Уведомление об обработке персональных данных как составить

Персональные данные – личные сведения о физических лицах, которые могут быть получены в самых разных ситуациях. Эта информация находится под защитой закона, поэтому те, кто имеет к ней доступ, должны подавать уведомление об обработке персональных данных в Роскомнадзор.

До сентября 2022 года работодатели подпадали под исключение, то есть могли собирать, хранить и обрабатывать персональные данные своих работников без подачи такого уведомления. Но сейчас это исключение не действует, поэтому круг операторов ПД существенно увеличился.

Если вы никогда не подавали уведомление об обработке данных, но при этом нанимаете работников, или раньше указывали в уведомлении другие цели (кроме кадровых), стоит разобраться в этом вопросе. Ведь за нарушения при обработке ПД грозят немалые штрафы.

Какие данные относятся к персональным

Основной нормативный акт, который регулирует работу с персональными данными, это закон № 152-ФЗ от 27.07.2006. Но проблема в том, что этот документ не содержит полного перечня ПД, да и само понятие нельзя назвать однозначным.

Вот что написано в статье 3 закона: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».

Есть также Указ Президента РФ от 06.03.1997 № 188, где персональными данными называют «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность».

Кроме того, существуют Методические рекомендации Роскомнадзора (приказ от 30.05.2017 № 94), в котором перечислены некоторые персональные данные. К ним совершенно точно относятся:

• ФИО человека;
• полная дата и место рождения;
• адрес жительства;
• семейное, социальное и имущественное положение;
• образование, профессия, доходы.

По логике сюда же стоит добавить другие сведения, которые позволяют идентифицировать человека: номера телефонов, email, аккаунты в социальных сетях и мессенджерах, данные паспорта, номер СНИЛС, биометрия и др.

Отдельно стоит сказать про номер ИНН, по которому можно получить много другой информации о человеке. Это уникальный набор цифр, который присваивается один раз в течение жизни. По своей сути ИНН тоже должен относится к персональным данным, потому что позволяет однозначно идентифицировать физическое лицо.

При этом есть письма Минфина (от 28.01.2020 № 03-01-11/4925, от 12.02.2020 № 03-01-11/9505 и другие), в которых ведомство указывает, что ИНН применяется только для учёта налогоплательщиков и не может признаваться персональными данными.

Можно спорить, так это или нет, но надо знать, что мнения разных госорганов не всегда совпадают, а судебная практика по одной и той же ситуации бывает противоречивой. С учётом этого стоит всё-таки относить ИНН к персональным данным.

В некоторых случаях имеет значение сочетание ПД. Так, просто email или телефонный номер не поможет точно определить человека, для этого нужно знать его имя или другие данные. Если у вас есть сомнения по поводу того, относятся ли полученные вами данные к персональным, лучше задать этот вопрос в Роскомнадзор.

Действия с персональными данными

Персональные данные физлиц запрашиваются не из праздного любопытства. Так, если говорить о работниках, то статья 65 ТК РФ обязывает при приёме на работу предъявлять определённые документы (паспорт, трудовая книжка, СНИЛС, диплом и др.).

При подписании договора стороны указывают не только реквизиты компании, но и свои персональные данные, например, полное имя директора. Без этого договор не имеет юридической силы. Личные сведения о себе оставляет клиент или покупатель при заказе, а пользователь личного кабинета – при регистрации на сайте.

Таким образом, получение персональных данных – необходимое и обязательное условие многих гражданско-правовых и хозяйственных действий.

Субъекты, которые получают эти сведения, признаются операторами ПД. В отношении полученной информации они могут осуществлять разные действия: собирать, записывать, накапливать, хранить, использовать, передавать, анализировать, блокировать, уничтожать.

Очень важно не допускать при этом утечки персональных данных, потому что они могут использоваться третьими лицами в неблаговидных и даже преступных целях. Для полноценного контроля все операторы обязаны подавать уведомление об обработке персональных данных в Роскомнадзор. Только после этого действия с ПД могут признаваться легитимными.

Операторы персональных данных

Итак, мы выяснили, что ситуаций, при которых производятся действия с персональными данными, множество. И если говорить о бизнесе, то очень трудно найти такого субъекта, который в процессе деятельности в них не оказывался.

Ведь даже когда предпринимательская деятельность ведётся без работников, ПД поступают от покупателей и клиентов, посетителей сайта, при заключении сделок, продаже товаров, оказании услуг, выполнении работ. Сбор и хранение базы контактов потенциальных потребителей тоже сюда относится.

