Что нужно знать об уведомлении Роскомнадзора об обработке персональных данных

В адрес ООО из Управления Роскомнадзора поступило письмо о предоставлении сведений, в котором указано, что при реализации полномочий Управлением Роскомнадзора были выявлены признаки деятельности, предполагающие обработку ООО персональных данных, в связи с чем ООО является оператором, осуществляющим обработку персональных данных. Сославшись на ч. 1 ст. 22 Федерального закона от 27.08.2006 N 152-ФЗ «О персональных данных», Управление Роскомнадзора заявило об обязанности ООО уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных. Между тем ООО осуществляет обработку персональных данных только в рамках трудового законодательства, а также для открытия расчетного счета в банк были переданы персональные данные директора и главного бухгалтера, оформлены зарплатные карты. Обязано ли ООО направить уведомление в Управление Роскомнадзора до начала обработки персональных данных?

Действительно, по общему правилу, установленному частью 1 ст. 22 Федерального закона от 27.08.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ), оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Соответствующим органом в настоящее время является Роскомнадзор (п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства РФ от 16.03.2009 N 228).
Согласно ст. 3 Закона N 152-ФЗ под оператором персональных данных понимаются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; а обработкой персональных данных является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Каждый работодатель, в силу требований законодательства, в любом случае обязан собирать, хранить, передавать персональные данные, то есть вести их обработку. В связи с этим на практике он признается оператором персональных данных независимо от прочих обстоятельств (смотрите, например, постановление Четвертого арбитражного апелляционного суда от 01.10.2012 N 04АП-3907/12, решение Центрального районного суда г. Сочи от 02.03.2012 N 12-40/2012, решение Арбитражного суда Еврейской автономной области от 22.02.2012 N А16-1291/2011, решение Северодвинского городского суда Архангельской области от 26.02.2015 N 12-207/2015, решение Чкаловского районного суда г. Екатеринбурга Свердловской области от 26.03.2015 N 12-57/2015)*(1).
Таким образом, требование части 1 ст. 22 Закона N 152-ФЗ распространяется в том числе и на работодателей. Вместе с тем частью 2 ст. 22 Закона N 152-ФЗ установлен перечень случаев, когда оператор персональных данных не обязан уведомлять Роскомнадзор об обработке персональных данных. Одним из таких случаев является обработка персональных данных в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона N 152-ФЗ). Необходимо обратить внимание, что из буквального толкования данной нормы следует, что ее действие распространяется не на все случаи обработки работодателем персональных данных работников, а лишь на те, которые прямо предусмотрены трудовым законодательством (сравните с редакцией п. 1 ч. 2 ст. 22 Закона N 152-ФЗ, действовавшей до 30.06.2011). Иными словами, сам по себе факт наличия между субъектом персональных данных и оператором трудовых отношений не освобождает последнего от обязанности по уведомлению Роскомнадзора об обработке персональных данных. Необходимо, чтобы обработка таких данных была предусмотрена трудовым законодательством (постановление Ейского городского суда Краснодарского края от 22.05.2013).
В связи с этим необходимо отметить, что п. 1 части первой ст. 86 ТК РФ предусматривает, что обработка персональных данных возможна, в частности, в целях обеспечения соблюдения законов и иных нормативных правовых актов. Так, например, обязанность работодателя по передаче персональных данных работников соответствующим военным комиссариатам для целей ведения воинского учета, Пенсионному фонду РФ для целей ведения индивидуального (персонифицированного) учета прямо предусмотрена действующим законодательством (пп. 3 п. 2 ст. 12 Федерального закона от 16.08.1999 N 165-ФЗ «Об основах обязательного социального страхования», п. 7 ст. 8 Федерального закона от 28.03.1998 N 53-ФЗ «О воинской обязанности и военной службе», п. 32 Положения о воинском учете, утвержденного постановлением Правительства РФ от 27.11.2006 N 719). Следовательно, такая передача персональных данных, по нашему мнению, не приводит к возникновению у работодателя обязанности по уведомлению Роскомнадзора об обработке персональных данных.
Вместе с тем посредничество работодателя при получении (оформлении) работниками зарплатных банковских карт законодательством не предусмотрено и носит гражданско-правовой характер, то есть выходит за рамки урегулированных трудовым законодательством отношений. Ведь трудовым законодательством установлена только обязанность работодателя выплачивать в полном размере причитающуюся работнику заработную плату (часть вторая ст. 22 ТК РФ) в месте выполнения им работы либо перечислять ее на указанный работником счет в банке на условиях, определенных коллективным договором или трудовым договором (часть третья ст. 136 ТК РФ). Следовательно, на передачу работодателем персональных данных работников кредитным организациям непосредственно с целью оформления зарплатных карт действие нормы п. 1 ч. 2 ст. 22 Закона N 152-ФЗ не распространяется. Поэтому в такой ситуации работодатель по общему правилу обязан направлять уведомление об обработке персональных данных (смотрите, например, информацию Управления Роскомнадзора по Кировской области от 06.04.2012).
