Законы        6263         0

Как выглядит уведомление Роскомнадзора об обработке персональных данных

Сегодня юридические лица, которые занимаются на территории РФ какой-либо разрешенной деятельностью согласно Уставам предприятий (учреждений) и положений законодательства, владеют теми или иными персональными данными.

Дорогие читатели! Статья рассказывает о типовых способах решения юридических вопросов, но каждый случай индивидуален. Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь к консультанту:

+7 (499) 938-81-90 (Москва)

+7 (812) 467-32-77 (Санкт-Петербург)

8 (800) 301-79-36 (Регионы)

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

Это быстро и БЕСПЛАТНО!

Нередко в распоряжении компании обширная информационная база данных, которая сформировалась за много лет работы. Причем неважно, каких размеров юридическое лицо: малое или большое предприятие, частное или государственное, возможно, предприниматель.

Для ведения хозяйственной деятельности юрлицам требуется вступать в различные правовые отношения, контрагентами могут быть не только предприятия, но и граждане. Тем более, когда речь идет о трудовых взаимоотношениях.

Идентифицировать гражданина можно различными персональными данными (ПД). Если только к юрлицу поступают такие данные, оно получает статус оператора и может вести их обработку согласно Правилам, указанным в ФЗ о персональных данных № 152, изданном в 2006 г.

Данные о сотрудниках, клиентах, поставщиках и других физических лицах должны находиться в базе данных юрлица. Но ему самому требуется отправить специальное уведомление в Роскомнадзор, чтобы попасть в реестр компаний-операторов. Согласно ст. 22 Закона компания сообщает Роскомнадзору о своем намерении начать обработку ПД. Если юрлицо не сделает это согласно требованиям Закона, его ожидают административные взыскания.

В то же время юрлица при ознакомлении с требованиями должны обратить внимание, что уведомлять Роскомнадзор о своем намерении требуется не всегда, все зависит от того, как предстоит использовать ПД физлиц.

Уведомлять Роскомнадзор, как уполномоченный орган, который должен хранить сведения об операторах, требуется согласно Методическим рекомендациям, утвержденным последним Приказом №94 в мае 2017 г. Ранее действующие рекомендации, как заполнять уведомление Роскомнадзора об обработке персональных данных, утратили силу.

В каких случаях это необходимо

В ст. 22 ч. 1 Закона сказано, что юрлицо или ИП обязано сообщить в Роскомнадзор о своем намерении собирать ПД, т. к. они потребуются в ходе работы. Фактически юрлицо обязано это сделать сразу после открытия, предполагая, что его деятельность будет связана частично с обработкой ПД.

Уведомление направляется до начала обработки ПД, когда предприятие или ИП становится оператором. О том, что Роскомнадзор является уполномоченным органом и обязано составлять и вести реестр операторов, сказано в Постановлении Правительства №228 (16.03.09).

После того как в Роскомнадзор будет направлено уведомление, запись в реестр о новом операторе вносится в течение месяца. Регистрация в реестре операторов осуществляется бесплатно на государственном уровне.

Соответственно, когда оператор будет взаимодействовать с физлицом, он должен предупредить, что ПД будут обрабатываться и получить от гражданина согласие, иногда устное, в других случаях в письменной форме на отдельном листе. По смыслу Закона заниматься обработкой ПД может юрлицо, которое стало оператором.

Центральные требования

Персональными считаются данные, с помощью которых можно установить личность человека (ФЗ №152, ст. 3, п. 1), − это ФИО, дата и место рождения. Такие сведения можно найти в свидетельстве о рождении ребенка или гражданском паспорте взрослого. Но существуют и другие сведения, которые косвенно указывают на человека. Иногда без них невозможно установить личность, все же их нельзя относить к ПД.

Главные положения

При сборе, хранении и использовании ПД предприятие, которое их собирает, должно соблюдать требования закона о защите информации. Ответственность за это ложится именно на оператора.

Так:

  • оператору нужно предусмотреть, чтобы ПД не воспользовались третьи лица;
  • каждое физлицо, предоставляющее свои ПД, должно дать разрешение (согласие) оператору на их обработку;
  • ПД не должны храниться оператором после того, как стали не нужны.

