С 1 сентября 2022 года вступили в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», которые ужесточают требования к обработке персональных данных.

Рассказываем, что нужно делать организациям в сфере пожарной безопасности и другим организациям в связи с указанными изменениями законодательства.

Подаем уведомление в Роскомнадзор

С 1 сентября 2022 года абсолютно всем организациям, независимо от их организационно-правовой формы и сферы экономической деятельности, необходимо направить в Роскомнадзор уведомление об обработке персональных данных в отношении своих работников, клиентов и других граждан.

Нужно сказать, что обязанность направления уведомления об обработке персональных данных была и раньше и предусматривалась частью 1 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Однако до 1 сентября 2022 года указанная статья содержала исключения, когда направлять такое уведомление не требовалось. Например, в случаях обработки персональных данных работников при заключении с ними трудовых договоров, а также в случаях, когда персональные данные были получены в связи с заключением договоров на оказание услуг / выполнение работ.

С 1 сентября 2022 года перечень исключений, позволяющих организациям не подавать в Роскомнадзор уведомление об обработке персональных данных, значительно сократился. В нем осталось всего три исключения:

  • если организация осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
  • если обрабатываются персональные данные, включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • если обрабатываются персональные данные в соответствии с законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Таким образом, как мы видим, все исключения в основном касаются госструктур. Обычные организации, даже имея в штате одного директора, автоматически становятся операторами персональных данных и должны подать уведомление в Роскомнадзор.

До конца 2022 года в отношении проверок малого бизнеса действует мораторий, т. е. крайний срок подачи уведомления не определен. Однако не стоит откладывать подачу уведомления в долгий ящик. При неподаче уведомления в Роскомнадзор в новом году есть риск получить административный штраф до 5000 рублей (ст. 19.7 КоАП РФ).

Порядок подачи уведомления

Уведомление можно направить в электронном виде через специальную форму на сайте Роскомнадзора с использованием усиленной электронной цифровой подписи.

Но для начала необходимо проверить, есть ли ваша организация в Реестре Роскомнадзора: для этого на сайте ведомства достаточно ввести в поисковой строке ИНН организации. Если компания есть в реестре, уведомление о начале обработки персональных данных подавать не нужно, если нет, подайте уведомление о начале обработки персональных данных.

Уведомление можно сформировать и в бумажном виде. В этом случае надо заполнить форму, распечатать и отправить уведомление в территориальный орган Роскомнадзора.

В настоящее время Роскомнадзор планирует утвердить 3 бланка уведомлений в области работы с персональными данными:

о намерении осуществлять обработку персональных данных;

о внесении изменений в ранее предоставленные сведения;

о прекращении обработки персональных данных.

Проект соответствующего приказа уже опубликован на сайте regulation.gov.ru и готовится к направлению в Минюст. В настоящее время пока действует рекомендуемая форма, которую можно заполнить и подать через портал персональных данных.