152-ФЗ — Статья 22 — Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) сделанных субъектом персональных данных общедоступными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
10.
1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
Положения статьи 22 закона №152-ФЗ используются в следующих статьях:-
Статья 22.1
Лица, ответственные за организацию обработки персональных данных в организациях
Открыть статью -
Статья 23
Уполномоченный орган по защите прав субъектов персональных данных
5.1) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, сведения, указанные в пункте 7 части 3 статьи 22 настоящего Федерального закона; Открыть статью
-
Статья 25
Заключительные положения
2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.
Открыть статью
Как работать с персональными данными работников с 1 сентября 2022 г.
Текст: Елена Карсетская – юрист, эксперт по трудовому праву. Автор многочисленных публикаций в профессиональных изданиях. Автор книг «Трудовые книжки», «Сокращение штата», «Прием и увольнение работников»; «Локальные акты организации» и других.
С 1 сентября 2022 года были внесены существенные изменения в порядок обработки персональных данных. В данной статье рассмотрим те важные изменения, которые актуальны для работодателей.
Изменение Закона о персональных данных
Федеральный закон от 14.07.2022 № 266-ФЗ внес значимые изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Большинство изменений применяется с 1 сентября 2022 года. Часть поправок вступит в силу с 1 марта 2023 года. Учитывая значительные размеры штрафов за нарушение порядка работы с персональными данными, компаниям необходимо знать новые обязанности, предусмотренные Законом 152-ФЗ в актуальной редакции.
Уведомление Роскомнадзора об обработке персональных данных работников
Ранее компании-работодатели вправе были не уведомлять Роскомнадзор об обработке персональных данных работников, в том случае, когда такая обработка происходила в соответствии с трудовым законодательством. Данное исключение было предусмотрено подп. 1 п. 2 ст. 22 Закона 152-ФЗ.
С 1 сентября 2022 года данная норма утратила силу. Соответственно, даже если компания обрабатывает персональные данные своих сотрудников исключительно в целях соблюдения трудового законодательства, необходимо уведомить об этом Роскомнадзор.
Изменился и состав сведений, которые должно содержать уведомление (п. 3.1 ст. 22 закона 152-ФЗ). Оператор должен указать для каждой цели обработки персональных данных (далее – ПДн):
- категории ПДн;
- категории субъектов, персональные данные которых обрабатываются;
- правовое обоснование обработки ПДн;
- перечень действий с ПДн;
- способы обработки ПДн.
Форма уведомления
Форму уведомления должен определить Роскомнадзор (п. 8 ст. 22 Закона 152-ФЗ). В настоящее время форма уведомления еще не утверждена Роскомнадзором, поэтому следует использовать форму, приведенную в приложении 1 к Методическим рекомендациям, утвержденным приказом Роскомнадзора от 30.05.2017 № 94.
Роскомнадзор рекомендует использовать электронную форму уведомления, размещенную на официальном сайте ведомства (письмо Роскомнадзора от 19.08.2022 № 08-75348).
Требования к содержанию локальных актов
В целях соблюдения закона 152- ФЗ операторы должны издавать:
- документ, определяющий политику в отношении обработки ПДн;
- локальные акты по вопросам обработки ПДн.
С 1 сентября 2022 г. определен перечень вопросов, который надо отразить в локальных актах. Так локальные акты должны содержать для каждой цели обработки ПДн:
- категории и перечень обрабатываемых ПДн;
- категории субъектов, персональные данные которых обрабатываются;
- способы, сроки обработки и хранения ПДн;
- порядок уничтожения ПДн после того, как цели обработки достигнуты (подп.
2 п. 1 ст. 18.1 закона 152-ФЗ).
При этом в локальные акты нельзя включать следующие условия:
- ограничения прав субъектов ПДн;
- полномочия и обязанности оператора, не предусмотренные законодательством.
Политику в отношении обработки персональных данных следует опубликовать на сайте, через который оператор собирает персональные данные (п. 2 ст. 18.1 Закона 152-ФЗ).
