Форма уведомления об устранении неправомерных действий с персональными данными
(1).jpg)
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 г. № 94 “Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения”
В целях реализации пункта 3 части 5 статьи 23 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», пункта 5.2.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228, приказываю:
1. Утвердить прилагаемые Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения.
2. Признать утратившими силу Временные рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утверждённые заместителем руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой 30 декабря 2014 г.
3. Признать утратившими силу Рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утверждённые заместителем руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой 29 января 2016 г.
4. Контроль за исполнением настоящего приказа возложить на заместителя руководителя А.А. Приезжеву.
| Руководитель | А.А. Жаров |
Приложение
к приказу Роскомнадзора
от 30.05.2017 № 94
Методические рекомендации
по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения
1. Общие положения
1.2. Согласно пункту 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 № 228, Роскомнадзор является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.
1.3.1. Внесение сведений об Операторе в Реестр на основании поданного уведомления.
1.3.2. Внесение изменений в сведения об Операторе, содержащиеся в Реестре, на основании полученного информационного письма.
1.3.3. Внесение в Реестр сведений о прекращении Оператором обработки персональных данных на основании поступившего заявления.
1.3.4. Предоставление выписки из Реестра на основании поступившего заявления.
1.4. На Портале персональных данных и официальном сайте Роскомнадзора размещается вся информация, касающаяся ведения Реестра, в том числе:
1.4.1. Рекомендованная форма уведомления об обработке (о намерении осуществлять обработку) персональных данных (Уведомление) (Приложение № 1).
1.4.2. Рекомендованная форма уведомления о внесении изменений в сведения об операторе в Реестре (Информационное письмо) (Приложение № 2).
1.4.3. Рекомендованная форма заявления о прекращении оператором обработки персональных данных (Приложение № 3).
1.4.4. Рекомендованная форма заявления о предоставлении выписки из Реестра (Приложение № 4).
1.4.5. Общедоступные сведения об Операторе, содержащиеся в Реестре.
2. Основные понятия
2.6. Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни).
2.7. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных.
3. Уведомление об обработке (намерении осуществлять обработку) персональных данных (Уведомление)
3.1. Уведомление уполномоченного органа по защите прав субъектов персональных данных осуществляется Оператором до начала обработки персональных данных и включает следующие сведения:
3.1.1. Наименование (фамилия, имя, отчество), адрес Оператора, включающие в себя:
3.1.1.1. Для юридических лиц (Операторов):
полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;
наименование филиалов (представительств) юридического лица (Оператора), осуществляющего обработку персональных данных;
индивидуальный номер налогоплательщика (ИНН);
основной государственный регистрационный номер (ОГРН).
3.1.1.2. Для физических лиц:
фамилия, имя, отчество (при наличии) физического лица (Оператора);
данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;
индивидуальный номер налогоплательщика (ИНН, при наличии).
3.1.1.3. Для государственных и муниципальных органов (Операторов):
полное и сокращенное наименование государственного, муниципального органа;
наименование территориальных органов, осуществляющих обработку персональных данных;
индивидуальный номер налогоплательщика (ИНН);
основной государственный регистрационный номер (ОГРН).
При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).
3.1.2. Цель обработки персональных данных. Указываются цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.
3.1.3. Категории персональных данных. Рекомендуется учитывать все категории персональных данных, подлежащих обработке Оператором.
3.1.4. Категории субъектов, персональные данные которых обрабатываются.
Рекомендуется указать категории субъектов персональных данных и виды отношений Оператора с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных или иных гражданско-правовых отношениях с юридическим лицом (Оператором) и др.).
3.1.5. Правовое основание обработки персональных данных.
Рекомендуется указать весь перечень нормативных правовых актов, которые закрепляют основания и порядок обработки Оператором персональных данных и соответствуют полномочиям Оператора. Не рекомендуется указывать в качестве правового основания часть 1 статьи 6 Закона № 152-ФЗ. Номер и наименование лицензии на осуществляемый вид деятельности (для лицензируемых видов деятельности) и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся субъектов персональных данных) (при наличии такого запрета).
