Все это — онлайн, с заботой о вас и по отличным ценам.
Статья 22 федерального закона №152-ФЗ "О персональных данных" требует уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных
Статья 22 федерального закона №152-ФЗ "О персональных данных" требует уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных. Компания планирует нанимать сотрудника на работу по трудовому договору. В компании используются средства автоматизации для обработки персональных данных (Используется 1С ЗУП для кадрового учета).
Вопрос: предусмотрены ли законодательством исключения, чтобы не уведомлять Роскомнадзор в такой ситуации? Если предусмотрены, предоставьте пожалуйста ссылки на законы. Если не предусмотрены, какая предусмотрена ответственность за нарушение для компании, которая обрабатывает переданные работников в рамках кадрового учета как работодатель, при этом не уведомила Роскомнадзор.
Да, в вашей ситуации уведомлять Роскомнадзор не требуется. Это прямо предусмотрено исключением в пункте 2 части 2 статьи 22 Федерального закона № 152-ФЗ. Обработка персональных данных сотрудников, осуществляемая работодателем в строгих целях исполнения трудового договора (кадровый учет, расчет заработной платы, исполнение требований трудового законодательства), освобождена от обязанности направлять такое уведомление. Это относится как к автоматизированной обработке в 1С: ЗУП, так и к неавтоматизированной.
Таким образом, если компания обрабатывает данные исключительно для целей трудовых отношений, она действует в рамках этого исключения. Ответственность за отсутствие уведомления в данном случае не наступает, так как обязанность его подавать отсутствует. Однако компания обязана выполнить все другие требования закона: опубликовать политику обработки персональных данных, заключить соглашения с операторами, если они привлекаются, и обеспечить безопасность данных.
Спасибо за важное уточнение. Вы абсолютно правы.
В связи с вступлением в силу с 1 марта 2023 года Федерального закона от 14.07.2022 № 266-ФЗ, части 1-6 статьи 22 Федерального закона № 152-ФЗ, которые регулировали обязанность по уведомлению Роскомнадзора и исключения из нее, утратили силу.
Таким образом, в настоящее время обязанность направлять уведомление в Роскомнадзор об обработке персональных данных для большинства операторов, включая работодателей, ОТМЕНЕНА.
Теперь основная обязанность компании-оператора до начала обработки персональных данных — опубликовать на своем сайте (или иным способом предоставить неограниченному кругу лиц) документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных. Это установлено новой редакцией статьи 18.1 Закона № 152-ФЗ.
Исключения, когда уведомление все же требуется, теперь прямо перечислены в части 7 статьи 18 Закона № 152-ФЗ. К ним, в частности, относится обработка:
осуществляемая государственными или муниципальными органами;
биометрических данных;
данных лиц, suspected в совершении преступления;
данных несовершеннолетних;
данных, относящихся к здоровью лиц, не способных выразить свою волю.
Обычная обработка данных сотрудников работодателем в рамках трудовых отношений под эти исключения НЕ ПОДПАДАЕТ.
Ответственность: Поскольку обязанность подавать уведомление отсутствует, ответственности за его непредставление нет. Однако компания по-прежнему несет ответственность (по ст. 13.11 КоАП РФ) за несоблюдение иных требований закона, таких как отсутствие опубликованной политики, несоблюдение прав субъекта данных или ненадлежащая защита данных.