Уведомление об обработке персональных данных

Осуществляя любые действия с персональными данными в отношении своих клиентов, сотрудников и других граждан, организация, государственный орган или ИП получают статус оператора персональных данных и подпадает под действие ФЗ-152.

Первоочередной задачей, законодательно предусмотренной для оператора ПДн, является подача официального уведомления в РКН. В данном документе сообщается о начале процесса обработки ПДн. Полученную информацию подвергают проверке и заносят в специальный Реестр, доступ к который имеет любой субъект, для того чтобы убедиться в добропорядочности и надежности бизнес-партнера или работодателя.

Для фирмы или предпринимателя уведомление Роскомнадзора об обработке персональных данных — это способ легализировать деятельность, поскольку без него любые операции с ПДн являются противозаконными. Уведомить Роскомнадзор необходимо до начала совершения любых операций (сбора, хранения, блокировки, изменения или распространения) с личными сведениями субъекта. В противном случае грозит штраф. Также за отказ или несвоевременное информирование компетентного органа на нарушителя будет возложена административная ответственность.

В исключительных случаях выполнение данных требований законодательства распространяется не на все организации. Для минимизации рисков нарушения законодательства и получении квалифицированной помощи рекомендуется обращаться за консультацией к экспертам в области персональных данных. Только после анализа и оценки деятельности вашей компании, можно будет принять решение о необходимости уведомлять РКН или нет и какие меры необходимо внедрять для защиты информационных систем.

В нашем Центре готовы проконсультировать по всем вопросам относительно приведения обработки ПДн в соответствие требованиям законодательства и необходимости направления уведомления в Роскомнадзор.

Когда не нужно письменно или через портал Роскомнадзора подавать уведомление?

По действующему закону все компании и предприниматели, кто работает с ПДн, должны сообщать о намерении проводить операции с личной информацией граждан, за исключением тех, которые:

• имеют отношение к участникам различных организаций религиозной или общественной направленности при условии, что они не нарушают других нормативно-правовых актов РФ, в частности, не передают сведения третьей стороне без письменного согласия субъекта;
• не содержат никаких данных, кроме имени, фамилии и отчества физических лиц;
• были сделаны субъектом персональных данных общедоступными. В данном случае не требуется подача уведомления в Роскомнадзор об обработке персональных данных, которые были опубликованы на страничке в социальных сетях или в периодических изданиях;
• были предоставлены оператору после подписания договора, при этом организация должна применять полученную информацию строго в предусмотренных договором целях, а также обезопасить её от несанкционированного доступа;
• обрабатываются в государственных информационных системах;
• собираются и используются для кратковременной цели, например, выдачи талона на прием к доктору, разового пропуска на завод и т.д.;
• фиксируются и обрабатываются в целях обеспечения безопасности на транспорте и в иных сферах;
• предназначены для применения в неавтоматизированных информационных системах.

Если совершаемые действия не относятся к перечисленным категориям ПДн, то нужно урегулировать вопрос информирования, отправив соответствующий документ.

Как уведомить Роскомнадзор об обработке персональных данных: порядок действий и содержание уведомления

Для упрощения взаимодействия операторам с контролирующими инстанциями власти предусмотрели разные способы информирования о начале работы с ПДн. Существует два способа:

1. отослать заполненную типовую форму на бумажном носителе по почте;
2. воспользоваться официальным порталом РКН для направления уведомления в электронной форме.

В обоих случаях уведомление об осуществлении обработки персональных данных должно быть подписано уполномоченным лицом. Если отсылать уведомление с использованием ТКС, то потребуется электронная цифровая подпись.

В самом документе нужно указать:

• название организации либо Ф.И.О. гражданина, выступающего оператором;
• адрес регистрации и фактического пребывания;
• цель, с которой осуществляется обработка;
• перечень действий;
• список категорий ПДн, с которыми будут совершаться операции;
• категории субъектов, чьи сведения будут собираться, храниться, обновляться, использоваться и распространяться;
• предпринятые меры для защиты конфиденциальности и ограничения доступа;
• правовая база, которой руководствуется предприятие либо ИП в своей деятельности;
• информация об ответственном лице за мероприятия по обработке ПДн и контроль СЗИ. В этой роли может выступать как штатный сотрудник, так и аутсорсинговый специалист;
• число, месяц и год, когда начнется проведение операций;
• условие либо точный срок прекращения действий с ПДн;
• запланированная трансграничная передача;
• местонахождение БД с личными сведениями российских граждан.

Получив уведомление о намерении осуществлять обработку персональных данных, Роскомнадзор в течение 30 дней проводит анализ полученной информации и переносит её в единую цифровую базу. Закон предусматривает необходимость оплаты услуги рассмотрения документа, а также внесение сведений в Реестр. При допущении неточностей при заполнении формы, то вам придет требование уточнить ту или иную информацию о вашей организации и только после этого ваша фирма попадет в список операторов, которые работают с ПДн на законном основании.

Существуют случаи, когда уведомление уполномоченного органа не требуется. Например, когда организацию и субъектов персональных данных связывают трудовые отношения, когда обрабатываются исключительно общедоступные персональные данные, когда обрабатываются только фамилии, имена и отчества либо когда обработка осуществляется неавтоматизированным способом. Все случаи, позволяющие осуществлять обработку без уведомления, перечислены в статье 22 федерального закона «О персональных данных».

За неуведомление либо несвоевременное уведомление уполномоченного органа статьей 19.7 Кодекса об административных правонарушениях предусмотрено наказание в виде штрафа в сумме до пяти тысяч рублей.

В случае необходимости корректировки данных, направленных в Роскомнадзор, организация имеет право послать информационное письмо с сообщением о внесении изменений в ранее представленные данные либо удалении сведения об операторе ввиду прекращения действий с ПДн.

Как проверить, что уведомление в Роскомнадзор об обработке персональных данных было принято?

Так как Реестр находится в свободном круглосуточном доступе (за исключением случаев, когда сайт ведомства не работает по техническим причинам), вы можете быстро проверить, есть ли в нем упоминание компании. Для этого нужно:

• перейти на портал РКН;
• открыть раздел «Реестр операторов»;
• ввести ИНН, регистрационный номер либо название (достаточно указать оригинальную часть наименования без специальных символов и сокращений);
• изучить результаты поиска (система отображает не более 100 организаций и ИП).