Под обработкой ПД понимаются любые действия, которые возможно над ними совершать:

  • собирать;
  • записывать;
  • систематизировать;
  • накапливать;
  • уточнять;
  • хранить.

Если оператор, работающий с ПД в 2020 году, не отправит информацию о себе в контролирующий орган, он все равно считается оператором, а значит, рано или поздно будет подвергнут проверке со стороны контрольно-надзорной организации.

Несмотря на то что оператор берет с физлиц согласие на обработку ПД, каждый случай индивидуален. К примеру, согласно Жилищному кодексу, ст. 16, ч. 15 управляющие компании обязаны привлекать пользователей к расчету за коммунальные услуги. Но в этом случае никто не берет с агентов согласие на обработку их ПД.

В некоторых случаях, к примеру, никак нельзя обойтись без согласия на обработку ПД, причем в письменном виде. Это касается биометрических данных человека (ФЗ №152, ст. 11, ч. 1). Тем более, когда речь идет об обработке ПД третьим лицом, гражданин должен дать на это согласие.

Само третье лицо не должно брать согласие на обработку ПД с физлиц, ведь такое поручение ему дал оператор. Он обязан убедить гражданина дать согласие, указав на возможные последствия отказа, в тоже время никто не может заставить субъекта это сделать.

До начала июля 2017 г. на юрлиц, ответственных за сбор, обработку, хранение, использование и т. д. ПД, за нарушение требований Закона налагалась ответственность согласно КоАП, ст. 13.11. Им могли вынести предупреждение или наложить штраф в размере 5−10 тыс. руб.

Меру наказания определял суд, куда поступало постановление о возбуждении дела об админнарушении, направленного прокуратурой. Сообщение в прокуратуру поступало от Роскомнадзора, который провел проверку на том или ином предприятии, и выявил нарушения.

Начиная с 2017 г. ситуация изменилась, в новой редакции статьи были определены 7 составов правонарушений. Закон расширил полномочия Роскомнадзора, теперь он может самостоятельно возбуждать дело об административном нарушении. Максимальный штраф может быть начислен оператору в размере 75 тыс. руб.

Образец уведомления об обработке персональных данных:

Образец уведомления об обработке персональных данных 1

Образец уведомления об обработке персональных данных 2

Разъяснения по статьям

Нередко операторы ПД не желают подавать сведения о себе в Роскомнадзор, другие же, наоборот, делают это сразу.

Существует 2 ситуации:

Первая
  • Роскомнадзору приходится самому присылать оператору запрос с целью внесения его в реестр. Последний не понимает, что занимается обработкой ПД, поэтому ничего не сообщает о себе.
  • После поступления запроса оператор должен дать ответ в течение 30 дней (ФЗ №152, ст. 20, ч. 4). Если оператор не даст вовремя ответ, ему грозит административная ответственность (КоАП, ст. 19.7).
  • Если он представит сведения неправильно, считается, что он подал неполные сведения, а значит, тоже должен быть наказан. Если юрлицо правильно установило цели обработки ПД, оно обязано определить, есть ли у него основания обрабатывать ПД без уведомления Роскомнадзора (ФЗ №152, ст. 22, ч. 2).
  • В ситуации, когда оператору по закону не нужно сообщать о себе в Роскомнадзор, он должен для контролирующего органа подготовить обоснованный ответ на запрос, ссылаясь на ст. 22 Закона. Возможность не подавать уведомление не освобождает юрлицо от ответственности защищать ПД.
Вторая Оператор знает Закон, потому сознательно подает уведомление, чтобы своевременно попасть в реестр. Для заполнения формы необходимо обратиться к Рекомендациям, утвержденным Приказом Роскомнадзора №706 (19.08.11).

Нужно подавать или нет

В Законе установлено 9 пунктов исключений, когда операторам разрешено не подавать уведомление в Роскомнадзор, но, как правило, работают они только в некоторых случаях. Но, исходя из практики, можно сказать, если хотя бы для одного бизнес-процесса требуется обработка ПД, когда исключением нельзя воспользоваться, уведомление подавать придется. Обязанность подавать уведомление – это лишь одно из требований, которые предъявляются к оператору.

