Как подать уведомление в роскомнадзор об обработке персональных данных?

Информационная справка

Правила защиты в сфере обработки персональных данных обязуют всех, кто ими оперирует, проходить регистрацию в качестве оператора персональных данных. Эти вопросы находятся в юрисдикции Роскомнадзора (РКН), который в случае неисполнения закона вводит штрафные санкции против юридического лица или ИП.

Ведя деятельность в сфере обработки персональных данных, необходимо руководствоваться следующими нормативными актами:

  • Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных»;
  • ;
  • Приложение 2 к приказу Минкомсвязи России от 21 декабря 2011 г. № 346 .

Персональные данные можно представить в виде информации, по которой легко устанавливается личность того или иного человека. В перечень входят:

  • идентификационные данные общего порядка;
  • семейное положение;
  • образование и не только.

Регистрация в качестве оператора происходит через отправку уведомления об обработке в РКН. При этом перед обработкой персональных данных предприниматель должен убедиться, что документ принят контролирующим органом.

Согласно закону, базы персональных данных должны храниться только на территории России в бумажном или электронном виде. Принятие мер по защите данных в процессе обработки ложится целиком и полностью на оператора. Также он обязан:

  • получить согласие на обработку данных от лица, предоставляющего их;
  • прекращать хранение персональной информации после потери ею актуальности или по факту не востребованности.

За все нарушения, связанные с обработкой персональных данных и выявленные в результате проверок, Роскомнадзор наложит финансовые взыскания.

Последствия неуведомления

РКН регулярно проводит проверки оператор ПД и даже лиц, которые под определение не подпадают. В случае, если объект имеет право не уведомлять Роскомнадзор, необходимо быть готовым аргументированно доказать, что в данном случае это законно. Если же надзирательный орган в ходе проверки столкнется с нарушениями, в частности неуведомлением об обработке ПД, придется нести ответственность.

За неуведомление РКН оператором ПД предусмотрена уплата штрафов. Компании придется заплатить штраф в размере 5000 рублей, а руководству – 500 рублей (ст. 19.7 КоАП РФ). Штраф может последовать не только за неуведомление, но и за предоставление недостоверных или устаревших сведений.

Когда не нужно отправлять уведомление о персональных данных в Роскомнадзор

Как уже упоминалось ранее, не все субъекты хозяйствования обязаны осуществлять уведомление Роскомнадзора о проводимых мероприятиях по обработке персональных данных. Причем данные исключения могут касаться как субъектов хозяйствования в целом, так и отдельных видов персональных данных или ситуаций, в которых происходит их обработка. К подобным случаям можно отнести следующие ситуации, в которых законодательство освобождает оператора персональных данных от обязанности уведомлять Роскомнадзор:

  1. Обработка персональных данных проводится для оформления трудового договора, а объем запрашиваемых сведений не превышает необходимого для проведения означенной процедуры.
  2. Договор оформляется с физическим лицом и в обработке персональной информации не будут участвовать третьи лица никоим образом.
  3. Персональные данные обрабатываются общественной организацией или религиозной общиной, и также не будут использоваться для передачи их третьим лицам за пределами означенной структуры.
  4. Обработка проводится в отношении общедоступной информации.
  5. Проводится обработка исключительно имени, фамилии и отчества лица.
  6. Целью обработки является оформление единоразового пропуска.
  7. Обрабатываемый материал уже содержится автоматизированных государственных информационных системах.
  8. Сбор сведений проводится в рамках деятельности транспортной компании и в целях обеспечения безопасности.

В ситуациях, которые находятся вне рассматриваемого перечня, любые действия по обработке персональных данных, равно как и в ситуациях, когда обрабатываются специальные персональные данные, необходимо уведомление Роскомнадзора. Кроме этого, в большинстве таких случаев также необходимо получение и согласия лица, в отношении которого проводится обработка информации.

