Нужно ли передавать в Роскомнадзор сведения о персональных данных работников (граждан РФ и иностранных граждан) с которыми уже заключены трудовые договоры и ГПД и с которыми будут заключены трудовые договоры и ГПД? На кого нужно передавать сведения в Роскомнадзор? Какие штрафные санкции за непередачу данных в Роскомнадзор?
В соответствии с п.2 ст.3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (за исключением отдельных случаев) (ч. 1 ст. 22 Закона о персональных данных).
Уведомление о намерении осуществлять обработку персональных данных нужно подать в Роскомнадзор до начала их обработки (ч. 1 ст. 22 Закона о персональных данных).
В силу п.8 ч.2 ст.22 Закона о персональных данных оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.
Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. п. 1, 5 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ)).
Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (ч. 1 ст. 24 Закона N 152-ФЗ, ст. 90 ТК РФ).
Обоснование
Роскомнадзор ведет реестр операторов персональных данных. Сведения вносятся в реестр и исключаются из него на основании уведомлений, подаваемых операторами (ч. 4, 4.1 ст. 22, п. 3 ч. 5 ст. 23 Закона о персональных данных, п. п. 1, 5.2.4 Положения о Роскомнадзоре). Проверить, включены ли вы в этот реестр, можно на портале персональных данных, который ведет Роскомнадзор: https://pd.rkn.gov.ru/.
Если вы не включены в реестр Роскомнадзора, вы не перестаете быть оператором персональных данных и не освобождаетесь от связанных с этим статусом обязанностей (Информация Роскомнадзора).
БЕЗ ИСПОЛЬЗОВАНИЯ СИСТЕМ АВТОМАТИЗАЦИИ
Согласно п. 3 ст. 4 Закона о персональных данных порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами РФ.
В настоящее время действует Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 N 687. Согласно данному Положению обработкой персональных данных без применения средств автоматизации считаются использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, которые осуществляются при непосредственном участии человека (п. 1 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687). Соответственно, если персональные данные работников обрабатываются в компьютерной (информационной) системе, это не означает, что данная обработка производится с помощью средств автоматизации (п. 2 Положения). Таким образом, к обработке персональных данных работников в организации должны применяться правила, предусмотренные для обработки данных без использования средств автоматизации.
Персональные данные при такой обработке должны быть обособлены от иной информации, в частности, путем фиксации их на отдельных материальных носителях.
Согласно п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).
Пункт 7 Положения содержит условия, которые необходимо соблюдать при использовании типовых форм документов, предполагающих или допускающих включение в них персональных данных, например унифицированных форм первичной учетной документации по учету труда и его оплаты, утвержденных Постановлением Госкомстата России от 05.01.2004 N 1.
Согласно пп. "а" п. 7 Положения типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать: сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; фамилию, имя, отчество и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения данных; сроки их обработки; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных.
Типовая форма должна содержать поле, в котором субъект персональных данных может проставить отметку о согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения такого согласия (пп. "б" п. 7 Положения).
При этом форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов иных субъектов персональных данных (пп. "в" п. 7 Положения). Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы (пп. "г" п. 7 Положения).
С ИСПОЛЬЗОВАНИЕМ СИСТЕМ АВТОМАТИЗАЦИИ
Составьте уведомление по форме, приведенной в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180. В нем укажите, в частности (ч. 3, 3.1 ст. 22 Закона о персональных данных):
• свое наименование (фамилию, имя, отчество), адрес;
• цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных;
• дату начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения об обеспечении безопасности персональных данных в соответствии с установленными требованиями к защите таких данных.
Уведомление должно быть подписано уполномоченным лицом (ч. 3 ст. 22 Закона о персональных данных).
Роскомнадзор на основании этого уведомления в течение 30 дней с даты его поступления должен внести сведения в реестр операторов (ч. 4 ст. 22 Закона о персональных данных).