3.1.6. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.
Предполагаются действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:
— неавтоматизированная обработка персональных данных;
— исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
— смешанная обработка персональных данных.
При автоматизированной обработке персональных данных либо смешанной обработке желательно указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети Оператора (информация доступна лишь для строго определенных сотрудников) либо информация передается с использованием сети связи общего пользования (например, Интернет), либо без передачи полученной информации.
3.1.7. Описание мер, предусмотренных статьями 18.1 и 19 Закона № 152-ФЗ, предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, представляются следующие сведения:
а) наименование используемых криптографических средств;
б) класс средств криптографической защиты информации (СКЗИ).
3.1.8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.
3.1.9. Дата начала обработки персональных данных.
Рекомендуется указать конкретную дату (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными (как правило, это дата начала осуществления Оператором деятельности, закрепленной в уставных документах).
3.1.10. Срок или условие прекращения обработки персональных данных.
Рекомендуется указывать конкретную дату (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.
3.1.11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки, предполагают указание перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.
— наименование стран размещения базы данных;
— конкретные адреса местонахождения базы данных.
Полный перечень сведений, которые могут быть включены в базу данных, содержится в электронной форме Уведомления, размещенной на Портале персональных данных.
3.1.13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
3.2. Оператор направляет Уведомление в ТО Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа, подписанного уполномоченным лицом. Электронная форма Уведомления и порядок ее заполнения размещены на Портале персональных данных Роскомнадзора.
3.3. В случае представления оператором неполных или недостоверных сведений представленные данные в Реестр не вносятся, а в адрес Оператора направляется письмо, содержащее перечень недостающих сведений и предложение их предоставить.
3.4. Оператору рекомендуется сообщить по запросу Роскомнадзора (ТО Роскомнадзора) уточненные сведения в течение 30 дней со дня получения такого запроса. Если в течение 30 дней со дня получения запроса Оператор не представил уточненные сведения, то по истечении указанного срока Уведомление с неполными или недостоверными сведениями возвращается Оператору без внесения сведений о нем в Реестр.
3.5. Информация о внесении сведений об Операторе в Реестр размещается на официальном сайте и Портале персональных данных.
4. Уведомление об изменении ранее предоставленных сведений персональных данных (Информационное письмо)
4.1. В случае изменения ранее представленных сведений оператор в течение 10 рабочих дней с момента возникновения таких изменений направляет в уполномоченный орган по защите прав субъектов персональных данных Информационное письмо.
4.2. Информационное письмо рекомендуется оформлять на бланке Оператора по форме, определённой Приложением 2 к Рекомендациям, и направлять в ТО Роскомнадзора по месту регистрации Оператора в налоговом органе.
4.3. В случае установления факта размещения в Реестре недостоверной или неполной информации об Операторе сотрудник Роскомнадзора (ТО Роскомнадзора) информирует Оператора путём направления в его адрес письма о перечне недостающих или неточных сведений об Операторе, необходимых для внесения (изменения) в Реестр.
Оператору рекомендуется сообщить по запросу Роскомнадзора (ТО Роскомнадзора) уточненные сведения в течение 30 дней со дня получения такого запроса.
4.4. Информация о внесении сведений об Операторе в Реестр размещается на официальном сайте и Портале персональных данных Роскомнадзора.
5. Уведомление о прекращении обработки персональных данных (Заявление)
5.1. Оператор считается прекратившим обработку персональных данных при наступлении следующих условий:
5.1.1. Ликвидация Оператора.
5.1.2. Прекращение деятельности Оператора в результате его реорганизации.
5.1.3. Аннулирование лицензий на осуществление лицензируемой деятельности Оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.
5.1.4. Вступившее в законную силу решение суда о прекращении Оператором обработки персональных данных.
5.1.5. Наступление для Оператора срока или условия прекращения обработки персональных данных, указанных им в Уведомлении.