Тем не менее следует иметь в виду, что перечень исключений, предусмотренных частью 2 ст. 22 Закона N 152-ФЗ, не ограничивается лишь тем, которое приведено в пункте 1 этой части. Так, в частности, работодателям в данной ситуации следует обратить внимание на пункт 2 ч. 2 ст. 22 Закона N 152-ФЗ, в соответствии с которым уведомление Роскомнадзора не требуется также и в случаях, когда персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Таким образом, если условия об оформлении работнику работодателем зарплатной банковской карты предусмотрены трудовым договором или иным договором между работником и работодателем, то сама по себе передача работодателем необходимых для исполнения условий таких договоров персональных данных работников третьим лицам не свидетельствует о необходимости уведомления Роскомнадзора об обработке персональных данных. Однако избежать такой обязанности даже в этом случае можно только тогда, когда на передачу персональных данных работник выразил свое прямое согласие, несмотря на тот факт, что такое согласие не является обязательным для признания передачи персональных данных в рассматриваемом случае правомерной (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).
Кроме того, в соответствии с п. 8 ч. 2 ст. 22 Закона N 152-ФЗ не требуется уведомление об обработке персональных данных без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Согласно п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 N 687 (далее — Положение), обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. При этом обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения). Указанный нормативный акт также устанавливает требования к порядку такой обработки персональных данных.
Следует обратить внимание, что каждое из приведенных исключений является самостоятельным обстоятельством, обуславливающим отсутствие у работодателя необходимости по уведомлению Роскомнадзора об обработке персональных данных. Иными словами, если, например, работодатель ведет обработку персональных данных с использованием средств автоматизации, но делает это исключительно в соответствии с трудовым законодательством, то уведомление не требуется (постановление Четвертого арбитражного апелляционного суда от 01.10.2012 N 04АП-3907/12). Верно и обратное: если даже работодатель ведет не предусмотренную трудовым законодательством обработку персональных данных, но без применения средств автоматизации, уведомление также не требуется. При этом в отношении различной обрабатываемой работодателем информации могут применяться различные основания для ее исключения из состава тех персональных данных, об обработке которых работодатель должен уведомлять Роскомнадзор. Так, работодатель может одновременно вести автоматизированную обработку персональных данных на основании трудового законодательства и неавтоматизированную обработку иных персональных данных — в этом случае уведомление Роскомнадзора также не требуется (определение Владимирского областного суда от 20.01.2015 N 33-139/2015).
Если же обработка работодателем персональных данных не подпадает ни под одно из исключений, приведенных в части 2 ст. 22 Закона N 152-ФЗ, работодателю необходимо уведомить Роскомнадзор об обработке персональных данных.
Если случаи обработки работодателем персональных данных все же подпадают под исключения, предусмотренные частью 2 ст. 22 Закона N 152-ФЗ, необходимо учесть, что на сегодняшний день в судебной практике не сформировалось единого мнения по вопросу о том, обязан ли работодатель в такой ситуации отвечать на требование Роскомнадзора о направлении уведомления. Согласно ч. 4 ст. 20 Закона N 152-ФЗ оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса. Ссылаясь на данную норму, некоторые суды приходят к выводу о наличии в действиях работодателя, полностью проигнорировавшего запрос Роскомнадзора, состава административного правонарушения, предусмотренного ст. 19.7 КоАП РФ, даже в том случае, если работодатель не обязан был направлять в Роскомнадзор уведомление об обработке персональных данных (смотрите, например, постановление Калужского областного суда от 27.09.2012, решение Центрального районного суда г. Тюмени Тюменской области от 23.06.2014 N 12-325/2014, решение Фрунзенского районного суда г. Владивостока от 18.04.2013 N 12-304/2013, решение Волгодонского районного суда Ростовской области от 23.09.2014 N 12-268/14, решение Октябрьского районного суда г. Мурманска по делу N 12-21/2011, решение Крымского районного суда Краснодарского края от 02.09.2015 N 12-110/2015). Существует, однако, в судебной практике и такой подход, согласно которому в таком случае работодатель не обязан направлять какой-либо ответ в Роскомнадзор (решение Амурского городского суда Хабаровского края от 19.08.2013 N 12-73/2013, решение Таганрогского городского суда Ростовской области от 20.03.2015 N 12-114/2015, решение Центрального районного суда г. Сочи от 02.03.2012 N 12-40/2012). Тем не менее наиболее безопасным для работодателя в такой ситуации представляется направление Роскомнадзору ответа с указанием на то, что оператор в данном случае имеет право на обработку персональных данных без уведомления данного органа со ссылкой на соответствующие основания, предусмотренные законом. Направление оператором такой информации рассматривается судами как надлежащий ответ на запрос Роскомнадзора (постановление Семикаракорского районного суда Ростовской области от 17.02.2015 N 12-4/2015, решение Майкопского городского суда Республики Адыгея от 01.11.2012 N 12-237/2012).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
кандидат юридических наук Широков Сергей

