Уведомление о защите персональных данных в роскомнадзор

Сегодня в распоряжении любой фирмы хранится обширная информация, позволяющая идентифицировать человека. Это личные параметры сотрудников, контакты клиентов и прочее. Если вас ещё нет в реестре операторов персональных данных, стоит об этом позаботиться.

Совершенно неважно, крупная у вас организация с многочисленным штатом работников, банком анкет или же небольшая фирма. Вы, как и остальные государственные, муниципальные учреждения, юридические и физические лица, обрабатывающие личную информацию граждан, подчиняетесь закону РФ №152-ФЗ «О персональных данных». Назвался оператором – веди себя соответствующе. Ст. 22 Закона обязывает вас до начала обработки информации уведомлять Роскомнадзор о своём намерении. Если же вы не торопитесь попасть в реестр, вас ждут административные взыскания вплоть до штрафов.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Кем оформляется?

Документ, как правило, заполняется сотрудником, в профессиональную компетенцию которого включена организация обработки такой информации.

После отправки электронной формы уведомления создайте печатную версию документа. И с подписью руководителя отправьте по почте. Ваше уведомление не добавят в реестр, пока Роскомнадзор не увидит его на бумаге!

Уже через две – три недели на официальном сайте ведомства можно проверить, имеются ли ваши сведения в общем списке.

Вид документа

Уведомление представляет собой документ на бумажном носителе и в электронном виде. Документ оформляется на бланке оператора и заверяется уполномоченным лицом. Для его заполнения разработаны единые правила.

Где его заполнить?

Электронная форма бланка содержится на Портале Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций: http://pd.rkn.gov.ru/operators-registry/notification/form/.

Бланк представляет собой Приложение к методическим рекомендациям по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30 мая 2017 г. №94.

Содержание

В уведомлении сообщаются:

  • полные и достоверные сведения об операторе;
  • цель и правовое основание для работы с личным материалом;
  • перечень предполагаемых сведений о физических лицах;
  • действий с полученной информацией;
  • категории субъектов;
  • ответственный за организацию обработки персональных данных;
  • сведения об обеспечении безопасности;
  • дата начала обработки собранной информации;
  • срок или условие её прекращения;
  • контакты человека, являющегося исполнителем уведомления.

Основные правила заполнения

Заполнить бланк информационного письма в Роскомнадзор не составит особого труда: для этого создан единый образец.

При составлении письма следует учесть:

    Так, перечисляя категории полученных сведений, подлежащих обработке, необходимо сообщать персональные, биометрические и специальные сведения.

К специальным относятся:

  • расовая и национальная принадлежности;
  • политические взгляды;
  • религиозные и философские убеждения;
  • состояние здоровья;
  • об интимной жизни.
  • Под видами субъектов подразумеваются, например, работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором).
  • В графе «Правовое основание» указывайте не только соответствующие статьи Федерального закона, но и источники иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки данных.
  • «Перечень действий» – это общее описание используемых оператором способов обработки. К ним относятся неавтоматизированная, автоматизированная или смешанная обработка материала.
  • Также в документе обозначается не только конкретная дата начала любого действия, совершаемого с личной информацией, но и сами мероприятия. Это сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение данных.
    • Скачать бланк формы уведомления об обработке персональных данных в Роскомнадзор
    • Скачать образец формы уведомления Роскомнадзора об обработке персональных данных

    Подробнее о нюансах заполнения уведомления читайте тут.

    Даже в общих для всех правилах существуют исключения. Исходя из той же 22-й статьи Закона, подавать уведомление не требуется если:

      Обработка информации производится без компьютера и электронных баз данных.

    Как видите, информационное письмо включает обширные сведения о деятельности вашей организации. В то же время в штате любого учреждения неизбежны изменения. Наше законодательство учло и этот момент.

    В этой ситуации специалисты ведомства советуют, как можно раньше внести поправки и следить за актуальностью информации о компании в реестре операторов.

    Если организация прежде не сталкивалась с подобными запросами, внимание со стороны надзорного аппарата власти может насторожить и даже внушить опасения различного характера. Поэтому стараются «отмолчаться» по принципу: чем меньше о нас знают, тем лучше. Но излишняя «скромность» как раз и приведет к нежелательным последствиям.

    Здесь нет никакой волокиты. Не стоит бояться и внезапных проверок. На практике такого не происходит, если вы не нарушаете закон. Также совершенно беспочвенны опасения финансовых затрат со стороны оператора. Лучше один раз правильно заполнить информационное письмо.

