Курс: Продающий лендинг для вашего бизнеса Бесплатно
Создайте сайт с нуля за 40 минут и запустите продажи

Уведомление об обработке персональных данных: правила составления и подачи в РКН

Обсудить
Уведомление об обработке персональных данных

Действующее российское законодательство о защите ПДн требует уведомлять Роскомнадзор об обработке персональных данных. Согласно закону 152-ФЗ, под термином «обработка» понимают практически любое действие с информацией о лице, поэтому необходимость в подаче уведомления возникает очень часто. 

Субъект, который собирает данные о личности в определенных целях, является оператором персональных данных. Собранная информация может использоваться им самостоятельно или передаваться третьему лицу, которые осуществляет их обработку. Оно действует по договору поручения и только в интересах поручителя, собственных целей и способов использования ПД обработчик не имеет. 

В случаях, когда персональные данные собираются с помощью электронных инструментов, работающих в облаке или на серверах провайдера, роль обработчика автоматически присваивается компаниям, которые предоставляют услуги хостинга или виртуальные серверы. Они становятся обработчиками даже несмотря на то, что напрямую не заключают договор с ОПД. 

Если компания пользуется услугами облачных сервисов и по роду своей деятельности вынуждена собирать персональные данные, необходимо проверить действующие бизнес-процессы на предмет соблюдения требований закона 152-ФЗ. В случае необходимости следует оформить договор-поручение, чтобы не иметь проблем с представителями Роскомнадзора. 

В каких случаях нужно подавать персональные данные

Обязанность передавать уведомление о сборе и использовании персональных данных указана в статье 33 закона 152-ФЗ. Причем предоставить необходимые документы и сообщения рекомендуется до того, как был начат процесс сбора данных и взаимодействие с обработчиками личной информации. 

Нормативными актами установлены случаи, когда субъект не обязан передавать уведомление и состоять в реестре лицензий Роскомнадзора:

  • компания собирает данные только о собственных сотрудниках;

  • данные необходимы только для выполнения условий договора между оператором и субъектом персональных данных;

  • организация является религиозной или общественной и собирает данные только в отношении своих членов;

  • в состав собираемых данных входит только фамилия, имя и отчество без какой-либо контактной информации, сведений о дате рождении т.п.;

  • когда информация нужна для оформления разового пропуска для визита на территорию предприятия или прохода через нее;

  • когда данные собираются и хранятся только в бумажном виде и не оцифровываются – в этом случае субъект самостоятельно должен организовать их защиту от посторонних. 

Кроме того, не нужно направлять уведомление, если субъект собирает данные о гражданах, которые предоставили на это свое разрешение. Оно должно быть оформлено отдельным документом. 

Какие сведения содержит уведомление 

Направляемое в Роскомнадзор уведомление должно содержать следующую информацию:

  • фамилия и имя предпринимателя или название юридического лица, адрес регистрации;

  • цель сбора персональных данных физических лиц;

  • список информации, которую собирает субъект;

  • названия нормативно-правовых актов и внутренних документов, согласно которым производится сбор данных, их хранение, обработка и передача;

  • перечень действий, которые субъект собирается выполнять с ПДн;

  • список мер безопасности, которые принимаются для предотвращения распространения и несанкционированного использования информации;

  • ФИО лиц, назначенных ответственными за работу с ПДн;

  • дата, с которой будут обрабатываться данные или сообщение о том, что этот процесс уже ведется;

  • дата окончания обработки информации;

  • факт передачи ПДн за пределы Российской Федерации;

  • место нахождения серверов или других аппаратных средств, где хранятся и обрабатываются данные;

  • уровень защиты. 

Данные передаются в Роскомнадзор в том случае, если субъект уже собирает личную информацию или собирается делать это. 

Порядок заполнения уведомления

Подать уведомление можно в электронной форме на официальном ресурсе Роскомнадзора. Инструкция по заполнению:

  1. Выбрать подразделение РКН, в которое необходимо направить уведомление. Оно выбирается в зависимости от того, где зарегистрирован и осуществляет свою деятельность оператор ПДн. 

  2. Заполнить реквизиты компании или юридического лица, которое будет осуществлять сбор и обработку данных. Обязательному заполнению подлежат поля, отмеченные красной звездочкой. К ним относится тип и название субъекта, почтовый адрес, электронная почта, регистрационный и налоговый номера. 

  3. Заполнить данные об обособленных подразделениях юридического лица, которые также будут участвовать в сборе и обработке ПДн. 

  4. Предоставить общие сведения о деятельности субъекта.  

В этом разделе необходимо перечислить названия нормативных актов и номера статей, согласно которым компания собирает и обрабатывает ПДн. К ним относятся:

  • федеральные законы и законы субъектов федерации;

  • нормативные акты местных органов власти;

  • внутренние документы компании. 

Обратите внимание, что сам закон 152-ФЗ не является основанием для работы с ПДн, и указывать его в этом списке не нужно. 

Также указываются цели, для которых производится сбор данных. Во избежание ошибок необходимо указать их в отношении каждой из категорий граждан. К ним могут относиться:

  • сотрудники компании;

  • заказчики;

  • посетители сайта и т. п.