Согласие на обработку персональных данных
Законодатель уточнил требования к согласию на обработку персональных данных. Такое согласие должно быть конкретным, информированным, сознательным, предметным и однозначным (п. 1 ст. 9 Закона 152-ФЗ).
Если же субъект ПДн обратится к оператору с требование прекратить обработку ПДн, оператор обязан выполнить данное требование в течение 10 рабочих дней. Данный срок оператор вправе продлить на 5 рабочих дней, но в этом случае субъекту ПДн необходимо направить уведомление, в котором разъяснить причины продления срока (п. 5.1. ст.
21 Закона 152-ФЗ).
Предоставление информации в Роскомнадзор и субъекту ПДн
Ранее было установлена обязанность оператора предоставлять запрашиваемую информацию в Роскомнадзор в течение 30 дней с даты получения запроса. Теперь срок сократили до 10 рабочих дней (п. 4 ст. 20 закона 152-ФЗ). Продлить срок можно на 5 рабочих дней. Для этого оператор должен направить в Роскомнадзор мотивированное уведомление, в котором указать причины продления срока.
Оператор должен предоставить субъекту ПДн информацию об обрабатываемых персональных данных, при условии, что субъект обратится с соответствующим запросом. Ранее срок для предоставления информации установлен не был. Сейчас оператору дается 10 рабочих дней на предоставление запрашиваемой информации (п. 3 ст. 14 закона 152-ФЗ).
Срок также можно продлить на 5 рабочих дней при условии предоставления субъекту уведомления о причинах продления срока.
Оператор должен представить запрашиваемые сведения по той же форме, что субъект направил запрос.
Это правило действует, если субъект ПДн в запросе самостоятельно не определил в какой форме он планирует получить информацию.
«Такском» предлагает сотрудникам организаций и гражданам (физлицам) электронные подписи для любых задач
Получить консультацию
Имя
Просьба заполнить имя, чтобы консультант знал как к вам обращаться
Номер телефона
Заполните поле телефон, чтобы консультант вам перезвонил
Я согласен на обработку персональных данных
Нажимая на кнопку, я выражаю свое согласие с обработкой персональных данных ООО «Такском»
Отправить
Запинить
Твитнуть
Поделиться
Свои замечания и предложения отправляйте на [email protected]
Германия BDSG: Раздел 22 — Обработка особых категорий лиц…
Раздел 22
Статья Категории Персональные данные Регламент Особые категории
(1) В отступление от статьи 9 (1) Регламента (ЕС) 2016/679 обработка специальных категорий персональных данных, как указано в статье 9 (1) Регламент (ЕС) 2016/679 должен быть разрешен
Государственным
1.
государственными и частными органами, если
Необходимые обязательства Обязательства Права Безопасность Безопасность
а) обработка необходима для осуществления прав, вытекающих из права на социальное обеспечение и социальную защиту, и для выполнения соответствующих обязательств;
Контракт Здоровье работника Необходимое обязательство
b) обработка необходима в целях профилактической медицины, для оценки трудоспособности работника, медицинского диагноза, предоставления медицинской или социальной помощи или лечения или управления здоровьем или системы и услуги социального обеспечения или в соответствии с договором субъекта данных с медицинским работником, и если эти данные обрабатываются медицинскими работниками или другими лицами, на которых распространяется обязательство хранить профессиональную тайну или под их контролем; или
Уголовно-правовые меры в области здравоохранения Необходимые положения Общественные общественные интересы Раздел должен
безопасность здравоохранения и лекарственных средств или медицинских изделий; в дополнение к мерам, указанным в пункте 2, должны соблюдаться, в частности, положения о трудовых и уголовных законах для обеспечения профессиональной тайны;
Государственные Государственные органы
2.
