Кому не нужно уведомлять Роскомнадзор об обработке персональных данных

По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно. 

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ. 

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

• При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
• При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
• При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье “Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017”.

buh.ru

Разъяснения по вопросам уведомления об обработке персональных данных

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
Здесь важно учесть, что запрос Роскомнадзора – это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Возможны две ситуации:

1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.
В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок. Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».
Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления – она находится на сайте Роскомнадзора. Изучив форму, вы поймете, что заполнение уведомления – это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

• категории персональных данных,
• категории субъектов персональных данных,
• цель обработки персональных данных,
• правовое основание обработки персональных данных,
• перечень действий с персональными данными,
• описание способов обработки,
• осуществление трансграничной передачи персональных данных,
• описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
• ответственный за организацию обработки персональных данных,
• сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.

Если вам удалось провести полноценное обследование, и вы выявили самое главное – цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа. Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.

Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

Важно понимать – наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки – в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора. Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации. Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе. Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706. В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

Большинство вопросов связано со следующими пунктами:

• описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
• сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1. Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации – исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

• назначить ответственного за организацию обработки;
• издать политику оператора в отношении обработки персональных данных;
• издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
• и так далее…

В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры… И так далее.

С 19 статьей делаем то же самое.

Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

• Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 “Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных”;
• Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;
• Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 “Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”;
• Постановление Правительства РФ от 1 ноября 2012 г. № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.

Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие – прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

Напомним – Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

Удачной Вам работы в сфере обработки и защиты персональных данных.

centr.expert

А может не уведомлять об обработке персональных данных? / Хабр

Частью первой ст 22 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее в статье — Закон) предусмотрена обязанность оператора, осуществляющего обработку персональных данных, уведомить орган Роскомнадзора до начала обработки. Сразу же (во второй части статьи) Закон предлагает основания, по которым оператор имеет право об обработке не уведомлять. Случаи эти довольно распространены. Но поскольку Закон не запрещает уведомлять даже если есть такие случаи, ряд операторов выбирают пойти по пути уведомления. Возможно, стоит не направлять уведомление, или даже подумать, как попасть под «исключения». На это есть, как минимум, 3 причины.

Сложно ответит на вопрос «Почему?» за всех принявших решение отправить уведомление в орган Роскомнадзора если можно было этого не делать. Конечно, нельзя исключить маркетинговые походы (имидж, открытость). Все же, в ряде случаев уведомляют по незнанию или исходя из позизии «Лучше перебдеть». Хотелось бы обратить внимание на известное право операторов, осуществляющих обработку персональных данных, не уведомлять органы Роскомнадзора об обработке и вот для этого несколько причин.

1. Лицу, подавшему уведомление об обработке персональных данных, необходимо нести бремя по постоянной актуализации поданных сведений. Эта обязанность предусмотрена ч.7. ст. 22 Закона. Если оператор, осуществляющий обработку персональных данных, не подаст уведомление об изменении сведений (изменение адреса оператора, изменение категорий ПДн, которые обрабатываются, смена ответсвенного за обработку ПДн и его контактов и т.д.), то может быть привлечен к административной ответственности. Казалось бы, что сложного: поменялось что-то в организации, взял и отправил письмишко. Как показывает практика, в большинстве случаев об этом забывается. Например, те кто встал в Реестр (в Реестр включаются все, подавшие уведомление об обработке) операторов, осуществляющих обработку персональных данных до 1 июля 2011 года обязаны были до 1 января 2013 года дополнительно дослать сведения, предусмотренные пунктами 5, 7.1, 10 и 11 части 3 статьи 22 Закона (правовое основание обработки персональных данных, ФИО ответственного и т.д.). Как видно из реестра операторов персональных данных Роскомнадзора, больше половины операторов этого не сделали по настоящее время. Мысль о том, что у всех этих организаций никаких внутренних изменений, связанных с обработкой персональных данных, не происходило, тоже сомнительна. Предлагаю и Вам подумать, будете ли Вы своевременно отслеживать в долгосрочной перспективе актуальность записей в Реестре, если есть возможность этого не делать вообще?
2. Органы Роскомнадзора осуществляют планирование проверок операторов, осуществляющих обработку персональных данных, с использованием ведомственной единой информационной системы – ЕИС. Все операторы, подавшие уведомления уже находятся в ней, в связи с чем, вероятность попадания в план проверок многократно возрастает. Организации, проверяемые Роскомнадзором по другим направлениям (услуги связи, РЭС, СМИ, вещание) автоматически проверяются на предмет соблюдения законодательства в сфере персональных данных, если уведомили Роскомнадзор об обработке.
3. Если оператор персональных данных принял решение уведомить орган Роскомнадзора об обработке, хотя имел право этого не делать, то исключиться из Реестра по причине того, что мог вообще не уведомлять, не получиться. Такая возможность не предусмотрена ни Законом, ни соответствующим Административным Регламентом. Вернее, предусмотрена только по общим основаниям.