Как составить уведомление об обработке персональных данных

Роскомнадзор предоставляет работодателям исключительный объем необходимой информации для правильного составления уведомления об обработке персональных данных. В частности, в приложении к вышеописанному Приказу №94 можно найти установленный бланк уведомления об обработке персональных данных, продублирован он и на официальном сайте.

Заполнение проводится с указанием рода обрабатываемых сведений, видов субъектов, в отношении которых будет проводиться обработка, правовых оснований, позволяющих производить данные процедуры, перечень конкретных видов обработки и дата начала её проведения.

На официальном сайте органа можно также заполнить уведомление в электронном формате.

При этом на сайте Роскомнадзора также имеются и более подробные пошаговые инструкции о заполнении, а также образцы уже заполненных правильным образом документов.

Если в порядке обработки сведений будут произведены изменения в отношении предоставленных в Роскомнадзор данных, то об этом необходимо заново направить уведомление.

Само уведомление должно направляться в течение 10 дней с момента начала осуществления действий по обработке. При этом его необходимо направить в электронном виде, а также продублировать в печатном формате, отправив заказным письмом с описью вложений в территориальное подразделение Роскомнадзора, в сфере ответственности которого будет проводиться обработка информации.

Последствия неуведомления

РКН регулярно проводит проверки оператор ПД и даже лиц, которые под определение не подпадают. В случае, если объект имеет право не уведомлять Роскомнадзор, необходимо быть готовым аргументированно доказать, что в данном случае это законно. Если же надзирательный орган в ходе проверки столкнется с нарушениями, в частности неуведомлением об обработке ПД, придется нести ответственность.

За неуведомление РКН оператором ПД предусмотрена уплата штрафов. Компании придется заплатить штраф в размере 5000 рублей, а руководству – 500 рублей (ст. 19.7 КоАП РФ). Штраф может последовать не только за неуведомление, но и за предоставление недостоверных или устаревших сведений.

Где взять документ?

Документ должен обязательно содержать следующую информацию:

  1. тип и название оператора;
  2. адрес оператора с указанием местонахождения;
  3. ИНН и ОГРН;
  4. сведения о законах, которыми руководствуется оператор;
  5. цели работы с ПД;
  6. средства обеспечения защиты информации;
  7. когда оператор начал обрабатывать ПД;
  8. сроки окончания обработки или условия прекращения проведения операций;
  9. данные об информационной системе и категории сведений;
  10. категории субъектов ПД;
  11. список действий и способов обработки ПД;
  12. осуществляется ли передача сведений третьим лицам;
  13. где находится база данных – страна и адрес;
  14. кто отвечает за действия с ПД: физическое лицо (паспортные данные, контакты и должность) или юридическое лицо (наименование, адрес, контакты).
  • Скачать бланк уведомления об обработке персональных данных
  • Скачать образец уведомления об обработке персональных данных

Обязательства и исключения

Под определение оператора обработки данных подпадают частные хозяйствующие субъекты, а также государственные и муниципальные структуры, которые производят обработку персональных данных в рамках своей основной деятельности.

Обязательства наступают для них автоматически в соответствии с законодательными актами. Но существует и перечень исключений. В него включены ЮЛ и ФЛ, которые:

  • получают и обрабатывают данные в рамках трудовых отношений;
  • не автоматизировали процесс работы с данными;
  • оформляют договора с ФЗ без передачи ПД третьей стороне;
  • собирают и производят обработку персональных данных для внутреннего пользования (актуально для религиозных и общественных организаций);
  • манипулируют открыто выложенными для всеобщего пользования данными;
  • имеют пропускную систему;
  • берут данные из государственных инфосистем;
  • включают в себя только фамилию, имя и отчество субъекта ПД;
  • оформляют проездные документы (что невозможно осуществить без обработки данных).

Перечисленные субъекты могут не беспокоиться об отправке уведомления об обработке данных в надзорный орган. Но списки периодически корректируются и их актуальность рекомендуется проверять один раз в 6 месяцев.

