Содержание

Кому не нужно уведомлять Роскомнадзор об обработке персональных данных

По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно. 

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ. 

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

  • При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
  • При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
  • При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье 

"Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017".

buh.ru

Разъяснения по вопросам уведомления об обработке персональных данных

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
Здесь важно учесть, что запрос Роскомнадзора - это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Возможны две ситуации:

  1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
  2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.
В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок. Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».
Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления - она находится на сайте Роскомнадзора. Изучив форму, вы поймете, что заполнение уведомления - это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

  • категории персональных данных,
  • категории субъектов персональных данных,
  • цель обработки персональных данных,
  • правовое основание обработки персональных данных,
  • перечень действий с персональными данными,
  • описание способов обработки,
  • осуществление трансграничной передачи персональных данных,
  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
  • ответственный за организацию обработки персональных данных,
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.
Если вам удалось провести полноценное обследование, и вы выявили самое главное - цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа. Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.

Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

Важно понимать - наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки - в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора. Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации. Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе. Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706. В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

Большинство вопросов связано со следующими пунктами:

  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1. Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации - исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

  • назначить ответственного за организацию обработки;
  • издать политику оператора в отношении обработки персональных данных;
  • издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
  • и так далее...

В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры... И так далее.

С 19 статьей делаем то же самое.

Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

  • Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";
  • Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
  • Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие - прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

Напомним - Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

Удачной Вам работы в сфере обработки и защиты персональных данных.

centr.expert

А может не уведомлять об обработке персональных данных? / Хабр

Частью первой ст 22 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее в статье — Закон) предусмотрена обязанность оператора, осуществляющего обработку персональных данных, уведомить орган Роскомнадзора до начала обработки. Сразу же (во второй части статьи) Закон предлагает основания, по которым оператор имеет право об обработке не уведомлять. Случаи эти довольно распространены. Но поскольку Закон не запрещает уведомлять даже если есть такие случаи, ряд операторов выбирают пойти по пути уведомления. Возможно, стоит не направлять уведомление, или даже подумать, как попасть под «исключения». На это есть, как минимум, 3 причины.

Сложно ответит на вопрос «Почему?» за всех принявших решение отправить уведомление в орган Роскомнадзора если можно было этого не делать. Конечно, нельзя исключить маркетинговые походы (имидж, открытость). Все же, в ряде случаев уведомляют по незнанию или исходя из позизии «Лучше перебдеть». Хотелось бы обратить внимание на известное право операторов, осуществляющих обработку персональных данных, не уведомлять органы Роскомнадзора об обработке и вот для этого несколько причин.
  1. Лицу, подавшему уведомление об обработке персональных данных, необходимо нести бремя по постоянной актуализации поданных сведений. Эта обязанность предусмотрена ч.7. ст. 22 Закона. Если оператор, осуществляющий обработку персональных данных, не подаст уведомление об изменении сведений (изменение адреса оператора, изменение категорий ПДн, которые обрабатываются, смена ответсвенного за обработку ПДн и его контактов и т.д.), то может быть привлечен к административной ответственности. Казалось бы, что сложного: поменялось что-то в организации, взял и отправил письмишко. Как показывает практика, в большинстве случаев об этом забывается. Например, те кто встал в Реестр (в Реестр включаются все, подавшие уведомление об обработке) операторов, осуществляющих обработку персональных данных до 1 июля 2011 года обязаны были до 1 января 2013 года дополнительно дослать сведения, предусмотренные пунктами 5, 7.1, 10 и 11 части 3 статьи 22 Закона (правовое основание обработки персональных данных, ФИО ответственного и т.д.). Как видно из реестра операторов персональных данных Роскомнадзора, больше половины операторов этого не сделали по настоящее время. Мысль о том, что у всех этих организаций никаких внутренних изменений, связанных с обработкой персональных данных, не происходило, тоже сомнительна. Предлагаю и Вам подумать, будете ли Вы своевременно отслеживать в долгосрочной перспективе актуальность записей в Реестре, если есть возможность этого не делать вообще?
  2. Органы Роскомнадзора осуществляют планирование проверок операторов, осуществляющих обработку персональных данных, с использованием ведомственной единой информационной системы – ЕИС. Все операторы, подавшие уведомления уже находятся в ней, в связи с чем, вероятность попадания в план проверок многократно возрастает. Организации, проверяемые Роскомнадзором по другим направлениям (услуги связи, РЭС, СМИ, вещание) автоматически проверяются на предмет соблюдения законодательства в сфере персональных данных, если уведомили Роскомнадзор об обработке.
  3. Если оператор персональных данных принял решение уведомить орган Роскомнадзора об обработке, хотя имел право этого не делать, то исключиться из Реестра по причине того, что мог вообще не уведомлять, не получиться. Такая возможность не предусмотрена ни Законом, ни соответствующим Административным Регламентом. Вернее, предусмотрена только по общим основаниям.

Если Вы собирались направлять уведомление, но вышеуказанное чем-то зацепило Вас, общие рекомендации просты.
  1. Внимательно прочитать (осознать) ч.2 ст. 22 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
  2. Посмотреть какие персональные данные и в связи с чем обрабатываются у Вас.
  3. В некоторых случаях, возможно потребуется скорректировать Вашу работу с носителями персональных данных. Дам пример, что бы было понятно, что я имею ввиду.

Одна из возможностей не уведомлять об обработке персональных данных предусмотренная п. 2 ч. 2 ст. 22 Закона звучит так
полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных

Так вот, Вы заключили договор, с физическим лицом на какую-то услугу. Взяли у человека номер мобильного телефона, что бы сообщить о готовности услуги. В большинстве случаев номер мобильного телефона не нужен для целей исполнения договора. Если берется у клиента номер мобильного телефона, нужно дополнительно его согласие на обработку персональных данных. Однако, в этом случае, Вы не попадаете под исключение в Законе, которое позволяет не уведомлять об обработке персональных данных.
Если в договоре с этим физлицом прописать необходимость наличия номера мобильного телефона для целей исполнения договора, то уже претендуете на право попасть под исключение.
Обыграть необходимость наличия номера мобильного телефона для целей исполнения договора можно примерно так «Организация обязуется уведомить клиента по телефону № х… х о готовности...».

habr.com

Образец уведомления в Роскомнадзор об обработке персональных данных

В мае 2017 года Роскомнадзор утвердил методические рекомендации о том, как известить об обработке сведений, которые компании получают от сотрудников и клиентов. Рассмотрим, в каких случаях требуется уведомление Роскомнадзора об обработке персональных данных и как подготовить документ.

Внимание! Вы находитесь на профессиональном сайте со специализированным юридическим контентом. Для чтения статьи может потребоваться регистрация.