Если Вы собирались направлять уведомление, но вышеуказанное чем-то зацепило Вас, общие рекомендации просты.

1. Внимательно прочитать (осознать) ч.2 ст. 22 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
2. Посмотреть какие персональные данные и в связи с чем обрабатываются у Вас.
3. В некоторых случаях, возможно потребуется скорректировать Вашу работу с носителями персональных данных. Дам пример, что бы было понятно, что я имею ввиду.

Одна из возможностей не уведомлять об обработке персональных данных предусмотренная п. 2 ч. 2 ст. 22 Закона звучит так

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных

Так вот, Вы заключили договор, с физическим лицом на какую-то услугу. Взяли у человека номер мобильного телефона, что бы сообщить о готовности услуги. В большинстве случаев номер мобильного телефона не нужен для целей исполнения договора. Если берется у клиента номер мобильного телефона, нужно дополнительно его согласие на обработку персональных данных. Однако, в этом случае, Вы не попадаете под исключение в Законе, которое позволяет не уведомлять об обработке персональных данных.
Если в договоре с этим физлицом прописать необходимость наличия номера мобильного телефона для целей исполнения договора, то уже претендуете на право попасть под исключение.
Обыграть необходимость наличия номера мобильного телефона для целей исполнения договора можно примерно так «Организация обязуется уведомить клиента по телефону № х… х о готовности…».

habr.com

Образец уведомления в Роскомнадзор об обработке персональных данных

В мае 2017 года Роскомнадзор утвердил методические рекомендации о том, как известить об обработке сведений, которые компании получают от сотрудников и клиентов. Рассмотрим, в каких случаях требуется уведомление Роскомнадзора об обработке персональных данных и как подготовить документ.

Внимание! Вы находитесь на профессиональном сайте со специализированным юридическим контентом. Для чтения статьи может потребоваться регистрация. 

Содержание статьи:

• Когда подают уведомление об обработке персональных данных
• Что включили в форму уведомления Роскомнадзора об обработке персональных данных

Правила обработки персональных данных и обязанности компаний-операторов изложены в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, в ст. 22 этого закона указали, что компания-оператор перед началом своей деятельности обязана известить Роскомнадзор. Уведомление Роскомнадзора об обработке персональных данных осуществляют в соответствии с Методическими рекомендациями по уведомлению уполномоченного органа…, утв. приказом Роскомнадзора от 30 мая 2017 г. № 94.

Обратите внимание, что согласно приказу № 94 утратили силу рекомендации по заполнению формы уведомления, утв. Роскомнадзором от 29 января 2016 г. Также с 21 августа 2017 года больше не действует приказ Минкомсвязи России от 21 декабря 2011 г. № 346.

Срочное сообщение для юриста! В офис пришла полиция

Когда подают уведомление об обработке персональных данных

Направить в адрес Роскомнадзора уведомление об обработке персональных данных должен каждый оператор данных. Компания является оператором, если в том или ином виде взаимодействует с информацией, которую получает у граждан и которая входит в такие данные. В частности, если компания получает у клиентов сведения о месте проживания, паспортные данные и т. п., она является оператором.

Из общего правила есть исключения. Уведомлять Роскомнадзор не нужно, если:

• компания получает и обрабатывает информацию только о своих работниках;
• персональные данные используют только в договорной работе – например, в договоре указывают персональные данные представителя контрагента;
• при обработке данных не применяют средства автоматизации (см. постановление Правительства РФ от 15.09.08 № 687).

Ч. 2 ст. 22 закона № 152-ФЗ содержит перечень исключений. Во всех остальных случаях Роскомнадзор должен получить уведомление об обработке персональных данных.

Уведомлять Роскомнадзор об обработке персональных нужно при помощи документа, составленного по форме. Воспользуйтесь сайтом ведомства, чтобы подготовить уведомление Роскомнадзора об обработке персональных данных, форма документа присутствует на сайте.

Ведомство ведет реестр операторов персональных данных. После того, как уведомление об обработке персональных данных направляют в Роскомнадзор, в течение 30 дней документ должны обработать и поместить сведения о компании в реестр. Внесение компании в список операторов можно проверить на сайте.

