Мы пригласили бизнес-эксперта, члена палаты налоговых консультантов и руководителя направления «1С:БухОбслуживание» в компании «1С‑Рарус», чтобы разобраться в актуальной теме: как работать с персональными данными сотрудников и клиентов, и что поменялось в связи со вступившими с 1 сентября 2022 года в силу изменениями. Ответим на вопросы в этом выпуске.
Что такое персональные данные?
Персональными данными признаются данные, сведения, которые относятся к определенному физическому лицу, которое выступает субъектом персональных данных.
Эти сведения относятся к персональным данным и помогают идентифицировать конкретное физическое лицо:
- фамилия,
- имя,
- отчество,
- паспортные данные,
- пол,
- образование, профессия,
- семейное положение,
- адрес по прописке,
- биометрические персональные данные,
- СНИЛС,
- ИНН,
- водительское удостоверение,
- адрес электронной почты,
- гражданство и т. д.
В процессе своей деятельности любая компания взаимодействует не только с физическими лицами по трудовым договорам и договорам ГПХ, но и с контрагентами. Поэтому обработка персональных данных — это очень важный элемент функционирования организации.
Обратите внимание: компания должна запрашивать у сотрудников данные в соответствии с целью.
Существуют ли санкции за обработку данных, которые не предусмотрены законодательством?
Обработка персональных данных, которые не предусмотрены законодательством, является нарушением, поэтому за такое действие предусмотрены штрафные санкции.
- На должностных лиц и предпринимателей: от 10 000 до 20 000 рублей;
- На юридических лиц: от 60 000 до 100 000 рублей.
Нужно ли уведомлять Роскомнадзор о намерении обрабатывать персональные данные?
До начала обработки персональных данных оператор должен уведомить Роскомнадзор о своем намерении.
Федеральный закон 152-ФЗ устанавливает, что оператору необходимо зарегистрироваться с 1 сентября текущего года.
Обратите внимание: регистрацию нужно пройти, если организация не сделала это ранее. Повторно проходить регистрацию не нужно. Компания должна лишь обновить данные и информацию, которая была подана ранее.
С 1 сентября 2022 года уведомлять Роскомнадзор нужно в следующих случаях:
- Когда организация заключает трудовой договор с работником.
Обратите внимание: данные не предоставляются третьим лицам, т. е. их обработкой занимается только организация.
- Если компания относится к членам общественного объединения или является религиозной организацией.
- Если субъектом персональных данных физическим лицом дается согласие для распространения его данных.
- Если субъектом персональных данных подается только ФИО для определенных функций с организацией.
- Если физическое лицо допускается на территорию организации и действует пропускной режим.
Обратите внимание: в этом случае организация также является оператором по сбору персональных данных.
Как уведомлять Роскомнадзор о намерении обрабатывать персональные данные?
Организации необходимо подать уведомление об обработке персональных данных на сайте Роскомнадзора.
В электронной форме заявления есть форма уведомления, которую нужно заполнить, ответив на предложенные вопросы.
Пользователь должен обратить внимание на главный момент — цель обработки персональных данных.
Приведем пример:
- Если организация осуществляет трудовые функции (например, нанимает персонал для работы), то для цели обработки она уже является оператором персональных данных.
- Если организация содействует работникам в обучении (например, отправляет их на различные курсы), то для цели обработки она тоже является оператором, так как предоставляет данные, которые необходимы для обучения.
- Если организация взаимодействует с сотрудниками по различным видам страхования, то также необходимо указать эту цель обработки.
- Если организация обеспечивает социальные льготы для работников, а также членов их семей, то эту цель необходимо указать в форме.
- Если организация ведет бухгалтерский и кадровый учет, или юридическое сопровождение, то также необходимо указать это в заявлении.
- Если организация формирует различные отчеты, заявления, уведомления в пенсионный фонд, налоговые службы и прочие государственные организации, то также необходимо подать сведения об обработке персональных данных.
- Если организация осуществляет выплаты по исполнительным документам, взаимодействует с учредителями, дает доверенности работникам на получение каких-либо товаров или услуг, то необходимо указать такую цель обработки в заявлении.
Обратите внимание: сведения, которые вы собираете, должны четко соответствовать целям обработки.
Какие документы регулируют обработку персональных данных?
Правовые документы, которые регулируют обработку персональных данных:
- конституция РФ;
- трудовой, гражданский, налоговый кодексы РФ;
- прочие федеральные законы, на основании которых собираются и обрабатываются персональные данные сотрудников и сотрудников контрагентов.
Обратите внимание: в организации обязательно должны быть учетная политика и другие локально-нормативные акты, которые обрабатывают персональные данные, а также должно быть получено согласие субъекта персональных данных на обработку.