Основные правила заполнения

Заполнить бланк информационного письма в Роскомнадзор не составит особого труда: для этого создан единый образец.

На официальном сайте надзорного ведомства имеются готовые примеры заполнения документа. Достаточно переработать такой текст с учётом деятельности вашего учреждения.

При составлении письма следует учесть:

  1. Так, перечисляя категории полученных сведений, подлежащих обработке, необходимо сообщать персональные, биометрические и специальные сведения.

    К специальным относятся:

    • расовая и национальная принадлежности;
    • политические взгляды;
    • религиозные и философские убеждения;
    • состояние здоровья;
    • об интимной жизни.
  2. Под видами субъектов подразумеваются, например, работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором).
  3. В графе «Правовое основание» указывайте не только соответствующие статьи Федерального закона, но и источники иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки данных.
  4. «Перечень действий» – это общее описание используемых оператором способов обработки. К ним относятся неавтоматизированная, автоматизированная или смешанная обработка материала.
  5. Также в документе обозначается не только конкретная дата начала любого действия, совершаемого с личной информацией, но и сами мероприятия. Это сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение данных.
  • Скачать бланк формы уведомления об обработке персональных данных в Роскомнадзор
  • Скачать образец формы уведомления Роскомнадзора об обработке персональных данных

Подробнее о нюансах заполнения уведомления читайте тут.

Даже в общих для всех правилах существуют исключения. Исходя из той же 22-й статьи Закона, подавать уведомление не требуется если:

  • Обработка информации производится без компьютера и электронных баз данных.Обработка информации описана в Постановлении Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  • Вы собираете необходимые сведения, для заключения трудового и коллективного договоров.
  • Оформляете договор с физическим лицом и не собираетесь делиться его контактами с кем-либо.
  • Вы – общественное объединение или религиозная организация (опять же, если не раскрываете и не распространяете информацию без согласия человека на это).
  • Анкета физлица уже находится в общем доступе.
  • Требуются только фамилия, имя и отчество.
  • Нужен одноразовый пропуск на территорию вашего предприятия.
  • Обрабатываете материал, содержащийся в государственных автоматизированных информационных системах (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • Вы – транспортная компания и нацелены при сборе информации на безопасную деятельность вашей инфраструктуры.

Как видите, информационное письмо включает обширные сведения о деятельности вашей организации. В то же время в штате любого учреждения неизбежны изменения. Наше законодательство учло и этот момент.

Закон обязывает операторов в течение 10 дней оповещать Роскомнадзор о корректировке предоставленных сведений.

В этой ситуации специалисты ведомства советуют, как можно раньше внести поправки и следить за актуальностью информации о компании в реестре операторов.

Если организация прежде не сталкивалась с подобными запросами, внимание со стороны надзорного аппарата власти может насторожить и даже внушить опасения различного характера. Поэтому стараются «отмолчаться» по принципу: чем меньше о нас знают, тем лучше

Но излишняя «скромность» как раз и приведет к нежелательным последствиям.

Здесь нет никакой волокиты. Не стоит бояться и внезапных проверок. На практике такого не происходит, если вы не нарушаете закон. Также совершенно беспочвенны опасения финансовых затрат со стороны оператора. Лучше один раз правильно заполнить информационное письмо.

  • Скачать бланк информационного письма о внесении изменений в сведения в реестр операторов
  • Скачать образец информационного письма о внесении изменений в сведения в реестр операторов

Законодательное регулирование уведомления об обработке персональных данных в Роскомнадзор

В российском законодательстве вопросы уведомления государственных органов о проводимой обработке персональных данных регламентируются несколькими основными нормативными документами. В частности, к ним можно отнести:

  • Федеральный закон №152 от 27.07.2006, который является главным законодательным документом, рассматривающим работу с персональными данными, основные юридические понятия и принципы обеспечения их защиты, равно как и непосредственного проведения обработки.
  • Приказ Роскомнадзора №94 от 30.05.2017, регулирующий конкретные принципы уведомления Роскомнадзора об обработке персональных данных, а также содержащий бланк данного документа, обязательный к использованию российскими субъектами хозяйствования.