Как подать уведомление в Роскомнадзор об обработке персональных данных

Если уведомлять Роскомнадзор будут в электронном виде, нужно:

• заполнить образец формы уведомления об обработке, который есть на сайте;
• распечатать получившийся документ;
• поставить подпись ответственного лица и переслать в территориальный орган ведомства по месту нахождения компании.

Подавать уведомление в ведомство можно не только через портал Роскомнадзора, уведомление об обработке персональных данных примут на сайте «Госуслуги». Также для извещения Роскомнадзора можно использовать бумажную форму документа: скачать образец, заполнить его и направить по почте.

Что включили в форму уведомления Роскомнадзора об обработке персональных данных

В уведомление на обработку персональных данных Роскомнадзор включил разделы, которые касаются характера сведений, цели их сбора, методов работы. Когда организация подает уведомление об обработке, она обязательно указывает:

1. Наименование территориального отделения ведомства.
2. Тип оператора – относится компания к юридическим лицам или имеет иную форму организации.
3. Свое наименование.
4. Адрес места нахождения компании.
5. ИНН и ОГРН.
6. Основание обработки данных и цель обработки.
7. Меры в соответствии со ст.ст. 18.1 и 19 закона№ 152-ФЗ, а также иные меры безопасности для сохранения данных.
8. Дату начала обработки, а также срок или условия прекращения обработки.
9. Категории субъектов, данные которых компания будет обрабатывать.
10. Перечень операций, которые компания будет осуществлять с данными, а также способы обработки.
11. Планирует ли компания трансграничную передачу полученных сведений.
12. Адрес места нахождения базы данных, где информация будет храниться физически.
13. Ответственное за обработку лицо.  

Иные сведения в уведомлении об обработке персональных данных указывать не обязательно, компания может сделать это по своему усмотрению.

Что будет, если не отправить уведомление на обработку персональных данных в Роскомнадзор

Если не подготовить уведомление Роскомнадзора об обработке персональных данных и не направить документ в ведомство, компании грозит административная ответственность. Ведомство назначит штраф по ст. 19.7 КоАП РФ (постановления Верховного суда Республики Татарстан от 18 декабря 2015 г. № 4а-1802/2015; Нижегородского областного суда от 25 июля 2014 г. по делу № 7п-371/2014).

Незаменимые помощники в работе юриста

www.law.ru

Роскомнадзор напоминает: не забудьте прислать уведомление об обработке персональных данных – Статьи из других источников – Каталог статей

Повод для разговора:
В августе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) утвердила приказ, в котором даны рекомендации, как заполнить уведомление об обработке персональных данных¹.

Почему это важно?
Работодателю как оператору, осуществляющему обработку персональных данных, следует знать, что до начала их обработки следует известить Роскомнадзор. В каком виде (электронном или бумажном) нужно направлять уведомление? Каковы требования к его оформлению?

На наши вопросы отвечает:
Юлия Забудько, заместитель начальника Управления по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

1. Все ли работодатели обязаны направлять в Роскомнадзор уведомление об обработке персональных данных?

– Сначала хотелось бы отметить, что Роскомнадзор удивил факт такого пристального внимания к приказу № 706. Федеральным законом «О персональных данных», вступившим в силу в январе 2007 года, уже предусматривалось, что работодатель должен направить в Роскомнадзор уведомление об обработке персональных данных². В 2008 году был издан приказ, утверждающий форму уведомления и рекомендации по ее заполнению. И лишь после этого был издан приказ № 706, отражающий те изменения, которые были внесены в Закон в июле этого года. И хотя тема не нова, поток звонков в территориальные управления Роскомнадзора с вопросами по заполнению уведомления в последнее время не прекращается.

Возвращаясь к вопросу, поясню, что в Законе перечислены основания, при которых работодатель вправе осуществлять обработку персональных данных без уведомления Роскомнадзора (ч. вторая ст. 22). Например: если они обрабатываются в соответствии с трудовым законодательством; если данные получены в связи с заключением гражданско-правового договора с работником (при условии, что персональные данные не предоставляются третьим лицам без согласия работника и используются работодателем исключительно для исполнения договора) и т. п.

Чтобы четко понять, нужно ли уведомлять Роскомнадзор, рекомендую не только внимательно изучить закон, но и свои учредительные документы, локальные нормативные акты – в них закрепляются направления деятельности юридического лица и цель предполагаемой обработки персональных данных.