5.2. В случае прекращения обработки персональных данных Оператор в течение 10 рабочих дней со дня наступления заявленного срока или условия прекращения обработки персональных данных направляет в уполномоченный орган по защите прав субъектов персональных данных Заявление с приложением документов, подтверждающих условия исключения оператора.
5.3. Заявление рекомендуется оформлять на бланке Оператора по форме, определённой Приложением 3 к Рекомендациям, и направлять в ТО Роскомнадзора по месту регистрации Оператора в налоговом органе.
5.4. При поступлении в Роскомнадзор (ТО Роскомнадзора) Заявления в Реестр вносятся сведения о прекращении Оператором обработки персональных данных.
5.5. Информация о прекращении Оператором обработки персональных данных, внесённая в Реестр, размещается на официальном сайте и Портале персональных данных Роскомнадзора.
6. Получение выписки из Реестра
6.1. Сведения об Операторе, содержащиеся в Реестре, являются общедоступными и размещаются для ознакомления на официальном сайте и Портале персональных данных Роскомнадзора. Тем не менее, любое заинтересованное лицо вправе обратиться в Роскомнадзор (ТО Роскомнадзора) для получения выписки об Операторе из Реестра.
6.2. Заявление о представлении выписки рекомендуется составлять по форме, определённой Приложением 4 к настоящим методическим рекомендациям, и направлять в ТО Роскомнадзора по месту регистрации указанного Оператора в налоговом органе.
6.3. Выписка из Реестра предоставляется при наличии в заявлении следующих сведений:
6.3.2. Наименования Оператора, его ИНН (ОГРН) и/или регистрационного номера записи в Реестре.
6.4. При отсутствии в заявлении о предоставлении выписки из Реестра необходимых для её предоставления сведений в адрес Заявителя направляется письмо с указанием причины отказа в предоставлении выписки из Реестра.
Приложение № 1
к Методическим рекомендациям по уведомлению
уполномоченного органа о
начале деятельности по
обработке персональных данных
и внесении изменений в ранее
представленные сведения
Уведомление об обработке
(о намерении осуществлять обработку) персональных данных
(полное и сокращенное наименования (ИНН, ОГРН), фамилия, имя, отчество
(при наличии) Оператора)
(адрес местонахождения и почтовый адрес Оператора)
(правовое основание обработки персональных данных)
(цель обработки персональных данных)
(категории персональных данных)
(категории субъектов, персональные данные которых обрабатываются)
Обработка вышеуказанных персональных данных будет осуществляться путем:
(перечень действий с персональными данными, общее описание используемых
Оператором способов обработки персональных данных)
Для обеспечения безопасности персональных данных принимаются следующие
(описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона
N 152-ФЗ от 27.07.2006 «О персональных данных», в т.ч. сведения о
шифровальных (криптографических) средств и наименования этих средств;
фамилия, имя, отчество физического лица или наименование юридического
ответственных за организацию обработки персональных данных, и номера их
контактных телефонов, почтовые адреса и адреса электронной почты)
Сведения о наличии или об отсутствии трансграничной передачи
(при наличии трансграничной передачи персональных данных в процессе их
указывается перечень иностранных государств, на территорию которых
трансграничная передача персональных данных)
Сведения о месте нахождения базы данных информации, содержащей
персональные данные граждан Российской Федерации:
(страна, адрес местонахождения базы данных,
наименование информационной системы (базы данных)
Сведения об обеспечении безопасности персональных данных:
(сведения об обеспечении безопасности персональных данных в
соответствии с требованиями
к защите персональных данных, установленными Правительством Российской
Дата начала обработки персональных данных:
Срок или условие прекращения обработки персональных данных:
(число, месяц, год или основание (условие), наступление которого повлечет
прекращение обработки персональных данных)
(должность) (подпись) (расшифровка подписи)
«____» _______________ 20_____ г.
