Уведомление роскомнадзора о начале обработки персональных данных

Полезная информация по теме: "Уведомление роскомнадзора о начале обработки персональных данных". Здесь собрана и обработана имеющаяся информация по теме. Мы постарались приподнести ее в удобном и понятном виде. Если у вас возникнут вопросы, просьба задавать их нашему дежурному консультанту.

Роскомнадзор напоминает: не забудьте прислать уведомление об обработке персональных данных

Ю.С. Забудько, заместитель начальника Управления по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций

Повод для разговора:
В августе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) утвердила приказ, в котором даны рекомендации, как заполнить уведомление об обработке персональных данных 1 .

Почему это важно?
Работодателю как оператору, осуществляющему обработку персональных данных, следует знать, что до начала их обработки следует известить Роскомнадзор. В каком виде (электронном или бумажном) нужно направлять уведомление? Каковы требования к его оформлению?

На наши вопросы отвечает:
Юлия Забудько, заместитель начальника Управления по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

1. Все ли работодатели обязаны направлять в Роскомнадзор уведомление об обработке персональных данных?

– Сначала хотелось бы отметить, что Роскомнадзор удивил факт такого пристального внимания к приказу № 706. Федеральным законом «О персональных данных», вступившим в силу в январе 2007 года, уже предусматривалось, что работодатель должен направить в Роскомнадзор уведомление об обработке персональных данных 2 . В 2008 году был издан приказ, утверждающий форму уведомления и рекомендации по ее заполнению. И лишь после этого был издан приказ № 706, отражающий те изменения, которые были внесены в Закон в июле этого года. И хотя тема не нова, поток звонков в территориальные управления Роскомнадзора с вопросами по заполнению уведомления в последнее время не прекращается.

Возвращаясь к вопросу, поясню, что в Законе перечислены основания, при которых работодатель вправе осуществлять обработку персональных данных без уведомления Роскомнадзора (ч. вторая ст. 22). Например: если они обрабатываются в соответствии с трудовым законодательством; если данные получены в связи с заключением гражданско-правового договора с работником (при условии, что персональные данные не предоставляются третьим лицам без согласия работника и используются работодателем исключительно для исполнения договора) и т. п.

Чтобы четко понять, нужно ли уведомлять Роскомнадзор, рекомендую не только внимательно изучить закон, но и свои учредительные документы, локальные нормативные акты – в них закрепляются направления деятельности юридического лица и цель предполагаемой обработки персональных данных.

Иногда работодателю все же сложно определить, обязательно ли направлять уведомление. Об этом свидетельствуют многочисленные звонки в наш Справочно-информационный центр и письменные обращения граждан и юридических лиц – мы разбираемся с каждым конкретным случаем. Например, наиболее распространенный вопрос: нужно ли направлять уведомление, если в компании обрабатываются лишь персональные данные работников в соответствии с трудовым законодательством. Ответ: нет. Однако если предполагается передавать их персональные данные по программе добровольного медицинского страхования или для оформления зарплатной карты, уведомление отправлять обязательно, потому что эти отношения выходят за рамки трудового законодательства.

Обращаю ваше внимание: если организация вправе не уведомлять Роскомнадзор, она, тем не менее, должна выполнять все требования по защите персональных данных, особенно при трансграничной передаче персональных данных 3 . Практика показывает, что многие фирмы в настоящее время взаимодействуют со своими иностранными партнерами и передают персональные данные граждан Российской Федерации (работников, клиентов) на территорию иностранного государства. Работодатель должен понимать: в этой ситуации должны быть обеспечены особые условия защиты их персональных данных.

2. В какой форме – бумажной или электронной – нужно направлять уведомление? Как правильно его составить?

– Если организация обязана уведомить Роскомнадзор, она вправе сделать это двумя способами. Первый – самостоятельно составить уведомление в бумажной форме и направить его по почте. И второй – более удобный – заполнить уведомление в электронной форме на Портале персональных данных 4 , а затем распечатать. Второй способ более удобен потому, что на портале опубликована типовая форма документа с рекомендациями, как ее заполнить. Вашими помощниками будут всплывающие подсказки, которые поясняют каждую графу. После того как уведомление составлено, необходимо нажать кнопку «Отправить электронное уведомление и подготовить форму к распечатке». При этом совершаются два действия – электронный документ уходит непосредственно в нашу базу данных и преобразуется в форму, которую нужно распечатать на фирменном бланке. После этого необходимо подписать бумажный вариант у руководителя организации, поставить печать и отправить в территориальное управление Роскомнадзора. Их адреса опубликованы на главной странице нашего интернет-портала www.rsoc.ru.