Иногда работодателю все же сложно определить, обязательно ли направлять уведомление. Об этом свидетельствуют многочисленные звонки в наш Справочно-информационный центр и письменные обращения граждан и юридических лиц – мы разбираемся с каждым конкретным случаем. Например, наиболее распространенный вопрос: нужно ли направлять уведомление, если в компании обрабатываются лишь персональные данные работников в соответствии с трудовым законодательством. Ответ: нет. Однако если предполагается передавать их персональные данные по программе добровольного медицинского страхования или для оформления зарплатной карты, уведомление отправлять обязательно, потому что эти отношения выходят за рамки трудового законодательства.

Обращаю ваше внимание: если организация вправе не уведомлять Роскомнадзор, она, тем не менее, должна выполнять все требования по защите персональных данных, особенно при трансграничной передаче персональных данных³. Практика показывает, что многие фирмы в настоящее время взаимодействуют со своими иностранными партнерами и передают персональные данные граждан Российской Федерации (работников, клиентов) на территорию иностранного государства. Работодатель должен понимать: в этой ситуации должны быть обеспечены особые условия защиты их персональных данных.

2. В какой форме – бумажной или электронной – нужно направлять уведомление? Как правильно его составить?

– Если организация обязана уведомить Роскомнадзор, она вправе сделать это двумя способами. Первый – самостоятельно составить уведомление в бумажной форме и направить его по почте. И второй – более удобный – заполнить уведомление в электронной форме на Портале персональных данных⁴, а затем распечатать. Второй способ более удобен потому, что на портале опубликована типовая форма документа с рекомендациями, как ее заполнить. Вашими помощниками будут всплывающие подсказки, которые поясняют каждую графу. После того как уведомление составлено, необходимо нажать кнопку «Отправить электронное уведомление и подготовить форму к распечатке». При этом совершаются два действия – электронный документ уходит непосредственно в нашу базу данных и преобразуется в форму, которую нужно распечатать на фирменном бланке. После этого необходимо подписать бумажный вариант у руководителя организации, поставить печать и отправить в территориальное управление Роскомнадзора. Их адреса опубликованы на главной странице нашего интернет-портала www.rsoc.ru.

В ближайшее время появится возможность в полном объеме пользоваться Единым порталом государственных и муниципальных услуг, откуда можно будет подать уведомление в электронной форме, не используя бумажный вариант. Для этого нужно зайти на портал через Личный кабинет (физического или юридического лица) и заполнить уведомление. Документ отправится в локальную сеть Роскомнадзора, а затем в соответствующее территориальное управление для обработки. В дальнейшем эта версия будет снабжаться электронной подписью. Сегодня во время регистрации вы также проходите необходимый этап идентификации, указав ИНН компании. Таким образом, подтверждается, что уведомление поступает от конкретного лица.

Уведомление, поступившее в территориальное управление, проверяется на соответствие требованиям закона и, при положительном решении, сведения об организации включаются в Реестр операторов, осуществляющих обработку персональных данных. Реестр также размещен на нашем сайте⁵, причем ведется он с 2008 года. Любой кадровик может убедиться, что его уведомление дошло до Роскомнадзора и сведения внесены реестр. Для этого наберите в нужных строках название компании и ИНН.

Если вы хотите документально подтвердить, что состоите в Реестре операторов, отправьте «Заявление о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных»⁶. Можно просто написать письмо в территориальное управление с просьбой предоставить выписку. В последнее время некоторые граждане обращаются в Роскомнадзор с вопросом – занесена ли в реестр та или иная компания? От этого будет зависеть, обратятся ли они в эту компанию за какой-либо услугой, будут ли с ней взаимодействовать в дальнейшем. То есть потенциальному клиенту важно знать, каким образом там защищают и защищают ли вообще персональные данные. Соблюдение всех требований действующего законодательства благоприятно отражается на деловой репутации организации.

3. Назовите, пожалуйста, самые распространенные ошибки в уведомлении. Что делать, если они допущены?

– Одна из самых распространенных ошибок – отражение неполных и (или) недостоверных данных, то есть когда не все пункты уведомления оказались заполненными или в них представлена недостоверная информация.

Вопросы возникают и с перечнем действий с персональными данными – сбором, хранением, систематизацией, накоплением, изменением, а также со способом обработки. Существуют три способа обработки – автоматизированная, неавтоматизированная и смешанная, когда данные обрабатываются в автоматизированном режиме, но при этом дублируются бумажными формами. Часто работодатель из-за невнимательности забывает указать нужный способ.