Приложение № 2
к Методическим рекомендациям по уведомлению
уполномоченного органа о
начале деятельности по
обработке персональных данных
и внесении изменений в ранее
представленные сведения
о внесении изменений в сведения об операторе
в реестре операторов
(полное и сокращенное наименования (ИНН,ОГРН), фамилия, имя, отчество
(при наличии) Оператора)
(адрес местонахождения и почтовый адрес Оператора)
(регистрационный номер записи в реестре)
(правовое основание обработки персональных данных)
(цель обработки персональных данных)
(категории персональных данных)
(категории субъектов, персональные данные которых обрабатываются)
Обработка вышеуказанных персональных данных будет осуществляться путем:
(перечень действий с персональными данными, общее описание
используемых оператором способов обработки персональных данных)
Для обеспечения безопасности персональных данных принимаются следующие
(описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона
N 152-ФЗ от 27.07.2006 «О персональных данных», в т.ч. сведения о
шифровальных (криптографических) средств и наименования этих средств;
фамилия, имя, отчество физического лица или наименование юридического
лица, ответственных за организацию обработки персональных
данных, и номера их контактных телефонов, почтовые адреса и адреса
Сведения о наличии или об отсутствии трансграничной передачи
(при наличии трансграничной передачи персональных данных в процессе их
с указанием перечня иностранных государств, на территорию которых
осуществляется трансграничная передача персональных данных)
Сведения о месте нахождения базы данных информации, содержащей
персональные данные граждан Российской Федерации:
(страна, адрес местонахождения базы данных,
наименование информационной системы (базы данных)
Сведения об обеспечении безопасности персональных данных:
(сведения об обеспечении безопасности персональных данных в
соответствии с требованиями
к защите персональных данных, установленными Правительством Российской
Дата начала обработки персональных данных:
Срок или условие прекращения обработки персональных данных:
(число, месяц, год или основание (условие), наступление которого
повлечет прекращение обработки персональных данных)
(должность) (подпись) (расшифровка подписи)
«___» _____________ 20__ г.
Приложение № 3
к Методическим рекомендациям по
уведомлению
уполномоченного органа о
начале деятельности по
обработке персональных
данных и внесении изменений
в ранее представленные
сведения
о внесении в реестр операторов сведений о прекращении оператором
обработки персональных данных
(адрес местонахождения, почтовый адрес заявителя)
Сведения об операторе:
(наименование, ИНН (ОГРН), регистрационный номер записи в реестре)
Основание исключения из реестра:
(ликвидация Оператора, реорганизация Оператора, прекращение
деятельности по обработке пд,
аннулирование лицензии, наступление срока или условия прекращения
обработки, решение суда)
(должность) (подпись) (расшифровка подписи)
«___» ________________ 20__ г.
(прилагаемые документы, подтверждающие условия исключения Оператора из
Приложение № 4
к Методическим рекомендациям по
уведомлению
уполномоченного органа о
начале деятельности по
обработке персональных
данных и внесении изменений
в ранее представленные
сведения
о предоставлении выписки из реестра операторов
(полное наименование (фамилия, имя, отчество) заявителя)
(адрес местонахождения, почтовый адрес заявителя)
(ИНН, ОГРН заявителя)
Сведения о запрашиваемом операторе:
Наименование Оператора, ИНН (ОГРН), и/или регистрационный номер записи в
(должность) (подпись) (расшифровка подписи)
«___» ________________ 20___ г.
Обзор документа
Утверждены методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения.
Роскомнадзор ведет реестр операторов, обрабатывающих персональные данные. Речь идет о федеральных, региональных органах власти, иных госорганах, о муниципальных органах, юрлицах или физлицах, организующих и (или) осуществляющих обработку персональных данных.
Операторы уведомляют Роскомнадзор до начала обработки персональных данных.
При изменении ранее представленных сведений оператор в течение 10 рабочих дней направляет в Роскомнадзор информационное письмо.
Если в реестре размещена недостоверная или неполная информация об операторе, Роскомнадзор информирует его об этом. Уточненные сведения рекомендуется представить в течение 30 дней со дня получения такого запроса.
