Уведомление в роскомнадзор как найти свое

Уведомление в роскомнадзор как найти свое

Реестр операторов, осуществляющих обработку персональных данных

В соответствии со статьей 22 Федерального закона № 152-ФЗ «О персональных данных», организации, осуществляющие обработку персональных данных, уведомляют уполномоченный орган по защите прав субъектов персональных данных путем подачи Уведомления об обработке персональных данных для последующего занесения организации в Реестр операторов, осуществляющих обработку персональных данных.

Консультации по вопросам подачи уведомлений об обработке персональных данных проводятся инспекторами территориального Управления Роскомнадзора (в Москве — каждый вторник в 15:00 по адресу Старокаширское шоссе, д.2, корп.10).

Подача уведомления

Кто должен подавать?

В первую очередь необходимо определить, требуется ли подавать уведомление. В соответствии с частью 2 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

  1. обрабатываемых в соответствии с трудовым законодательством;
  2. полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  4. сделанных субъектом персональных данных общедоступными;
  5. включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  6. необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  9. обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

В большинстве организаций персональные данные обрабатываются сверх вышеперечисленных исключений.

Как подать уведомление?

В случае, если организация не внесена в Реестр и не подпадает по исключение, необходимо подготовить и внести сведения на Портале персональных данных. Для этого необходимо выбрать на интернет-сайте Роскомнадзора меню «Реестр операторов» «Электронные формы заявлений» предложение «Перейти к заполнению формы электронного уведомления» либо перейти по прямой ссылке http://pd.rkn.gov.ru/operators-registry/notification/form.

После заполнения всех полей электронной формы заявления и отправки формы электронного уведомления (кнопка «Отправить электронное уведомление и подготовить форму к распечатке») заполненную форму необходимо сохранить для последующего формирования письма на бланке организации. После подтверждения корректности внесенных сведений необходимо сформировать письмо на бланке организации с заполненной формой, распечатать, поставить подпись и печать организации, направить в Управление Роскомнадзора в двух экземплярах.

Рекомендации по внесению изменений в Реестр операторов персональных данных

В случае, если организация внесена в Реестр, следует открыть форму уведомления об обработке персональных данных в Реестре и просмотреть содержание. Поиск организации, внесенной в Реестр операторов, осуществляющих обработку персональных данных, осуществляется на Портале персональных данных уполномоченного органа по защите прав субъектов персональных данных: «Реестр операторов» «Реестр» или по прямой ссылке http://pd.rkn.gov.ru/operators-registry/operators-list. Поиск удобно проводить по ИНН организации.

Если в Уведомление не внесены сведения о месте нахождения баз данных, содержащих персональные данные граждан Российской Федерации, либо указаны устаревшие сведения (утратившие силу нормативные правовые акты, номера телефонов, иная информация), необходимо внести изменения в сведения об организации в Реестре. Для этого нужно заполнить информационное письмо, выбрав на интернет-сайте Роскомнадзора меню «Реестр операторов» «Электронные формы заявлений» предложение «Перейти к заполнению информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных» либо по прямой ссылке https://rkn.gov.ru/personal-data/forms/p333. В данной форме заполняются все обязательные поля, а также поля, подлежащие изменению. После заполнения формы информационного письма необходимо сохранить его для последующего формирования письма на бланке организации. Письмо необходимо распечатать, подписать и направить в Управление Роскомнадзора в двух экземплярах.

Рекомендации по заполнению формы информационного письма о внесении изменений в уведомление, а также примеры по заполнению информационного письма можно посмотреть в меню «Реестр операторов» «Документы» либо по прямой ссылке http://pd.rkn.gov.ru/operators-registry/operators-registry-documents.

Как сделать это правильно?

Перед составлением уведомления рекомендуется провести аудит соответствия.

Что должно содержать уведомление?

В соответствии с частью 3 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» уведомление должно содержать следующие сведения:

  1. наименование (фамилия, имя, отчество), адрес оператора;
  2. цель обработки персональных данных;
  3. категории персональных данных;
  4. категории субъектов, персональные данные которых обрабатываются;
  5. правовое основание обработки персональных данных;
  6. перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
  7. описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 7.1. фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  8. дата начала обработки персональных данных;
  9. срок или условие прекращения обработки персональных данных;
  10. сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 10.1. сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
  11. сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Роскомнадзор во время плановых и внеплановых проверок проверяет содержание уведомления по каждому вышеперечисленному пункту и почти у всех Операторов выявляет нарушения.