Другой вопрос, который задают юрлица, стоит ли им привлекать к себе внимание уполномоченного органа, который после поступления информации не только занесет новое предприятие в реестр, но и постарается прийти с проверкой как можно раньше. На самом деле Роскомнадзор выбирает предприятия для проверок независимо оттого, подали они уведомление или нет.

Кроме того, на сегодняшний день Роскомнадзор целенаправленно рассылает запросы компаниям, которые, как предполагается, собирают и обрабатывают ПД, но не числятся в реестре операторов. Для проведения планового контроля любых предприятий уполномоченный орган руководствуется 2-мя факторами – это 3 года с момента открытия юрлица или последней проверки.

Общие положения

Для отправки уведомления необходимо пройти простой алгоритм и заполнить электронный вариант формы, представленной на сайте pd.rkn.gov.ru.

Что необходимо сделать

Оператору, который решил отправить уведомление, необходимо:

  1. Зайти на сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
  2. Найти и заполнить форму. Новый вариант был представлен законодателем в Приложении №1 к Методическим рекомендациям по заполнению, которые были утверждены Приказом №94.
  3. После заполнения форму уведомления следует отправить для обработки информационной системой, а затем скачать и распечатать. Бумажную версию уведомления необходимо подписать руководителю предприятия-оператора и направить в территориальный орган Роскомнадзора.
  4. После включения в реестр сделать проверку и найти оператору самого себя. По результатам поискового запроса через этот же сайт получить сразу можно информацию о 100 операторах. Для более точного поиска лучше вводить не только наименование оператора, но и его ИНН. К примеру, можно ввести некоторую оригинальную часть наименования, не указывая организационно-правовую форму, кавычки и т. д. Из часто встречающихся слов лучше избегать таких как «федеральный», «российский», «общество» и т. д.

Есть возможность подать уведомление и через сайт Госуслуг, алгоритм действий тот же. Бумажный вариант уведомления направляется в Роскомнадзор по почте письмом с уведомлением.

Инструкция по заполнению для Роскомнадзора

Заполнение формы не составляет труда, на официальном сайте уполномоченного органа можно воспользоваться образцом.

Потребуется учесть такие параметры:

  • Перечислить нужно отдельно персональные, биометрические и другие сведения о физлицах, которые относятся к разным категориям, таким как:
    • расовая и национальная принадлежность;
    • религиозные или философские убеждения;
    • политические взгляды;
    • состояние здоровья;
    • наличие вредных привычек;
    • вопросы интимной сферы.
  • Субъектами могут быть разные лица, которые вступают с оператором в трудовые отношения.
  • Правовые основания данного вопроса – это статьи основного Закона и других нормативных актов.
  • Для перечня действия нужно будет указать, какими способами оператор планирует обрабатывать данные:
    • автоматизированный;
    • неавтоматизированный;
    • смешанный.
  • Какие мероприятия будет осуществлять оператор с поступающими ПД.

Обзор формы

Перечень данных, которые потребуется вносить в электронную форму уведомления, указан в ст. 22 ч. 3.

Он включает:

  • наименование и адрес оператора;
  • с какой целью он собирается обрабатывать ПД;
  • сведения о лице, которое ответственно за обработку информации;
  • начало обработки данных;
  • сроки и условия окончания обработки ПД;
  • другие.

Оператору рекомендуется пользоваться дополнительно инструкциями и правилами, требованиями к заполнению формы, которые могут быть представлены на сайте регионального подразделения Роскомнадзора. Местным властям разрешено регулировать данный вопрос. Если оператор допустит неточности при заполнении, Роскомнадзор вправе потребовать исправить нарушения.

Кто может не уведомлять

Список ограничений, когда у оператора есть право не уведомлять Роскомнадзор о своих действиях, представлен в ст. 22.

