо заполнить и подать.
Если данные из уведомления изменятся, подавать уведомление в Роскомнадзор нужно будет в срок до 15-го числа месяца, следующего за месяцем, когда произошли изменения. В случае, когда прекратите обработку персданных, уведомить об этом ведомство нужно будет в течение 10 рабочих дней (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
Какая ответственность, если нарушить правила
К административной ответственности за нарушение работы с персональными данными привлекает Роскомнадзор. Ведомство имеет право наказать и компанию, и сотрудников, которые нарушили правила работы с персональными данными.
Штрафовать будут за каждое нарушение отдельно по статье 13.11 КоАП Нарушение законодательства Российской Федерации в области персональных данных
Например:
1. если обрабатывать персональные данные без письменного согласия сотрудника:
— организацию оштрафуют на сумму от 30 тыс. до 150 тыс. руб.,
— директора — на сумму от 20 тыс. до 40 тыс. руб.
2. если обрабатывать персональные данные в случаях, когда это не предусматривает закон:
— организацию оштрафуют на сумму от 60 тыс. до 100 тыс. руб.,
— директора — на сумму от 10 тыс. до 20 тыс. руб. (ч. 1, ч. 2 ст. 13.11 КоАП).
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных влечет наложение административного штрафа:
— на должностных лиц — от 6 тыс. до 12 тыс. руб.;
— на индивидуальных предпринимателей — от 10 тыс. до 20 тыс. руб.;
— на юридических лиц — от 30 тыс. до 60 тыс. руб. (ст. п. 3 13.11 КоАП)