государственными органами, если
Необходимые общественные общественные интересы
а) обработка срочно необходима по причинам, представляющим значительный общественный интерес;
Необходимая общественная безопасность Безопасность
b) обработка необходима для предотвращения существенной угрозы общественной безопасности;
Ущерб Необходимая гарантия Существенный ущерб
c) обработка срочно необходима для предотвращения существенного ущерба общему благу или для защиты существенных интересов общего блага; или
Правительство Федерации Меры Необходимое обязательство Обязательства Государственный Государственный орган
d) обработка необходима по неотложным причинам обороны или для выполнения межгосударственных обязательств государственного органа Федерации в области кризисного регулирования или предотвращения конфликтов или для гуманитарных мер;
Контроллер управления
и насколько интересы контроллера в обработке данных в случаях нет.
2 перевешивают интересы субъекта данных.
Свободы Меры правдоподобия Права физических лиц Защита рисков Раздел должен указывать
(2) В случаях, указанных в подразделе 1, должны быть приняты соответствующие и конкретные меры для защиты интересов субъекта данных. Принимая во внимание уровень техники, стоимость реализации, характер, объем, контекст и цели обработки, а также риски различной степени вероятности и серьезности для прав и свобод физических лиц, связанные с обработкой, эти меры могут включать в частности следующее:
Организационные меры Регламент
1. технические организационные меры для обеспечения соответствия обработки Регламенту (ЕС) 2016/679;
Меры Персональные данные
2. Меры, обеспечивающие возможность последующей проверки и установления того, были ли введены, изменены или удалены персональные данные и кем;
Меры
3. меры по повышению осведомленности персонала, участвующего в технологических операциях;
Сотрудник по защите данных
4.
назначение ответственного за защиту данных;
Контроллер контроля доступа Обработчик персональных данных Обработчики Ограничения
5. ограничения доступа к персональным данным внутри контроллера и обработчиками;
Псевдонимизация персональных данных
6. Псевдонимизация персональных данных;
Шифрование персональных данных
7. Шифрование персональных данных;
Доступ Доступность Конфиденциальность Инцидент Целостность Меры Персональные данные Обработка персональных данных
8. меры по обеспечению способности, конфиденциальности, целостности, доступности и отказоустойчивости систем обработки и услуг, связанных с обработкой персональных данных, включая возможность быстрого восстановления доступности и доступа в случае физического или технического инцидента;
Меры Организация Безопасность Безопасность
9. процесс регулярного тестирования, оценки и оценки эффективности технических и организационных мер по обеспечению безопасности обработки;
Соблюдение Регламента
10.
специальные правила процедуры для обеспечения соблюдения настоящего Закона и Регламента (ЕС) 2016/679 в случае передачи или обработки для других целей.
| Дата | Действие | Расположение | Голосование | ||||
| Голосование | |||||||
| Голосование | |||||||
| 2/1099.0101 | |||||||
| 17.01.2022 | Нюлкий законопроект публично распределен | Законодательные исследования и Генеральный юрисконсульт | |||||
| 2/17/2022 | 98|||||||
| . Сенат | |||||||
| 17.02.2022 | Сенат / 1-е чтение (внесено) | Регламент Сената | |||||
| Сенат/Постоянный комитет | Комитет по доходам и налогообложению в Сенате | ||||||
| 23.06.2022 | Сенат Comm — Заменительная рекомендация от # 0 | Senate Revload and Tax Committe | 9001 9.SENAT | ||||