Это возможно, если:

  • Оператор будет осуществлять обработку ПД без использования компьютера, а также электронных баз данных. В этом случае потребуется соблюдать требования Постановления №687 об обработке ПД без автоматизации. В то же время нужно учесть, если предприятие использует для своей работы компьютеры, это вовсе не обозначает, что с их помощью будут обрабатываться ПД. Неавтоматизированным считается процесс с участием не компьютера, а человека (сотрудника оператора).
  • Необходимо собирать сведения о гражданах, с которыми оператор вступает в трудовые отношения. Обычно такие данные представляются гражданами в момент подписания трудовых или коллективных договоров. Если предполагается собирать данные физлиц, не касающиеся трудовых отношений, или уволенных сотрудников, то форма уведомления не подается.
  • Компания, являющаяся исполнителем, продавцом или поставщиком, заключает договор с физлицом. В данном случае в рамках договорных отношений гражданин предоставляет свои ПД для исполнения условий соглашения. При этом оператор не собирается передавать ПД гражданина третьему лицу, о чем должна свидетельствовать отметка в самом тексте договора.
  • ПД собирает общественная или религиозная организация. Данные членов таких организаций обрабатываются без уведомления Роскомнадзора, а сами сведения не предполагается передавать третьим лицам, тем более без разрешения граждан.
  • Гражданин сделал свои ПД общедоступными, их можно свободно собирать и обрабатывать.
  • В качестве ПД гражданин предоставляет только свои ФИО.
  • Сведения гражданин предоставляет, чтобы получить одноразовый пропуск на территорию оператора.
  • Данные собираются для обработки в автоматизированных информационных системах, имеющих статус государственных.
  • Сведения собирают транспортные компании, которым требуется обеспечить безопасное функционирование своего комплекса, защитить интересы отдельных личностей и общества в целом в сфере транспортного обслуживания населения.

Часто задаваемые вопросы

Для предприятий, которые собираются заниматься обработкой ПД, важно заранее знать ответы на насущные вопросы:

Какой вариант уведомления более приемлем для Роскомнадзора, электронный или бумажный? Тот и другой по закону должен храниться у уполномоченного органа. Но если отправлять уведомление через Госуслуги, то бумажный бланк отсылать не потребуется.
По тексту закона можно сказать, что направлять уведомление лучше всем юрлицам, так ли это? В принципе, это так. Ведь рано или поздно любое юрлицо может столкнуться с тем, что в ходе хозяйственной деятельности к нему поступят ПД какого-то гражданина. Если взаимоотношения не будут связаны с ограничениями, то предприятие автоматически считается оператором. Поэтому лучше отправить уведомление заранее во избежание правонарушений в дальнейшем.
Какие самые распространенные ошибки допускают операторы при заполнении формы? Это предоставление недостоверных сведений или некорректное заполнение формы, т. е. оператор целенаправленно не вносит какие-то сведения. Поэтому рекомендуется перед тем, как приступить к заполнению формы, внимательно посмотреть образец.
Требуется ли писать отдельное заявление, чтобы Роскомнадзор исключил оператора из реестра, если тот прекратит заниматься сбором и обработкой ПД? Такая ситуация может возникнуть в связи с реорганизацией или ликвидацией юрлица, изменением деятельности, окончанием срока обработки ПД, в других случаях. Да, оформить заявление придется.
Если уведомление подано с опозданием, будет ли штраф? Подать уведомление можно в течение 3-х лет с момента открытия юрлица, если Роскомнадзор не успел прийти с проверкой.
Как выяснить, что уведомление дошло до Роскомнадзора? После заполнения электронной формы и отправки ее через сайт уведомлению будет присвоен уникальный номер. Оператор также дополнительно получит секретный ключ. С его помощью время от времени можно попадать на специальную страницу, где будет отображаться статус отправленного уведомления. В определенный момент станет понятно, что оператор внесен в реестр. После этого можно будет сделать проверку через официальный сайт Роскомнадзора, ведь уведомления всех операторов находятся в открытом доступе.
Сколько раз требуется подавать уведомление? Только один раз. Но если в процессе работы оператора у него возникнут существенные изменения в данном вопросе, изменится политика предприятия, то придется подавать обновленный вариант уведомления с изменениями.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *