ЭЛКОД: Юридическое лицо (строительная компания) получает и хранит персональные данные своих сотрудников.

Юридическое лицо (строительная компания) получает и хранит персональные данные своих сотрудников. Передача таких данных осуществляется только в исполнительные органы власти, согласно действующему законодательству РФ (ФНС, СФР и проч.). Никаких персональных данных других физических лиц юридическое лицо не получает и не обрабатывает. 1. Является ли такое юридическое лицо оператором персональных данных, по смыслу ФЗ N 152 от 27.07.2006 "О персональных данных"? 2. Необходимо ли такому юридическому лицу регистрироваться в реестре операторов персональных данных Роскомнадзора? 3. Какие предусматриваются санкции в 2024-2025 годах за отсутствие сведений о вышеуказанном юридическом лице в реестре операторов персональных данных?

  •  20 августа 2024 г.

Главное

1. Обработка персональных данных включает сбор, запись, накопление, хранение, уточнение (обновление, изменение), использование, передачу, уничтожение и другие действия с персональными данными, перечисленные в п. 3 ст. 3 Закона о персональных данных.

Соответственно, если Вы получаете, храните, используете или совершаете иные действия с персональными данными граждан, это признается их обработкой, а Вы - оператором.

2. Уведомление в Роскомнадзор не требуется, если (п. п. 7 - 9 ч. 2 ст. 22 Закона о персональных данных):

  • вы обрабатываете данные, включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обработка проводится исключительно без использования средств автоматизации;
  • сведения обрабатываются в соответствии с законодательством о транспортной безопасности.

В остальных случаях вы должны подать уведомление в Роскомнадзор (ч. 1 ст. 22 Закона о персональных данных).

3. Конкретный срок подачи уведомления законодательством РФ не предусмотрен. Начиная с 1 сентября 2022 г. у работодателя (за исключением отдельных случаев) появилась обязанность направлять такое уведомление в Роскомнадзор. Сделать это необходимо до того, как работодатель начнет обработку персональных данных своих работников (ч. 1 ст. 22 Закона о персональных данных).

Если вы начали обработку персональных данных своих работников до 1 сентября 2022 г., когда такой обязанности еще не было, уведомить Роскомнадзор необходимо сейчас. Предельный срок направления такого уведомления не установлен (Письмо Роскомнадзора от 06.09.2022 N 08-80975). Однако, если вы еще не уведомили Роскомнадзор, рекомендуем сделать это как можно скорее, иначе существует риск привлечения вас к административной ответственности по ст. 19.7 КоАП РФ.

Обоснование

Когда Вы запрашиваете паспортные данные и другие сведения у работников при заключении трудового договора или даже раньше - при подборе, вы уже обрабатываете персональные данные.

К документам, которые содержат персональные данные работника, относятся, в частности:

  • анкета, которую работник заполняет при приеме на работу;
  • копия паспорта;
  • сведения о трудовой деятельности, трудовая книжка (в случае ее ведения) или ее копия (сведения о трудовом стаже, предыдущих местах работы);
  • копии свидетельств о заключении брака, рождении детей;
  • документы воинского учета;
  • справка о доходах и суммах налога физического лица с предыдущего места работы;
  • документы об образовании и (или) квалификации работника;
  • документ, который подтверждает регистрацию в системе индивидуального (персонифицированного) учета. Это может быть карточка СНИЛС, выданная до 01.04.2019, либо уведомление по ранее установленной форме или по действующей форме;
  • трудовой договор;
  • подлинники и копии приказов по личному составу.

Все общие требования к обработке персональных данных работников установлены ст. 86 ТК РФ. К самым ключевым относятся следующие:

  • обрабатывайте персональные данные только в определенных целях (например, для трудоустройства работника) (п. 1 ст. 86 ТК РФ);
  • получайте персональные данные исключительно у работника. Если их возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ);
  • ознакомьте работников под подпись с локальными нормативными актами, устанавливающими порядок обработки персональных данных (п. 8 ст. 86 ТК РФ);
  • вырабатывайте совместно с работниками меры по защите персональных данных (п. 10 ст. 86 ТК РФ).