Предусмотрены случаи, когда оператор считается прекратившим обработку персональных данных.
Сведения об операторе, содержащиеся в реестре, являются общедоступными и размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора. Вместе с тем любое заинтересованное лицо вправе обратиться в Роскомнадзор для получения выписки об операторе.
Приводятся формы необходимых уведомлений, заявлений, писем.
Утратили силу временные рекомендации по заполнению формы уведомления об обработке персональных данных, а также рекомендации по заполнению формы уведомления.
Уведомление Роскомнадзора об обработке персональных данных в 2021 г.
Полезные рекомендации по составлению уведомления об обработке персональных данных
Перед тем, как начать собирать персональные данные, оператору необходимо направить уведомление об обработке персональных данных в Роскомнадзор в соответствии ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», а еще лучше провести аудит организации по 152 фз
Без уведомления Роскомнадзора можно обойтись если вы:
Бумажный носитель vs электронный документ: форма уведомления об обработке персональных данных в Роскомнадзор
При отправке уведомления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций у операторов часто возникает вопрос: нужно ли отправлять уведомление об обработке персональных данных в письме с распечатанным уведомлением или достаточно заполнить электронную форму на портале Роскомнадзора.
ФЗ-152, как и п. 3.2 Методических рекомендаций по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 разрешают отправлять уведомление на бумажном носителе или в форме электронного документа.
Несмотря на это полностью исключить бумажные носители из документооборота не удалось – так как правовым основанием для совершения регистрационных действий являются бумажные варианты документов, поэтому операторы обязаны направлять бумажные носители независимо от того, подавались ли они в электронном виде.
На практике направление уведомления об обработке персональных данных в Роскомнадзор происходит в два этапа:
1) заполнение формы уведомления Роскомнадзора в электронном виде – необходимо для ускорения работы по внесению данных в реестр и получения готовой заполненной формы для печати на бумажном носителе;
2) отправка формы уведомления на бумажном носителе – является основанием для совершения Роскомнадзором регистрационных действий (уведомление регистрируется в уполномоченном органе и является основанием для внесения оператора в реестр).
В будущем планируется полный переход на электронный документооборот, но до этого момента операторы не могут избежать бумажной работы и должны направлять оформленные и подписанные уведомления на бумажном носителе.
Форма уведомления Роскомнадзора об обработке персональных данных в 2020 г.
ФЗ-152 не утверждает обязательную форму или бланк уведомления об обработке персональных данных. По закону главное – предоставить сведения, которые указаны в норме.
Форма уведомления об обработке персональных данных, рекомендуемая к использованию Роскомнадзором, содержится в Приложении № 1 к Методическим рекомендациям по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017. Данная форма содержит сведения, требуемые ст. 22 ФЗ-152 и необходимые для включения в реестр операторов.
На практике самый простой и быстрый способ получить заполненное уведомление об обработке персональных данных в Роскомнадзор – заполнить форму, предложенную на портале персональных данных и без изменений распечатать её на бумажном носителе для направления в Роскомнадзор. Далее в статье мы рассмотрим, как заполнить форму уведомления Роскомнадзора об обработке персональных данных.
Заполнение уведомления в Роскомнадзор: подпись, оформление и отправка уведомления об обработке персональных данных
При оформлении и отправке уведомления об обработке персональных данных у операторов часто возникают вопросы, связанные с подписанием и оформлением документа. Ниже мы ответили на самые популярные из них.
Согласно ФЗ-152 уведомление об обработке персональных данных в Роскомнадзор должно быть подписано уполномоченным лицом. Специальных требований к подписанию уведомления не установлено.
Исходя из общих положений законодательства здесь возможно несколько вариантов:
Есть ли дополнительные требования к оформлению уведомления?