В отношении некоторых вопросов, связанных с личной информацией для сотрудников отдельных ведомств государственной службы порядок уведомления может отличаться и регламентируется соответствующими нормативными актами, которые устанавливают принципы работы соответствующих служб.

Кроме этого, работодатели в отношении самих сотрудников должны соблюдать и требования, которые диктует Трудовой кодекс. Он также содержит ряд нормативов по обработке личной информации, однако сведений об обязательном направлении уведомлений в этом документе нет.

Как заполнить согласие на обработку персональных данных

Для предоставления своего согласия вам достаточно заполнить специальный бланк. Его можно бесплатно получить в той организации, для которой необходимы ваши данные. Также форму для заполнения можно скачать в сети. Для ее заполнения необходимо использовать исключительно русский язык. Вносите данные документов, выданных только российскими учреждениями. Если форма заполняется несовершеннолетним, понадобится указать данные его опекуна или родителя.

Образец согласия на обработку персональных данных

Можно ли обрабатывать сведения о лице без согласия владельца

Существуют ситуации, в которых согласие на обработку личной информации не является обязательным условием:

  • Если предусмотрено размещение данных о сотрудниках в Интернете. Например, образовательные и медицинские учреждения должны предоставлять информацию о квалификации и образовании своих сотрудников;
  • Когда необходима обработка информации близких родственников, к примеру, для оформления алиментов или социальных выплат;
  • В том случае, если нужно знать о здоровье работника, чтобы понять, насколько он способен выполнять свои обязанности;
  • При необходимости передать информацию в прокуратуру, полицию, военный комиссариат, службу безопасности, Пенсионный фонд;
  • Для предотвращения угрозы жизни и здоровью гражданина.

Письменное заявление о согласии на обработку персональных данных

Любая работа с информацией должна начинаться только после получения письменного согласия. Достаточно заполнить бланк, в котором присутствуют следующие пункты:

  • паспортные данные;
  • цель обработки;
  • название организации, для которой предоставляется информация;
  • время действия разрешения;
  • варианты отзыва;
  • подпись человека, которому принадлежит информация.

Читайте далее:

Согласие на обработку персональных данных несовершеннолетнего образец 2020 года

Приходный кассовый ордер (КО-1) – скачать бланк 2021 года

Скачать образец и бланк акта выполненных работ

Отзыв согласия на обработку персональных данных

Как правило, информация используется практически сразу после получения письменного разрешения. Таким образом, отзывать его просто нет смысла, так как оператор после использования данных просто удаляет их. В любом случае, каждый гражданин имеет право отозвать свое согласие. К примеру, если человек предоставлял свои данные при устройстве на работу. При увольнении он может отозвать свое согласие, потребовав удалить или уничтожить имеющуюся информацию. Кроме этого, гражданин имеет право отозвать свое согласие в том случае, если появились подозрения в использовании информации не по назначению.

Отзыв оформляется в том же формате, что и разрешение. Для этого необходимо обратиться к оператору, которому ранее была предоставлена личная информация, и передать ему заявление. В течение одного месяца после принятия заявления оператор должен прекратить обрабатывать данные и уничтожить их.

Законом предусматриваются ситуации, когда обработку информации не прекращают, несмотря на предоставление письменного отзыва:

  • Информация используется для выполнения обязанностей по международному договору;
  • Гражданин предоставляет государственные услуги, поэтому информация о нем размещена на Едином портале, и доступна каждому посетителю;
  • Когда защищаются жизненно важные интересы;
  • Человек сам сделал информацию общедоступной, например, путем социальных сетей;
  • Информация применяется в исследованиях;
  • Данные касаются должника, с которого взимается задолженность через суд;
  • Информация является собственностью автора статей или журналиста, который осуществляет профессиональную деятельность.