Еще одна системная ошибка – определение срока начала и окончания обработки персональных данных. Датой начала считается тот день, когда вы непосредственно начали их обрабатывать. Как правило, это начало деятельности юридического лица, а не день заполнения уведомления. А срок и основания прекращения – дата ликвидации фирмы или дата, когда прекращается обработка персональных данных и они уничтожаются, если не передаются в архив. Когда вы не можете определить точную дату окончания обработки персональных данных, можно в уведомлении указать предполагаемую, а потом, когда станет известна точная дата, заполнить «Форму заявления о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных» на Портале персональных данных. Если нет доступа в Интернет, необходимо отправить письмо в территориальное управление с просьбой внести изменения в конкретный пункт. Эти же действия нужно совершить, если вы допустили ошибку в уведомлении.

4. Когда Роскомнадзор может прийти в организацию с проверкой?

– Действующий закон о защите юридических лиц и индивидуальных предпринимателей предусматривает как плановые, так и внеплановые проверки⁷. Например, основанием для плановой проверки может быть истечение трех лет со дня государственной регистрации юридического лица или индивидуального предпринимателя или окончания последней плановой проверки. Истечение срока исполнения работодателем ранее выданного предписания об устранении нарушения или поступление в Роскомнадзор (его территориальные органы) информации о нарушении прав граждан при обработке их персональных данных также являются основаниями для проведения внеплановой проверки.

Незаконная обработка персональных данных без согласия работника, незаконное их распространение неограниченному кругу лиц – например, когда в Интернете появляется информация о должниках или нарушителях дисциплины – одни из наиболее распространенных нарушений. Так, на сайте одной организации были размещены сведения о человеке (фамилия, имя, отчество и место жительства), который совершил дисциплинарный проступок. Тем самым был нарушен закон о персональных данных, что стало причиной внеплановой проверки.

5. Нужно ли работодателю писать заявление об исключении сведений из Реестра операторов?

– Разумеется, если работодатель по каким-либо причинам прекращает обрабатывать персональные данные. Например, в случае ликвидации или реорганизации компании, окончания срока обработки данных, указанного в уведомлении, и т. д. Поэтому работодатель обязан прислать заявление в территориальное управление Роскомнадзора с просьбой исключить его из реестра, а также обоснования, почему это следует сделать. Обращаю ваше внимание, что такое заявление – это не простая формальность, а прямое доказательство ответственного отношения к своим обязанностям.

Беседовала Елана Ильина,
эксперт журнала «Кадровое дело»

_________________________
¹Приказ Роскомнадзора от 19 августа 2011 г. № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».

²Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон).

³ Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 2 Закона).

⁴www.pd.rsoc.ru/operators-registry/notification/form.

⁵www.rsoc.ru/personal-data/register.

⁶www.rsoc.ru/personal-data/forms/extract.

⁷Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». 

www.kadrovik-plyus.ru

содержание документа и правила заполнения в электронном и бумажном виде

Сегодня в распоряжении любой фирмы хранится обширная информация, позволяющая идентифицировать человека. Это личные параметры сотрудников, контакты клиентов и прочее. Если вас ещё нет в реестре операторов персональных данных, стоит об этом позаботиться.

Совершенно неважно, крупная у вас организация с многочисленным штатом работников, банком анкет или же небольшая фирма. Вы, как и остальные государственные, муниципальные учреждения, юридические и физические лица, обрабатывающие личную информацию граждан, подчиняетесь закону РФ №152-ФЗ «О персональных данных». Назвался оператором – веди себя соответствующе. Ст. 22 Закона обязывает вас до начала обработки информации уведомлять Роскомнадзор о своём намерении. Если же вы не торопитесь попасть в реестр, вас ждут административные взыскания вплоть до штрафов.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
 
Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (495) 212-90-15. Это быстро и бесплатно!

101million.com

Уведомление Роскомнадзора об обработке персональных данных

Руководство фирмы работает с персональными данными персонала, а также клиентов и контрагентов. Читайте в статье, когда нужно известить Роскомнадзор об обработке персональных данных и что указать в уведомлении.

Фирма получает данные от сотрудников, клиентов, бизнес-партнеров. Об обработке персональных данных в Роскомнадзор подают уведомление, образец документа пригодится при подготовке. Если руководитель фирмы забыл известить ведомство, компанию привлекут к ответственности.

При сборе и обработке сведений о сотрудниках и других лицах компания обязана сообщать о таких операциях в контролирующий орган (ч. 1 ст. 22 закона о персональных данных). После того, как ведомство известят, оно внесет информацию в специальный реестр в течение 30 дней с даты получения документа. За внесение сведений платить не нужно.