В ближайшее время появится возможность в полном объеме пользоваться Единым порталом государственных и муниципальных услуг, откуда можно будет подать уведомление в электронной форме, не используя бумажный вариант. Для этого нужно зайти на портал через Личный кабинет (физического или юридического лица) и заполнить уведомление. Документ отправится в локальную сеть Роскомнадзора, а затем в соответствующее территориальное управление для обработки. В дальнейшем эта версия будет снабжаться электронной подписью. Сегодня во время регистрации вы также проходите необходимый этап идентификации, указав ИНН компании. Таким образом, подтверждается, что уведомление поступает от конкретного лица.

Уведомление, поступившее в территориальное управление, проверяется на соответствие требованиям закона и, при положительном решении, сведения об организации включаются в Реестр операторов, осуществляющих обработку персональных данных. Реестр также размещен на нашем сайте 5 , причем ведется он с 2008 года. Любой кадровик может убедиться, что его уведомление дошло до Роскомнадзора и сведения внесены реестр. Для этого наберите в нужных строках название компании и ИНН.

Если вы хотите документально подтвердить, что состоите в Реестре операторов, отправьте «Заявление о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных» 6 . Можно просто написать письмо в территориальное управление с просьбой предоставить выписку. В последнее время некоторые граждане обращаются в Роскомнадзор с вопросом – занесена ли в реестр та или иная компания? От этого будет зависеть, обратятся ли они в эту компанию за какой-либо услугой, будут ли с ней взаимодействовать в дальнейшем. То есть потенциальному клиенту важно знать, каким образом там защищают и защищают ли вообще персональные данные. Соблюдение всех требований действующего законодательства благоприятно отражается на деловой репутации организации.

Читайте так же:  Сроки подачи уведомления об открытии обособленного подразделения

3. Назовите, пожалуйста, самые распространенные ошибки в уведомлении. Что делать, если они допущены?

– Одна из самых распространенных ошибок – отражение неполных и (или) недостоверных данных, то есть когда не все пункты уведомления оказались заполненными или в них представлена недостоверная информация.

Вопросы возникают и с перечнем действий с персональными данными – сбором, хранением, систематизацией, накоплением, изменением, а также со способом обработки. Существуют три способа обработки – автоматизированная, неавтоматизированная и смешанная, когда данные обрабатываются в автоматизированном режиме, но при этом дублируются бумажными формами. Часто работодатель из-за невнимательности забывает указать нужный способ.

Еще одна системная ошибка – определение срока начала и окончания обработки персональных данных. Датой начала считается тот день, когда вы непосредственно начали их обрабатывать. Как правило, это начало деятельности юридического лица, а не день заполнения уведомления. А срок и основания прекращения – дата ликвидации фирмы или дата, когда прекращается обработка персональных данных и они уничтожаются, если не передаются в архив. Когда вы не можете определить точную дату окончания обработки персональных данных, можно в уведомлении указать предполагаемую, а потом, когда станет известна точная дата, заполнить «Форму заявления о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных» на Портале персональных данных. Если нет доступа в Интернет, необходимо отправить письмо в территориальное управление с просьбой внести изменения в конкретный пункт. Эти же действия нужно совершить, если вы допустили ошибку в уведомлении.

4. Когда Роскомнадзор может прийти в организацию с проверкой?

– Действующий закон о защите юридических лиц и индивидуальных предпринимателей предусматривает как плановые, так и внеплановые проверки 7 . Например, основанием для плановой проверки может быть истечение трех лет со дня государственной регистрации юридического лица или индивидуального предпринимателя или окончания последней плановой проверки. Истечение срока исполнения работодателем ранее выданного предписания об устранении нарушения или поступление в Роскомнадзор (его территориальные органы) информации о нарушении прав граждан при обработке их персональных данных также являются основаниями для проведения внеплановой проверки.

