Пост для коллег и не только
В соцсетях всколыхнулась волна паники, мол, именно нам — бухгалтерам, нужно в мае 2025 года бежать в РКН и регистрироваться в качестве операторов персональных данных
Мы не юристы, не эксперты в области законодательства о персональных данных. Поэтому:
а). Будучи наемниками, мы не обязаны брать на себя участок по работе с ПД, составлять внутренние документы, регистрировать работодателя в РКН
б). Будучи аутсорсерами (самозанятые, ИП, ООО, продающие услуги бухгалтерского, налогового учета) не можем продавать нашим клиентам услугу по сопровождению регистрации в РКН, составлению внутренних документов по ПД, не имея спец.знаний
С чем нам приходится разбираться —
Если мы аутсорсеры (самозанятые, ИП, ООО) — мы работаем с чужими персональными данными, так же как и многие другие продавцы товаров, услуг, работ, соблюдаем законодательство по ПД a priori и ответственность за исполнение законодательства по ПД — именно на нас, ведь боссы своего бизнеса именно мы, а не кто-то другой, как когда мы наемники.
Вопросы, которые не всем понятны — регистрируются ли аутсорсеры качестве операторов ПД на сайте РКН и что за паника «про май 2025». Давайте рассуждать и читать всякую нормативку
❓Что такое ПД (персональные данные). Если п. 1 ст. 3 Закона № 152-ФЗ не очень помог.
✅ Простыми словами — это любые данные о человеке, позволяющие его идентифицировать. То есть, связка «ФИО и телефон» уже ПД. То есть, «у меня нет наемных работников, поэтому у меня нет ничьих персональных данных» заблуждение, ведь есть еще сведения о людях, получаемые/собираемые в силу специфики бизнеса, есть базы клиентов для систем лояльности, анализа, рекламных рассылок и т.д. и т.п.
То есть, и мы с вами и практически все остальные бизнесмены должны соблюдать законодательство по ПД и являемся операторами ПД по п. 2 ст. 3 Закона № 152-ФЗ
❓А обязаны ли мы регистрироваться в качестве оператора ПД на сайте РКН? В п.п. 7-9 ч. 2 ст. 22 Закона 152-ФЗ указаны исключения, в частности нас интересует п.п.8 — не должны «в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации». Видела спор коллег: «Нам не нужно регаться, ведь у нас 1С, а мы в ней руками работаем».
✅ Неавтоматизированная обработка персональных данных описана в Постановлении Правительства № 687 от 15.09.2008, простыми словами — это фиксация чужих ПД только на бумажных носителях/спец.бланках с последующим уничтожением вручную, и заполнены эти носители либо вручную, либо на печатной машинке, без возможности сохранения в памяти или копирования. Например, охранник на КП, записывающий посетителей ручкой в журнал, обрабатывает персональные данные неавтоматизированно.
Получается, обязаны
❓Нужно ли регистрироваться в качестве оператора ПД самозанятым.
✅ Оператором могут быть и юридическое и физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных (п.2 ст. 3 Закона 152-ФЗ) . Получается, нужно
❓Какие законы в области персональных данных надо соблюдать.
Какие законы в области персональных данных надо соблюдать.
✅ На сайте Роскомнадзора приведены все основные НПА в области ПД, которыми следует руководствоваться
❓Как узнать — вдруг я уже регистрировался в реестре операторов, осуществляющих обработку персональных данных, но забыл.
✅ Чекнуть тут по ИНН
❓Как регистрироваться в РКН или изменить данные.
✅ Отсюда выбрать вариант и заполнить. Причем тут можно посмотреть образцы заполнения или вот тут есть образец уведомления о регистрации и внесения изменений в ранее поданное уведомление для разных форм собственности с сайта
❓Как штрафуют за нарушения в области персональных данных
✅ По ст. 19.7 КоАП РФ могут оштрафовать за отсутствие регистрации в любых надзорных органах, по ней подведут и за неподачу уведомления в РКН. Для граждан штраф 100-300 рублей, должностных лиц 300-500 рублей, а для ЮЛ – 3-5 тыс. рублей.
По ст. 13.11 КоАП РФ караются уже нарушения в области ПД — для граждан 2-6 тыс руб, для должностных лиц 10-20 тыс, ЮЛ 60-100 тыс. руб и это только по первому пункту, лучше откройте статью
А также есть Федеральный закон от 30.11.2024 N 420-ФЗ о внесении изменений в КоАПП, который вступит в силу с 30.05.2025. Вот, откуда нагоняется про май-то паники
И этот закон вводит в ст.13.11 штраф за неподачу уведомления именно в РКН — гражданам 5-10 тысяч рублей; должностным лицам — 30-50 тысяч рублей; ЮЛ — 100-300 тысяч рублей. Почувствуйте разницу, как говорится.
А если вы не подали уведомление, да еще и утечку ПД допустили — у ЮЛ до 3 млн штрафы, а если при этом бездействовали — до 5 млн и т.п., посмотрите текст ФЗ полностью
Ну и ранее существовавшие в части нарушений законодательства о персональных данных (ПД) базовые штрафы для граждан по ст. 13.11 увеличены до 10-15 тыс. руб., для должностных лиц — 50-100 тыс.руб., для организаций — до 300-500 тыс. руб. Так же увеличены штрафы за повторные нарушения
_________________________________
Всё, мы сильно напугались и хотим работать без штрафов
❓Что нужно аутсорсеру
✔️Состоять в реестре операторов на сайте РКН. Или зарегистрироваться, не тянуть до старта новых штрафов.
✔️ Если есть сайт — обязательно иметь там в общем доступе политику конфиденциальности
✔️ Иметь у себя положение об обработке и защите ПД своих работников (работники под роспись знакомятся) и приказ о назначении ответственного по работе с ПД, собирать согласия на обработку ПД, ответственно хранить и защищать ПД, вовремя уничтожать и т.д.
✔️ Если мы оказываем услуги заказчикам-работодателям, то кроме согласия на обработку ПД от работника к работодателю должно быть согласие от работника работодателю с указанием, что ЗП передана на аутсорс вам (указаны ваше ФИО и адрес) и с какой именно целью. Здесь уже речь скорее о рисках заказчика, а не наших, но мы предупреждаем, формы согласия подготавливаем, даем. А если вы, аутсорсер, передаете этот участок на субподряд другому аутсорсеру — придется указывать в согласиях всю цепочку лиц. Также в договоре на аутсорс обязуемся перед заказчиком выполнять все меры сохранности, защиты, отвечать на вопросы заказчика — какие именно меры обеспечиваем