Уведомление об обработке персональных данных в Роскомнадзор

Уведомление об обработке персональных данных в Роскомнадзор

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО “Сбербанк-АСТ”. Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

Программа, разработана совместно с ЗАО “Сбербанк-АСТ”. Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Обзор документа

Рекомендации по заполнению формы Уведомления об обработке (о намерении осуществлять обработку) персональных данных (утв. Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций 29 января 2016 г.)

1. Настоящие Рекомендации разработаны в целях разъяснения порядка заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее – Уведомление).

2. Оформление Уведомления рекомендуется производить на бланке оператора, осуществляющего обработку персональных данных (далее – Оператор), по форме, определенной Приложением № 2 к Административному регламенту Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденному приказом Министерства связи и массовых коммуникаций Российской Федерации от 21 декабря 2011 г. № 346), и направлять в территориальный орган Роскомнадзора (далее – ТУ Роскомнадзора) по месту регистрации Оператора в налоговом органе.

Электронная форма Уведомления и порядок ее заполнения размещены на «Едином портале государственных и муниципальных услуг (функций)» (www.gosuslugi.ru), а также на Портале персональных данных Роскомнадзора (www.pd.rkn.gov.ru).

3. Уведомление направляется в ТУ Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

4. Под полем «Наименование (фамилия, имя, отчество), адрес Оператора» понимается:

4.1. Для юридических лиц (Операторов):

полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;

наименование филиала(ов) (представительства(в)) юридического лица (Оператора), осуществляющего обработку персональных данных;*(1)

индивидуальный номер налогоплательщика (ИНН).

4.2. Для физических лиц:

фамилия, имя, отчество физического лица (Оператора);

данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;

индивидуальный номер налогоплательщика (ИНН).

4.3. Для государственных, муниципальных органов (Операторов):

полное и сокращенное наименование государственного, муниципального органа;

наименование территориального(ых) органа(ов), осуществляющего(их) обработку персональных данных;

индивидуальный номер налогоплательщика (ИНН).

При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).

5. Поле «Цель обработки персональных данных» отражает цели обработки персональных данных (а также их соответствие полномочиям Оператора).*(5)

6. В поле «Категории персональных данных» рекомендуется учитывать все категории персональных данных, подлежащих обработке Оператором:

6.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных).

6.2. Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни).

6.3. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных).

7. В поле «Категории субъектов, персональные данные, которых обрабатываются» предлагается указать категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (Оператором) и др.).

8. В поле «Правовое основание обработки персональных данных» могут быть указаны правовые основания, которые соответствуют полномочиям Оператора, отраженных в уставных документах, Федеральных законах и принятых на их основе нормативных правовых актов в части, касающейся компетенции Оператора, закрепляющий основание и порядок обработки Оператором персональных данных*(6)

(номер, дата выдачи и наименование лицензии на осуществляемый вид деятельности, с указанием лицензионных условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных).*(7)

9. Поле «Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных» предусматривает действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

– неавтоматизированная обработка персональных данных;

– исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

– смешанная обработка персональных данных.*(8)

10. Поле «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», предполагает:

а) описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

б) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

в) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, признаются следующие сведения:

а) наименование используемых криптографических средств;

б) класс средств криптографической защиты информации (СКЗИ).

Представление данной информации рекомендуется на основании приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

11. В поле «Сведения о наличии или об отсутствии трансграничной передачи персональных данных» рекомендуется относить сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки с указанием перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.

12. В поле «Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации (далее – База данных)» указываются:

– страна (страны) размещения базы данных;

– конкретный адрес (адреса) местонахождения базы данных.

Детальная градация сведений, которые могут быть включены по Базе данных, приведена на Портале персональных данных в электронной форме Уведомления.

13. В поле «Сведения об обеспечении безопасности персональных данных» рекомендуется указывать сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

14. Поле «Дата начала обработки персональных данных» предусматривает конкретную дату (число, месяц, год) начала любого действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (как правило, это дата начала осуществление Оператором деятельности, закрепленной в уставных документах).

15. В поле «Срок или условие прекращения обработки персональных данных» рекомендуется отражать конкретную дату (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.

Заместитель руководителя
Федеральной службы по надзору
в сфере связи, информационных технологий
и массовых коммуникаций
А.А. Приезжева

*(1) Для юридических лиц с филиальной структурой рекомендуется указывать список субъектов Российской Федерации (с указанием кода субъекта – согласно Приложению № 2 «Коды субъектов РФ и иных территорий», утвержденному Приказом ФНС России от 30.10.2015 № ММВ-7-11/485@ «Об утверждении формы сведений о доходах физического лица, порядка заполнения и формата ее представления в электронном виде», на территории которых находятся филиалы (представительства) юридического лица и (или) где оператором производится обработка персональных данных. Направление Уведомления производится юридическим лицом в соответствующее территориальное управление Роскомнадзора по месту своего нахождения с указанием всех имеющихся филиалов (представительств).