Рекомендации Роскомнадзора

29 января 2016 г. Роскомнадзор выпустил рекомендации по заполнению формы Уведомления об обработке персональных данных.

Оформление Уведомления производится на бланке оператора и направляется в территориальный орган Роскомнадзора по месту регистрации Оператора в налоговом органе. Уведомление направляется в территориальный орган Роскомнадзора в бумажном или электронном виде и подписывается уполномоченным лицом.

Под полем «Наименование (фамилия, имя, отчество), адрес Оператора» понимается:

для юридических лиц (Операторов):

  • полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;
  • наименование филиала(ов) (представительства(в)) юридического лица (Оператора), осуществляющего обработку персональных данных;
  • адрес Оператора;
  • индивидуальный номер налогоплательщика (ИНН).

для физических лиц:

  • фамилия, имя, отчество физического лица (Оператора);
  • адрес Оператора;
  • данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;
  • индивидуальный номер налогоплательщика (ИНН).

Поле «Цель обработки персональных данных» отражает цели обработки персональных данных (а также их соответствие полномочиям Оператора), указанные в учредительных документах Оператора и фактически осуществляемые Оператором в деятельности по обработке персональных данных.

В поле «Категории персональных данных» указываются все категории персональных данных, подлежащих обработке Оператором:

  • Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных).
  • Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни).
  • Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных).

В поле «Категории субъектов, персональные данные, которых обрабатываются» указываются категории субъектов, персональные данные которых обрабатываются (например: работники, соискатели, уволенные работники, родственники работников и т.д.).

В поле «Правовое основание обработки персональных данных» указываются правовые основания, которые соответствуют полномочиям Оператора, отраженных в уставных документах, Федеральных законах и принятых на их основе нормативных правовых актов в части, касающейся компетенции Оператора, закрепляющий основание и порядок обработки Оператором персональных данных (например: Федеральные законы, согласие на обработку персональных данных субъекта, договор и т.д.).

Поле «Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных» предусматривает действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

  • неавтоматизированная обработка персональных данных;
  • исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
  • смешанная обработка персональных данных.

Поле «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», предполагает:

  1. описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
  2. фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  3. организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, указываются следующие сведения:

  1. наименование используемых криптографических средств;
  2. класс средств криптографической защиты информации (СКЗИ).

В поле «Сведения о наличии или об отсутствии трансграничной передачи персональных данных» рекомендуется относить сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки с указанием перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.

В поле «Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации (далее – База данных)» указываются:

  • страна (страны) размещения базы данных;
  • конкретный адрес (адреса) местонахождения базы данных.

В поле «Сведения об обеспечении безопасности персональных данных» указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Поле «Дата начала обработки персональных данных» предусматривает конкретную дату (число, месяц, год) начала любого действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (как правило, это дата начала осуществление Оператором деятельности, закрепленной в уставных документах).

В поле «Срок или условие прекращения обработки персональных данных» указывается основание (условие), наступление которого повлечет прекращение обработки персональных данных.

Типовые ошибки при подаче Уведомления

Многие Операторы допускают ошибки при заполнении сведений пунктов 3 и 4. Ошибки заключаются в указании неполного перечня категорий персональных данных и категорий субъектов персональных данных. Роскомнадзор хочет видеть по 3 пункту все категории персональных данных, обрабатываемые Оператором, вплоть до времени входа/ухода посетителя и работника, если такие данные обрабатываются. По 4 пункту Операторы не указывают такие категории как уволенные работники и родственники работников.

Также распространенная ошибка по 5 пункту заключается в указании неполного перечня правовых оснований обработки персональных данных. Операторы не указывают в перечне правовых оснований такие основания как согласие на обработку персональных данных и договор, заключаемый с субъектом персональных данных.

По пункту 7.1 Операторы иногда не указывают почтовый адрес ответственных за организацию обработки персональных данных, что является нарушением.

В перечне действий с персональными данными Операторы обычно указывают все действия, перечисленные в статье 3 152 Федерального закона “О персональных данных”, что очень часто не соответствует фактически осуществляемым действиям и приводит к нарушению. Также операторы указывают в перечне действий обезличивание. По последней позиции Роскомнадзора, так как в настоящий момент Методические рекомендации по обезличиванию разработаны только для государственных органов, коммерческие организации не вправе осуществлять такое действие с персональными данными.

В ходе анализа Уведомления на соответствие требованиям Роскомнадзор старается опираться на указанную информацию в представленных Оператором локальных актах, касающихся обработки персональных данных, поэтому рекомендуется заполнять уведомление строго в соответствии с локальными актами. Ошибка, допущенная по любому из вышеперечисленных пунктов, ведет к нарушению части 7 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» и к выдачи предписания об устранении нарушений. Перед подачей Уведомления для снижения риска несоответствия рекомендуется провести Аудит соответствия обработки персональных данных, который позволит определить процессы обработки персональных данных, подготовить/обновить локальные акты по вопросам обработки персональных данных и подготовить Уведомление, опираясь на локальные акты.

Лента сообщений в удобном формате:

Источник

Источники: Федеральный закон от 14.07.2022 N 266-ФЗ, Письмо Роскомнадзора от 19.08.2022 N 08-75348

Информация для: всех организаций и ИП

С 01.09.2022 большинство компаний и ИП обязаны уведомлять Роскомнадзор о начале обработки персональных данных. До выполнения этой обязанности нельзя будет работать с личной информацией людей: заключать договоры с сотрудниками, оформлять пропуска посетителям, использовать персданные клиентов и т. д.

Содержание

  • Уведомление в Роскомнадзор об обработке персональных данных
  • Как уведомить Роскомнадзор с 1 сентября 2022
  • Образец уведомления, как заполнить
  • Как отправить Уведомление в Роскомнадзор

Уведомление в Роскомнадзор об обработке персональных данных

Форма уведомления содержится Приложении 1 к Методическим рекомендациям (Приказ Роскомнадзора от 30.05.2017 N 94). Для каждой цели обработки в нем указываются:

  • субъекты, данные которых обрабатываются;
  • категории персданных;
  • правовое основание обработки;
  • перечень действий с персданными.
  1. Если вы ранее оповещали РКН о намерении обрабатывать персданные, убедитесь, что вас включили в реестр операторов.
  2. Если вы не нашли себя в реестре, заполните уведомление на сайте Роскомнадзора.

Форму удобно заполнить здесь >>

Подать Уведомление можно и после 01.09.2022. Об этом Роскомнадзор сообщил на своем сайте.

В письме Управления Роскомнадзора по Республике Татарстан от 24.08.2022 N 12413-04/16 даны пояснения по заполнению Уведомления в т.ч. по дате представления и дате начала обработки персданных — это разные даты.

Образец уведомления, как заполнить

Электронного формата нет, поэтому по ТКС в т.ч. через 1С-Отченость не отправить.

Но можно с помощью ЭЦП это сделать или через Госуслуги, как показано ниже.

Автоматизацию в 1С можно отслеживать здесь.

Далее:

Если выбрали через ЕСИА, то далее так:

Примерный образец заполнения ниже. Можно менять, дополнять по своей ситуации. Если что-то будет недозаполнено, то при отправке всплывет сообщение, и проблемное поле подсветится красным цветом.

Текст для заполнения:

– Трудовым кодексом РФ, Гражданским кодексом РФ, Федеральным законом № 152-ФЗ от 27.07.2006.

– ведение кадрового и бухгалтерского учета, оформления трудовых и гражданско-правовых отношений, обработки персональных данных в соответствии с трудовым и гражданским законодательством

Текст для заполнения:

– назначение лица, ответственного за обработку и хранение персональных данных, которым является …, …, тел. +7 …, …, …;

– разработка и утверждение локальных нормативных актов, регламентирующих работу с персональными данными (Положение о работе с персональными данными, Политика обработки персональных данных и др.);

– осуществление внутреннего контроля и аудита соответствия обработки персональных данных законодательству РФ;

– оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;

– ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями к их защите, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

– применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных;

– применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

– оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

– учет машинных носителей персональных данных;

– обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

– установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;

– контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем и другие меры в соответствии с законодательством.

– реализация разрешительной системы допуска пользователей, регистрация действий пользователей;

– учет и хранение съемных носителей информации;

– использование средств защиты информации, использование защищенных каналов связи;

– организация физической защиты помещений.

Текст для заполнения:

сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (распространения, предоставления, доступа), извлечения, использования, обезличивания, блокирования,  удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники, смешанной обработки персональных данных, информация передается с использованием сети связи общего пользования (Интернет)

Текст для заполнения:

– профессия, гражданство, должность, изображение (фотография), контакты (номера телефонов, электронной почты), ИНН, данные паспорта, военного билета, медицинского полиса, СНИЛС, сведения о близких родственниках работников

– работникам (субъектам), состоящим в трудовых отношениях с … (Оператором), исполнителям по гражданско-правовым договорам, соискателям, близким родственникам работников

Как отправить Уведомление в Роскомнадзор

Уведомление передайте в РКН любым из способов:

  • отправьте письмом в адрес территориального отделения Роскомнадзора по месту регистрации компании или ИП (или привезите лично);
  • в электронном виде через сайт РКН, используя УКЭП;
  • через ЛК на портале Госуслуг с использованием средств аутентификации ЕСИА.

Кстати, Роскомнадзор планирует поменять форму уведомления и уже разработал три новых бланка:

  • о намерении осуществлять обработку персональных данных;
  • о внесении изменений в ранее представленные сведения;
  • о прекращении обработки персональных данных.

Проект приказа об утверждении этих форм опубликован на федеральном портале НПА (ID проекта 02/08/08-22/00130665).

См. также:

  • Уведомление в Роскомнадзор с 1 сентября 2022 — порядок и сроки
  • Как контролировать доступ к персональным данным в 1С?
  • Электронный кадровый документооборот и порядок обработки персональных данных. Законодательный обзор

Подписывайтесь на наши YouTube и Telegram чтобы не пропустить
важные изменения 1С и законодательства

Помогла статья?

Получите еще секретный бонус и полный доступ к справочной системе БухЭксперт8 на 14 дней бесплатно

Источник

Что меняется в законе о персональных данных

Внимание! В последний момент Роскомнадзор сообщил, что 1 сентября 2022 года не является крайним сроком подачи уведомления об обработке персональных данных.

Раньше многих предпринимателей закон о персональных данных не касался. Они могли обрабатывать персональные данные и не уведомлять Роскомнадзор в таких ситуациях:

  • обработка персональных данных по трудовому законодательству;
  • получение личной информации с согласия субъекта персональных данных только для исполнения заключённого с ним договора;
  • обработка персональных участников религиозных организаций или общественных объединений;
  • распространение личной информации с согласия субъекта персональных данных;
  • обработка персональных данных, состоящих только из Ф.И.О.;
  • получение информации для оформления разового пропуска на территорию оператора персональных данных.

С 1 сентября 2022 года этих ситуаций в перечня в п. 2 ст. 22 закона от 27.07.2006 № 152-ФЗ не будет, а значит операторы персональных данных (ОПД), чья деятельность до 1 сентября 2022 года попадала под эти исключения, должны сообщить в Роскомнадзор о намерении обрабатывать персональные данные. Это коснётся, например, всех работодателей, организаций с пропускным режимом, торговых предприятий со службами доставки.

Пример 1

У ИП работает два сотрудника. Он делает кадровые приказы, ведёт отчётность на компьютере, то есть с использованием средств автоматизации. ИП не сообщал в Роскомнадзор о начале обработки персональных данных сотрудников, поскольку это было необязательно по п. 2 ст. 22 152-ФЗ. С 1 сентября 2022 года он должен направить уведомление.

Перечень персональных данных в 152-ФЗ открытый, то есть к ним относится любая личная информация, которая позволяет определить конкретное лицо — субъекта персональных данных. Это могут быть фамилия, ИНН, адрес страницы в соцсетях, номер телефона и прочее. Если предприниматель собирает любую личную информацию о своих работниках или клиентах, даже просто имя и телефон для записи на услугу, он уже считается оператором персональных данных.

К ОПД относятся физические лица, юрлица, государственные и муниципальные органы, которые осуществляют обработку персональных данных: сбор, запись, накопление, хранение, предоставление и другие действия. Иностранные граждане и компании, которые работают с данными российских граждан, тоже подпадают под действие закона. Микропредприятия, СОНКО, общественные объединения также относятся к операторам персональных данных со всеми вытекающими из этого обязанностями.

Закон о персональных данных не распространяется на обработку информации для личных и семейных нужд, гостайну и ведение Архивного фонда — п. 2 ст. 1 закона 152-ФЗ.

Подарок для наших читателей — практическое пособие по подготовке отчётности в ПФР, ФСС и ИФНС в 2022 году от экспертов интернет-бухгалтерии «Моё дело». 62 страницы подробнейших инструкций с примерами заполнения форм.

Отчётность в ИФНС, ПФР и ФСС в 2022 году

практическое пособие для работодателя

Получите бесплатно 62 страницы экспертного контента!

Оставьте заявку в форме ниже, и мы вышлем вам запись.

Как подать уведомление в Роскомнадзор

Направить сведения можно тремя способами.

  1. Заполнить форму на портале Роскомнадзора, распечатать, подписать и подать в бумажном виде в территориальное управление ведомства по месту своей регистрации.
  2. Отправить электронное уведомление, подписанное усиленной квалифицированной электронной подписью, на сайте Роскомнадзора. У заявителя должен быть установлен плагин КриптоПро ЭЦП Browser plug-in, и настроена работа с ним. Дублировать уведомление на бумаге не нужно.
  3. Подать уведомление через Госуслуги. При переходе по ссылке на сайте Роскомнадзора сервис предложит пройти аутентификацию, поэтому понадобится подтверждённая учётная запись, привязанная к организации или ИП. В этом случае также не нужно отправлять бумажное уведомление с подписью.

Действующие операторы персональных данных должны отправить уведомление до сентября 2022 года. Новые ОПД — до начала обработки персональных данных. Сведения проверят в течение 30 дней и внесут предпринимателя в реестр операторов.

Оператору не нужно ждать разрешения от Роскомнадзора, чтобы работать с персональными данными. Главное — убедиться, что ведомство получило уведомление. В электронном виде датой оповещения будет считаться дата отправки письма на сайте, а при уведомлении в бумажном виде — дата получения письма территориальным управлением.

Постановка на учёт в реестре — разовая акция. Если компания или ИП в нём уже есть, повторно отправлять уведомление не нужно. Так, например, работодатель один раз информирует Роскомнадзор о намерении осуществлять обработку персональных данных сотрудников в рамках трудовых отношений. Он не сообщает в ведомство о приёме на работу или увольнении конкретного работника.

Как заполнить уведомление

Удобно заполнить форму на сайте Роскомнадзора, потому что по каждой графе там есть всплывающие подсказки.

Также вам помогут Методические рекомендации, утверждённые приказом Роскомнадзора от 30.05.2017 № 94, и наш образец заполненного уведомления.

Если у вас возникают трудности с уведомлением, можно подсмотреть, как это делают крупные компании. Все данные в реестре открыты, кроме способов защиты персональных данных. Найдите в реестре операторов компанию, которой доверяете и посмотрите, какие сведения о себе она указывала для Роскомнадзора.

С 1 сентября 2022 года в уведомлении нужно будет указывать больше информации. Так по каждой цели обработки персональных данных придётся указывать:

  • категории персональных данных;
  • категории субъекта персональных данных;
  • правовое основание обработки;
  • перечень действий с персональными данными;
  • способы обработки.

До 1 сентября операторы заполняют старую форму, а после утверждения нового бланка нужно ещё отправить информационное письмо о внесении изменений в реестр. Такой порядок действий рекомендует Роскомнадзор в письме от 19.08.2022 № 08-75348.

Моё дело Бюро

Справочно-правовая система для бухгалтеров, юристов, кадровиков и профессиональный консалтинг

Кто может не отправлять уведомление

С 1 сентября 2022 года можно не уведомлять Роскомнадзор о намерении обрабатывать персональные только в трёх ситуациях:

  • персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка — например, автоматизированные дактилоскопические информационные системы (АДИС) полиции;
  • обработка личной информации производится исключительно без средств автоматизации, то есть без использования вычислительной техники;
  • персональные данные используются в случаях, предусмотренных законами о транспортной безопасности. Например, записи с видеокамер систем видеонаблюдения в аэропортах и на ж/д вокзалах.

Согласно постановлению от 15.08.2008 № 687 обработка персональных данных без средств автоматизации — это использование, уточнение, распространение и уничтожение персональных данных при непосредственном участии человека.

Пример 2

Обработка без средств автоматизации:

  • распечатали или скопировали пустой бланк согласия на обработку персональных данных, а человек заполнил его от руки;
  • ведёте журнал учёта посетителей на вахте вручную;
  • передали документ лично сотруднику.

Автоматизированная обработка:

  • отсканировали заполненный бланк согласия на обработку персональных данных;
  • отправили фамилию и ИНН работника по e-mail.

Как видите, мало кто попадает под исключения, поэтому уведомление должны отправлять практически все. Разве что ИП не нанимает сотрудников, совсем не работает с гражданами или записывает всех своих клиентов ручкой в тетрадь, приказы пишет от руки и отчётность тоже заполняет вручную. Такой предприниматель уведомлять Роскомнадзор не должен.

Даже если все персональные данные вы обрабатываете вручную, но отчётность за вас сдаёт бухгалтерия на аутсорсинге — уведомлять Роскомнадзор нужно, поскольку в этом случае есть обработка личной информации с использованием средств автоматизации. И учитывайте, что передавать персональные данные третьим лицам можно только с согласия субъекта персональных данных. Это дополнительная обязанность оператора — получать согласие. Разъяснения по такой ситуации дал Роскомнадзор в письме от 21.03.2022 № 08-20152.

Что делать тем, кто уже есть в реестре РКН

Если раньше вы уже сообщали в Роскомнадзор о намерении обрабатывать персональные данные, повторно заполнять и отправлять форму не нужно. Для надёжности проверьте по ИНН, что вы есть в реестре операторов.

Но посмотрите, какие цели обработки персональных данных вы указывали. Возможно, это было оказание услуг клиентам, а своих сотрудников как субъектов персональных данных вы не записали. С 1 сентября 2022 года появляется обязанность уведомлять Роскомнадзор при ведении кадрового делопроизводства, бухгалтерского учёта в отношении работников, заключении и расторжении трудовых договоров.

В этом случае в течение 10 рабочих дней после вступления в силу нового закона, нужно проинформировать Роскомнадзор о внесении изменений в реестр. Информационное письмо заполняют на сайте ведомства, а отправить его можно теми же способами, что и уведомление:

  • по почте или отнести лично подписанный бумажный вариант в территориальное управление;
  • через сайт Роскомнадзора;
  • через портал Госуслуг.

Если изменения произошли уже после 1 сентября, информационное письмо нужно отправить в течение 10 рабочих дней после этого.

Что будет за нарушения

Ответственность может быть административной, уголовной и гражданской.

Если не отправить уведомление или не проинформировать Роскомнадзор об изменениях, штраф по ст. 19.7 КоАП РФ составит до 5000 рублей. За нарушение законодательства о персональных данных установлены санкции по ст. 13.11 КоАП РФ: от 10 000 рублей для ИП, и от 60 000 рублей — для организаций.

Уголовная ответственность предусмотрена за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации — ст. 137, 272 УК.

Также ст. 24 152-ФЗ предусматривает обязательное возмещение морального вреда субъекту персональных данных вследствие нарушения правил обработки его личной информации. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но инспектор придёт внепланово по жалобе от клиента или работника. Например, если сотрудник возмутится, что его данные хранятся у оператора, которого нет в государственном реестре.

Моё дело Бюро

Справочно-правовая система для бухгалтеров, юристов, кадровиков и профессиональный консалтинг

Источник

Подача уведомления об обработке персональных данных в Роскомнадзор

Содержание 

  • Какие данные относятся к персональным
  • Действия с персональными данными
  • Операторы персональных данных
  • Как подать уведомление
  • Как дополнить уведомление новыми основаниями

Персональные данные – личные сведения о физических лицах, которые могут быть получены в самых разных ситуациях. Эта информация находится под защитой закона, поэтому те, кто имеет к ней доступ, должны подавать уведомление об обработке персональных данных в Роскомнадзор.

До сентября 2022 года работодатели подпадали под исключение, то есть могли собирать, хранить и обрабатывать персональные данные своих работников без подачи такого уведомления. Но сейчас это исключение не действует, поэтому круг операторов ПД существенно увеличился.

Если вы никогда не подавали уведомление об обработке данных, но при этом нанимаете работников, или раньше указывали в уведомлении другие цели (кроме кадровых), стоит разобраться в этом вопросе. Ведь за нарушения при обработке ПД грозят немалые штрафы.

Какие данные относятся к персональным

Основной нормативный акт, который регулирует работу с персональными данными, это закон № 152-ФЗ от 27.07.2006. Но проблема в том, что этот документ не содержит полного перечня ПД, да и само понятие нельзя назвать однозначным.

Вот что написано в статье 3 закона: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».

Есть также Указ Президента РФ от 06.03.1997 № 188, где персональными данными называют «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность».

Кроме того, существуют Методические рекомендации Роскомнадзора (приказ от 30.05.2017 № 94), в котором перечислены некоторые персональные данные. К ним совершенно точно относятся:

  • ФИО человека;
  • полная дата и место рождения;
  • адрес жительства;
  • семейное, социальное и имущественное положение;
  • образование, профессия, доходы.

По логике сюда же стоит добавить другие сведения, которые позволяют идентифицировать человека: номера телефонов, email, аккаунты в социальных сетях и мессенджерах, данные паспорта, номер СНИЛС, биометрия и др.

Отдельно стоит сказать про номер ИНН, по которому можно получить много другой информации о человеке. Это уникальный набор цифр, который присваивается один раз в течение жизни. По своей сути ИНН тоже должен относится к персональным данным, потому что позволяет однозначно идентифицировать физическое лицо.

При этом есть письма Минфина (от 28.01.2020 № 03-01-11/4925, от 12.02.2020 № 03-01-11/9505 и другие), в которых ведомство указывает, что ИНН применяется только для учёта налогоплательщиков и не может признаваться персональными данными.

Можно спорить, так это или нет, но надо знать, что мнения разных госорганов не всегда совпадают, а судебная практика по одной и той же ситуации бывает противоречивой. С учётом этого стоит всё-таки относить ИНН к персональным данным.

В некоторых случаях имеет значение сочетание ПД. Так, просто email или телефонный номер не поможет точно определить человека, для этого нужно знать его имя или другие данные. Если у вас есть сомнения по поводу того, относятся ли полученные вами данные к персональным, лучше задать этот вопрос в Роскомнадзор.

Действия с персональными данными

Персональные данные физлиц запрашиваются не из праздного любопытства. Так, если говорить о работниках, то статья 65 ТК РФ обязывает при приёме на работу предъявлять определённые документы (паспорт, трудовая книжка, СНИЛС, диплом и др.).

При подписании договора стороны указывают не только реквизиты компании, но и свои персональные данные, например, полное имя директора. Без этого договор не имеет юридической силы. Личные сведения о себе оставляет клиент или покупатель при заказе, а пользователь личного кабинета – при регистрации на сайте.

Поручите кадровый учёт профессионалам 1С

Таким образом, получение персональных данных – необходимое и обязательное условие многих гражданско-правовых и хозяйственных действий.

Субъекты, которые получают эти сведения, признаются операторами ПД. В отношении полученной информации они могут осуществлять разные действия: собирать, записывать, накапливать, хранить, использовать, передавать, анализировать, блокировать, уничтожать.

Очень важно не допускать при этом утечки персональных данных, потому что они могут использоваться третьими лицами в неблаговидных и даже преступных целях. Для полноценного контроля все операторы обязаны подавать уведомление об обработке персональных данных в Роскомнадзор. Только после этого действия с ПД могут признаваться легитимными.

Операторы персональных данных

Итак, мы выяснили, что ситуаций, при которых производятся действия с персональными данными, множество. И если говорить о бизнесе, то очень трудно найти такого субъекта, который в процессе деятельности в них не оказывался.

Ведь даже когда предпринимательская деятельность ведётся без работников, ПД поступают от покупателей и клиентов, посетителей сайта, при заключении сделок, продаже товаров, оказании услуг, выполнении работ. Сбор и хранение базы контактов потенциальных потребителей тоже сюда относится.

Чтобы не было никаких разночтений, законодатели перечислили в п. 2 статьи 22 закона № 152-ФЗ ситуации, при которых персональные данные можно обрабатывать без подачи уведомления:

  • сведения используются органами защиты безопасности государства и общественного порядка;
  • информация обрабатывается в целях безопасности объектов транспортного комплекса и транспорта;
  • данные обрабатываются без использования средств автоматизации, то есть только на бумаге.

Все остальные ситуации из этого перечня исключили с 1 сентября 2022 года. Это, как мы уже говорили, обработка ПД в рамках трудового законодательства, а также:

  • получение информации только для исполнения договора, заключённого с субъектом персональных данных;
  • оформление разового пропуска для прохода на охраняемую территорию;
  • распространение личной информации с согласия самого субъекта;
  • обработка данных, включающих только имя, отчество, фамилию человека;
  • обработка данных участников общественных объединений и религиозных организаций.

С учётом всего сказанного к операторам ПД, обязанным подать уведомление, относятся государственные и муниципальные органы, организации, физические лица, производящие с персональными данными любые действия. Немногочисленные исключения приводятся в п. 2 статьи 22 закона № 152-ФЗ.

Если при обработке ПД допущены нарушения, оператора могут наказать по статье 13.11 КоАП РФ (штраф до 75 тысяч рублей). Отдельная санкция предусмотрена за хранение данных граждан РФ за пределами России: 6 млн рублей и до 12 млн рублей, если нарушение повторное. Отсутствие самого уведомления о начале обработке ПД наказывается по статье 19.7 КоАП РФ (штраф до 5 000 рублей).

Как подать уведомление

А теперь о том, как заполнить и подать уведомление об обработке ПД. Для этого надо перейти на сайт Роскомнадзора.

Выбор способа подготовки формы уведомления на сайте РКН

Как видим, есть несколько способов подготовки и подачи уведомления:

  • на бумаге;
  • с использованием электронной цифровой подписи;
  • через портал Госуслуг.

Мы рассмотрим первый способ, то есть подготовим уведомление, которое потом надо распечатать и направить в территориальное подразделение РКН лично, почтой или курьером.

Верхняя часть уведомления заполняется довольно просто, надо ввести стандартные реквизиты заявителя (выбрав сначала тип оператора).

Заполняем поля формы уведомления

Дальше стоит воспользоваться всплывающими подсказками, потому что не все термины могут быть понятными. Например, вот что понимается под правовыми основаниями обработки ПД.

Всплывающие подсказки на форме уведомления

Приведём примерные формулировки по разделам.

  • Правовое основание обработки персональных данных: политика обработки ПД, устав организации, публичная оферта, договоры с контрагентами, согласие на получение рассылок, нормативно-правовые акты с реквизитами (указывайте законы, постановления, приказы, имеющие отношение к вашей ситуации).
  • Цель обработки персональных данных: регистрация пользователей в личном кабинете, техподдержка пользователей, работа онлайн-сервисов, обработка обращений и звонков потребителей, сбор и составление статистики заказов, заключение и исполнение договоров, взаимодействие с контрагентами, выполнение определённых работ, исполнение требований ТК РФ, публикация личных данных работников, осуществление управленческих и кадровых решений, оформление социальных льгот, организация командировок.
  • Описание мер, предусмотренных статьями 18.1 и 19 закона № 152-ФЗ: используйте формулировки из самого закона, но с учётом своей ситуации. Например, для организации можно указать: «назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных».
  • Перечень действий с персональными данными: выбирайте формулировки из закона № 152-ФЗ, такие как, накопление, запись, хранение, уточнение, использование, передача удаление, уничтожение. В полях ниже выберите способы обработки данных. Например, смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
  • Категории персональных данных. Сначала приводится стандартный перечень, в котором надо проставить галочки в отношении тех сведений, которые вы будете обрабатывать. Но часто этих категорий недостаточно, поэтому в поле ниже надо вписать недостающие. Так, в отношении работников дополнительно обрабатываются: паспортные данные, СНИЛС, место проживания, номер телефона, email, сведения о стаже, о составе семьи, реквизиты банковского счёта для выплаты зарплаты и др.
  • Категории субъектов, ПД которых обрабатываются. Это могут быть: работники и члены их семей, покупатели и клиенты, контактные лица деловых партнеров, пользователи сервисов и сайтов.

Если затрудняетесь с формулировками, обратитесь за поддержкой к сотрудникам территориального отделения Роскомнадзора. Можно также найти в реестре операторов схожую по виду деятельности компанию и воспользоваться её описаниями в качестве примера.

Как дополнить уведомление новыми основаниями

Большинство бизнес-субъектов уже подавали уведомление, но напомним, что с 1 сентября 2022 года появились новые основания обработки, о которых тоже надо сообщить (в частности, получение данных работников).

В таком случае новое уведомление подавать не требуется, но необходимо дополнить уже поданное. Для этого сайт Роскомнадзора разработал специальную форму информационного письма.

Но предварительно стоит проверить, внесены ли вы в реестр операторов, а также какие основания обработки персональных данных вы уже указывали. Поиск проводится по ИНН, названию компании или регистрационному номеру в реестре.

Проверка в реестре операторов ПД

Вернёмся к информационному письму. Его интерфейс аналогичен форме при подаче уведомления. Некоторые поля отмечены звездочкой, поэтому обязательны для заполнения, кроме того, заполняются поля, в которых вносятся изменения. Подготовленное информационное письмо направляется в Роскомнадзор одним из уже рассмотренных способов: на бумаге, с ЭЦП или через портал Госуслуг.

Напоследок стоит сказать про срок подачи уведомления или информационного письма. Новые основания обработки персональных данных возникли с 01.09.2022, однако этот срок не является крайним, до которого надо было обратиться в РКН.

Ведомство сообщает, что предельный срок подачи уведомления персональных данных не определён. Но при этом стоит помнить, что если вы обрабатываете новые ПД или категории субъектов без уведомления, можно получить административный штраф. Так что лучше сделать это как можно раньше.

Расчёт зарплаты и кадровый учёт

Источник

Добавить комментарий