Ответ прошел контроль качества

28 сентября 2017 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

Читать еще:  Гражданско-правовой договор с физическим лицом

Как подать уведомление в Роскомнадзор об обработке персональных данных?

Правила защиты в сфере обработки персональных данных ужесточаются с каждым годом.

Растут и суммы штрафов, которые придется выплачивать юридическим или физическим лицам в случае нарушения законов о персональных данных (ПД).

За исполнением законов в сфере связи, информационных и коммуникационных технологий следит федеральный орган исполнительной связи Роскомнадзор (РКН).

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Уведомление об обработке ПД – это документ, который подается в Роскомнадзор и на основании которого юридическое или физическое лицо включается в Реестр операторов, осуществляющих обработку ПД.

Уведомляющий документ подается организацией/предприятием/индивидуальным предпринимателем, подпадающим под определение “оператор ПД” перед началом обработки конфиденциальной информации (Статья 22 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных»).

Кем заполняется и кто подает?

Прежде чем отправить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных, лицу следует разобраться, является ли оно оператором ПД.

Законом предусмотрен ряд исключений, когда уведомлять надзорный орган нет необходимости. Уведомление может быть составлено в форме электронного или бумажного документа. За составление документа отвечает лицо, уполномоченное осуществлять операции в сфере ПД в данной организации (п. 1-4 ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Это может быть сотрудник юридического отдела, отдела кадров или любой представитель администрации.

Если документ составляется в бумажной форме, подавать его можно как письмо, отправив по почте. Альтернативным способом подачи является электронное заполнение на сайте Роскомнадзора.

Заполненную на портале форму придется распечатать и так же отправить по почте, тем самым подтвердив сведения, поданные через онлайн-ресурс.

В обоих случаях бумажный носитель заверяется печатью, подписями генерального директора и уполномоченного за обработку ПД лица. Направлять уведомляющий документ следует в управление по тому субъекту Российской Федерации, где зарегистрировано лицо.

Сроки подачи

Законодательство не устанавливает сроки, в рамках которых компания должна уведомить Роскомнадзор. Однако буквой закона установлено, что проинформировать федеральный орган следует до начала проведения операций с персональными сведениями. А именно после госрегистрации юридического лица или ИП.

В случаях, когда компания приняла решение подать уведомление “с опозданием”, указать датой начала работы с ПД лучше дату регистрации учреждения.

Последствия неуведомления

РКН регулярно проводит проверки оператор ПД и даже лиц, которые под определение не подпадают. В случае, если объект имеет право не уведомлять Роскомнадзор, необходимо быть готовым аргументированно доказать, что в данном случае это законно. Если же надзирательный орган в ходе проверки столкнется с нарушениями, в частности неуведомлением об обработке ПД, придется нести ответственность.

За неуведомление РКН оператором ПД предусмотрена уплата штрафов. Компании придется заплатить штраф в размере 5000 рублей, а руководству – 500 рублей (ст. 19.7 КоАП РФ). Штраф может последовать не только за неуведомление, но и за предоставление недостоверных или устаревших сведений.

В каких случаях можно обойтись без него?

Обработка ПД без уведомления федерального надзорного органа может осуществляться в следующих случаях:

  • при получении конфиденциальных сведений в рамках трудовых отношений;
  • при осуществлении операций без использования автоматизированных средств – компьютеров и баз данных;
  • при оформлении договоров с физическим лицом – в случае, если лицо обязуется не предоставлять данные третьей стороне;
  • если данные собираются общественной или религиозной организацией и предполагают исключительно внутреннее пользование;
  • при оперировании со сведениями, которые выложены лицом в открытый доступ;
  • компаниям, в которых действует пропускная система – где сведения принимаются лишь для оформления одноразового пропуска;
  • если обрабатываются данные, содержащиеся в государственных информсистемах ПД;
  • если информация собирается транспортными компаниями с целью оформления проездных документов.