Чтобы не было никаких разночтений, законодатели перечислили в п. 2 статьи 22 закона № 152-ФЗ ситуации, при которых персональные данные можно обрабатывать без подачи уведомления:

• сведения используются органами защиты безопасности государства и общественного порядка;
• информация обрабатывается в целях безопасности объектов транспортного комплекса и транспорта;
• данные обрабатываются без использования средств автоматизации, то есть только на бумаге.

Все остальные ситуации из этого перечня исключили с 1 сентября 2022 года. Это, как мы уже говорили, обработка ПД в рамках трудового законодательства, а также:

• получение информации только для исполнения договора, заключённого с субъектом персональных данных;
• оформление разового пропуска для прохода на охраняемую территорию;
• распространение личной информации с согласия самого субъекта;
• обработка данных, включающих только имя, отчество, фамилию человека;
• обработка данных участников общественных объединений и религиозных организаций.

С учётом всего сказанного к операторам ПД, обязанным подать уведомление, относятся государственные и муниципальные органы, организации, физические лица, производящие с персональными данными любые действия. Немногочисленные исключения приводятся в п. 2 статьи 22 закона № 152-ФЗ.

Если при обработке ПД допущены нарушения, оператора могут наказать по статье 13.11 КоАП РФ (штраф до 75 тысяч рублей). Отдельная санкция предусмотрена за хранение данных граждан РФ за пределами России: 6 млн рублей и до 12 млн рублей, если нарушение повторное. Отсутствие самого уведомления о начале обработке ПД наказывается по статье 19.7 КоАП РФ (штраф до 5 000 рублей).

Как подать уведомление

А теперь о том, как заполнить и подать уведомление об обработке ПД. Для этого надо перейти на сайт Роскомнадзора.

Как видим, есть несколько способов подготовки и подачи уведомления:

• на бумаге;
• с использованием электронной цифровой подписи;
• через портал Госуслуг.

Мы рассмотрим первый способ, то есть подготовим уведомление, которое потом надо распечатать и направить в территориальное подразделение РКН лично, почтой или курьером.

Верхняя часть уведомления заполняется довольно просто, надо ввести стандартные реквизиты заявителя (выбрав сначала тип оператора).

Дальше стоит воспользоваться всплывающими подсказками, потому что не все термины могут быть понятными. Например, вот что понимается под правовыми основаниями обработки ПД.

Приведём примерные формулировки по разделам.

• Правовое основание обработки персональных данных: политика обработки ПД, устав организации, публичная оферта, договоры с контрагентами, согласие на получение рассылок, нормативно-правовые акты с реквизитами (указывайте законы, постановления, приказы, имеющие отношение к вашей ситуации).
• Цель обработки персональных данных: регистрация пользователей в личном кабинете, техподдержка пользователей, работа онлайн-сервисов, обработка обращений и звонков потребителей, сбор и составление статистики заказов, заключение и исполнение договоров, взаимодействие с контрагентами, выполнение определённых работ, исполнение требований ТК РФ, публикация личных данных работников, осуществление управленческих и кадровых решений, оформление социальных льгот, организация командировок.
• Описание мер, предусмотренных статьями 18.1 и 19 закона № 152-ФЗ: используйте формулировки из самого закона, но с учётом своей ситуации. Например, для организации можно указать: «назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных».
• Перечень действий с персональными данными: выбирайте формулировки из закона № 152-ФЗ, такие как, накопление, запись, хранение, уточнение, использование, передача удаление, уничтожение. В полях ниже выберите способы обработки данных. Например, смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
• Категории персональных данных. Сначала приводится стандартный перечень, в котором надо проставить галочки в отношении тех сведений, которые вы будете обрабатывать. Но часто этих категорий недостаточно, поэтому в поле ниже надо вписать недостающие. Так, в отношении работников дополнительно обрабатываются: паспортные данные, СНИЛС, место проживания, номер телефона, email, сведения о стаже, о составе семьи, реквизиты банковского счёта для выплаты зарплаты и др.
• Категории субъектов, ПД которых обрабатываются. Это могут быть: работники и члены их семей, покупатели и клиенты, контактные лица деловых партнеров, пользователи сервисов и сайтов.

Если затрудняетесь с формулировками, обратитесь за поддержкой к сотрудникам территориального отделения Роскомнадзора. Можно также найти в реестре операторов схожую по виду деятельности компанию и воспользоваться её описаниями в качестве примера.

Как дополнить уведомление новыми основаниями

Большинство бизнес-субъектов уже подавали уведомление, но напомним, что с 1 сентября 2022 года появились новые основания обработки, о которых тоже надо сообщить (в частности, получение данных работников).