Если сведения, содержавшиеся в ранее поданном уведомлении, изменились, то нужно уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения, обо всех произошедших за указанный период изменениях. Если вы прекратили обработку персональных данных, нужно уведомить Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных (ч. 7 ст. 22 Закона о персональных данных). Данные уведомления необходимо составлять по формам, приведенным соответственно в Приложениях N N 2 и 3 к Приказу Роскомнадзора от 28.10.2022 N 180.
В строке 070 укажите выплаты, начисленные физлицу за истекший месяц, как облагаемые, так и не облагаемые взносами, например пособие по больничным за первые 3 дня, матпомощь работникам. Не показывайте только дивиденды и другие выплаты, не являющиеся объектом обложения по ст. 420 НК РФ (п. п. 3.1, 3.7 Порядка заполнения).
Если в текущем месяце выплат не было, заполните на работника только строки 020 - 060.
Корректировать сведения можно до подачи РСВ за текущий квартал. В уточненку включайте только работников, чьи данные исправляете. На титульном листе укажите номер корректировки (п. п. 1.2, 2.5 Порядка заполнения).
При корректировке выплат укажите в строке 070 верное значение, остальные данные перенесите из первичных сведений. Чтобы исправить ошибку в ИНН, СНИЛС или Ф.И.О., заполните на работника два раздела. В первом в строке 010 поставьте "1", в строке 070 - прочерк. Данные из остальных строк ошибочных сведений перенесите без изменений. Во втором разделе в строках 020 - 070 укажите верные сведения (п. 3.3 Порядка заполнения).
Чтобы добавить сведения о забытом работнике, заполните по нему строки 020 - 070 в обычном порядке. Строку 010 не заполняйте.
Ошибки в персонифицированных сведениях, обнаруженные после подачи РСВ, исправляют, корректируя разд. 3 расчета.
Обработка (в частности, распространение, предоставление) персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, за исключением случаев, предусмотренных ст. 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа на должностных лиц в размере от 100 000 до 300 000 руб.; на малые предприятия, в том числе микропредприятия, - от 150 000 до 350 000 руб.; на иных юридических лиц - от 300 000 до 700 000 руб. (ч. 2, 3 ст. 4.1.2, ч. 2 ст. 13.11 КоАП РФ, п. 3 ст. 3, ст. 9 Закона N 152-ФЗ).
Повторное совершение указанного выше административного правонарушения влечет наложение административного штрафа на должностных лиц в размере от 300 000 до 500 000 руб.; на индивидуальных предпринимателей, малые предприятия, в том числе микропредприятия, - от 500 000 до 1 000 000 руб.; на иных юридических лиц - от 1 000 000 до 1 500 000 руб. (ч. 1 ст. 4.1.2, ч. 2.1 ст. 13.11 КоАП РФ).
Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 13.11 и ст. 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на должностных лиц в размере от 10 000 до 20 000 руб.; на малые предприятия, в том числе микропредприятия, - от 30 000 до 50 000 руб., на иных юридических лиц - от 60 000 до 100 000 руб. (ч. 2 ст. 4.1.2, ч. 1 ст. 13.11 КоАП РФ).
Повторное совершение указанного административного правонарушения влечет наложение административного штрафа на должностных лиц в размере от 20 000 до 50 000 руб., на индивидуальных предпринимателей, малые предприятия, в том числе микропредприятия, - от 50 000 до 100 000 руб.; на юридических лиц - от 100 000 до 300 000 руб. (ч. 1 ст. 4.1.2, ч. 1.1 ст. 13.11 КоАП РФ).
Разглашение персональных данных (за исключением случаев, если это влечет уголовную ответственность) лицом, получившим к ним доступ в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на должностных лиц в размере от 40 000 до 50 000 руб. или дисквалификацию на срок до 3 лет; на малые предприятия, в том числе микропредприятия, - от 50 000 до 100 000 руб.; на иных юридических лиц - от 100 000 до 200 000 руб. (ч. 2 ст. 4.1.2, ст. 13.14 КоАП РФ).