Полный перечень случаев, не подлежащих уведомлению РКН, содержат пункты 1-9 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.

Где взять документ?

Удобнее всего составлять уведомление в электронном виде. Оно размещено на официальном сайте РКН, найти его можно по ссылке: https://pd.rkn.gov.ru/operators-registry/notification/form/. Это унифицированная форма, содержание которой отражено в Приложении 2 к приказу Минкомсвязи России от 21 декабря 2011 г. № 346.

Документ должен обязательно содержать следующую информацию:

  1. тип и название оператора;
  2. адрес оператора с указанием местонахождения;
  3. ИНН и ОГРН;
  4. сведения о законах, которыми руководствуется оператор;
  5. цели работы с ПД;
  6. средства обеспечения защиты информации;
  7. когда оператор начал обрабатывать ПД;
  8. сроки окончания обработки или условия прекращения проведения операций;
  9. данные об информационной системе и категории сведений;
  10. категории субъектов ПД;
  11. список действий и способов обработки ПД;
  12. осуществляется ли передача сведений третьим лицам;
  13. где находится база данных – страна и адрес;
  14. кто отвечает за действия с ПД: физическое лицо (паспортные данные, контакты и должность) или юридическое лицо (наименование, адрес, контакты).
  • Скачать бланк уведомления об обработке персональных данных
  • Скачать образец уведомления об обработке персональных данных

Пошаговая инструкция

Необходимо отнестись со всей ответственностью к процедуре заполнения и подачи уведомления, тщательно проверив исходные документы на достоверность и актуальность сведений и реквизитов.

Как заполнить?

  1. Зайти на сайт Роскомнадзора по ссылке https://pd.rkn.gov.ru/operators-registry/notification/form/ – здесь размещена онлайн-форма.
  2. Скачивать ничего не нужно – сведения вписываются сразу в электронный документ.
  3. Тщательно заполнить все поля, отмеченные звездочкой *.
  4. Ввести капчу – защитный код.
  5. Поставить галочки напротив пунктов об ознакомлении с порядком подачи документа и подтверждения согласия на передачу информации через глобальную сеть.
  6. Кликнуть по кнопке “Отправить”.

При наличии выпадающего списка в поле – выбрать из списка подходящий ответ. Если напротив пункта свободного поля нет – отметить галочками актуальные сведения, при необходимости – внести дополнительные данные. При заполнении адресов можно ввести информацию вручную, а можно воспользоваться встроенным онлайн-справочником.

Как отправить?

После заполнения электронного уведомления информация поступает на обработку в РКН, а система подготавливает заполненную форму к распечатке. Дальнейшие действия:

  1. Сохранить подготовленный документ на свой компьютер и распечатать либо отправить на распечатку непосредственно с сайта.
  2. Подписать бумажный вариант документа у лица, которое несет ответственность за обработку ПД, поставить печать.
  3. Отправить по почте подписанный документ в территориальный орган РКМ по месту регистрации оператора.

Роскомнадзор обязан рассмотреть уведомление в течение 30 дней и внести сведения в общий реестр (п. 4 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

Как внести изменения?

План действий внесения изменений в уведомление:

  1. Пройти по ссылке https://rkn.gov.ru/personal-data/forms/p333/.
  2. Заполнить письмо онлайн – внести измененные данные.
  3. Распечатать информационное письмо и после подписания уполномоченным лицом отправить почтой в территориальный филиал РКН.

Роскомнадзор внесет изменения в реестр в течение 15 дней.

Как посмотреть статус?

На сайте РКН оператор ПД получает уникальный номер документа и секретный ключ. Посмотреть статус уведомления можно на сайте Роскомнадзора по ссылке: https://pd.rkn.gov.ru/operators-registry/notification_check/. Для этого достаточно ввести номер и ключ, ввести защитный код-капчу и дождаться загрузки страницы с ответом. Делать это рекомендуется не ранее двух недель с даты подачи заявки.

Подать уведомление об обработке и внесении изменений в персональные данные лучше в срок – это поможет обезопасить компанию от проблем с законом и дополнительных финансовых затрат.