Незаконная обработка персональных данных без согласия работника, незаконное их распространение неограниченному кругу лиц – например, когда в Интернете появляется информация о должниках или нарушителях дисциплины – одни из наиболее распространенных нарушений. Так, на сайте одной организации были размещены сведения о человеке (фамилия, имя, отчество и место жительства), который совершил дисциплинарный проступок. Тем самым был нарушен закон о персональных данных, что стало причиной внеплановой проверки.

5. Нужно ли работодателю писать заявление об исключении сведений из Реестра операторов?

– Разумеется, если работодатель по каким-либо причинам прекращает обрабатывать персональные данные. Например, в случае ликвидации или реорганизации компании, окончания срока обработки данных, указанного в уведомлении, и т. д. Поэтому работодатель обязан прислать заявление в территориальное управление Роскомнадзора с просьбой исключить его из реестра, а также обоснования, почему это следует сделать. Обращаю ваше внимание, что такое заявление – это не простая формальность, а прямое доказательство ответственного отношения к своим обязанностям.

Беседовала Елана Ильина,
эксперт журнала «Кадровое дело»

_________________________
1 Приказ Роскомнадзора от 19 августа 2011 г. № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».

3 Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 2 Закона).

7 Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Разъяснения по вопросам уведомления об обработке персональных данных

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
Здесь важно учесть, что запрос Роскомнадзора — это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Возможны две ситуации:

  1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
  2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.
В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок. Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».
Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления — она находится на сайте Роскомнадзора. Изучив форму, вы поймете, что заполнение уведомления — это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

Читайте так же:  Передача инженерных сетей на баланс эксплуатирующим организациям

Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

  • категории персональных данных,
  • категории субъектов персональных данных,
  • цель обработки персональных данных,
  • правовое основание обработки персональных данных,
  • перечень действий с персональными данными,
  • описание способов обработки,
  • осуществление трансграничной передачи персональных данных,
  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
  • ответственный за организацию обработки персональных данных,
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.
Если вам удалось провести полноценное обследование, и вы выявили самое главное — цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа. Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.

Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

Важно понимать — наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки — в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора. Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации. Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе. Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706. В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

Большинство вопросов связано со следующими пунктами:

  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1. Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации — исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

  • назначить ответственного за организацию обработки;
  • издать политику оператора в отношении обработки персональных данных;
  • издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
  • и так далее.

В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры. И так далее.

С 19 статьей делаем то же самое.

Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

  • Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
  • Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Читайте так же:  Справка судебным приставам о произведенных удержаниях образец

Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие — прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

Напомним — Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

Удачной Вам работы в сфере обработки и защиты персональных данных.

Инструкция, как правильно заполнить форму уведомления Роскомнадзора об обработке персональных данных

Сегодня в распоряжении любой фирмы хранится обширная информация, позволяющая идентифицировать человека. Это личные параметры сотрудников, контакты клиентов и прочее. Если вас ещё нет в реестре операторов персональных данных, стоит об этом позаботиться.

Совершенно неважно, крупная у вас организация с многочисленным штатом работников, банком анкет или же небольшая фирма. Вы, как и остальные государственные, муниципальные учреждения, юридические и физические лица, обрабатывающие личную информацию граждан, подчиняетесь закону РФ №152-ФЗ «О персональных данных». Назвался оператором – веди себя соответствующе. Ст. 22 Закона обязывает вас до начала обработки информации уведомлять Роскомнадзор о своём намерении. Если же вы не торопитесь попасть в реестр, вас ждут административные взыскания вплоть до штрафов.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

[2]

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Кем оформляется?

Документ, как правило, заполняется сотрудником, в профессиональную компетенцию которого включена организация обработки такой информации.

После отправки электронной формы уведомления создайте печатную версию документа. И с подписью руководителя отправьте по почте. Ваше уведомление не добавят в реестр, пока Роскомнадзор не увидит его на бумаге!

Уже через две – три недели на официальном сайте ведомства можно проверить, имеются ли ваши сведения в общем списке.