Как определить дату начала обработки персональных данных?
При подаче заявления необходимо обратить внимание, что дата начала обработки — это та дата, когда ваша организация впервые вступает в какие-либо отношения с субъектом персональных данных, т. е. когда организация только начинает сбор и обработку персональных данных.
Например, если трудовой договор с сотрудником заключен 1 января 2022 года, то дата, проставленная в уведомлении, — это 1 января 2022 года.
Какие бывают категории субъектов персональных данных?
Организация должна четко определить категорию субъекта персональных данных, так как это тоже нужно указать в уведомлении.
Выделяют следующие категории:
- сотрудники, которые состоят в организации;
- работники, которые работают в организации по договорам гражданско-правового характера;
- бывшие сотрудники;
- члены семьи работников, бывших работников;
- соискатели;
- физические лица — представители контрагентов, которые обращаются в организацию за получением чего-либо по доверенности;
- потенциальные партнеры;
- посетители компании, покупатели;
- участники программ лояльности.
Обратите внимание: мы советуем организациям проанализировать, с какими категориями субъектов персональных данных они работают до того, как они будут заполнять уведомление. Если организация сотрудничает со всеми категориями, то ей необходимо заполнить более детальную информацию по каждой категории.
Какие бывают способы обработки персональных данных?
В компании может быть несколько способов обработки персональных данных:
- без использования средств автоматизации;
- автоматизированный вид обработки;
- смешанный вид обработки.
Приведем примеры:
- Если весь учет по сотрудникам и контрагентам ведется в программе 1С. Программа является источником информации, но не относится к автоматизированным системам, позволяющим выгружать или загружать данные.
- Если у организации есть сайт, где сотрудники могут оставлять сведения о себе в личном кабинете, то такая система уже является автоматизированным способом обработки персональных данных.
Какие есть сроки для обработки персональных данных?
В случае прекращения обработки персональных данных, необходимо в течение 10 рабочих дней с даты прекращения обработки персональных данных уведомить об этом Роскомнадзор.
- Если цель обработки персональных данных достигнута (например, организация закончила договорные отношения).
- Если закончились сроки хранения архивных документов (это касается бывших работников).
- Если сам субъект персональных данных попросил отзыв его персональных данных.
- Если юридическое лицо прекратило деятельность.
Обратите внимание: С 1 января 2023 года уведомлять Роскомнадзор необходимо не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения по использованию персональных данных сотрудников.
Нужно ли уведомлять Роскомнадзор, если в организации появились новые сотрудники?
Нет, если в организации появились новые сотрудники, или она расторгла договор с сотрудниками, то уведомлять никого не нужно.
Обратите внимание: если организация не соблюдает сроки по уведомлению Роскомнадзора, то за это также предусмотрены штрафные санкции: на должностных лиц и предпринимателей от 300 до 500 рублей; на юридических лиц: от 3000 до 5000 рублей.
Какие действия нужно выполнить юридическому лицу или предпринимателю в связи с изменениями?
- Необходимо сдать локальные нормативные акты, которые определяют политику организации как оператора в отношении обработки персональных данных.
- Прописать сроки обработки и хранения этой информации, порядок уничтожения персональных данных при достижении цели их обработки.
- Необходимо предоставить локальные нормативные акты, которые устанавливают процедуры, направленные на предотвращение и выявление нарушений законодательства и устранение последствий таких нарушений.
- Оператор обязан публиковать локальные нормативные акты в сети интернет. Там также должна быть опубликована политика в отношении обработки персональных данных и доступ к этому документу с использованием средств соответствующей сети.
Если организация не выполняет эти требования, то на нее возлагаются штрафные санкции:
- на должностных лиц: от 6 000 до 12 000 рублей;
- на ИП: от 10 000 до 20 000 рублей;
- на юридических лиц: от 30 000 до 60 000 рублей.
- Оператор обязан разъяснить субъекту персональных данных обязанность их предоставления в силу закона. Разъяснение может быть представлено как в письменной форме, так и в устной.
Обратите внимание: если субъект запрашивает разъяснение в письменной форме, то оператор должен дать ответ в течение 10 дней.
- Оператор должен предоставить субъекту форму согласия на обработку персональных данных. С 1 сентября 2022 года она также была изменена.
Мы ответили на самые популярные вопросы, связанные с обработкой персональных данных сотрудников и клиентов.
Подписывайтесь на Telegram-канал «ЛК 1С-Рарус отвечает», чтобы не пропустить новые встречи с бизнес‑экспертами.
Ответы ЛК «1С-Рарус»