Видео по теме

Как предоставить уведомление об обработке персональных данных:

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Разъяснения по вопросам уведомления об обработке персональных данных

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
Здесь важно учесть, что запрос Роскомнадзора — это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Возможны две ситуации:

  1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
  2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.
В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок. Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».
Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления — она находится на сайте Роскомнадзора. Изучив форму, вы поймете, что заполнение уведомления — это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

  • категории персональных данных,
  • категории субъектов персональных данных,
  • цель обработки персональных данных,
  • правовое основание обработки персональных данных,
  • перечень действий с персональными данными,
  • описание способов обработки,
  • осуществление трансграничной передачи персональных данных,
  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
  • ответственный за организацию обработки персональных данных,
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.
Если вам удалось провести полноценное обследование, и вы выявили самое главное — цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа. Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.

Читать еще:  Образец договора на оказание транспортных услуг по перевозке грузов

Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

Важно понимать — наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки — в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора. Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации. Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе. Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706. В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

Большинство вопросов связано со следующими пунктами:

  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1. Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации — исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

  • назначить ответственного за организацию обработки;
  • издать политику оператора в отношении обработки персональных данных;
  • издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
  • и так далее.

В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры. И так далее.

С 19 статьей делаем то же самое.

Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

  • Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
  • Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие — прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

Напомним — Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

Удачной Вам работы в сфере обработки и защиты персональных данных.

Отправка уведомления в Роскомнадзор

В той или иной мере в поле информационных и коммуникационных технологий работают практически все предприниматели, ЮЛ и ФЛ, получающие, хранящие и обрабатывающие персональные данные (ПД). Законодательство в этой сфере регулярно обновляется и совершенствуется, вводя новые правила. К одному из них относится обязанность отправлять уведомление о намерении вести обработку персональных данных в Роскомнадзор. Что это за документ, расскажем ниже.

Информационная справка

Правила защиты в сфере обработки персональных данных обязуют всех, кто ими оперирует, проходить регистрацию в качестве оператора персональных данных. Эти вопросы находятся в юрисдикции Роскомнадзора (РКН), который в случае неисполнения закона вводит штрафные санкции против юридического лица или ИП.

Ведя деятельность в сфере обработки персональных данных, необходимо руководствоваться следующими нормативными актами:

  • Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных»;
  • ст. 19.7 КоАП РФ;
  • Приложение 2 к приказу Минкомсвязи России от 21 декабря 2011 г. № 346 .

Персональные данные можно представить в виде информации, по которой легко устанавливается личность того или иного человека. В перечень входят:

  • идентификационные данные общего порядка;
  • семейное положение;
  • образование и не только.

Регистрация в качестве оператора происходит через отправку уведомления об обработке в РКН. При этом перед обработкой персональных данных предприниматель должен убедиться, что документ принят контролирующим органом.

Согласно закону, базы персональных данных должны храниться только на территории России в бумажном или электронном виде. Принятие мер по защите данных в процессе обработки ложится целиком и полностью на оператора. Также он обязан:

  • получить согласие на обработку данных от лица, предоставляющего их;
  • прекращать хранение персональной информации после потери ею актуальности или по факту не востребованности.

За все нарушения, связанные с обработкой персональных данных и выявленные в результате проверок, Роскомнадзор наложит финансовые взыскания.

Обязательства и исключения

Под определение оператора обработки данных подпадают частные хозяйствующие субъекты, а также государственные и муниципальные структуры, которые производят обработку персональных данных в рамках своей основной деятельности.

Обязательства наступают для них автоматически в соответствии с законодательными актами. Но существует и перечень исключений. В него включены ЮЛ и ФЛ, которые:

  • получают и обрабатывают данные в рамках трудовых отношений;
  • не автоматизировали процесс работы с данными;
  • оформляют договора с ФЗ без передачи ПД третьей стороне;
  • собирают и производят обработку персональных данных для внутреннего пользования (актуально для религиозных и общественных организаций);
  • манипулируют открыто выложенными для всеобщего пользования данными;
  • имеют пропускную систему;
  • берут данные из государственных инфосистем;
  • включают в себя только фамилию, имя и отчество субъекта ПД;
  • оформляют проездные документы (что невозможно осуществить без обработки данных).

Перечисленные субъекты могут не беспокоиться об отправке уведомления об обработке данных в надзорный орган. Но списки периодически корректируются и их актуальность рекомендуется проверять один раз в 6 месяцев.

Штрафные санкции

Роскомнадзор регулярно проводит проверки, связанные с контролем за исполнением законов, затрагивающих информационное поле. Надзорный орган в первую очередь интересуют следующие нюансы:

  • наличие или отсутствие статуса оператора ПД;
  • система хранения данных;
  • актуальность предоставляемых данных и не только.

Если хозяйствующий субъект имеет законное право не присылать уведомление в РКН о намерении производить обработку данных, то во время проверки он должен аргументированно доказать это.