Причем цели сбора данных о сотрудниках компании не могут быть такими же, как в отношении посетителей сайта либо кандидатов на работу. 

В графе с перечнем мер, предусмотренных статьями 18.1 и 19 закона 152-ФЗ, рекомендуется перечислить их как можно более подробно. Для этого целесообразно изучить диспозиции соответствующих статей. Но при этом необходимо, чтобы они действительно применялись в компании, а не заявлялись декларативно. 

В окне, где перечисляются средства обеспечения безопасности, необходимо указать перечень тех действий, которые помогают сохранить данные и избежать их несанкционированного использования. Это могут быть технические средства, организационные меры, уникальные способы защиты.  

При заполнении графы «Сведений» необходимо учитывать потенциальные угрозы, которые могут привести к распространению данных. Важны следующие факторы:

  • тип угрозы (они делятся на три категории);

  • тип персональных данных (общие, биометрические, специальные);

  • количество лиц, в отношении которых собираются данные.

Для каждого из уровней устанавливаются особые требования, которые определяются с помощью специализированных сервисов. 

При заполнении полей с датами начала и окончания сбора сведений нужно учитывать такие моменты:

  • Датой начала обычно указывают время регистрации юридического лица или предпринимателя. Скорее всего, обработка начинается уже на этом этапе, так как компания нанимает сотрудников и заключает договоры с клиентами либо сторонними организациями.

  • Дату окончания не указывают ввиду невозможности ее определить. Поэтому обычно в этом поле описывают условия, при которых субъект перестанет собирать ПДн.

ФЗ-152

Категории ПДн

Для удобства классификации, составления отчетности и подачи уведомлений нужно создавать отдельную информационную систему для каждой категории объектов. В этом случае будет учтен принцип недопустимости объединения персональных данных, которые собираются в разных целях. 

Порядок действий:

  1. Составить список категорий лиц, в отношении которых планируется сбор информации. 

  2. Составить список персональных данных, которые будут накапливаться и обрабатываться для каждой из категорий в пункте 1. 

  3. Составить список целей, в которых производится сбор и обработка ПДн для каждой категории из пункта 1. 

  4. Установить, будут ли передаваться личные данные за пределы России для каждой из категории. 

После этого в разделе информацией об ИСПДн необходимо указать отдельно каждую из категорий (пункт 1), после чего заполнить остальные разделы. 

В разделе «Перечень действий» можно вписывать только те, что указаны в законодательстве. К ним относятся:

  • сбор, хранение и запись на физические носители;

  • систематизация;

  • накопление, уточнение и извлечение;

  • использование и передача;

  • обезличивание и блокировка;

  • удаление или уничтожение. 

Обработка может быть двух видов:

  • Автоматизированная — применяется в том случае, если ПДн собирается только в электронной форме и не переводится в бумажную.

  • Смешанная — применяется в том случае, если данные собираются в электронной и бумажной форме, например, данные о работниках в виде карточек и в учетном приложении. 

Обязательно указывается способ передачи личных данных. Возможны два варианта:

  • только в локальной сети субъекта;

  • через интернет.

В разделе «Категории персональных данных» галочками необходимо отметить ту личную информацию, которую собирает субъект. В случае если они отсутствуют в типовом списке, их необходимо вписать в дополнительное поле. 

При выборе категорий ПДн нужно быть аккуратным. Для некоторых видов личных данных законом установлены повышенные требования к обработке, хранению и защите. Для их сбора нужно запрашивать у объекта отдельное письменное разрешение. 

Роскомнадзор требует обязательного уведомления о том, что собираемые личные данные передаются за пределы России. Такое происходит, например, когда компания зарегистрирована и ведет деятельность за границей, но создала сайт и обрабатывает заказы жителей нашей страны. Либо когда корпорация работает по всему миру, имеет подразделения в нескольких государствах и дата-центр, расположенный вне Российской Федерации. 

Сроки и порядок отправки, оформление

Подавать уведомление необходимо до того момента, когда компания начнет обработку персональных данных. РКН включает компанию в реестр спустя 30 дней после регистрации документа. Для проверки можно зайти на официальный сайт государственного органа и найти субъекта по налоговому органу. 

Возможна подача документа в бумажном виде. Оно подается за подписью руководителя на фирменном бланке юридического лица. Обязательно заверение печатью. Уведомление отправляется по адресу территориального подразделения РКН с уведомлением о получении. 

Если компания изменит процесс обработки ПДн, изменит свои реквизиты или поменяет ответственное лицо, необходимо предоставить дополнительную информацию в РКН. 

Санкции за нарушение

Если субъект начал сбор персональных данных без уведомления и не состоит в реестре РКН, в отношении него могут применяться меры административного воздействия — штраф до 300 рублей для граждан, до 500 рублей для должностных лиц и до 5 тыс. рублей для компаний. Однако частота наложения штрафов не регламентируется.

Комментарии

Модератор
Пришел кот и стер лапкой этот комментарий
С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
С помощью соцсетей
У меня уже есть аккаунт Войти
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email вашего аккаунта
Ваш баланс 10 ТК
1 ТК = 1 ₽
О том, как заработать и потратить Таймкарму, читайте в этой статье
Чтобы потратить Таймкарму, зарегистрируйтесь на нашем сайте