Вид документа

Уведомление представляет собой документ на бумажном носителе и в электронном виде. Документ оформляется на бланке оператора и заверяется уполномоченным лицом. Для его заполнения разработаны единые правила.

Где его заполнить?

Электронная форма бланка содержится на Портале Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций: http://pd.rkn.gov.ru/operators-registry/notification/form/.

Бланк представляет собой Приложение к методическим рекомендациям по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30 мая 2017 г. №94.

Содержание

В уведомлении сообщаются:

  • полные и достоверные сведения об операторе;
  • цель и правовое основание для работы с личным материалом;
  • перечень предполагаемых сведений о физических лицах;
  • действий с полученной информацией;
  • категории субъектов;
  • ответственный за организацию обработки персональных данных;
  • сведения об обеспечении безопасности;
  • дата начала обработки собранной информации;
  • срок или условие её прекращения;
  • контакты человека, являющегося исполнителем уведомления.

Основные правила заполнения

Заполнить бланк информационного письма в Роскомнадзор не составит особого труда: для этого создан единый образец.

При составлении письма следует учесть:

    Так, перечисляя категории полученных сведений, подлежащих обработке, необходимо сообщать персональные, биометрические и специальные сведения.

К специальным относятся:

  • расовая и национальная принадлежности;
  • политические взгляды;
  • религиозные и философские убеждения;
  • состояние здоровья;
  • об интимной жизни.
  • Под видами субъектов подразумеваются, например, работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором).
  • В графе «Правовое основание» указывайте не только соответствующие статьи Федерального закона, но и источники иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки данных.
  • «Перечень действий» – это общее описание используемых оператором способов обработки. К ним относятся неавтоматизированная, автоматизированная или смешанная обработка материала.
  • Также в документе обозначается не только конкретная дата начала любого действия, совершаемого с личной информацией, но и сами мероприятия. Это сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение данных.
    • Скачать бланк формы уведомления об обработке персональных данных в Роскомнадзор
    • Скачать образец формы уведомления Роскомнадзора об обработке персональных данных

    Подробнее о нюансах заполнения уведомления читайте тут.

    [3]

    Даже в общих для всех правилах существуют исключения. Исходя из той же 22-й статьи Закона, подавать уведомление не требуется если:


      Обработка информации производится без компьютера и электронных баз данных.

    Как видите, информационное письмо включает обширные сведения о деятельности вашей организации. В то же время в штате любого учреждения неизбежны изменения. Наше законодательство учло и этот момент.

    В этой ситуации специалисты ведомства советуют, как можно раньше внести поправки и следить за актуальностью информации о компании в реестре операторов.

    Если организация прежде не сталкивалась с подобными запросами, внимание со стороны надзорного аппарата власти может насторожить и даже внушить опасения различного характера. Поэтому стараются «отмолчаться» по принципу: чем меньше о нас знают, тем лучше. Но излишняя «скромность» как раз и приведет к нежелательным последствиям.

    Здесь нет никакой волокиты. Не стоит бояться и внезапных проверок. На практике такого не происходит, если вы не нарушаете закон. Также совершенно беспочвенны опасения финансовых затрат со стороны оператора. Лучше один раз правильно заполнить информационное письмо.

    Полезное видео

    Предлагаем посмотреть видео о заполнении формы уведомления о персональных данных в Роскомнадзор:

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Правила заполнения уведомления об обработке персональных данных на сайте www pd rkn gov ru (Роскомнадзор) в 2019 году

    Правила обработки персональных данных в Российской Федерации утверждены на законодательном уровне, и периодически рекомендации Роскомнадзора — контролирующего эту сферу органа, обновляются.

    Поэтому следует отслеживать последние изменения и разбираться, в каких случаях потребуется уведомлять эту организацию об обработке персональных данных, и как это можно сделать правильно.

    Подготовка документа с уведомлением — это один из важнейших нюансов, который позволит не нарушать нормы и при этом грамотно сотрудничать с РКН.

    Читайте так же:  Публичная кадастровая карта губкинского района белгородской области

    Дорогие читатели! Статья рассказывает о типовых способах решения юридических вопросов, но каждый случай индивидуален. Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь к консультанту:

    +7 (812) 243-19-89 (Санкт-Петербург)

    ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

    Это быстро и БЕСПЛАТНО!