В среднем штрафы за разные виды нарушений составляют от 700 до 75000 рублей.

Кто и когда: просто о сложном

Обязанность заполнения и отправки уведомления об обработке персональных данных может быть возложена на разных сотрудников:

  • руководитель компании;
  • юрист;
  • кадровик;
  • представитель администрации.

Чаще всего заботы о получения статуса оператора ПД возлагаются на лицо, которое будет в дальнейшем заниматься обработкой полученных данных.

Сроки подачи уведомлений законодательством не оговорены. Но в любом случае сделать это нужно до начала обработки персональных данных. Чтобы обезопасить себя, рекомендуется отправлять уведомление об обработке персональных данных сразу же после регистрации в качестве частного предпринимателя или юридического лица.

Способы уведомления Роскомнадзора

На сегодняшний момент предприниматели имеют возможность уведомить Роскомнадзор о своих намерениях работать с данными разными способами. Каждый имеет свои особенности и тонкости, о которых нужно знать заранее.

Отправка почтой или курьерской службой

Этот вариант, как основной, с каждым годом выбирают все реже. Он включает в себя несколько этапов:

  • войти на сайт Роскомнадзора;
  • скачать форму уведомления;
  • распечатать документ;
  • внести в графы данные;
  • подать на подпись руководителю и уполномоченному работать с ПД лицу;
  • заверить печатью.

Далее клиенту нужно отправить бумагу в Роскомнадзор (местное отделение) и ожидать его приемки. Только после этого можно заниматься обработкой данных.

Почтовая отправка, несмотря на кажущуюся простоту, имеет массу минусов:

  • сложности с заполнением формы;
  • большие временные затраты;
  • необходимость лично ехать на почту;
  • невозможность сразу увидеть данные по статусу заявки и не только.

Чаще всего отправка уведомления почтой используется как вспомогательный способ, отмеченный в законодательном акте.

Отправка через сайт Роскомнадзора

Этот вариант выбирают гораздо чаще. Он довольно удобен и понятен:

  • зайти на официальный ресурс Роскомнадзора;
  • найти форму уведомления;
  • в онлайн режиме внести нужные данные;
  • после нажать на вкладку «Отправить электронное уведомление и подготовить форму к распечатке»;
  • распечатать документ в бумажном виде;
  • заверить (таким же образом, как указано в прошлом разделе).
Читать еще:  Прежний и новый должник: взаимоотношения при переводе долга

Уведомление на бумажном носителе в качестве подтверждения отправляется почтой. На рассмотрение заявки надзорному органу дан месяц со дня отправки в электронном варианте.

Основным минусом способа считаются сложности с внесением данных в уведомление.

Обращение через сайт Госуслуг

Алгоритм действий аналогичен предыдущему варианту, но зайти необходимо на ресурс Госуслуги. После отправки электронной формы уведомления также понадобится подтверждение в бумажном виде.

Отправка с помощью Контура

Все предыдущие варианты имеют один существенный недостаток – пользователь редко представляет, как подступиться к уведомлению. Процесс заполнения занимает от 2-3 часов до нескольких дней, так как форма изобилует специфическими и профессиональными терминами, ошибаться в которых нельзя.

Контур решает эту проблему в один клик. Чтобы отправить уведомление в Роскомнадзор достаточно войти в сервис и нажать на одну вкладку «Отправить уведомление». Данные вносятся в автоматическом режиме без участия пользователя.

При этом на экране будет доступна информация следующего характера:

  • номер, присвоенный уведомлению;
  • цифровой ключ.

Проверить текущий статус по отправленному уведомлению можно не выходя из программы, нажав вкладку «Проверить состояние». Теперь бумагу можно распечатывать и отправлять почтой в качестве подтверждения в Роскомнадзор.

После того, как РКН примет решение по отправленному уведомлению, Контур вышлет электронное письмо с данными на мэйл пользователя. Теперь можно браться за обработку сведений.

Получить более подробную информацию о сервисе можно связавшись со специалистами нашего удостоверяющего центра.

Обработка персональных данных – это стандартный процесс, с которым ЮЛ и ФЛ сталкиваются ежедневно. Но узаконить его без Роскомнадзора и уведомления об обработке персональных данных невозможно.

