О том, как известить об обработке сведений от сотрудников и клиентов, действуют методические рекомендации Роскомнадзора. В данной статье вы узнаете о том, в каких случаях требуется уведомление Роскомнадзора об обработке персональных данных и как подготовить документ.
Правила по персональным данным и обязанности компаний-операторов изложены в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, в статье 22 указали, что компания-оператор перед началом своей деятельности обязана известить Роскомнадзор. Уведомление Роскомнадзора об обработке персональных данных осуществляют в соответствии с Методическими рекомендациями по уведомлению уполномоченного органа (утв. приказом Роскомнадзора от 30.05.2017 № 94).
Обратите внимание:
- Согласно приказу № 94 не действуют рекомендации по заполнению формы уведомления (утв. Роскомнадзором от 29.01.2016). Также с 21 августа 2017 года не действует приказ Минкомсвязи России от 21.12.2011 № 346.
- С 01.09.2022 меняются правила для работодателей. Например, данные по требованию РКН нужно предоставлять за 10 дней, а не за 30, как раньше. Уведомление об обработке персональных данных следует направлять в Роскомнадзор, если компания обрабатывает информацию:
- личного характера о сотрудниках;
необходимую для однократного пропуска человека на территорию работодателя; - касающуюся контрагентов в связи с исполнением договоров или для заключения новых с теми же лицами;
- для передачи за границу (Федеральный закон от 14.07.2022 № 266-ФЗ). Форму для такого уведомления утвердят отдельно.
Когда подают уведомление об обработке персональных данных
Направить в адрес Роскомнадзора уведомление об обработке персональных данных должен каждый оператор данных. Компания является оператором, если в том или ином виде взаимодействует с информацией, которую получает у граждан и которая входит в такие данные. В частности, если компания получает у клиентов сведения о месте проживания, паспортные данные и т. п., она является оператором.
Из общего правила есть исключения. Уведомлять Роскомнадзор не нужно, если:
- компания получает и обрабатывает информацию только о своих работниках;
- персональные данные используют только в договорной работе – например, в договоре указывают персональные данные представителя контрагента;
- при обработке данных не применяют средства автоматизации (постановление Правительства РФ от 15.09.08 № 687).
Ч. 2 ст. 22 закона № 152-ФЗ содержит перечень исключений. Во всех остальных случаях Роскомнадзор должен получить уведомление об обработке персональных данных.
Ведомство ведет реестр операторов данных. После того, как уведомление об обработке персональных данных направляют в Роскомнадзор, в течение 30 дней документ должны обработать и поместить сведения о компании в реестр (п. 3.2 Методических рекомендаций). Внесение компании в список операторов можно проверить на сайте.
Как подать уведомление в Роскомнадзор об обработке персональных данных
Если уведомлять Роскомнадзор будете в бумажном виде, нужно:
- заполнить образец формы уведомления об обработке, который есть на сайте;
- распечатать получившийся документ;
- поставить подпись ответственного лица и переслать в территориальный орган ведомства по месту нахождения компании.
Чтобы уведомление об обработке персональных данных подать в Роскомнадзор в электронном виде через сайт, потребуется квалифицированная ЭП. Бумажную копию делать не нужно. Подавать документ можно не только через портал Роскомнадзора, уведомление об обработке персональных данных примут на сайте «Госуслуги». Для этого потребуется регистрация в ЕСИА.
Что включили в форму уведомления Роскомнадзора об обработке персональных данных
В уведомление на обработку персональных данных Роскомнадзор включил разделы, которые касаются характера сведений, цели их сбора, методов работы.
Когда организация подает уведомление об обработке, она обязательно указывает:
- Наименование территориального отделения ведомства.
- Тип оператора – относится компания к юридическим лицам или имеет иную форму организации.
- Свое наименование.
- Адрес места нахождения компании.
- ИНН и ОГРН.
- Основание обработки данных и цель обработки.
- Меры в соответствии со ст. 18.1 и 19 закона № 152-ФЗ, а также иные меры безопасности для сохранения данных.
- Дату начала обработки, а также срок или условия прекращения обработки.
- Категории субъектов, данные которых компания будет обрабатывать.
- Перечень операций, которые компания будет осуществлять с данными, а также способы обработки.
- Планирует ли компания трансграничную передачу полученных сведений.
- Адрес места нахождения базы данных, где информация будет храниться физически.
- Ответственное за обработку лицо (раздел 3 Методических рекомендаций).
Что будет, если не отправить уведомление на обработку персональных данных в Роскомнадзор
Если не подготовить уведомление Роскомнадзора об обработке персональных данных и не направить документ в ведомство, компании грозит административная ответственность. Ведомство назначит штраф по ст. 19.7 КоАП РФ.
Помощь эксперта
Меня зовут Сергей Воробьев, эксперт по защите данных.
Защищаю ценную для Вас информацию и инфраструктуру:
- защита информации, содержащейся в информационных системах;
- прохождение проверок Роскомнадзора;
- приведение обработки персональных данных в соответствие с требованиями законодательства 152-ФЗ;
- экспертный аудит по информационной безопасности с выдачей практических рекомендаций;
- техническая поддержка информационных систем;
- анализ уязвимостей и тестирование на проникновение;
- выполнение требований 187-ФЗ;
- улучшение веб-безопасности.