1 читатель оценил статью

Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 25 февраля 2023 г.

Содержание журнала № 5 за 2023 г.

Добавить в «Нужное»

М.А. Кокурина,
старший юрист

В конце декабря 2022 г. появились обновленные формы уведомлений в Роскомнадзор об обработке персональных данных (ПД), изменении сведений и прекращении обработки. А с середины февраля частично снят мораторий на проверки Роскомнадзора. К кому может прийти проверяющий? Должны ли уведомлять об обработке персональных данных ИП? Что делать работодателю, если сотрудник не соглашается на обработку его ПД? Разбираем вопросы читателей.

«Должен» — «не должен» в работе с персональными данными

Внеплановые проверки Роскомнадзора коснутся не всех

Слышали, что с 14 февраля Роскомнадзор начнет внеплановые проверки соблюдения правил обращения с ПД. В связи с чем может быть назначена такая проверка?

— С 14 февраля 2023 г. отменен мораторий на проверки Роскомнадзора в отношении компаний и ИП, у которых обнаружены утечки в Интернет баз персональных данных. Тогда внеплановую проверку проведут по решению руководителя Роскомнадзора или его зама по согласованию с прокуратуройПостановление Правительства от 04.02.2023 № 161. Видимо, отмена моратория в этой части связана с участившимися случаями «слива» ПД в сеть.

Если утечек у вас не будет, то в зависимости от степени риска, присвоенной компании, вас может ожидать только плановая проверка либо профилактический визит Роскомнадзорач. 4 ст. 52 Закона от 31.07.2020 № 248-ФЗ; п. 30 Положения, утв. Постановлением Правительства от 29.06.2021 № 1046.

Повторно подавать уведомление об обработке ПД не надо

Работодатели обязаны уведомлять Роскомнадзор о начале обработки персональных данных своих сотрудников с 01.09.2022. Мы отправили такое уведомление 31.08.2022. Надо ли сейчас в связи с выходом 26.12.2022 новой формы уведомления подавать его повторно по новой форме?

Карта утечки информации в РФ за I полугодие 2022 г.

— Проверьте на сайте Роскомнадзора, есть ли ваша организация в реестре операторов персональных данныхПриказ Роскомнадзора от 28.10.2022 № 180; Письмо Роскомнадзора от 06.09.2022 № 08-80975:

•если компанию внесли в реестр операторов ПД — то направьте в Роскомнадзор уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных (приложение № 2 к Приказу № 180). Потому что по новым правилам для каждой цели обработки нужно отдельно указывать ее способы и правовое основание, категорию сведений и их субъектов, перечень действий с ПД. То есть представить расширенную информацию по сравнению с той, что вы направили по старой форме;

•если вашей компании нет в реестре — то направьте уведомление о намерении осуществлять обработку персональных данных по обновленной форме (приложение № 1 к Приказу № 180).

Кстати, сроки подачи таких уведомлений по-прежнему не предусмотрены. Поэтому пока не может быть ответственности за их несвоевременное представление.

Есть договор с физлицом — должно быть уведомление об обработке ПД

Нужно ли организации уведомлять Роскомнадзор о начале обработки персональных данных при заключении договора об оказании услуг с физическим лицом?

— Нужно, если ранее не подавалось уведомление об обработке ПД при заключении договоров с физическими лицами.

Ранее работодатели вправе были обрабатывать ПД без уведомления Роскомнадзора, если данные были получены в связи с заключением договора с физическим лицом и использовались исключительно для исполнения такого договора или заключения с человеком иных договоров, а не для распространения или передачи третьим лицам. Но с 1 сентября 2022 г. это положение не действует.

Обрабатывать ПД физлица — стороны по договору можно без его согласия

Наша фирма сдает площади в аренду. У нас планирует снимать помещение физлицо. Надо ли брать у него согласие на обработку его ПД при заключении договора?

— Нет, не надо получать согласие на обработку ПД для исполнения договора с гражданином, который является стороной такого договорап. 5 ч. 1 ст. 6 Закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ).

Согласие на обработку ПД не нужно для выполнения обязанностей работодателя

Работник подлежит воинскому учету. Нужно ли брать у него отдельное согласие на обработку его ПД для заполнения карточки гражданина, подлежащего воинскому учету (формы 10), например при внесении в нее сведений о его водительском удостоверении?

— Отдельное согласие на обработку персональных данных работника для заполнения карточки воинского учета (формы 10) не нужно. Потому что все сведения в карточку, в том числе о водительском удостоверении, вы вносите по законодательно установленной форме, а не по своей инициативе. Заполнение такой карточки — также законодательно установленная обязанность работодателяп. 5 ст. 2 Закона от 28.03.1998 № 53-ФЗ; п. 27 Положения, утв. Постановлением Правительства от 27.11.2006 № 719; пп. 31, 32 Инструкции, утв. Приказом Министра обороны от 22.11.2021 № 700; п. 9 Методических рекомендаций, утв. Генштабом Вооруженных Сил 11.07.2017. А обрабатывать ПД для выполнения обязанности, возложенной на работодателя законом, можно без согласия работника — субъекта ПДп. 2 ч. 1 ст. 6 Закона № 152-ФЗ.

Кстати, наиболее безопасный вариант, исключающий споры как с проверяющими, так и с работником, — это указывать в перечне сведений, на обработку которых сотрудник дает согласие при трудоустройстве, необходимые для целей воинского учета данные.

О сборе биометрии безопаснее оповещать Роскомнадзор

Директор хочет установить видеонаблюдение в офисе и на производстве. Надо ли из-за этого что-то менять в трудовых договорах и посылать уведомление в Роскомнадзор?

— Видеосъемка — это изображение человека на записи с видеокамеры, характеризующее физиологические и биологические особенности человека. А на их основании можно в некоторых случаях установить его личность. По мнению судов, видеоизображение работника относится к биометрическим персональным даннымОпределение 8 КСОЮ от 10.11.2020 № 88-16003/2020; Решения Нижневартовского горсуда Ханты-Мансийского автономного округа — Югры от 17.05.2022 № 2-2825/2022; Московского райсуда г. Санкт-Петербурга от 08.10.2020 № 2-4366/2020.

Подробнее о правилах установления видеонаблюдения у работодателя читайте в одном из следующих номеров

Поэтому, если вы вносите в ЛНА положения о введении видеонаблюдения, обозначая его цели, о которых не было ранее заявлено в Роскомнадзор, то направьте туда уведомление. Например, можно указать, что устанавливаете видеонаблюдение, чтобы контролировать рабочий процесс, предотвращать причинение материального ущерба имуществу работодателя или работников, обеспечивать безопасность, а впоследствии при необходимости использовать видео при проведении служебного расследования.

В трудовой договор условие о видеонаблюдении можно не включать. Ведь условие о его наличии либо отсутствии не является обязательным условием договора по ТК РФст. 57 ТК РФ; Определение Мосгорсуда от 26.04.2019 № 4г-4823/2019. Но если вы в связи с установлением видеонаблюдения вводите какие-то новые обязанности работников, то сделать дополнительное соглашение придется. Например, дополнив обязанностью не препятствовать работе видеокамер.

Смена фамилии — не повод для замены согласия на обработку ПД

У работницы поменялась фамилия. Нужно ли с ней переоформить согласие на обработку персональных данных?

— Переоформлять согласие не обязательно. Оно продолжит действовать до его отзыва самим работником или до истечения срока, если согласие давалось на определенный срок. Ведь законом не установлена обязанность работодателя требовать от работника новое согласие при смене его ПД. Потому что содержание в согласии прежних персональных данных не делает его недействительным, не отменяет и не изменяет выраженную в нем волю работникап. 1 ч. 4 ст. 9 Закона № 152-ФЗ.

В рамках ТК РФ работодатель вправе работать с ПД без согласия сотрудника

Как действовать, если работник отказывается подписывать согласие на обработку его ПД?

— Сделайте следующее.

Шаг 1. Составьте акт за подписями двух свидетелей об отказе сотрудника дать согласие на обработку ПД. Пусть у вас будет подтверждение, что вы пытались получить такое согласие.

Шаг 2. Обрабатывайте ПД работника в порядке и объемах, необходимых для выполнения работодателем условий коллективного договора, ЛНА или трудовых договоров. То есть работайте с ПД для исполнения требований трудового законодательства или договоров, выгодоприобретателем по которым является работник (например, договор ДМС). Без согласия сотрудника (соискателя) вы можете обрабатывать его ПД, в частности, еслиРазъяснения Роскомнадзора от 24.12.2012:

•работодатель продолжает вести личные карточки сотрудников, в связи с чем обрабатывает ПД их близких родственников в объеме, необходимом для внесения в такую карточку;

•сведения о состоянии здоровья сотрудника необходимы в связи с возможностью выполнения им трудовых обязанностей;

•ПД передаются в госорганы (в налоговые органы, военные комиссариаты, для целей персонифицированного учета) или в профсоюзные органы;

•законом установлена обязанность размещать в сети Интернет, например, информацию о медицинской деятельности и о медработниках клиники, об уровне их образования и квалификациип. 7 ч. 1 ст. 79 Закона от 21.11.2011 № 323-ФЗ;

•организован пропускной режим по ф. и. о. и паспортным данным на территорию служебных зданий и помещений работодателя.

Если у ИП есть работники — то уведомляем об обработке ПД в общем порядке

Должен ли ИП без наемных работников направлять уведомление в Роскомнадзор о начале обработки персональных данных?

— Не должен. Нет работников, поэтому нет обязанности уведомлять Роскомнадзор об обработке ПД в соответствии с трудовым законодательством.

Но при ведении предпринимательской деятельности ИП наверняка становятся доступны ПД его контрагентов, заказчиков, исполнителей, покупателей, продавцов. Поэтому если ИП обрабатывает их ПД автоматизированным способом, то без уведомления Роскомнадзора о начале обработки таких сведений не обойтисьп. 8 ч. 2 ст. 22 Закона № 152-ФЗ.