    Кем оформляется документ

    Нормы того, как необходимо обрабатывать персональную информацию населения, и какие еще обязанности есть у компаний, выполняющих роль операторов, изложены в законе 152-ФЗ “О персональных данных” .

    В нем говорится о том, что прежде чем начинать такую деятельность, компания должна известить об этом Роскомнадзор.

    При этом есть определенные нормы того, как это сделать верно, найти их можно в Методических рекомендациях по уведомлению уполномоченного органа.

    Нюансы, которые действовали с 2011 года, больше недействительны, как и рекомендации от 2016 года, ведь датой последних изменений стало 21 августа 2017 года.

    Согласно законодательства, произвести оповещение Роскомнадзора о деятельности, связанной с обработкой персональных данных, должен любой оператор.

    Компания получает такой статус, если как-либо работает с информацией, запрашиваемой у граждан и относящейся к разряду личной.

    Так, при получении фирмой сведений о месте проживания клиентов, их паспортных реквизитов или иных сведений, которые могут связать их с конкретной личностью, следует обязательно отправлять документацию в контролирующую организацию.

    Но есть и исключения из этой нормы, например в следующих ситуациях:

    • если компания собирает и производит обработку информации только среди своих сотрудников;
    • личные сведения применяются только для формирования договоров, например, когда в соглашении указываются данные представителя другой компании;
    • обработка не связана с использованием автоматизационных методов.

    Во всех остальных ситуациях Роскомнадзор должен получать соответствующую информацию о ведении подобной деятельности.

    Делать это следует путем формирования документа, созданного по утвержденной в правовых нормах форме. На сайте РКН можно увидеть, как выглядит уведомление, и какие данные в него следует включать .

    Это ведомство формирует реестр операторов личных данных граждан, и после отсылки уведомления туда, за месяц документ обработают и внесут сведения в реестр всех распорядителей. А об успешном внесении можно узнать непосредственно на официальном ресурсе.

    Можно использовать не только стандартный способ передачи документа, то есть бумажный, но и задействовать электронный метод.

    Для этого нужно произвести заполнение уведомления, взятого на сайте, далее документ распечатывается. На нем ставится электронная цифровая подпись ответственного лица и отсылается через электронную почту.

    Также для этого подойдет функционал ресурса “Госуслуги”, что будет самым быстрым и удобным способом.

    При заполнении бумажного документа его можно как отнести лично, так и использовать почтовые услуги, создав заказное письмо с описью содержимого и уведомлением о прибытии получателю.

    Если этого не сделать вовремя, то компания будет привлечена к административной ответственности согласно КоАПа РФ.

    Граждане по этим нормам будут вынуждены заплатить от 100 до 300 рублей взыскания, должностные лица будут оштрафованы на сумму 300-500 рублей, а компания в целом, как юрлицо, получит санкцию на уровне 3-5 тыс. рублей.

    Общее содержание

    В целом уведомление РКН о проводимой обработке персональных данных и их сборе, не отличается сложным форматом, но должно содержать информацию о том, какие именно сведения собираются, с какой целью, и что используется как для сбора, так и обработки данных.

    Таким образом, при подаче соответствующего уведомления, следует указать следующую информацию:

    Название того отделения ведомства РКН По которому находится компания
    Разновидность оператора Это юридическое лицо, или другой тип организации деятельности
    Название фирмы Подающей документ
    Адрес нахождения компании По которому ее можно найти и идентифицировать
    Идентификационный код и ОГРН юридического лица
    Основания На которых производится обработка данных, и цель, которая преследуется в ее итоге
    Меры Которые принимаются для обеспечения безопасности и сохранения информации в тайне от третьих лиц
    Дату начала обработки Срок, в который это завершится, вместо последнего можно прописать условия, которые могут повлечь за собой прекращение работы с персональными данными
    Категории субъектов права Сведения о которых будет обрабатывать фирма
    Список операций Осуществляемых с данными, в том числе и способы обработки получаемой информации
    Будет ли производиться Трансграничная передача получаемых данных
    Адрес По которому находится база, где сведения хранятся физически и их можно будет достать
    Лицо Которое несет полную ответственность за работу с данными, либо перечисление всех таких людей, если их несколько

    Прочая информация в уведомлении о проведении обработки личных данных оговариваться в обязательном порядке не должна. Но если компания желает, или имеет основания для добавления, то она может это сделать.

