Конфиденциально о персональном
1-е сентября оказалось очень обильным на законодательные новшества. Одними из которых стали изменения в закон № 152-ФЗ «О персональных данных», изменения в который внес федеральный закон от 14.07.2022 № 266-ФЗ. Что же такого страшного эти изменения привнесли в жизнь бизнеса? Расскажу на собственном примере.
Я, как законопослушный руководитель узнала об этом факте заранее. Проверила, все ли есть в Политике о персональных данных фирмы, оказалось, что кое-что надо доработать. Фигня! Доработаем.Но дальнейшее изучение мнений и комментариев привело к осознанию того, что теперь все малый бизнес, включая ИП становится "Операторами" сбора, обработки, хранения, распространения, уничтожения и еще Бог знает чего персональных данных.
"Да ну, не может такого быть," - долго не могла осознать я.
Оказывается может. Теперь все юр лица, которые принимают на работу и начисляют заработную плату хоть одному человеку (единственный учредитель-директор, ИП с зарплатой) отвечают по этому Закону так же, как и Газпром или МТС. Они оказываются берут персональные данные сами у себя и передают их в Банк.
Или те же лица, которые ведут сайт, где есть CRM-форма для сбора простейших данных, тоже становятся Операторами.
Если заключен договор на бухгалтерское, юридическое или иное обслуживание с ИП, которых теперь приравняли к физическим лицам, аналогично.
Особенно страшная кара ждет тех, кто оформляет пропуска. Их уличат в использовании биометрии.Кроме того, что меняется документация с учетом того, что мы все стали Операторами, нужно с 1 сентября подписать новые Согласия на обработку и распространение ПД с каждым сотрудником и контрагентом.
Исключение есть только для тех, кто "охраняется Государством", лицам, "обрабатывающим данные в соответствии с законодательством о транспортной безопасности" (интереснейшая формулировка) и те, кто не знает, что такое компьютер, т.е. никогда ничего не печатал, не заносил в таблички и пр. Печатать можно только на пишущей машинке или писать в блокноте вручную.
Повторюсь, что описываю свой собственный тернистый путь до 1 сентября. Первое, что делаю - пытаюсь заполнить уведомление о том, что я не верблюд, а ОПЕРАТОР на сайте Роскомнадзора. Перечитываю кучу статей о том, как это сделать, спорю со своим программистом, который мне доказывает, что этого не может быть, потому что не может быть никогда! Чего не может быть? Аха, не может быть того, что мы теперь есть центры обработки данных (ЦОДы), потому что храним базы данных (таблички в Excel и Word) на своих компьютерах. Может, еще как может!
Не буду углубляться, что в этом уведомлении нужно конкретно расписать какие именно данные берутся, цели (сбор данных для начисления зарплаты или для подписания договора), способы, меры безопасности (например, что я храню комп в сейфе) и прочее мракобесие. Указать, какие средства и ПО криптозащиты используются, обмениваюсь ли трансгранично. Обязательно указать, что данные для базы по начислению зарплаты и базы для заключения договоров хранятся раздельно.
О, я же не написала для чего нужно было срочно отправить сей труд нерукотворный. А вот для чего: чтобы зарегистрироваться в реестре Роскомнадзора. Потому что после 1-го сентября нужно уведомлять о любых изменениях, а я еще не зарегистрирована. Да и штрафы придуманы немалые : за неотправленное уведомление до 5000 рублей; за обработку ПД, несовместимую с целями их сбора до 60 000 рублей; а за незаконную передачу персональных данных третьим лицам без нового согласия - до 150 000 рублей. Как то так.
С горем пополам вместе с программистом заполняем форму и отправляем при помощи ЭЦП. Хорошо, что успели, потому что 31-го августа сайт просто лег.
Готовлю новые согласия на обработку и распространение с контрагентами ИП и теми, кто оказывает консультативные бухгалтерские и прочие услуги. Срочно отправляю их по ЭДО, чтобы была проставлена дата подписания - 1-е сентября. Собираю согласие с сотрудников и договорников.
Размещаю Политику обработки ПД на сайте, во всех пабликах и группах в соцсетях 1-го же сентября.Сажусь и начинаю прорабатывать пакет локальных актов предприятия согласно новшествам. Хорошо, что у нашего партнера - юридической компании всегда есть ответы на подобные жизненные ситуации.
Теперь подошли к главному - зачем такая спешка? Этого не знает никто. В связи с тем, что многие не смогли отправить уведомления из-за технических проблем на сайте Роскомнадзора, срок перенесли. Грозили, что с 1-го сентября будет усложнена процедура подачи уведомления, но опять, как всегда, новые формы не утвердили.
Так что пока у предприятий есть возможность подать сию бумагу по старым правилам. А будут или нет штрафовать - вопрос открытый. Вот уж День знаний, так День знаний.
Буду рада, если поделитесь своими историями на тему "Как я провел 1-е сентября" и опытом разработки новой документации.
Если у вас возникли вопросы, касающиеся данного новшества, обращайтесь, не стесняйтесь. Мы всегда готовы помочь.
Подробности и контакты на нашем сайте: ит-ангел.рф