Что нужно сделать НКО в связи с изменениями в законодательстве о персональных данных, вступающими в силу 1 сентября 2022 года?
С 1 сентября вступают в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», которые существенно меняют законодательные требования к обработке персональных данных. Артем Селитраров, юрист, директор АНО Центр правовой и учебно-методической поддержки социальных инициатив Урала «Третий сектор» дал четкие разъяснения и поделился своими рекомендациями.
Обязанность подать уведомление в Роскомнадзор
Обязанность направления уведомления об обработке персональных данных предусмотрена в части 1 статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон о персональных данных). Данной норме уже много лет. До 1 сентября 2022 года вышеуказанная статья содержала девять исключений, когда направлять такое уведомление не требовалось. Например, если персональные данные обрабатывались в соответствии с трудовым законодательством, а также если персональные данные были получены в связи с заключением договора.
В иных случаях уведомление необходимо было подать с момента начала обработки персональных данных. Например, к иным случаям относилась обработка персональных данных с использованием сайта или других средств автоматизации (например, при сборе частных пожертвований или использовании CRM).
Организации при неподаче уведомления в Роскомнадзор и ранее рисковали получить административный штраф. Для юридических лиц на сегодняшний день он составляет до 5000 рублей (ст. 19.7 КоАП РФ).
Есть мнение, что после уведомления организация попадет в поле зрения Роскомнадзора, соответственно, возрастет вероятность проверки со стороны контролирующего органа. Это заблуждение. С 1 июля 2021 года при планировании и проведении проверок Роскомнадзор применяет риск-ориентированный подход, то есть по каждой организации осуществляется оценка категории риска. От категории риска зависит частота проверок Роскомнадзора. Например, при низкой категории риска плановые проверки не проводятся вообще. На группу риска влияют особые условия обработки персональных данных: например, трансграничная передача данных или обработка персональных данных, которые отнесены к специальной категории, а также объем обработки персональных данных в информационных системах (до 1 тыс. субъектов – категория низкого риска, от 1 до 20 тыс. – средний риск, от 20 тыс. – высокий риск).
С 1 сентября 2022 года статья 22 Закона о персональных данных меняется: сокращается перечень исключений, позволяющих организациям не подавать в Роскомнадзор уведомление об обработке персональных данных. Остается всего 3 случая:
если организация осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
если обрабатываются персональные данные, включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
если обрабатываются персональные данные в соответствии с законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Таким образом, с 1 сентября 2022 года при обработке персональных данных работников, контрагентов, волонтеров и участников мероприятиях организация должна подать уведомление в Роскомнадзор.
Содержание уведомления
Изменения также коснулись содержания уведомления. С 1 сентября 2022 года в уведомлении для каждой цели обработки персональных данных необходимо указать категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.
В остальном ничего не поменялось: в уведомлении указываются реквизиты оператора, данные лица, ответственного в организации за процесс обработки персональных данных, сведения об обеспечении безопасности персональных данных и др.
Кроме того, закон закрепил право Роскомнадзору утверждать формы уведомлений. Проект соответствующего приказа уже опубликован на сайте regulation.gov.ru. В настоящий момент документ проходит общественное обсуждение.
Порядок подачи документов
Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Соответственно можно сформировать уведомление в бумажном виде. В этом случае надо заполнить форму, распечатать и отправить уведомление в территориальный орган.
В электронном виде уведомление формируется с использованием усиленной электронной подписи. Необходимо заполнить электронную форму на сайте Роскомнадзора и подписать ее электронной подписью. В этом случае подача в бумажном виде не потребуется.
Действующая на сайте форма (по состоянию на 31.08.2022) осталась прежней и не отражает новых требований законодательства в части содержания уведомления. Предполагаю, что автоматизированная форма на сайте будет изменена после вступления в силу соответствующего приказа Роскомнадзора. Проверить наличие организации в реестре можно здесь.
Организациям, еще не включенным в реестр операторов персональных данных, рекомендую после 1 сентября 2022 года дождаться появления на сайте новых форм. При этом рекомендую уточнить порядок подачи уведомления в переходный период у специалистов территориального отделения Роскомнадзора (на территории региона, где находится ваша организация).
Также предварительно рекомендую перед заполнением формы уведомления:
1) Определиться с целями обработки персональных данных в вашей организации. Здесь может быть: оформление трудовых отношений, ведение кадрового делопроизводства, договорная работа, оформление отношений с волонтерами, участниками мероприятий, работа с сайтом, публикации в социальных сетях, оказание услуг и др.
2) Определиться с видами и перечнем персональных данных, которые обрабатываются с вашей организации. Проанализируйте, где и какие персональные данные вы обрабатываете. Это могут быть обычные персональные данные (ФИО, данные из документов, контактная информация), биометрические персональные данные (например, фото работников), а также персональные данные, которые относятся к категории специальных (например, информация о здоровье).
3) Провести аудит правовых оснований обработки персональных данных. Здесь речь идет про Федеральные законы (например, ФЗ «Об образовании» если вы образовательная организация), устав организации, трудовые и иные договоры, согласия на обработку персональных данных, а также комплекс внутренний документов, регламентирующих обработку персональных данных:
приказ о назначении в вашей организации ответственного лица за обработку персональных данных;
инструкция для работника, ответственного за защиту информации;
документы, определяющие политику в вашей организации в отношении обработки персональных данных (Положение по обработке персональных данных (включая необходимые формы согласий);
приказ о перечне лиц, допущенных к обработке персональных данных
приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности при их хранении;
регламент по организации хранения/уничтожения документов, содержащих персональные данные,
а также другие локальные акты по вопросам обработки персональных данных с учетом сферы работы организации.