Кроме того, отдельные требования установлены Законом о персональных данных, в частности:

  • до начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных). Форма уведомления о намерении осуществлять обработку персональных данных утверждена Приказом Роскомнадзора от 28.10.2022 N 180;
  • в случае изменения сведений, указываемых в уведомлении о намерении осуществлять обработку персональных данных, также уведомите Роскомнадзор (ч. 7 ст. 22 Закона о персональных данных);
  • до начала деятельности по трансграничной передаче персональных данных вам нужно уведомить Роскомнадзор о своем намерении (ч. 3 ст. 12 Закона о персональных данных). Подробнее о том, как осуществляется такая передача, расскажем ниже;
  • необходимо провести оценку вреда, который может нанести неправомерное распространение персональных данных. Также оцените, как соотносятся этот вред и меры, которые вы принимаете, чтобы соблюсти обязанности, предусмотренные Законом о персональных данных (п. 5 ч. 1 ст. 18.1 указанного Закона);
  • если вы установили, что такие данные неправомерно или случайно переданы (предоставлены, распространены и т.д.) и это нарушило права работника, вы обязаны уведомить Роскомнадзор. В течение 24 часов нужно сообщить об инциденте, его причинах, предполагаемом вреде, принятых мерах по устранению последствий и о лице, уполномоченном взаимодействовать с ведомством по данному инциденту. О результатах внутреннего расследования происшествия и лицах, из-за которых оно произошло (если они есть), надо уведомить в течение 72 часов (ч. 3.1 ст. 21 Закона о персональных данных). При направлении уведомлений нужно руководствоваться Порядком, утвержденным Приказом Роскомнадзора от 14.11.2022 N 187;
  • вы должны уничтожить либо обезличить персональные данные по достижении целей их обработки или в случае утраты необходимости в достижении этих целей (исключение устанавливает федеральный закон). Если уничтожение происходит в случаях, предусмотренных ст. 21 Закона о персональных данных, необходимо соблюдать Требования, утвержденные Приказом Роскомнадзора от 28.10.2022 N 179 (ч. 7 ст. 5, ч. 7 ст. 21 названного Закона).

Обработка биометрических персональных данных работника осуществляется в общем порядке с учетом особенностей обработки биометрических персональных данных, установленных Законом о персональных данных. При этом гл. 14 ТК РФ, регулирующая защиту персональных данных работника, не содержит специальных требований к обработке биометрических персональных данных работников.

Риски при нарушении требований к обработке персональных данных работников организации:

- административная ответственность;

- по ч. 1, 2 ст. 5.27 КоАП РФ - за несоблюдение требований к обработке персональных данных работников, которые установлены Трудовым кодексом РФ.

- например, вас могут привлечь к ответственности по этой статье, если вы не знакомите работников под подпись с локальными нормативными актами, которые устанавливают порядок обработки персональных данных работников (например, с положением о персональных данных);

- по ст. 13.11 КоАП РФ - за нарушение требований к обработке персональных данных, которые установлены Законом о персональных данных.

- например, если не опубликовали или другим способом не обеспечили свободный доступ к документу, который определяет в вашей организации политику в отношении обработки персональных данных, вас могут оштрафовать по ч. 3 ст. 13.11 КоАП РФ;

- уголовная ответственность по ч. 2 ст. 137 УК РФ - если работник, ответственный за обработку персональных данных других работников, злоупотреблял своими служебными полномочиями, собирал и распространял сведения о частной жизни работника без его согласия.

Клиентский опыт

В дополнение к основному ответу мы хотели бы поделиться с Вами Клиентским опытом решения похожих задач. Вы можете ознакомиться с эффективной последовательностью действий в КонсультантПлюс по теме Вашего запроса в документе: «Безопасная работа с персональными данными в 2024 году».

Хочу рассмотреть Алгоритм с экспертом по КонсультантПлюс

В Приложении к ответу Вы найдете:

 

Еще по этой теме

29 апреля 2025 г.

Ответственность за нарушение законодательства о персональных данных. Риски операторов и должностных лиц

17 июня 2025 г.

Готовимся к проверкам Роскомнадзора: возможные риски ответственности

21 мая 2025 г.

Готовимся к проверкам Роскомнадзора. Базовые понятия закона «О персональных данных» и основные обязанности оператора

КонсультантПлюс

СБИС

Образование

Новости

Мероприятия

Записи мероприятий

Подборки

Справочная информация

Библиотека

Гид по разделу «Образование»