Роскомнадзор добавил всем работодателям страны статус оператора обработки персональных данных. Эта, казалось бы, чисто формальная процедура подачи очередного уведомления влечет за собой серьезные обязательства, а то и последствия в виде штрафов. ДопОфис рассказывает зачем это все нужно и как проще всего выполнить новые требования.
Как это часто бывает, строгость законов компенсируется нехваткой подзаконных актов и неопределенностью сроков. Так и с новыми требованиями к обработке персональных данных – уведомить Роскомнадзор нужно было строго до первого сентября, но в этот же день на сайте ведомства появилось разъяснение, что, на самом деле, конечные сроки не определены и вообще скоро будут утверждаться новые формы. Т.е. вроде бы, можно не спешить, но сделать нужно обязательно.
В чем смысл всех этих уведомлений?
На первый взгляд, все это выглядит дополнительной «бумажной» волокитой, и так ведь понятно, что, если компания ведет кадровый учет, она обрабатывает и хранит данные сотрудников. И действительно, Роскомнадзор в этом смысле больше интересует формальная сторона дела: нужно, чтобы компании зарегистрировались у них базе и выпустили у себя несколько приказов, например, о внутренних правилах обработки данных, или о лицах, имеющих доступ к личным данным сотрудников. Но зачем им это?
РКН решает таким образом несколько задач:
Собирает и уточняет собственную информационную систему («клиентскую базу»). Нужно это для того, чтобы в будущем эту систему можно было соединить (наладить обмен информацией) с базой ФНС или ФСБ.
Сокращение утечек. Новые требования Роскомнадзора – часть государственной политики по обнаружению, предупреждению и ликвидации последствий компьютерных атак (ГосСОПКА) – ведомство в данном случае будет работать в тесной связке с Федеральной службой безопасности. Подключение в систему ГосСОПКА, пока носит рекомендательный характер, но только пока – сделать работу с системой обязательной пытаются с 2020-го года и со временем так и будет.
Сейчас обработка персональных данных в масштабах страны – непаханое поле. Есть категории юридических лиц, которые совершенно бессистемно и даже безответственно относятся к личным данным граждан. Мы знаем об утечках данных из крупных сервисов, но в сети полно баз от автосалонов, агентств недвижимости, ювелирных салонов. Прежде чем начать жестоко карать за нарушения, нужно установить четкие правила и подвести формальное основание.
Итак, все работодатели теперь стали операторами персональных данных. Так что первое, что нужно сделать — это проверить, есть ли ваша компания в реестре операторов персональных данных на сайте Роскомнадзора . Для этого достаточно ввести в поисковой строке название или ОГРН компании.
- Если компании нет в реестре, то нужно подать соответствующее уведомление. Его можно направить в электронном виде на сайте Роскомнадзора в разделе Реестр операторов > Электронные формы заявлений. Такое уведомление надо подписать квалифицированной электронной подписью.
- Подать уведомление можно и через Госуслуги. При переходе по ссылке на сайте Роскомнадзора сервис предложит пройти аутентификацию, поэтому понадобится подтверждённая учетная запись, привязанная к организации или ИП.
- Можно и по старинке – скачать с сайта ведомства бланк, заполнить от руки и самостоятельно отнести в региональное отделение Роскомнадзора.
Какой бы способ вы не выбрали – главное убедиться, что компания попала в реестр. Роскомнадзор не станет вас об этом уведомлять – сами проверяйте реестр. Обработка может занять до 30 дней.
Политика обработки персональных данных
Теперь в законе сказано, что для каждой цели обработки в документе нужно определить категории и перечень субъектов персональных данных, а также способы, сроки обработки и хранения данных, порядок уничтожения. Т.е. нужно прописать: как, для чего собираются и хранятся данные контрагентов и отдельно то же самое прописать для сотрудников.
В случае проверки, а проверки будут, инспекторы обязательно запросят этот документ.
Сообщите об утечке
По новым правилам работодатель должен в течение 24 часов уведомить Роскомнадзор об обнаружении утечки персональных данных и возможных последствиях этого, а в течение 72 часов представить результаты внутреннего расследования – сообщить кто и как украл данные. В обоих случаях нужно назначить ответственное лицо, которое будет отвечать на вопросы специалистов Роскомнадзора, а в некоторых случаях и следователей ФСБ.
За границу – только с разрешения РКН
С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян. А ведомство будет решать, можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.
В первую очередь изменение касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения ведомства не обеспечивает защиту данных. А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут. Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.
Нужно ли требовать согласие на обработку данных при выдаче разового пропуска на территорию компании?
Да, нужно. Но от этой обязанности можно избавиться, если соблюсти два правила:
- Компания сама осуществляет пропускной режим. Т.е. охранник работает в самой компании, а не в охранном предприятии.
- В компании есть документ, регламентирующий посещение предприятия. Каждый посетитель должен будет расписываться в том, что ознакомлен с таким документом.
Я не использую авторизированную обработку данных, можно мне не подавать уведомлений?
Теоретически, если индивидуальный предприниматель не нанимает сотрудников, не заключает договоров и всю отчетность сдает в бумажном виде и заполненную от руки, то непонятно зачем он платит налоги он может никаких уведомлений в Роскомнадзор не подавать. Но если на каком-то этапе появляется компьютер – уведомить ведомство нужно. Если индивидуальный предприниматель решил сэкономить себе время и нервы и передал бухгалтерию и кадровый учет на аутсорс профессионалам – они будут обязаны подавать уведомление за него.
Итого
Большинству работодателей новые требования кажутся чрезмерными, а то и вовсе лишними, мол, мы не храним ничего такого, что и так уже не лежит в сети. Персональные данные основа для телефонного мошенничества и взлома аккаунтов, в том числе на ГосУслугах и в корпоративных сетях. И чем шире шагает цифровизация по стране, тем опаснее будут эти данные в руках преступников.
Внедрение новых правил повлечет за собой проверки и штрафы, а потом новые проверки. Причем, если Роскомнадзор предъявляет требования только к формальной стороне вопроса – наличию документов и подписей на них, то ФСБ, будет проверять конкретный софт, хард и тех, кто имеет к нему беспрепятственный доступ.
Самостоятельно соблюсти все новые правила – вполне реально, но нужно быть готовыми к тому, что это потребует много времени и сил. Так что, если у вас как у работодателя есть сомнения, в том сможете ли вы или ваши сотрудники соблюсти все новые формальности – лучше обратиться к тем, кто занимается этим профессионально.