    Образец заполнения формы (пример)

    Начинается бланк уведомления с должности человека, которому направляется документ, а также подразделение, где он является начальником.

    Так, Роскомнадзор правильно будет назвать Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

    Кроме того, отдельно указывается адрес подразделения, и после наименования документа можно приступать к основной части.

    Так, говорится о полном названии оператора и его адресе, а также контактной информации, с указанием номера телефона, адреса электронной почты, регионах, где он находится, коды и ИНН также обязательно пишутся .

    Наличие филиалов необходимо отразить, а правовым основанием будет любой закон, позволяющий собирать данные.

    Цель, меры соблюдения закона и обеспечения безопасности также обязательно отражаются в уведомлении к учреждению, занимающемуся наладкой информационного надзора.

    Далее говорится дата начала обработки, а также вариации, при которых может прекратиться работа с данными.

    Дальше подаются характеристики информационных систем, сведения о местонахождении информационной базы и применении шифровальных систем, с обязательным указанием реквизитов и уровня защиты.

    Финальным разделом будет информация об ответственном за организацию обработки персональных данных человеке, после чего ставится должность подателя, его подпись и расшифровка автографа с датой составления.

    Когда компания хочет собирать и производить обработку личной информации клиентов или третьих лиц, ей нужно составить уведомление и отправить его в Роскомнадзор для подтверждения таких полномочий.

    В бумаге указываются цели и методы сбора данных, а также методы защиты и сведения об операторе.

    Если такого документа не будет подано, то компании грозит штраф, который в самом большом размере составит 5 тысяч рублей.

    • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
    • Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.
    Читайте так же:  Списание лекарственных средств с истекшим сроком годности

    Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!

    1. Задайте вопрос через форму (внизу), либо через онлайн-чат
    2. Позвоните на горячую линию:
    3. Москва и Область — +7 (499) 703-16-92
    4. Санкт-Петербург и область — +7 (812) 309-85-28
    5. Регионы — 8 (800) 333-88-93
    • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
    • Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.

    Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!

    1. Задайте вопрос через форму (внизу), либо через онлайн-чат
    2. Позвоните на горячую линию:
      • Москва и Область — +7 (499) 113-16-28
      • Санкт-Петербург и область — +7 (812) 243-19-89
      • Регионы — 8 (800) 551-61-26

    ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

    Роскомнадзор обещает штрафовать по персданным, если в офисе нет жалюзи на окнах

    С 1 июля в очередной раз ужесточили ответственность за обработку персональных данных. Теперь действует новая редакция статьи 13.11 КоАП РФ. Список нарушений стал более детализированным, а размеры штрафов значительно выросли — до 75 тыс. руб.

    Мы уже пытались разобраться, как с учетом изменений обрабатывать данные. Мнения юристов разделились.

    Поэтому нужны разъяснения Роскомнадзора. Для нас их получила юрист Любовь Иванова. Она побывала на Дне открытых дверей в ведомстве.

    Одиннадцать лет назад 27 июля в России появился новый закон — Федеральный закон №152-ФЗ «О персональных данных». Традиционно в эту дату Роскомнадзор и его территориальные органы проводят День открытых дверей. Лично для меня результат посещения Управления Роскомнадзора по ЦФО (Центральный федеральный округ) – это получение полезной информации. Делюсь.

    Политика конфиденциальности на сайте

    Что нужно отразить в этом документе?

    Во-первых, в Политике (его можно назвать и соглашением, например) вы декларируете правила обращения с персональными данными, которые оказались в вашем распоряжении. Во-вторых, демонстрируете свое согласие с принципами обработки и уважительное отношение к персданным третьих лиц.

    «Политика – обязанность оператора, когда посредством интернет-ресурсов осуществляется сбор информации», — констатировала Коротова Ольга Александровна — Заместитель руководителя Управления Роскомнадзора по ЦФО.