Роскомнадзор напоминает: не забудьте прислать уведомление об обработке персональных данных

ПОРТРЕТ ОФИЦИАЛЬНОГО ЛИЦА

Юлия Сергеевна ЗАБУДЬКО

С 2003 по 2007 год помощник прокурора прокуратуры Богучарского района Воронежской области. Затем главный специалист-эксперт, заместитель начальника юридического отдела Управления Федеральной службы по надзору в сфере связи по Москве и Московской области. С 2008 года – начальник отдела судебно-претензионной работы в области защиты прав субъектов персональных данных Правового управления Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия. В марте 2011 года назначена на должность заместителя начальника Управления по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Заместитель председателя Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных. Специализируется в области защиты конституционных прав человека на неприкосновенность частной жизни. Принимает активное участие и выступает на конференциях, в том числе международных, научно-практических семинарах по вопросам информационной безопасности и защиты персональных данных, рабочих группах по совершенствованию законодательства Российской Федерации в области персональных данных.

Все ли работодатели обязаны направлять в Роскомнадзор уведомление об обработке персональных данных?

— Сначала хотелось бы отметить, что Роскомнадзор удивил факт такого пристального внимания к приказу № 706. Федеральным законом «О персональных данных», вступившим в силу в январе 2007 года, уже предусматривалось, что работодатель должен направить в Роскомнадзор уведомление об обработке персональных данных 2 . В 2008 году был издан приказ, утверждающий форму уведомления и рекомендации по ее заполнению. И лишь после этого был издан приказ № 706, отражающий те изменения, которые были внесены в Закон в июле этого года. И хотя тема не нова, поток звонков в территориальные управления Роскомнадзора с вопросами по заполнению уведомления в последнее время не прекращается.

Возвращаясь к вопросу, поясню, что в Законе перечислены основания, при которых работодатель вправе осуществлять обработку персональных данных без уведомления Роскомнадзора (ч. вторая ст. 22). Например: если они обрабатываются в соответствии с трудовым законодательством; если данные получены в связи с заключением гражданско-правового договора с работником (при условии, что персональные данные не предоставляются третьим лицам без согласия работника и используются работодателем исключительно для исполнения договора) и т. п.

Чтобы четко понять, нужно ли уведомлять Роскомнадзор, рекомендую не только внимательно изучить закон, но и свои учредительные документы, локальные нормативные акты — в них закрепляются направления деятельности юридического лица и цель предполагаемой обработки персональных данных.

Иногда работодателю все же сложно определить, обязательно ли направлять уведомление. Об этом свидетельствуют многочисленные звонки в наш Справочно-информационный центр и письменные обращения граждан и юридических лиц — мы разбираемся с каждым конкретным случаем. Например, наиболее распространенный вопрос: нужно ли направлять уведомление, если в компании обрабатываются лишь персональные данные работников в соответствии с трудовым законодательством. Ответ: нет. Однако если предполагается передавать их персональные данные по программе добровольного медицинского страхования или для оформления зарплатной карты, уведомление отправлять обязательно, потому что эти отношения выходят за рамки трудового законодательства.

Обращаю ваше внимание: если организация вправе не уведомлять Роскомнадзор, она, тем не менее, должна выполнять все требования по защите персональных данных, особенно при трансграничной передаче персональных данных 3 . Практика показывает, что многие фирмы в настоящее время взаимодействуют со своими иностранными партнерами и передают персональные данные граждан Российской Федерации (работников, клиентов) на территорию иностранного государства. Работодатель должен понимать: в этой ситуации должны быть обеспечены особые условия защиты их персональных данных.

В какой форме — бумажной или электронной — нужно направлять уведомление? Как правильно его составить?

— Если организация обязана уведомить Роскомнадзор, она вправе сделать это двумя способами. Первый — самостоятельно составить уведомление в бумажной форме и направить его по почте. И второй — более удобный — заполнить уведомление в электронной форме на Портале персональных данных 4 , а затем распечатать. Второй способ более удобен потому, что на портале опубликована типовая форма документа с рекомендациями, как ее заполнить. Вашими помощниками будут всплывающие подсказки, которые поясняют каждую графу. После того как уведомление составлено, необходимо нажать кнопку «Отправить электронное уведомление и подготовить форму к распечатке». При этом совершаются два действия — электронный документ уходит непосредственно в нашу базу данных и преобразуется в форму, которую нужно распечатать на фирменном бланке. После этого необходимо подписать бумажный вариант у руководителя организации, поставить печать и отправить в территориальное управление Роскомнадзора. Их адреса опубликованы на главной странице нашего интернет-портала www.rsoc.ru.