    Полезное видео

    Предлагаем посмотреть видео о заполнении формы уведомления о персональных данных в Роскомнадзор:

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

    Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

    Читайте также:  Уменьшает ли зарплата налог на прибыль

    С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
    Здесь важно учесть, что запрос Роскомнадзора — это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

    Возможны две ситуации:

    1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
    2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

    Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

    В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

    Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

    Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

    Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

    Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.
    В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок. Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».
    Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления — она находится на сайте Роскомнадзора. Изучив форму, вы поймете, что заполнение уведомления — это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

    Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

    • категории персональных данных,
    • категории субъектов персональных данных,
    • цель обработки персональных данных,
    • правовое основание обработки персональных данных,
    • перечень действий с персональными данными,
    • описание способов обработки,
    • осуществление трансграничной передачи персональных данных,
    • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
    • ответственный за организацию обработки персональных данных,
    • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

    В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.
    Если вам удалось провести полноценное обследование, и вы выявили самое главное — цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа. Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.

    Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

    Важно понимать — наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

    Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки — в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора. Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

    Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

    И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
    Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации. Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе. Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706. В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

    Читайте также:  Баланс рабочего времени россия

    Большинство вопросов связано со следующими пунктами:

    • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
    • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

    Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1. Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации — исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

    • назначить ответственного за организацию обработки;
    • издать политику оператора в отношении обработки персональных данных;
    • издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
    • и так далее.

    В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры. И так далее.

    С 19 статьей делаем то же самое.

    Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

    • Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";
    • Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
    • Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
    • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

    Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

    Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие — прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

    Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

    Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

    Напомним — Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

    Удачной Вам работы в сфере обработки и защиты персональных данных.

    Правила защиты в сфере обработки персональных данных ужесточаются с каждым годом.

    Растут и суммы штрафов, которые придется выплачивать юридическим или физическим лицам в случае нарушения законов о персональных данных (ПД).

    За исполнением законов в сфере связи, информационных и коммуникационных технологий следит федеральный орган исполнительной связи Роскомнадзор (РКН).

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

    Что это?

    Уведомление об обработке ПД – это документ, который подается в Роскомнадзор и на основании которого юридическое или физическое лицо включается в Реестр операторов, осуществляющих обработку ПД.

    Уведомляющий документ подается организацией/предприятием/индивидуальным предпринимателем, подпадающим под определение “оператор ПД” перед началом обработки конфиденциальной информации (Статья 22 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных»).

    Кем заполняется и кто подает?

    Прежде чем отправить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных, лицу следует разобраться, является ли оно оператором ПД.

    Законом предусмотрен ряд исключений, когда уведомлять надзорный орган нет необходимости. Уведомление может быть составлено в форме электронного или бумажного документа. За составление документа отвечает лицо, уполномоченное осуществлять операции в сфере ПД в данной организации (п. 1-4 ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Это может быть сотрудник юридического отдела, отдела кадров или любой представитель администрации.

    Если документ составляется в бумажной форме, подавать его можно как письмо, отправив по почте. Альтернативным способом подачи является электронное заполнение на сайте Роскомнадзора.

    Заполненную на портале форму придется распечатать и так же отправить по почте, тем самым подтвердив сведения, поданные через онлайн-ресурс.

    В обоих случаях бумажный носитель заверяется печатью, подписями генерального директора и уполномоченного за обработку ПД лица. Направлять уведомляющий документ следует в управление по тому субъекту Российской Федерации, где зарегистрировано лицо.

    Читайте также:  Публичное право охраняло интересы

    Сроки подачи

    Законодательство не устанавливает сроки, в рамках которых компания должна уведомить Роскомнадзор. Однако буквой закона установлено, что проинформировать федеральный орган следует до начала проведения операций с персональными сведениями. А именно после госрегистрации юридического лица или ИП.

    В случаях, когда компания приняла решение подать уведомление “с опозданием”, указать датой начала работы с ПД лучше дату регистрации учреждения.

    Последствия неуведомления

    РКН регулярно проводит проверки оператор ПД и даже лиц, которые под определение не подпадают. В случае, если объект имеет право не уведомлять Роскомнадзор, необходимо быть готовым аргументированно доказать, что в данном случае это законно. Если же надзирательный орган в ходе проверки столкнется с нарушениями, в частности неуведомлением об обработке ПД, придется нести ответственность.

    За неуведомление РКН оператором ПД предусмотрена уплата штрафов. Компании придется заплатить штраф в размере 5000 рублей, а руководству – 500 рублей (ст. 19.7 КоАП РФ). Штраф может последовать не только за неуведомление, но и за предоставление недостоверных или устаревших сведений.

    В каких случаях можно обойтись без него?

