Уведомление Роскомнадзора об обработке персональных данных

Осуществляя любые действия с персональными данными в отношении своих клиентов, сотрудников и других граждан, организация, государственный орган или ИП получают статус оператора персональных данных и подпадает под действие ФЗ-152.

Первоочередной задачей, законодательно предусмотренной для оператора ПДн, является подача официального уведомления в РКН. В данном документе сообщается о начале процесса обработки ПДн. Полученную информацию подвергают проверке и заносят в специальный Реестр, доступ к который имеет любой субъект, для того чтобы убедиться в добропорядочности и надежности бизнес-партнера или работодателя.

Для фирмы или предпринимателя уведомление Роскомнадзора об обработке персональных данных — это способ легализировать деятельность, поскольку без него любые операции с ПДн являются противозаконными. Уведомить Роскомнадзор необходимо до начала совершения любых операций (сбора, хранения, блокировки, изменения или распространения) с личными сведениями субъекта. В противном случае грозит штраф. Также за отказ или несвоевременное информирование компетентного органа на нарушителя будет возложена административная ответственность.

В исключительных случаях выполнение данных требований законодательства распространяется не на все организации. Для минимизации рисков нарушения законодательства и получении квалифицированной помощи рекомендуется обращаться за консультацией к экспертам в области персональных данных. Только после анализа и оценки деятельности вашей компании, можно будет принять решение о необходимости уведомлять РКН или нет и какие меры необходимо внедрять для защиты информационных систем.

В нашем Центре готовы проконсультировать по всем вопросам относительно приведения обработки ПДн в соответствие требованиям законодательства и необходимости направления уведомления в Роскомнадзор.

Когда не нужно письменно или через портал Роскомнадзора подавать уведомление?

По действующему закону все компании и предприниматели, кто работает с ПДн, должны сообщать о намерении проводить операции с личной информацией граждан, за исключением тех, которые:

имеют отношение к участникам различных организаций религиозной или общественной направленности при условии, что они не нарушают других нормативно-правовых актов РФ, в частности, не передают сведения третьей стороне без письменного согласия субъекта;
не содержат никаких данных, кроме имени, фамилии и отчества физических лиц;
были сделаны субъектом персональных данных общедоступными. В данном случае не требуется подача уведомления в Роскомнадзор об обработке персональных данных, которые были опубликованы на страничке в социальных сетях или в периодических изданиях;
были предоставлены оператору после подписания договора, при этом организация должна применять полученную информацию строго в предусмотренных договором целях, а также обезопасить её от несанкционированного доступа;
обрабатываются в государственных информационных системах;
собираются и используются для кратковременной цели, например, выдачи талона на прием к доктору, разового пропуска на завод и т.д.;
фиксируются и обрабатываются в целях обеспечения безопасности на транспорте и в иных сферах;
предназначены для применения в неавтоматизированных информационных системах.

Если совершаемые действия не относятся к перечисленным категориям ПДн, то нужно урегулировать вопрос информирования, отправив соответствующий документ.

Как уведомить Роскомнадзор об обработке персональных данных: порядок действий и содержание уведомления

Электронная форма уведомления об обработке персональных данных

Для упрощения взаимодействия операторам с контролирующими инстанциями власти предусмотрели разные способы информирования о начале работы с ПДн. Существует два способа:

отослать заполненную типовую форму на бумажном носителе по почте;
воспользоваться официальным порталом РКН для направления уведомления в электронной форме.

В обоих случаях уведомление об осуществлении обработки персональных данных должно быть подписано уполномоченным лицом. Если отсылать уведомление с использованием ТКС, то потребуется электронная цифровая подпись.

Адреса и телефоны территориальных органов Роскомнадзора

В самом документе нужно указать:

название организации либо Ф.И.О. гражданина, выступающего оператором;
адрес регистрации и фактического пребывания;
цель, с которой осуществляется обработка;
перечень действий;
список категорий ПДн, с которыми будут совершаться операции;
категории субъектов, чьи сведения будут собираться, храниться, обновляться, использоваться и распространяться;
предпринятые меры для защиты конфиденциальности и ограничения доступа;
правовая база, которой руководствуется предприятие либо ИП в своей деятельности;
информация об ответственном лице за мероприятия по обработке ПДн и контроль СЗИ. В этой роли может выступать как штатный сотрудник, так и аутсорсинговый специалист;
число, месяц и год, когда начнется проведение операций;
условие либо точный срок прекращения действий с ПДн;
запланированная трансграничная передача;
местонахождение БД с личными сведениями российских граждан.

Получив уведомление о намерении осуществлять обработку персональных данных, Роскомнадзор в течение 30 дней проводит анализ полученной информации и переносит её в единую цифровую базу. Закон предусматривает необходимость оплаты услуги рассмотрения документа, а также внесение сведений в Реестр. При допущении неточностей при заполнении формы, то вам придет требование уточнить ту или иную информацию о вашей организации и только после этого ваша фирма попадет в список операторов, которые работают с ПДн на законном основании.

Существуют случаи, когда уведомление уполномоченного органа не требуется. Например, когда организацию и субъектов персональных данных связывают трудовые отношения, когда обрабатываются исключительно общедоступные персональные данные, когда обрабатываются только фамилии, имена и отчества либо когда обработка осуществляется неавтоматизированным способом. Все случаи, позволяющие осуществлять обработку без уведомления, перечислены в статье 22 федерального закона «О персональных данных».

За неуведомление либо несвоевременное уведомление уполномоченного органа статьей 19.7 Кодекса об административных правонарушениях предусмотрено наказание в виде штрафа в сумме до пяти тысяч рублей.

В случае необходимости корректировки данных, направленных в Роскомнадзор, организация имеет право послать информационное письмо с сообщением о внесении изменений в ранее представленные данные либо удалении сведения об операторе ввиду прекращения действий с ПДн.

О внесении изменений в реестр операторов персональных данных

Как проверить, что уведомление в Роскомнадзор об обработке персональных данных было принято?

Так как Реестр находится в свободном круглосуточном доступе (за исключением случаев, когда сайт ведомства не работает по техническим причинам), вы можете быстро проверить, есть ли в нем упоминание компании. Для этого нужно:

перейти на портал РКН;
открыть раздел «Реестр операторов»;
ввести ИНН, регистрационный номер либо название (достаточно указать оригинальную часть наименования без специальных символов и сокращений);
изучить результаты поиска (система отображает не более 100 организаций и ИП).

Другие статьи Ликбеза

Услуги

Типовые решения

Наши типовые решения по защите персональных данных максимально оптимизированы, что не требует больших затрат времени и средств для их выполнения. Именно поэтому они достаточно недорогие. Выберите наиболее подходящее типовое решение для вашей компании и мы подготовим для вас индивидуальное коммерческое предложение

Разработка документации

Приведение в соответствие требованиям 152-ФЗ. Разработка и внедрение организационных мер и пакета локальной документации по вопросам обработки и защиты персональных данных