Об обработке персональных данных компании подают уведомления в бумажном или электронном виде

При подготовке уведомления об обработке персональных данных у кадровиков появляются вопросы:

• кто именно должен подавать документ в Роскомнадзор, и есть ли исключения;
• как подать документ.

Компания становится оператором данных, когда ее работники или клиенты сообщают свои ФИО, информацию о проживании и т. д. Однако отправлять уведомление о начале обработки нужно не всегда. В законе присутствует список исключений (ч. 2 ст. 22 закона о персональных данных). Уведомлять не нужно, если:

• работодатель имеет дело только с данными персонала;
• сведения о контрагентах используют только при подготовке договоров;
• компания не пользуется при обработке данных средствами автоматизации (постановление Правительства РФ от 15.09.08 № 687).

Во всех остальных случаях ведомство нужно известить.

Форма уведомления, в котором нужно известить Роскомнадзор об обработке персональных данных клиентов и сотрудников, включает несколько основных пунктов:

• страна, где находится база охраняемых данных;
• адрес базы;
• наименование базы.

Ведомство рекомендует форму в приложении № 1 к Методическим рекомендациям, утв. приказом Роскомнадзора от 30.05.2017 № 94. В течение 3 месяцев ведомство вправе привлечь организацию к ответственности за неуведомление (ст. 19.7 КоАП РФ). Но если организация долго не уведомляла Роскомнадзор, а затем ее юристы решили по собственной инициативе исправить ситуацию, при истечении срока давности компанию к ответственности не привлекут.

Перед тем как уведомить Роскомнадзор, проверьте, чтобы в документе об обработке персональных данных были указаны все категории данных, с которыми работает компания. Например, сюда относятся сведения о здоровье сотрудников.

Также проверьте, чтобы были верно отражены категории субъектов, чьими данными компания оперирует. Если категории поменяются, руководство фирмы направляет об этом в ведомство информационное письмо. Вместе с изменениями нужно перечислить заново ранее переданные сведения. Если их не указать, Роскомнадзор внесет в реестр изменения, а сведения без корректив удалит.

Работодатель должен указать адрес базы данных. Для этого следует определить наименование системы по учету персонала.

Форму можно подать в бумажном виде. Кроме того, на портале Роскомнадзора в разделе pd.rrkn.gov.ru компания вправе заполнить электронное уведомление об обработке персональных данных. Это делают на специальной странице.

К персональным данным сотрудников относятся сведения, по которым можно установить личность

Персональные данные – это сведения, по которым можно установить личность работника. Это основные идентификационные данные, семейное положение лица, его образование и т. д. (п. 1 ст. 3 закона о персональных данных, подп. «а» ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, Страсбург, 28.01.1981).

Работодатель собирает и обрабатывает сведения о сотруднике при заключении трудового договора (ст.ст. 57, 64 ТК РФ). В дальнейшем компания продолжает сбор сведений о своих работниках. Например, руководитель принимает решение об увольнении сотрудницы-одинокой матери. Работодатель принимает решение на основе анализа персональных данных (ч. 2 ст. 179, ч. 4 ст. 261 ТК РФ).

Хранить персональные данные нужно в РФ

В 2015 году законодатель установил, что базы персональных данных должны находиться на территории РФ. Систематизация такой информации может осуществляться в электронном (позиция Минкомсвязи) или в печатном виде (Роскомнадзор). Единой практики по данному вопросу не имеется.

Когда компания обрабатывает и хранит персональные данные, следует избегать нарушений требований закона. Роскомнадзор или другие уполномоченные органы штрафуют работодателя за следующие нарушения:

1. Работодатель не предпринял необходимые меры для защиты персональных данных (постановление Волгоградского областного суда от 15.04.2011 № 7а-392/11). Компания обязана при обработке персональных данных сотрудников защищать данную информацию. Если документы с персональными данными потеряют, третьи лица могут неправомерно воспользоваться материалами на работников.
2. Работник не дал работодателю официального согласия на обработку персональных данных при составлении анкет, опросников и так далее.
3. Работодатель продолжает хранить персональные данные после того, как они стали не нужны. Например, работодатель искал сотрудника и получил от соискателей множество резюме. Руководитель нашел работника, однако резюме других соискателей не уничтожил. Роскомнадзор считает, что этот факт является нарушением.

Статьи в журнале «Трудовые споры»

www.tspor.ru