В таком случае новое уведомление подавать не требуется, но необходимо дополнить уже поданное. Для этого сайт Роскомнадзора разработал специальную форму информационного письма.

Но предварительно стоит проверить, внесены ли вы в реестр операторов, а также какие основания обработки персональных данных вы уже указывали. Поиск проводится по ИНН, названию компании или регистрационному номеру в реестре.

Вернёмся к информационному письму. Его интерфейс аналогичен форме при подаче уведомления. Некоторые поля отмечены звездочкой, поэтому обязательны для заполнения, кроме того, заполняются поля, в которых вносятся изменения. Подготовленное информационное письмо направляется в Роскомнадзор одним из уже рассмотренных способов: на бумаге, с ЭЦП или через портал Госуслуг.

Напоследок стоит сказать про срок подачи уведомления или информационного письма. Новые основания обработки персональных данных возникли с 01.09.2022, однако этот срок не является крайним, до которого надо было обратиться в РКН.

Ведомство сообщает, что предельный срок подачи уведомления персональных данных не определён. Но при этом стоит помнить, что если вы обрабатываете новые ПД или категории субъектов без уведомления, можно получить административный штраф. Так что лучше сделать это как можно раньше.

Расчёт зарплаты и кадровый учёт

Неправильное заполнение уведомления об обработке персональных данных может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.

Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.

Определяем цели обработки данных

Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.

При определении целей обработки персональных данных и заполнении уведомления необходимо проанализировать следующее:

1) Цели деятельности оператора, определённые в его уставе, локальных актах, согласии на обработку персональных данных, анкетах, договорах, предусматривающих передачу персональных данных и пр.

2) Основания получения персональных данных, деятельность, которую оператор осуществляет при получении и обработке персональных данных на таких основаниях.

Цели, указываемые в уведомлении, должны охватывать все случаи обработки персональных данных. При этом нужно учитывать как внешнюю деятельность компании – работа с клиентами, пользователями, заключение и исполнение договоров, маркетинговая активность и пр., так и внутреннюю – подбор и приём кадров, сбор данных о сотрудниках, организация пропускного режима.

Примеры заполнения информации о целях обработки персональных данных в уведомлениях:

«цель обработки, регистрации сведений, необходимых для оказания услуг учащимся в области образования, персональных данных работников, сведений об их профессиональной служебной деятельности»

«цель обработки, регистрации сведений, необходимых для оказания жилищно-коммунальных услуг собственникам, жильцам помещений, персональных данных работников, сведений об их профессиональной служебной деятельности»

При определении целей рекомендуется привлекать специалистов, которые знакомы со всей деятельностью компании, а не заняты в одном отделе – это обеспечит правильность и полноту работы в сфере обработки персональных данных.

Специалисты ПДМастер смогут задать правильные вопросы и определить цели обработки данных, актуальные для вашей компании.

Определяем категории обрабатываемых персональных данных

Указание неполного перечня обрабатываемых персональных данных – одно из типовых нарушений в сфере обработки персональных данных. Чтобы избежать сложностей в заполнении уведомления разберёмся, какие сведения о персональных данных нужно указывать в уведомлении об обработке.

Из законодательства следует, что категории персональных данных – это перечень персональных данных, конкретные сведения о субъекте, с помощью которых он идентифицируется или может быть идентифицирован.

Персональные данные группируются в зависимости от их особенностей, на основе чего их относят к специальным, биометрическим и иным видам категорий персональных данных.

Как внести уведомление Роскомнадзора корректные категории персональных данных?

Электронная форма уведомления на портале Роскомнадзора предлагает при определении категорий персональных данных указать конкретные сведения, которые будет собирать оператор – ФИО, дата, место рождения, семейное и социальное положение и пр.

Сложность в определении категории персональных данных при заполнении уведомления связана с тем, что сам по себе перечень персональных данных не является исчерпывающим.

В электронной форме уведомления есть графа «Другие категории персональных данных, не указанные в данном перечне», в которой оператор самостоятельно вписывает обрабатываемые персональные данные.

Операторы указывают не все «иные категории» и, как результат, нарушают требования законодательства. Так, операторы часто не указывают сведения о составе семьи; о трудовом и общем стаже, воинском учете; ИНН; СНИЛС и пр.

Во избежание неверного заполнения уведомления об обработке необходимо чётко определить цели обработки персональных данных, после чего указать, какие именно данные субъектов персональных данных будут обрабатываться.