    Обработка ПД без уведомления федерального надзорного органа может осуществляться в следующих случаях:

    • при получении конфиденциальных сведений в рамках трудовых отношений;
    • при осуществлении операций без использования автоматизированных средств – компьютеров и баз данных;
    • при оформлении договоров с физическим лицом – в случае, если лицо обязуется не предоставлять данные третьей стороне;
    • если данные собираются общественной или религиозной организацией и предполагают исключительно внутреннее пользование;
    • при оперировании со сведениями, которые выложены лицом в открытый доступ;
    • компаниям, в которых действует пропускная система – где сведения принимаются лишь для оформления одноразового пропуска;
    • если обрабатываются данные, содержащиеся в государственных информсистемах ПД;
    • если информация собирается транспортными компаниями с целью оформления проездных документов.

    Полный перечень случаев, не подлежащих уведомлению РКН, содержат пункты 1-9 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.

    Где взять документ?

    Удобнее всего составлять уведомление в электронном виде. Оно размещено на официальном сайте РКН, найти его можно по ссылке: https://pd.rkn.gov.ru/operators-registry/notification/form/. Это унифицированная форма, содержание которой отражено в Приложении 2 к приказу Минкомсвязи России от 21 декабря 2011 г. № 346.

    Документ должен обязательно содержать следующую информацию:

    1. тип и название оператора;
    2. адрес оператора с указанием местонахождения;
    3. ИНН и ОГРН;
    4. сведения о законах, которыми руководствуется оператор;
    5. цели работы с ПД;
    6. средства обеспечения защиты информации;
    7. когда оператор начал обрабатывать ПД;
    8. сроки окончания обработки или условия прекращения проведения операций;
    9. данные об информационной системе и категории сведений;
    10. категории субъектов ПД;
    11. список действий и способов обработки ПД;
    12. осуществляется ли передача сведений третьим лицам;
    13. где находится база данных – страна и адрес;
    14. кто отвечает за действия с ПД: физическое лицо (паспортные данные, контакты и должность) или юридическое лицо (наименование, адрес, контакты).
    • Скачать бланк уведомления об обработке персональных данных
    • Скачать образец уведомления об обработке персональных данных

    Пошаговая инструкция

    Необходимо отнестись со всей ответственностью к процедуре заполнения и подачи уведомления, тщательно проверив исходные документы на достоверность и актуальность сведений и реквизитов.

    Как заполнить?

    1. Зайти на сайт Роскомнадзора по ссылке https://pd.rkn.gov.ru/operators-registry/notification/form/ – здесь размещена онлайн-форма.
    2. Скачивать ничего не нужно – сведения вписываются сразу в электронный документ.
    3. Тщательно заполнить все поля, отмеченные звездочкой *.
    4. Ввести капчу – защитный код.
    5. Поставить галочки напротив пунктов об ознакомлении с порядком подачи документа и подтверждения согласия на передачу информации через глобальную сеть.
    6. Кликнуть по кнопке “Отправить”.

    При наличии выпадающего списка в поле – выбрать из списка подходящий ответ. Если напротив пункта свободного поля нет – отметить галочками актуальные сведения, при необходимости – внести дополнительные данные. При заполнении адресов можно ввести информацию вручную, а можно воспользоваться встроенным онлайн-справочником.

    Как отправить?

    После заполнения электронного уведомления информация поступает на обработку в РКН, а система подготавливает заполненную форму к распечатке. Дальнейшие действия:

    1. Сохранить подготовленный документ на свой компьютер и распечатать либо отправить на распечатку непосредственно с сайта.
    2. Подписать бумажный вариант документа у лица, которое несет ответственность за обработку ПД, поставить печать.
    3. Отправить по почте подписанный документ в территориальный орган РКМ по месту регистрации оператора.

    Роскомнадзор обязан рассмотреть уведомление в течение 30 дней и внести сведения в общий реестр (п. 4 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

    Как внести изменения?

    План действий внесения изменений в уведомление:

    1. Пройти по ссылке https://rkn.gov.ru/personal-data/forms/p333/.
    2. Заполнить письмо онлайн – внести измененные данные.
    3. Распечатать информационное письмо и после подписания уполномоченным лицом отправить почтой в территориальный филиал РКН.

    Роскомнадзор внесет изменения в реестр в течение 15 дней.

    Как посмотреть статус?

    На сайте РКН оператор ПД получает уникальный номер документа и секретный ключ. Посмотреть статус уведомления можно на сайте Роскомнадзора по ссылке: https://pd.rkn.gov.ru/operators-registry/notification_check/. Для этого достаточно ввести номер и ключ, ввести защитный код-капчу и дождаться загрузки страницы с ответом. Делать это рекомендуется не ранее двух недель с даты подачи заявки.

    Подать уведомление об обработке и внесении изменений в персональные данные лучше в срок – это поможет обезопасить компанию от проблем с законом и дополнительных финансовых затрат.

    Видео по теме

    Как предоставить уведомление об обработке персональных данных:

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    +7 (812) 467-38-62 (Санкт-Петербург)

    Понравилась статья? Поделить с друзьями:
    Добавить комментарий

    ;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

    Adblock detector