Оператору необходимо распечатать, подписать уведомление об обработке персональных данных, проставить на нем печать и направить в территориальное отделение Роскомнадзора. В уведомлении на бумажном носителе необходимо указать текущую дату отправки уведомления. Если уведомление подписано по доверенности, необходимо также приложить к нему оформленную доверенность или надлежащим образом заверенную копию.
Из дополнительных требований – Роскомнадзор также рекомендует размещать уведомление об обработке персональных данных на фирменном бланке оператора.
Как нужно оформлять и отправлять письмо с уведомлением в Роскомнадзор?
Отдельных требований к оформлению или отправке писем с уведомлением об обработке не предусмотрено. В то же время важно понимать, что получение Роскомнадзором документа на бумажном носителе является основанием для совершения регистрационных действий, поэтому фиксация факта получения письма Роскомнадзором, находится в интересах оператора.
Какие сроки и порядок отправки уведомления об обработке персональных данных в РКН?
Как мы уже говорили ФЗ-152 обязывает операторов персональных данных высылать уведомление о начале обработки персональных данных. Операторам не стоит пренебрегать выполнением этого требования – не уведомление Роскомнадзора может повлечь привлечение к административной ответственности. Срок направления уведомления оператором – до начала обработки персональных данных. Срок включения в реестр – 30 дней с даты регистрации уведомления Роскомнадзором. Как правило, оператор о включении в реестр не уведомляется. Отслеживать статус уведомления можно самостоятельно. Для проверки статуса уведомления нужно запомнить его номер и ключ – их можно найти в конце каждого электронного уведомления после его заполнения.
Описываем цели обработки персональных данных в уведомлении
Неправильное заполнение уведомления об обработке персональных данных может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.
Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.
Определяем цели обработки данных
Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.
При определении целей обработки персональных данных и заполнении уведомления необходимо проанализировать следующее:
1) Цели деятельности оператора, определённые в его уставе, локальных актах, согласии на обработку персональных данных, анкетах, договорах, предусматривающих передачу персональных данных и пр.
2) Основания получения персональных данных, деятельность, которую оператор осуществляет при получении и обработке персональных данных на таких основаниях.
Цели, указываемые в уведомлении, должны охватывать все случаи обработки персональных данных. При этом нужно учитывать как внешнюю деятельность компании – работа с клиентами, пользователями, заключение и исполнение договоров, маркетинговая активность и пр., так и внутреннюю – подбор и приём кадров, сбор данных о сотрудниках, организация пропускного режима.
Примеры заполнения информации о целях обработки персональных данных в уведомлениях:
«цель обработки, регистрации сведений, необходимых для оказания услуг учащимся в области образования, персональных данных работников, сведений об их профессиональной служебной деятельности»
«цель обработки, регистрации сведений, необходимых для оказания жилищно-коммунальных услуг собственникам, жильцам помещений, персональных данных работников, сведений об их профессиональной служебной деятельности»
При определении целей рекомендуется привлекать специалистов, которые знакомы со всей деятельностью компании, а не заняты в одном отделе – это обеспечит правильность и полноту работы в сфере обработки персональных данных.
Специалисты ПДМастер смогут задать правильные вопросы и определить цели обработки данных, актуальные для вашей компании.
Определяем категории обрабатываемых персональных данных
Указание неполного перечня обрабатываемых персональных данных – одно из типовых нарушений в сфере обработки персональных данных. Чтобы избежать сложностей в заполнении уведомления разберёмся, какие сведения о персональных данных нужно указывать в уведомлении об обработке.
Из законодательства следует, что категории персональных данных – это перечень персональных данных, конкретные сведения о субъекте, с помощью которых он идентифицируется или может быть идентифицирован.
Персональные данные группируются в зависимости от их особенностей, на основе чего их относят к специальным, биометрическим и иным видам категорий персональных данных.
Как внести уведомление Роскомнадзора корректные категории персональных данных?
Электронная форма уведомления на портале Роскомнадзора предлагает при определении категорий персональных данных указать конкретные сведения, которые будет собирать оператор – ФИО, дата, место рождения, семейное и социальное положение и пр.