За разглашение персональных данных предусмотрена гражданско-правовая ответственность в виде обязанности возместить убытки, а также компенсировать моральный вред (ст. ст. 15, 151, 1082, 1099 - 1101 ГК РФ, ч. 2 ст. 24 Закона N 152-ФЗ).
При этом если вред причинен работником юридического лица при исполнении трудовых (служебных, должностных) обязанностей, то, по нашему мнению, применяются положения ст. 1068 ГК РФ.
За разглашение персональных данных работники организации могут быть привлечены к дисциплинарной ответственности в том числе в виде увольнения (пп. "в" п. 6 ч. 1 ст. 81, ст. ст. 90, 192 ТК РФ).
За ущерб, причиненный работодателю в результате разглашения сведений, относящихся к персональным данным, предусмотрена материальная ответственность работника в полном размере (ст. ст. 90, 238, п. 7 ч. 1 ст. 243 ТК РФ).
Незаконное распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ (за исключением случаев, предусмотренных ст. 272.1 УК РФ) влечет привлечение к уголовной ответственности по ст. 137 УК РФ.
Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения, влечет привлечение к уголовной ответственности по ст. 272.1 УК РФ (за исключением случаев обработки персональных данных физическими лицами исключительно для личных и семейных нужд) (Примечание 1 к ст. 272.1 УК РФ).
С 30 МАЯ 2025 ГОДА операторам персональных данных грозят крупные штрафы по КоАП РФ за действия (бездействие), из-за которых произошла незаконная передача этих сведений. Начнут применяться более строгие наказания за непредставление Роскомнадзору ряда уведомлений. Есть и другие изменения. Подробности - далее.
Утечка персональных данных
В случае незаконной передачи информации о людях в количестве от 1 тыс. до 10 тыс. человек будет грозить штраф:
- должностным лицам государственного или муниципального органа либо некоммерческой организации - от 200 тыс. до 400 тыс. руб.;
- ИП и компаниям - от 3 млн до 5 млн руб.
На те же суммы оштрафуют в случае утечки от 10 тыс. до 100 тыс. идентификаторов физлиц. Это уникальные обозначения, которые находятся в информсистемах операторов.
За более масштабные происшествия введут более крупные штрафы.
Неправомерное распространение персональных данных спецкатегорий обернется штрафом:
- для упомянутых должностных лиц - от 1 млн до 1,3 млн руб.;
- для ИП и компаний - от 10 млн до 15 млн руб.
Сейчас таких составов в КоАП РФ нет. Однако действует правило об ответственности за необеспечение сохранности данных при их неавтоматизированной обработке, если это повлекло, например, неправомерный или случайный доступ к ним. Штрафы по данной норме значительно ниже.
Неуведомление Роскомнадзора
За несообщение ведомству об утечке, которой нарушены права субъектов персональных данных, назначат такие штрафы:
- должностным лицам государственного или муниципального органа либо некоммерческой организации - от 400 тыс. до 800 тыс. руб.;
- ИП и компаниям - от 1 млн до 3 млн руб.
За неуведомление о намерении обрабатывать личную информацию грозит штраф:
- упомянутым должностным лицам - от 30 тыс. до 50 тыс. руб.;
- ИП и компаниям - от 100 тыс. до 300 тыс. руб.
Такие же наказания установят для тех, кто известил Роскомнадзор несвоевременно.
Сейчас в этих ситуациях, полагаем, могут применить общую статью КоАП РФ о непредоставлении сведений. Она предусматривает предупреждение или намного более низкий штраф.
Нарушение прав потребителей
Отказ заключить, исполнить, изменить или расторгнуть договор с потребителем из-за того, что он не стал проходить идентификацию (аутентификацию) по биометрии, повлечет штраф:
- для любых должностных лиц и ИП - от 50 тыс. до 100 тыс. руб.;
- для любых компаний - от 200 тыс. до 500 тыс. руб.
Бухгалтерам
Кадровикам