*(2) Под адресом понимается место нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, почтовый адрес юридического лица, контактная информация.

Организациям, учреждениям, имеющим филиалы (представительства), рекомендуется отражать юридический и почтовый адреса (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных (все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных). При этом рекомендуется обратить внимание – обработка персональных данных осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами).

*(3) Под адресом понимается место нахождения физического лица в соответствии со свидетельством о постановке на учет физического лица в налоговом органе, почтовый адрес физического лица, контактная информация.

*(4) Под адресом понимается место нахождения государственного, муниципального органа в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, почтовый адрес государственного, муниципального органа, контактная информация.

*(5) «Целью обработки персональных данных» в данном случае являются как цели, указанные в учредительных документах Оператора, так и цели, фактически осуществляемой Оператором деятельности по обработке персональных данных.

*(6) Признаются не только соответствующие статьи Федерального закона «О персональных данных», но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных (например: ст. ст. 85 – 90 Трудового кодекса Российской Федерации, ст. 85.1 Воздушного кодекса Российской Федерации, ст. 12 Федерального закона «Об актах гражданского состояния» и др.).

*(7) Номер лицензии и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), допускается при наличии лицензии и (или) соответствующего пункта лицензионных условий.

*(8) При автоматизированной обработке персональных данных либо смешанной обработке желательно указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица) либо информация передается с использованием сети общего пользования Интернет либо без передачи полученной информации.

Обзор документа

Даны рекомендации по составлению уведомления об обработке персональных данных (о намерении ее выполнять).

Его необходимо оформлять на бланке оператора и направлять в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе.

Электронная форма уведомления размещена на www.gosuslugi.ru и на www.pd.rkn.gov.ru.

Разъяснены особенности заполнения отдельных полей уведомления.

Отправка уведомления в Роскомнадзор

В той или иной мере в поле информационных и коммуникационных технологий работают практически все предприниматели, ЮЛ и ФЛ, получающие, хранящие и обрабатывающие персональные данные (ПД). Законодательство в этой сфере регулярно обновляется и совершенствуется, вводя новые правила. К одному из них относится обязанность отправлять уведомление о намерении вести обработку персональных данных в Роскомнадзор. Что это за документ, расскажем ниже.

Информационная справка

Правила защиты в сфере обработки персональных данных обязуют всех, кто ими оперирует, проходить регистрацию в качестве оператора персональных данных. Эти вопросы находятся в юрисдикции Роскомнадзора (РКН), который в случае неисполнения закона вводит штрафные санкции против юридического лица или ИП.

Ведя деятельность в сфере обработки персональных данных, необходимо руководствоваться следующими нормативными актами:

  • Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных»;
  • ст. 19.7 КоАП РФ;
  • Приложение 2 к приказу Минкомсвязи России от 21 декабря 2011 г. № 346 .

Персональные данные можно представить в виде информации, по которой легко устанавливается личность того или иного человека. В перечень входят:

  • идентификационные данные общего порядка;
  • семейное положение;
  • образование и не только.

Регистрация в качестве оператора происходит через отправку уведомления об обработке в РКН. При этом перед обработкой персональных данных предприниматель должен убедиться, что документ принят контролирующим органом.

Согласно закону, базы персональных данных должны храниться только на территории России в бумажном или электронном виде. Принятие мер по защите данных в процессе обработки ложится целиком и полностью на оператора. Также он обязан:

  • получить согласие на обработку данных от лица, предоставляющего их;
  • прекращать хранение персональной информации после потери ею актуальности или по факту не востребованности.

За все нарушения, связанные с обработкой персональных данных и выявленные в результате проверок, Роскомнадзор наложит финансовые взыскания.

Обязательства и исключения

Под определение оператора обработки данных подпадают частные хозяйствующие субъекты, а также государственные и муниципальные структуры, которые производят обработку персональных данных в рамках своей основной деятельности.

Обязательства наступают для них автоматически в соответствии с законодательными актами. Но существует и перечень исключений. В него включены ЮЛ и ФЛ, которые:

  • получают и обрабатывают данные в рамках трудовых отношений;
  • не автоматизировали процесс работы с данными;
  • оформляют договора с ФЗ без передачи ПД третьей стороне;
  • собирают и производят обработку персональных данных для внутреннего пользования (актуально для религиозных и общественных организаций);
  • манипулируют открыто выложенными для всеобщего пользования данными;
  • имеют пропускную систему;
  • берут данные из государственных инфосистем;
  • включают в себя только фамилию, имя и отчество субъекта ПД;
  • оформляют проездные документы (что невозможно осуществить без обработки данных).

Перечисленные субъекты могут не беспокоиться об отправке уведомления об обработке данных в надзорный орган. Но списки периодически корректируются и их актуальность рекомендуется проверять один раз в 6 месяцев.