Сложность в определении категории персональных данных при заполнении уведомления связана с тем, что сам по себе перечень персональных данных не является исчерпывающим.
В электронной форме уведомления есть графа «Другие категории персональных данных, не указанные в данном перечне», в которой оператор самостоятельно вписывает обрабатываемые персональные данные.
Операторы указывают не все «иные категории» и, как результат, нарушают требования законодательства. Так, операторы часто не указывают сведения о составе семьи; о трудовом и общем стаже, воинском учете; ИНН; СНИЛС и пр.
Во избежание неверного заполнения уведомления об обработке необходимо чётко определить цели обработки персональных данных, после чего указать, какие именно данные субъектов персональных данных будут обрабатываться.
При возникновении нестандартного случая или сложностей при заполнении уведомления в Роскомнадзор, мы готовы проконсультировать Вас и взять на себя все хлопоты по составлению и отправке уведомления в контролирующие органы.
Особенности толкования положений законодательства в части отнесения тех или иных данных к персональным
Согласно подходу Роскомнадзора к биометрическим персональным данным могут относиться не только данные изображения отпечатка пальца, радужной оболочки глаза и т.д., но и изображения лица. Статья 22 ФЗ-152 обязывает операторов указывать категории субъектов, персональные данные которых обрабатываются. Логично, что субъектами персональных данных являются физические лица, но остаётся открытым вопрос, как их нужно идентифицировать в уведомлении Роскомнадзора.
Категории субъектов персональных – это указание на правовой статус субъектов персональных данных, определение места физических лиц в отношениях с оператором.
Так, если оператор обрабатывает информацию в целях обработки персональных данных персонала, то такое физическое лицо определяется в уведомлении как «работник», что и является категорией субъектов персональных данных. Контрагентов необходимо идентифицировать как сторону вида заключаемых с ними гражданско-правовых договоров.
В методических рекомендациях по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 РКН рекомендует указывать в уведомление об обработке персональных данных виды отношений оператора с субъектами персональных данных, т.е. определять, какие отношения (трудовые, гражданско-правовые и пр.) связывают оператора и физическое лицо-субъекта персональных данных.
Таким образом, для указания полной и достоверной информации об обработке персональных данных, правильного уведомления Роскомнадзора необходимо описывать категории персональных данных по следующему образцу:
«работники, состоящие в трудовых отношениях с оператором»
«физические лица (абонент, пассажир, заказчик), состоящие в договорных или иных гражданско-правовых отношениях с оператором»
Внесение изменений в уведомление об обработке персональных данных
Если в уведомлении, направляемом в Роскомнадзор, произошли изменения, оператору персональных данных необходимо направить информационное письмо в течение 10 рабочих дней с момента возникновения поправок.
Информационное письмо оформляется на бланке оператора по форме, определенной Приложением 2 к Рекомендациям, и направляется в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе.
Если установится факт размещения в реестр операторов недостоверной или неполной информации, сотрудник Роскомнадзора информирует ответственное лицо в компании оператора путем направления в его адрес письма о перечне недостающих или неточных сведений в уведомление об обработке персональных данных. Решить вопрос необходимо в течение 30 дней со дня получения такого запроса.
Далее мы рассмотрим образец письма в Роскомнадзор, где заполнять необходимо только те поля, в которые вносятся изменения. Поля, отмеченные *, обязательны для заполнения.
Образец заполнения уведомления в Роскомнадзор
Обращаем внимание! Текст примера следует переработать с учетом особенностей деятельности вашей компании. Убедитесь в том, что в подаваемом уведомлении или информационном письме указаны полные и достоверные сведения о компании.
Образец заполнения уведомления Роскомнадзора
об обработке персональных данных для юр.лиц
Внесение изменений в уведомление об обработке персональных данных
УВЕДОМЛЕНИЕ
об обработке (о намерении осуществлять обработку) персональных данных
Допустим, со временем у компании изменяются:
Образец информационного письма
о внесении изменений в сведения
в реестре операторов персональных данных