    Штрафы за отсутствие Политики по персональным данным на сайте

    Чиновники считают, что опубликование Политики по персданным на сайте – это не только требование законодательства, это норма добросовестного поведения в цифровой среде.

    В Роскомнадзоре подчеркнули: отсутствие Политики грозит штрафом до 30 тыс.руб. для юрлиц.

    Персональные данные – это ВСЕ

    В 99,9% случаев основной целью для предпринимателей являются контакты с клиентами и потенциальными клиентами. Любые контактные данные рано или поздно приводят к идентификации лица, с которым вы общаетесь.

    Коротова Ольга Александровна озвучила эту мысль другими словами: «Любая информация, относящаяся к субъекту персональных данных, является персональными данными» и «факт идентификации или неидентификации субъекта персональных данных оператором не влияет на статус данных как персональных».

    Уведомление об обработке персональных данных в Роскомнадзор

    Напомню, что статья предусматривает случаи, когда оператор вправе осуществлять обработку персональных данных БЕЗ уведомления Роскомнадзора.

    Очевидно, что разница в подходах при толковании указанной нормы предпринимателем и контролирующим органом при проверке приведет к решению не в пользу предпринимателя.

    Роскомнадзор прокомментировал на встрече типичные случаи, которые НЕ подпадают под исключения, предусмотренные ст. 22:

    1) обработка данных соискателей на должность;

    [1]

    2) уступка права требования;

    3) наличие сайта, на котором размещены данные сотрудников;

    4) наличие сайта, посредством которого осуществляется обработка данных посетителей сайта.

    Примерьте этот далеко не полный перечень к своему бизнесу. Какой напрашивается вывод?

    Правильно, проще не рисковать попасть под штраф и направить в Роскомнадзор уведомление. Тем более, что этот документ в числе первых Роскомнадзор запросит при проверке. А вам придется обосновывать его отсутствие.

    Роскомнадзор подчеркивает, что уведомление оператором об обработке персданных — это «открытость оператора и лояльность к персональным данным тех лиц, которых вы обслуживаете».

    Вывод: излишняя бдительность и подача уведомления в Роскомнадзор, когда это не требуется, не рассматривается как нарушение.

    Безопасность персональных данных: все в рамках разумного

    Прямой ответ от Роскомнадзора на свой вопрос я, правда, не получила. Общая рекомендация в том, чтобы опираться на практику (использовать по аналогии документы), внедренную различными отраслевыми ведомствами.

    Вывод для меня как для юриста не очень утешительный: нет методик в законодательстве – разбирайтесь в документах, которые создали другие люди для других целей.

    По крайней мере, представители Управления дали понять участникам Дня открытых дверей, что Роскомнадзор при проверках интересует не столько анализ качества применяемых оператором мер безопасности, сколько сам факт принятия каких-либо мер по защите персональных данных в процессе их обработки.

    На что обратят внимание при проверке

    • не назначен ответственный за организацию обработки ПДн;
    • работники не прошли инструктаж по работе с ПДн;
    • шкаф с документами, содержащими ПДн, должен запираться;
    • а в офисе на первом этаже, где происходит обработка ПДн, на окнах должны быть жалюзи.
    Видео (кликните для воспроизведения).

    Но в целом, как заверил регулятор, «все в рамках разумного».

    Источники


    1. Темнов, Е. И. Теория государства и права / Е.И. Темнов. — М.: КноРус медиа, 2014. — 589 c.

    2. Майлис, Н. П. Моя профессия — судебный эксперт / Н.П. Майлис. — М.: Щит-М, 2014. — 168 c.

    3. Беляева, О. М. Теория государства и права в схемах и определениях / О.М. Беляева. — М.: Феникс, 2012. — 320 c.
    4. Дьяченко, Е. Б. Контроль за корпорациями. Доктрина и практика / Е.Б. Дьяченко. — М.: Инфотропик Медиа, 2013. — 142 c.
    5. Кони, А.Ф. Уголовный процесс: нравственные начала; М.: Современный гуманитарный университет; Издание 3-е, испр. и доп., 2011. — 150 c.
    Уведомление роскомнадзора о начале обработки персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here