Штрафные санкции

Роскомнадзор регулярно проводит проверки, связанные с контролем за исполнением законов, затрагивающих информационное поле. Надзорный орган в первую очередь интересуют следующие нюансы:

  • наличие или отсутствие статуса оператора ПД;
  • система хранения данных;
  • актуальность предоставляемых данных и не только.

Если хозяйствующий субъект имеет законное право не присылать уведомление в РКН о намерении производить обработку данных, то во время проверки он должен аргументированно доказать это.

В среднем штрафы за разные виды нарушений составляют от 700 до 75000 рублей.

Кто и когда: просто о сложном

Обязанность заполнения и отправки уведомления об обработке персональных данных может быть возложена на разных сотрудников:

  • руководитель компании;
  • юрист;
  • кадровик;
  • представитель администрации.

Чаще всего заботы о получения статуса оператора ПД возлагаются на лицо, которое будет в дальнейшем заниматься обработкой полученных данных.

Сроки подачи уведомлений законодательством не оговорены. Но в любом случае сделать это нужно до начала обработки персональных данных. Чтобы обезопасить себя, рекомендуется отправлять уведомление об обработке персональных данных сразу же после регистрации в качестве частного предпринимателя или юридического лица.

Способы уведомления Роскомнадзора

На сегодняшний момент предприниматели имеют возможность уведомить Роскомнадзор о своих намерениях работать с данными разными способами. Каждый имеет свои особенности и тонкости, о которых нужно знать заранее.

Отправка почтой или курьерской службой

Этот вариант, как основной, с каждым годом выбирают все реже. Он включает в себя несколько этапов:

  • войти на сайт Роскомнадзора;
  • скачать форму уведомления;
  • распечатать документ;
  • внести в графы данные;
  • подать на подпись руководителю и уполномоченному работать с ПД лицу;
  • заверить печатью.

Далее клиенту нужно отправить бумагу в Роскомнадзор (местное отделение) и ожидать его приемки. Только после этого можно заниматься обработкой данных.

Почтовая отправка, несмотря на кажущуюся простоту, имеет массу минусов:

  • сложности с заполнением формы;
  • большие временные затраты;
  • необходимость лично ехать на почту;
  • невозможность сразу увидеть данные по статусу заявки и не только.

Чаще всего отправка уведомления почтой используется как вспомогательный способ, отмеченный в законодательном акте.

Отправка через сайт Роскомнадзора

Этот вариант выбирают гораздо чаще. Он довольно удобен и понятен:

  • зайти на официальный ресурс Роскомнадзора;
  • найти форму уведомления;
  • в онлайн режиме внести нужные данные;
  • после нажать на вкладку «Отправить электронное уведомление и подготовить форму к распечатке»;
  • распечатать документ в бумажном виде;
  • заверить (таким же образом, как указано в прошлом разделе).

Уведомление на бумажном носителе в качестве подтверждения отправляется почтой. На рассмотрение заявки надзорному органу дан месяц со дня отправки в электронном варианте.

Основным минусом способа считаются сложности с внесением данных в уведомление.

Обращение через сайт Госуслуг

Алгоритм действий аналогичен предыдущему варианту, но зайти необходимо на ресурс Госуслуги. После отправки электронной формы уведомления также понадобится подтверждение в бумажном виде.

Отправка с помощью Контура

Все предыдущие варианты имеют один существенный недостаток – пользователь редко представляет, как подступиться к уведомлению. Процесс заполнения занимает от 2-3 часов до нескольких дней, так как форма изобилует специфическими и профессиональными терминами, ошибаться в которых нельзя.

Контур решает эту проблему в один клик. Чтобы отправить уведомление в Роскомнадзор достаточно войти в сервис и нажать на одну вкладку «Отправить уведомление». Данные вносятся в автоматическом режиме без участия пользователя.

При этом на экране будет доступна информация следующего характера:

  • номер, присвоенный уведомлению;
  • цифровой ключ.

Проверить текущий статус по отправленному уведомлению можно не выходя из программы, нажав вкладку «Проверить состояние». Теперь бумагу можно распечатывать и отправлять почтой в качестве подтверждения в Роскомнадзор.

После того, как РКН примет решение по отправленному уведомлению, Контур вышлет электронное письмо с данными на мэйл пользователя. Теперь можно браться за обработку сведений.

Получить более подробную информацию о сервисе можно связавшись со специалистами нашего удостоверяющего центра.

Обработка персональных данных – это стандартный процесс, с которым ЮЛ и ФЛ сталкиваются ежедневно. Но узаконить его без Роскомнадзора и уведомления об обработке персональных данных невозможно.

Бесплатная консультация юриста по телефону:

Москва, Московская обл. +7(499)113-16-78

СПб, Ленинградская обл. +7(812)603-76-74

Звонки бесплатны. Работаем без выходных!

Ссылка на основную публикацию