| 23.02.2022 | Коммуникация Сената — Положительная рекомендация | Комитет Сената по доходам и налогам | 6 0 3 | ||||
| 9 (21.02.203) 19:02:2030098 Сенат/ Коммул RPT/ Заменил | Комитет по доходам и налогообложению в Сенате | ||||||
| 23.06.2022 (2:23:02 | Сенат/ Поставлен на 2 -й календарь | Сенатор 2ND. | |||||
| 2/24/2022 (6:38:29 PM) | Senate/ 2nd reading | Senate 2nd Reading Calendar | |||||
| 2/24/2022 (6:38:49 PM) | Сенат/ обведено | Календарь второго чтения Сената | Voice vote | ||||
| 2/24/2022 (6:54:45 PM) | Senate/ uncircled | Senate 2nd Reading Calendar | Voice vote | ||||
| 2/24/2022 (6:58: 22:00) | Сенат/ Пропустил 2 -е чтение | Сенат 3 -й календарь чтения | 28 0 1 | ||||
2/25/2022 (11:36:58. | |||||||
| 25.02.2022 (11:37:23) | Сенат/ кружок | Сенат 3 -й календарь чтения | Голосовой голосовой | 25.02.2022 (15:07:16) | Сенат/ заменен с № 1 на № 2 | Сенат Календарь 3-го чтения | Голосование |
| 25.02.2022 (3:09:43) PM) | Сенат/ принят в 3-м чтении | Clerk of the House | 28 0 1 | ||||
| 2/25/2022 (3:09:44 PM) | Senate/ to House | Clerk of the House | |||||
| 2/28/2022 | House/ received from Senate | Clerk of the House | |||||
| 2/28/2022 | House/ 1st reading (Introduced) | House Rules Committee | |||||
| 2/28/2022 | Дом/ постоянному комитету | House Transportation Committee | |||||
| 2/28/2022 | LFA/ fiscal note sent to sponsor | House Transportation Committee | |||||
| 3/1/2022 | LFA/ fiscal note publicly available | Комитет по домашнему транспорту | |||||
01. 03.2022 | Комитет Палаты представителей — Поправка к рекомендации № 1 | Комитет по домашнему транспорту | 11 0 1 | ||||
| 3/1/2022 | House Comm — благоприятная рекомендация | Комитет по транспортировке дома | 12 0 0 | ||||
| 3/1/2022 | House/Comm RPT/AMDED | . | |||||
| 01.03.2022 | Дом/возврат к Правилам в связи с финансовыми последствиями0101 | House 3rd Reading Calendar for Senate bills | |||||
| 3/1/2022 (6:38:59 PM) | House/ comm rpt/ amended | House Transportation Committee | |||||
| 3/1 /2022 (18:39:00) | Палата представителей/ 2-е чтение | Календарь 3-го чтения законопроектов Сената | |||||
| 02.03.2022 (14:53:47) | Палата представителей/чтение | Календарь 3-го чтения законопроектов Сената Палаты представителей | |||||
| 3/2/2022 (3:10:12 PM) | House/ passed 3rd reading | Senate Secretary | 71 0 4 | ||||
| 3/2/2022 (3:10:14 PM) | House/ to Senate | Senate Secretary | |||||
| 3/3/2022 (9:49:45 AM) | Senate/ received from House | Senate Secretary | |||||
| 3/ 3/2022 (9:49:46) | Сенат/ помещен в Календарь согласования | Календарь соглашения Сената | |||||
3/3/2022 (10:25:45). (10:25:46 AM) | Senate/ to House | House Speaker | |||||
| 3/3/2022 | House/ received from Senate | House Speaker | |||||
| 3/3/ 2022 | Палата представителей/ подписано спикером/ возвращено в Сенат | Президент Сената | |||||
| 3/3/2022 | Дом/до Сената | Президент Сената | |||||
| 3/2022 | 1111111101110111011101110111111111111111111101101110101110111011101110111011101ЕСКИ|||||||
| 03.03.2022 | Сенат/ подписано Президентом/ отправлено для регистрации | Законодательное исследование и главный юрисконсульт/ регистрация | |||||
| 08.03.2021 | законопроект, полученный в Сенате для зачисления | Законодательных исследований и генерального советника / зачисления | |||||
| 3/8/2022 | Проект зарегистрированного законопроекта, подготовленного | Законодательное исследование и Генеральный адвокат.  |
0. 0 0. 0 0. 0 0. 0 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0 0. 0.