В ближайшее время появится возможность в полном объеме пользоваться Единым порталом государственных и муниципальных услуг, откуда можно будет подать уведомление в электронной форме, не используя бумажный вариант. Для этого нужно зайти на портал через Личный кабинет (физического или юридического лица) и заполнить уведомление. Документ отправится в локальную сеть Роскомнадзора, а затем в соответствующее территориальное управление для обработки. В дальнейшем эта версия будет снабжаться электронной подписью. Сегодня во время регистрации вы также проходите необходимый этап идентификации, указав ИНН компании. Таким образом, подтверждается, что уведомление поступает от конкретного лица.

Уведомление, поступившее в территориальное управление, проверяется на соответствие требованиям закона и, при положительном решении, сведения об организации включаются в Реестр операторов, осуществляющих обработку персональных данных. Реестр также размещен на нашем сайте 5 , причем ведется он с 2008 года. Любой кадровик может убедиться, что его уведомление дошло до Роскомнадзора и сведения внесены реестр. Для этого наберите в нужных строках название компании и ИНН.

Если вы хотите документально подтвердить, что состоите в Реестре операторов, отправьте «Заявление о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных». Можно просто написать письмо в территориальное управление с просьбой предоставить выписку. В последнее время некоторые граждане обращаются в Роскомнадзор с вопросом — занесена ли в реестр та или иная компания? От этого будет зависеть, обратятся ли они в эту компанию за какой-либо услугой, будут ли с ней взаимодействовать в дальнейшем. То есть потенциальному клиенту важно знать, каким образом там защищают и защищают ли вообще персональные данные. Соблюдение всех требований действующего законодательства благоприятно отражается на деловой репутации организации.

Назовите, пожалуйста, самые распространенные ошибки в уведомлении. Что делать, если они допущены?

— Одна из самых распространенных ошибок — отражение неполных и (или) недостоверных данных , то есть когда не все пункты уведомления оказались заполненными или в них представлена недостоверная информация.

Вопросы возникают и с перечнем действий с персональными данными — сбором, хранением, систематизацией, накоплением, изменением, а также со способом обработки. Существуют три способа обработки — автоматизированная, неавтоматизированная и смешанная, когда данные обрабатываются в автоматизированном режиме, но при этом дублируются бумажными формами. Часто работодатель из-за невнимательности забывает указать нужный способ.

Еще одна системная ошибка — определение срока начала и окончания обработки персональных данных . Датой начала считается тот день, когда вы непосредственно начали их обрабатывать. Как правило, это начало деятельности юридического лица, а не день заполнения уведомления. А срок и основания прекращения — дата ликвидации фирмы или дата, когда прекращается обработка персональных данных и они уничтожаются, если не передаются в архив. Когда вы не можете определить точную дату окончания обработки персональных данных, можно в уведомлении указать предполагаемую, а потом, когда станет известна точная дата, заполнить «Форму заявления о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных» на Портале персональных данных. Если нет доступа в Интернет, необходимо отправить письмо в территориальное управление с просьбой внести изменения в конкретный пункт. Эти же действия нужно совершить, если вы допустили ошибку в уведомлении.

Когда Роскомнадзор может прийти в организацию с проверкой?

— Действующий закон о защите юридических лиц и индивидуальных предпринимателей предусматривает как плановые, так и внеплановые проверки 6 . Например, основанием для плановой проверки может быть истечение трех лет со дня государственной регистрации юридического лица или индивидуального предпринимателя или окончания последней плановой проверки . Истечение срока исполнения работодателем ранее выданного предписания об устранении нарушения или поступление в Роскомнадзор (его территориальные органы) информации о нарушении прав граждан при обработке их персональных данных также являются основаниями для проведения внеплановой проверки.

Незаконная обработка персональных данных без согласия работника, незаконное их распространение неограниченному кругу лиц — например, когда в Интернете появляется информация о должниках или нарушителях дисциплины — одни из наиболее распространенных нарушений. Так, на сайте одной организации были размещены сведения о человеке (фамилия, имя, отчество и место жительства), который совершил дисциплинарный проступок. Тем самым был нарушен закон о персональных данных, что стало причиной внеплановой проверки.

Нужно ли работодателю писать заявление об исключении сведений из Реестра операторов?

— Разумеется, если работодатель по каким-либо причинам прекращает обрабатывать персональные данные. Например, в случае ликвидации или реорганизации компании, окончания срока обработки данных, указанного в уведомлении, и т. д. Поэтому работодатель обязан прислать заявление в территориальное управление Роскомнадзора с просьбой исключить его из реестра, а также обоснования, почему это следует сделать. Обращаю ваше внимание, что такое заявление — это не простая формальность, а прямое доказательство ответственного отношения к своим обязанностям.

Беседовала Елена Ильина, эксперт журнала «Кадровое дело»

Ссылка на основную публикацию
Adblock
detector