На примере системы «1С «Кадры и бухгалтерия»:

  • «Категория персональных данных» — отметить все категории в графе «Персональные данные», кроме «имущественное положение» и «социальное положение». Графу «специальные категории ПДн» и графу «Биометрические ПДн» заполнять не надо. В графе «другие категории ПДн», написать категории персональных данных из проекта уведомления, за исключением тех, что были отмечены знаком «галка»;
  • «Категории субъектов, ПДн которых обрабатываются» — ввести информацию, указанную в аналогичном поле проекта уведомления;
  • «Перечень действий с ПДн, общее описание …» — ввести информацию, указанную в аналогичном поле проекта уведомления. Выбрать тип обработки ПДн, исходя из типа обработки, указанного в проекте уведомления (для описанных 4-ех ИСПДн в проекте уведомления, используется: смешанная обработка ПДн, с передачей ПДн по внутренней сети Оператора, с передачей по сети Интернет);
  • «Осуществление трансграничное передачи» — выбрать «не осуществляется»;
  • «Использование шифровальных средств» — поле не заполняется;
  • «Сведения о местонахождении базы данных…» — выбрать «Россия»;
  • «Адрес ЦОДа» — указать адрес ЦОДа (указывается собственный адрес организации, если база данных, содержащая ПДн, находится на территории организации. Указывается адрес арендуемого ЦОДа, если база данных, содержащая ПДн, находится в арендуемом (ЦОДе));
  • «Собственный ЦОД» — выбрать «да» (если база данных, содержащая ПДн, находится на территории организации), выбрать «нет» (если, база данных, содержащая ПДн, находится в арендуемом (ЦОДе). В случае ответа «нет», необходимо заполнить информацию по организации, ответственной за хранение данных (Информация представлена в проекте уведомления);
  • На примере системы «1С «Кадры и бухгалтерия» заполняется информация по остальным ИСПДн, согласно информации, представленной в проекте уведомления. Новая информационная система добавляется путем нажатия «добавить ИС» в форме уведомления;
  • «Ответственный за организацию обработки ПДн» — указывается физическое лицо, назначенное приказом по организации. Заполняются все поля.

После заполнения электронной формы уведомления, необходимо ввести «Защитный код», ознакомиться с «Порядком подачи уведомления в электронном виде» и нажать «Отправить электронное уведомление и подготовить форму к распечатке».

! ВНИМАНИЕ. После заполнения электронной формы, уведомление будет внесено в реестр рассматриваемых уведомлений

Уведомлению в электронной форме будет присвоен уникальный ключ. Распечатанному уведомлению на бумажном носителе будет присвоен аналогичный уникальный ключ. В связи с этим внимательно заполняйте и проверяйте формы уведомления перед нажатием на следующую кнопку:

Перечень территориальных органов Роскомнадзора: https://rkn.gov.ru/about/territorial/.

Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных Роскомнадзора: https://77.rkn.gov.ru/docs/77/Uvedomlenie_ob_obrabotke_PD.docx.

Отправка через сайт Роскомнадзора

Этот вариант выбирают гораздо чаще. Он довольно удобен и понятен:

  • зайти на официальный ресурс Роскомнадзора;
  • найти форму уведомления;
  • в онлайн режиме внести нужные данные;
  • после нажать на вкладку «Отправить электронное уведомление и подготовить форму к распечатке»;
  • распечатать документ в бумажном виде;
  • заверить (таким же образом, как указано в прошлом разделе).

Уведомление на бумажном носителе в качестве подтверждения отправляется почтой. На рассмотрение заявки надзорному органу дан месяц со дня отправки в электронном варианте.

Основным минусом способа считаются сложности с внесением данных в уведомление.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector