Уведомление об обработке персональных данных в роскомнадзор

Статья на тему: "Уведомление об обработке персональных данных в роскомнадзор" от профессионалов для людей. Обязательно дочитайте до конца.

Вопрос эксперту

В случае изменения сведений, указанных в части 3 статьи 22 ФЗ «О персональных данных», Оператор обязан уведомить об изменениях Роскомнадзор в течение 10 рабочих дней с даты возникновения таких изменений.

Чтобы уведомить Роскомнадзор об изменениях, нужно послать информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных. Такое письмо можно заполнить на официальном сайте Роскомнадзора http://rkn.gov.ru/personal-data/forms/p333/.

После заполнения электронной формы письма нужно подготовить форму к распечатке, скопировать текст в Word, после сведений о трансграничной передаче добавить сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ (адрес сервера). Затем распечатать исправленное письмо на бланке организации, утвердить и отправить почтой в Роскомнадзор.

Инструкция, как правильно заполнить форму уведомления Роскомнадзора об обработке персональных данных

Сегодня в распоряжении любой фирмы хранится обширная информация, позволяющая идентифицировать человека. Это личные параметры сотрудников, контакты клиентов и прочее. Если вас ещё нет в реестре операторов персональных данных, стоит об этом позаботиться.

Совершенно неважно, крупная у вас организация с многочисленным штатом работников, банком анкет или же небольшая фирма. Вы, как и остальные государственные, муниципальные учреждения, юридические и физические лица, обрабатывающие личную информацию граждан, подчиняетесь закону РФ №152-ФЗ «О персональных данных». Назвался оператором – веди себя соответствующе. Ст. 22 Закона обязывает вас до начала обработки информации уведомлять Роскомнадзор о своём намерении. Если же вы не торопитесь попасть в реестр, вас ждут административные взыскания вплоть до штрафов.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Кем оформляется?

Документ, как правило, заполняется сотрудником, в профессиональную компетенцию которого включена организация обработки такой информации.

После отправки электронной формы уведомления создайте печатную версию документа. И с подписью руководителя отправьте по почте. Ваше уведомление не добавят в реестр, пока Роскомнадзор не увидит его на бумаге!

Уже через две – три недели на официальном сайте ведомства можно проверить, имеются ли ваши сведения в общем списке.

Вид документа

Уведомление представляет собой документ на бумажном носителе и в электронном виде. Документ оформляется на бланке оператора и заверяется уполномоченным лицом. Для его заполнения разработаны единые правила.

Где его заполнить?

Электронная форма бланка содержится на Портале Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций: http://pd.rkn.gov.ru/operators-registry/notification/form/.

Бланк представляет собой Приложение к методическим рекомендациям по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30 мая 2017 г. №94.

Содержание

В уведомлении сообщаются:

  • полные и достоверные сведения об операторе;
  • цель и правовое основание для работы с личным материалом;
  • перечень предполагаемых сведений о физических лицах;
  • действий с полученной информацией;
  • категории субъектов;
  • ответственный за организацию обработки персональных данных;
  • сведения об обеспечении безопасности;
  • дата начала обработки собранной информации;
  • срок или условие её прекращения;
  • контакты человека, являющегося исполнителем уведомления.

Основные правила заполнения

Заполнить бланк информационного письма в Роскомнадзор не составит особого труда: для этого создан единый образец.

При составлении письма следует учесть:

    Так, перечисляя категории полученных сведений, подлежащих обработке, необходимо сообщать персональные, биометрические и специальные сведения.

К специальным относятся:

  • расовая и национальная принадлежности;
  • политические взгляды;
  • религиозные и философские убеждения;
  • состояние здоровья;
  • об интимной жизни.
  • Под видами субъектов подразумеваются, например, работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором).
  • В графе «Правовое основание» указывайте не только соответствующие статьи Федерального закона, но и источники иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки данных.
  • «Перечень действий» – это общее описание используемых оператором способов обработки. К ним относятся неавтоматизированная, автоматизированная или смешанная обработка материала.
  • Также в документе обозначается не только конкретная дата начала любого действия, совершаемого с личной информацией, но и сами мероприятия. Это сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение данных.
    • Скачать бланк формы уведомления об обработке персональных данных в Роскомнадзор
    • Скачать образец формы уведомления Роскомнадзора об обработке персональных данных

    Подробнее о нюансах заполнения уведомления читайте тут.

    Даже в общих для всех правилах существуют исключения. Исходя из той же 22-й статьи Закона, подавать уведомление не требуется если:

      Обработка информации производится без компьютера и электронных баз данных.

    Как видите, информационное письмо включает обширные сведения о деятельности вашей организации. В то же время в штате любого учреждения неизбежны изменения. Наше законодательство учло и этот момент.

    В этой ситуации специалисты ведомства советуют, как можно раньше внести поправки и следить за актуальностью информации о компании в реестре операторов.

    Если организация прежде не сталкивалась с подобными запросами, внимание со стороны надзорного аппарата власти может насторожить и даже внушить опасения различного характера. Поэтому стараются «отмолчаться» по принципу: чем меньше о нас знают, тем лучше. Но излишняя «скромность» как раз и приведет к нежелательным последствиям.

    Здесь нет никакой волокиты. Не стоит бояться и внезапных проверок. На практике такого не происходит, если вы не нарушаете закон. Также совершенно беспочвенны опасения финансовых затрат со стороны оператора. Лучше один раз правильно заполнить информационное письмо.

    Полезное видео

    Предлагаем посмотреть видео о заполнении формы уведомления о персональных данных в Роскомнадзор:

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    +7 (812) 467-38-62 (Санкт-Петербург)

    sandseller.ru

    Сегодня юридические лица, которые занимаются на территории РФ какой-либо разрешенной деятельностью согласно Уставам предприятий (учреждений) и положений законодательства, владеют теми или иными персональными данными.

    Дорогие читатели! Статья рассказывает о типовых способах решения юридических вопросов, но каждый случай индивидуален. Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь к консультанту:

    +7 (499) 110-56-12 (Москва)

    +7 (812) 317-50-97 (Санкт-Петербург)

    8 (800) 222-69-48 (Регионы)

    ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

    Это быстро и БЕСПЛАТНО!

    Для ведения хозяйственной деятельности юрлицам требуется вступать в различные правовые отношения, контрагентами могут быть не только предприятия, но и граждане. Тем более, когда речь идет о трудовых взаимоотношениях.

    Читайте так же:  Документы для автокредита

    Идентифицировать гражданина можно различными персональными данными (ПД). Если только к юрлицу поступают такие данные, оно получает статус оператора и может вести их обработку согласно Правилам, указанным в ФЗ о персональных данных № 152, изданном в 2006 г.

    Данные о сотрудниках, клиентах, поставщиках и других физических лицах должны находиться в базе данных юрлица. Но ему самому требуется отправить специальное уведомление в Роскомнадзор, чтобы попасть в реестр компаний-операторов. Согласно ст. 22 Закона компания сообщает Роскомнадзору о своем намерении начать обработку ПД. Если юрлицо не сделает это согласно требованиям Закона, его ожидают административные взыскания.

    Уведомлять Роскомнадзор, как уполномоченный орган, который должен хранить сведения об операторах, требуется согласно Методическим рекомендациям, утвержденным последним Приказом №94 в мае 2017 г. Ранее действующие рекомендации, как заполнять уведомление Роскомнадзора об обработке персональных данных, утратили силу.

    В каких случаях это необходимо

    В ст. 22 ч. 1 Закона сказано, что юрлицо или ИП обязано сообщить в Роскомнадзор о своем намерении собирать ПД, т. к. они потребуются в ходе работы. Фактически юрлицо обязано это сделать сразу после открытия, предполагая, что его деятельность будет связана частично с обработкой ПД.

    Уведомление направляется до начала обработки ПД, когда предприятие или ИП становится оператором. О том, что Роскомнадзор является уполномоченным органом и обязано составлять и вести реестр операторов, сказано в Постановлении Правительства №228 (16.03.09).

    После того как в Роскомнадзор будет направлено уведомление, запись в реестр о новом операторе вносится в течение месяца. Регистрация в реестре операторов осуществляется бесплатно на государственном уровне.

    Центральные требования

    Персональными считаются данные, с помощью которых можно установить личность человека (ФЗ №152, ст. 3, п. 1), − это ФИО, дата и место рождения. Такие сведения можно найти в свидетельстве о рождении ребенка или гражданском паспорте взрослого. Но существуют и другие сведения, которые косвенно указывают на человека. Иногда без них невозможно установить личность, все же их нельзя относить к ПД.

    Главные положения

    При сборе, хранении и использовании ПД предприятие, которое их собирает, должно соблюдать требования закона о защите информации. Ответственность за это ложится именно на оператора.

    Так:

    • оператору нужно предусмотреть, чтобы ПД не воспользовались третьи лица;
    • каждое физлицо, предоставляющее свои ПД, должно дать разрешение (согласие) оператору на их обработку;
    • ПД не должны храниться оператором после того, как стали не нужны.

    Под обработкой ПД понимаются любые действия, которые возможно над ними совершать:

    • собирать;
    • записывать;
    • систематизировать;
    • накапливать;
    • уточнять;
    • хранить.

    Если оператор, работающий с ПД в 2019 году, не отправит информацию о себе в контролирующий орган, он все равно считается оператором, а значит, рано или поздно будет подвергнут проверке со стороны контрольно-надзорной организации.

    Несмотря на то что оператор берет с физлиц согласие на обработку ПД, каждый случай индивидуален. К примеру, согласно Жилищному кодексу, ст. 16, ч. 15 управляющие компании обязаны привлекать пользователей к расчету за коммунальные услуги. Но в этом случае никто не берет с агентов согласие на обработку их ПД.

    Само третье лицо не должно брать согласие на обработку ПД с физлиц, ведь такое поручение ему дал оператор. Он обязан убедить гражданина дать согласие, указав на возможные последствия отказа, в тоже время никто не может заставить субъекта это сделать.

    До начала июля 2017 г. на юрлиц, ответственных за сбор, обработку, хранение, использование и т. д. ПД, за нарушение требований Закона налагалась ответственность согласно КоАП, ст. 13.11. Им могли вынести предупреждение или наложить штраф в размере 5−10 тыс. руб.

    Меру наказания определял суд, куда поступало постановление о возбуждении дела об админнарушении, направленного прокуратурой. Сообщение в прокуратуру поступало от Роскомнадзора, который провел проверку на том или ином предприятии, и выявил нарушения.

    Образец уведомления об обработке персональных данных:

    Разъяснения по статьям

    Нередко операторы ПД не желают подавать сведения о себе в Роскомнадзор, другие же, наоборот, делают это сразу.

    Существует 2 ситуации:

    Первая

    • Роскомнадзору приходится самому присылать оператору запрос с целью внесения его в реестр. Последний не понимает, что занимается обработкой ПД, поэтому ничего не сообщает о себе.
    • После поступления запроса оператор должен дать ответ в течение 30 дней (ФЗ №152, ст. 20, ч. 4). Если оператор не даст вовремя ответ, ему грозит административная ответственность (КоАП, ст. 19.7).
    • Если он представит сведения неправильно, считается, что он подал неполные сведения, а значит, тоже должен быть наказан. Если юрлицо правильно установило цели обработки ПД, оно обязано определить, есть ли у него основания обрабатывать ПД без уведомления Роскомнадзора (ФЗ №152, ст. 22, ч. 2).
    • В ситуации, когда оператору по закону не нужно сообщать о себе в Роскомнадзор, он должен для контролирующего органа подготовить обоснованный ответ на запрос, ссылаясь на ст. 22 Закона. Возможность не подавать уведомление не освобождает юрлицо от ответственности защищать ПД.

    Вторая Оператор знает Закон, потому сознательно подает уведомление, чтобы своевременно попасть в реестр. Для заполнения формы необходимо обратиться к Рекомендациям, утвержденным Приказом Роскомнадзора №706 (19.08.11).

    Нужно подавать или нет

    В Законе установлено 9 пунктов исключений, когда операторам разрешено не подавать уведомление в Роскомнадзор, но, как правило, работают они только в некоторых случаях. Но, исходя из практики, можно сказать, если хотя бы для одного бизнес-процесса требуется обработка ПД, когда исключением нельзя воспользоваться, уведомление подавать придется. Обязанность подавать уведомление – это лишь одно из требований, которые предъявляются к оператору.

    Кроме того, на сегодняшний день Роскомнадзор целенаправленно рассылает запросы компаниям, которые, как предполагается, собирают и обрабатывают ПД, но не числятся в реестре операторов. Для проведения планового контроля любых предприятий уполномоченный орган руководствуется 2-мя факторами – это 3 года с момента открытия юрлица или последней проверки.

    Общие положения

    Для отправки уведомления необходимо пройти простой алгоритм и заполнить электронный вариант формы, представленной на сайте pd.rkn.gov.ru.

    Что необходимо сделать

    Оператору, который решил отправить уведомление, необходимо:

    1. Зайти на сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
    2. Найти и заполнить форму. Новый вариант был представлен законодателем в Приложении №1 к Методическим рекомендациям по заполнению, которые были утверждены Приказом №94.
    3. После заполнения форму уведомления следует отправить для обработки информационной системой, а затем скачать и распечатать. Бумажную версию уведомления необходимо подписать руководителю предприятия-оператора и направить в территориальный орган Роскомнадзора.
    4. После включения в реестр сделать проверку и найти оператору самого себя. По результатам поискового запроса через этот же сайт получить сразу можно информацию о 100 операторах. Для более точного поиска лучше вводить не только наименование оператора, но и его ИНН. К примеру, можно ввести некоторую оригинальную часть наименования, не указывая организационно-правовую форму, кавычки и т. д. Из часто встречающихся слов лучше избегать таких как «федеральный», «российский», «общество» и т. д.
    Читайте так же:  Переработка при суммированном учете рабочего времени - как оплачивается

    Есть возможность подать уведомление и через сайт Госуслуг, алгоритм действий тот же. Бумажный вариант уведомления направляется в Роскомнадзор по почте письмом с уведомлением.

    Инструкция по заполнению для Роскомнадзора

    Заполнение формы не составляет труда, на официальном сайте уполномоченного органа можно воспользоваться образцом.

    Потребуется учесть такие параметры:

    • Перечислить нужно отдельно персональные, биометрические и другие сведения о физлицах, которые относятся к разным категориям, таким как:
      • расовая и национальная принадлежность;
      • религиозные или философские убеждения;
      • политические взгляды;
      • состояние здоровья;
      • наличие вредных привычек;
      • вопросы интимной сферы.
    • Субъектами могут быть разные лица, которые вступают с оператором в трудовые отношения.
    • Правовые основания данного вопроса – это статьи основного Закона и других нормативных актов.
    • Для перечня действия нужно будет указать, какими способами оператор планирует обрабатывать данные:
      • автоматизированный;
      • неавтоматизированный;
      • смешанный.
    • Какие мероприятия будет осуществлять оператор с поступающими ПД.

    Обзор формы

    Перечень данных, которые потребуется вносить в электронную форму уведомления, указан в ст. 22 ч. 3.

    Он включает:

    • наименование и адрес оператора;
    • с какой целью он собирается обрабатывать ПД;
    • сведения о лице, которое ответственно за обработку информации;
    • начало обработки данных;
    • сроки и условия окончания обработки ПД;
    • другие.

    Оператору рекомендуется пользоваться дополнительно инструкциями и правилами, требованиями к заполнению формы, которые могут быть представлены на сайте регионального подразделения Роскомнадзора. Местным властям разрешено регулировать данный вопрос. Если оператор допустит неточности при заполнении, Роскомнадзор вправе потребовать исправить нарушения.

    Кто может не уведомлять

    Список ограничений, когда у оператора есть право не уведомлять Роскомнадзор о своих действиях, представлен в ст. 22.

    Это возможно, если:

    Часто задаваемые вопросы

    Для предприятий, которые собираются заниматься обработкой ПД, важно заранее знать ответы на насущные вопросы:

    Разъяснения по вопросам уведомления об обработке персональных данных

    Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

    Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

    [1]

    С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
    Здесь важно учесть, что запрос Роскомнадзора — это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

    Возможны две ситуации:

    1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
    2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

    Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

    В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

    Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

    Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

    Видео (кликните для воспроизведения).

    Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

    Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.
    В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок. Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».
    Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления — она находится на сайте Роскомнадзора. Изучив форму, вы поймете, что заполнение уведомления — это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

    Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:


    • категории персональных данных,
    • категории субъектов персональных данных,
    • цель обработки персональных данных,
    • правовое основание обработки персональных данных,
    • перечень действий с персональными данными,
    • описание способов обработки,
    • осуществление трансграничной передачи персональных данных,
    • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
    • ответственный за организацию обработки персональных данных,
    • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

    В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.
    Если вам удалось провести полноценное обследование, и вы выявили самое главное — цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа. Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.

    Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

    Важно понимать — наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

    Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки — в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора. Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

    Читайте так же:  Бывшие воспитанники детдомов, оставшиеся без жилья, объявили голодовку

    Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

    И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
    Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации. Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе. Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706. В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

    Большинство вопросов связано со следующими пунктами:

    • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
    • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

    Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1. Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации — исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

    • назначить ответственного за организацию обработки;
    • издать политику оператора в отношении обработки персональных данных;
    • издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
    • и так далее.

    В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры. И так далее.

    С 19 статьей делаем то же самое.

    Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

    • Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
    • Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
    • Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
    • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

    Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

    Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие — прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

    Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

    [2]

    Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

    Напомним — Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

    Удачной Вам работы в сфере обработки и защиты персональных данных.

    10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор

    Ошибка № 1. Не разработали и не опубликовали политику обработки персональных данных

    Ошибка № 2. Не назначили ответственного за обработку персональных данных

    Ошибка № 3. Не утвердили перечень лиц, которые имеют доступ к персональным данным

    Ошибка № 4. Собираете и храните лишние документы

    Что нужно сделать. Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ). Для этого воспользуйтесь чек-листом.

    Как только вы оформили кадровые документы, предоставили сотруднику гарантии и компенсации и выполнили другие необходимые действия и процедуры, персональные данные больше не нужны. Копии документов верните сотруднику или уничтожьте. Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не нужны, компанию могут оштрафовать до 50 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ).

    Ошибка № 5. Не проводите внутренний аудит работы с персональными данными

    Что нужно сделать. Разработайте процедуру внутреннего контроля или аудита и периодически его проводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Для этого создайте комиссию, которая будет анализировать документы, изучать процессы обработки персональных данных и давать рекомендации по их защите.

    Ошибка № 6. Не знакомите работников под подпись с законом о персональных данных

    Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных

    Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных

    Читайте так же:  Образец чека онлайн кассы

    Ошибка № 9. Не утвердили перечень мест хранения персональных данных

    Ошибка № 10. Используете неверный бланк согласия на обработку персональных данных

    Нюансы заполнения уведомления об обработке персональных данных в Роскомнадзор: примеры и образец для скачивания

    В современном мире очень многие компании сталкиваются с необходимостью работы с персональными данными и, в соответствие с законами, одной из первых обязанностей фирм является составление уведомления для территориального управления Роскомнадзора о намерении осуществлять обработку указанной информации. Как заполнить уведомление об обработке персональных данных в Роскомнадзор (скачать образец можно ниже), мы расскажем в нашей статье. Также рекомендуем посмотреть видео на данную тему.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

    Основания для составления документа

    В соответствии с ч. 1 ст. 22 152-ФЗ «О персональных данных», организация обязана уведомить Роскомнадзор о том, что хочет работать с такой информацией еще до начала обработки.

    Если ваша компания уже работает или только планирует взаимодействовать с данными, позволяющими идентифицировать человека (сотрудника, клиента, соискателя, контрагента), необходимо заполнить и направить в Роскомнадзор уведомление об обработке персональных данных (скачать форму и образец заполнения можно ниже) в самые кратчайшие сроки.

    Содержание

    Для того чтобы попасть в реестр операторов персональных данных (ПДн), необходимо предоставить следующую информацию:

    • наименование (или ФИО), адрес;
    • цель обработки;
    • категории ПДн;
    • категории субъектов, персональные данные которых обрабатываются;
    • правовое основание;
    • перечень действий с ПДн и их способы обработки;
    • описание мер, предусмотренных статьей 18.1 и статьей 19 Федерального закона №152-ФЗ, в том числе, сведения о наличии шифровальных средств;
    • данные физического или юридического лица, ответственных за организацию обработки персональных данных;
    • дата начала обработки информации;
    • срок или условие прекращения обработки;
    • сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
    • сведения о месте нахождения базы данных информации, содержащей ПДн граждан Российской Федерации;
    • сведения об обеспечении безопасности ПДн.

    Рекомендации по оформлению

    Но при оформлении уведомления о намерении осуществлять обработку персональных данных для ООО в Роскомнадзор (скачать форму и пример заполнения можно ниже) вы также должны следовать правилам:

    [3]

    1. Проверьте полноту и правильность заполнения всех пунктов. Отвечать на вопросы, не отмеченные звездочкой, не обязательно.
    2. При поздней отправке уведомления датой начала работы с ПДн правильно будет обозначить дату регистрации вашей компании.
    3. Обратите внимание, что при заполнении электронной формы уведомления на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, ее необходимо распечатать, подписать и направить в территориальный орган.
    4. Обо всех изменениях, касающихся систем, указанных в документе, необходимо уведомлять территориальное управление Роскомнадзора в срок до 10 дней.

    Как правильно заполнить?

    Теперь рассмотрим правила заполнения документа (скачать бланк и образец заполненного уведомления об обработке персональных данных в Роскомнадзор можно ниже):

    1. Первые пункты электронной формы уведомления содержат информацию об операторе – самой организации, которая будет им являться. Название, тип, адрес, контактные данные, ИНН, и необязательные для заполнения пункты: ОГРН, ОКВЭД, ОКФС, ОКОГУ, ОКОП, перечислить все филиалы фирмы.
    2. Правовое основание. В пункте указываются все нормативно-правовые акты, касающиеся ПДн. Например, 152-ФЗ «О персональных данных», Трудовой кодекс, Устав организации, основные законы, регулирующие деятельность компании, включающие в себя необходимость сбора и обработки информации о людях, позволяющие их идентифицировать.
    3. Цель. Важно указать все цели обработки информации, так как работа с избыточным количеством ПДн — серьезное нарушение, за которым последует штраф. Как правило, целью является обеспечение или ведение кадровой и бухгалтерской деятельности, оказание определенных услуг.
    4. Описание мер, предусмотренных статьей 18.1 и статьей 19 ФЗ «О персональных данных». Здесь важно описать все перечисленные в законе меры в том виде, что они реализованы.

    Разработан ряд внутренних документов: положение по обработке ПДн, перечень ИСПДн, перечень персональных данных, подлежащих защите и другие. Необходимо перечислить все разработанные в соответствии с законом документы.

    Приказом номер N Назначен сотрудник, ответственный за обработку персональных данных. Все работники ознакомлены с инструкциями по работе в ИСПДн, проводится своевременное обучение новых кадров. Обеспечено разграничение доступа к данным, реализованное с помощью установленных сертифицированных средств защиты информации (СЗИ), возможность их восстановления, в случае утери.

    Указывать данные исполнителя не обязательно, тем более если им выступал указанный выше сотрудник. Проверить, внесли ли ваши данные в реестр операторов, можно будет через пару недель.

    Подробнее о том, как правильно заполнить форму уведомления Роскомнадзора об обработке персональных данных, читайте тут.

    Полезное видео

    Смотрите видео об оформлении уведомления об обработке персональных данных в Роскомнадзор:

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Как подать уведомление в Роскомнадзор об обработке персональных данных?

    Правила защиты в сфере обработки персональных данных ужесточаются с каждым годом.

    Растут и суммы штрафов, которые придется выплачивать юридическим или физическим лицам в случае нарушения законов о персональных данных (ПД).

    За исполнением законов в сфере связи, информационных и коммуникационных технологий следит федеральный орган исполнительной связи Роскомнадзор (РКН).

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

    Уведомление об обработке ПД – это документ, который подается в Роскомнадзор и на основании которого юридическое или физическое лицо включается в Реестр операторов, осуществляющих обработку ПД.

    Уведомляющий документ подается организацией/предприятием/индивидуальным предпринимателем, подпадающим под определение “оператор ПД” перед началом обработки конфиденциальной информации (Статья 22 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных»).

    Кем заполняется и кто подает?

    Прежде чем отправить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных, лицу следует разобраться, является ли оно оператором ПД.

    Законом предусмотрен ряд исключений, когда уведомлять надзорный орган нет необходимости. Уведомление может быть составлено в форме электронного или бумажного документа. За составление документа отвечает лицо, уполномоченное осуществлять операции в сфере ПД в данной организации (п. 1-4 ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Это может быть сотрудник юридического отдела, отдела кадров или любой представитель администрации.

    Читайте так же:  Как используется принцип парето в продажах

    Если документ составляется в бумажной форме, подавать его можно как письмо, отправив по почте. Альтернативным способом подачи является электронное заполнение на сайте Роскомнадзора.

    Заполненную на портале форму придется распечатать и так же отправить по почте, тем самым подтвердив сведения, поданные через онлайн-ресурс.

    В обоих случаях бумажный носитель заверяется печатью, подписями генерального директора и уполномоченного за обработку ПД лица. Направлять уведомляющий документ следует в управление по тому субъекту Российской Федерации, где зарегистрировано лицо.

    Сроки подачи

    Законодательство не устанавливает сроки, в рамках которых компания должна уведомить Роскомнадзор. Однако буквой закона установлено, что проинформировать федеральный орган следует до начала проведения операций с персональными сведениями. А именно после госрегистрации юридического лица или ИП.

    В случаях, когда компания приняла решение подать уведомление “с опозданием”, указать датой начала работы с ПД лучше дату регистрации учреждения.

    Последствия неуведомления

    РКН регулярно проводит проверки оператор ПД и даже лиц, которые под определение не подпадают. В случае, если объект имеет право не уведомлять Роскомнадзор, необходимо быть готовым аргументированно доказать, что в данном случае это законно. Если же надзирательный орган в ходе проверки столкнется с нарушениями, в частности неуведомлением об обработке ПД, придется нести ответственность.

    За неуведомление РКН оператором ПД предусмотрена уплата штрафов. Компании придется заплатить штраф в размере 5000 рублей, а руководству – 500 рублей (ст. 19.7 КоАП РФ). Штраф может последовать не только за неуведомление, но и за предоставление недостоверных или устаревших сведений.

    В каких случаях можно обойтись без него?

    Обработка ПД без уведомления федерального надзорного органа может осуществляться в следующих случаях:
    • при получении конфиденциальных сведений в рамках трудовых отношений;
    • при осуществлении операций без использования автоматизированных средств – компьютеров и баз данных;
    • при оформлении договоров с физическим лицом – в случае, если лицо обязуется не предоставлять данные третьей стороне;
    • если данные собираются общественной или религиозной организацией и предполагают исключительно внутреннее пользование;
    • при оперировании со сведениями, которые выложены лицом в открытый доступ;
    • компаниям, в которых действует пропускная система – где сведения принимаются лишь для оформления одноразового пропуска;
    • если обрабатываются данные, содержащиеся в государственных информсистемах ПД;
    • если информация собирается транспортными компаниями с целью оформления проездных документов.

    Полный перечень случаев, не подлежащих уведомлению РКН, содержат пункты 1-9 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.

    Где взять документ?

    Удобнее всего составлять уведомление в электронном виде. Оно размещено на официальном сайте РКН, найти его можно по ссылке: https://pd.rkn.gov.ru/operators-registry/notification/form/. Это унифицированная форма, содержание которой отражено в Приложении 2 к приказу Минкомсвязи России от 21 декабря 2011 г. № 346.

    Документ должен обязательно содержать следующую информацию:
    1. тип и название оператора;
    2. адрес оператора с указанием местонахождения;
    3. ИНН и ОГРН;
    4. сведения о законах, которыми руководствуется оператор;
    5. цели работы с ПД;
    6. средства обеспечения защиты информации;
    7. когда оператор начал обрабатывать ПД;
    8. сроки окончания обработки или условия прекращения проведения операций;
    9. данные об информационной системе и категории сведений;
    10. категории субъектов ПД;
    11. список действий и способов обработки ПД;
    12. осуществляется ли передача сведений третьим лицам;
    13. где находится база данных – страна и адрес;
    14. кто отвечает за действия с ПД: физическое лицо (паспортные данные, контакты и должность) или юридическое лицо (наименование, адрес, контакты).
    • Скачать бланк уведомления об обработке персональных данных
    • Скачать образец уведомления об обработке персональных данных

    Пошаговая инструкция

    Необходимо отнестись со всей ответственностью к процедуре заполнения и подачи уведомления, тщательно проверив исходные документы на достоверность и актуальность сведений и реквизитов.

    Как заполнить?

    1. Зайти на сайт Роскомнадзора по ссылке https://pd.rkn.gov.ru/operators-registry/notification/form/ – здесь размещена онлайн-форма.
    2. Скачивать ничего не нужно – сведения вписываются сразу в электронный документ.
    3. Тщательно заполнить все поля, отмеченные звездочкой *.
    4. Ввести капчу – защитный код.
    5. Поставить галочки напротив пунктов об ознакомлении с порядком подачи документа и подтверждения согласия на передачу информации через глобальную сеть.
    6. Кликнуть по кнопке “Отправить”.

    При наличии выпадающего списка в поле – выбрать из списка подходящий ответ. Если напротив пункта свободного поля нет – отметить галочками актуальные сведения, при необходимости – внести дополнительные данные. При заполнении адресов можно ввести информацию вручную, а можно воспользоваться встроенным онлайн-справочником.

    Как отправить?

    После заполнения электронного уведомления информация поступает на обработку в РКН, а система подготавливает заполненную форму к распечатке. Дальнейшие действия:
    1. Сохранить подготовленный документ на свой компьютер и распечатать либо отправить на распечатку непосредственно с сайта.
    2. Подписать бумажный вариант документа у лица, которое несет ответственность за обработку ПД, поставить печать.
    3. Отправить по почте подписанный документ в территориальный орган РКМ по месту регистрации оператора.

    Роскомнадзор обязан рассмотреть уведомление в течение 30 дней и внести сведения в общий реестр (п. 4 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

    Как внести изменения?

    План действий внесения изменений в уведомление:

    1. Пройти по ссылке https://rkn.gov.ru/personal-data/forms/p333/.
    2. Заполнить письмо онлайн – внести измененные данные.
    3. Распечатать информационное письмо и после подписания уполномоченным лицом отправить почтой в территориальный филиал РКН.

    Роскомнадзор внесет изменения в реестр в течение 15 дней.

    Как посмотреть статус?

    На сайте РКН оператор ПД получает уникальный номер документа и секретный ключ. Посмотреть статус уведомления можно на сайте Роскомнадзора по ссылке: https://pd.rkn.gov.ru/operators-registry/notification_check/. Для этого достаточно ввести номер и ключ, ввести защитный код-капчу и дождаться загрузки страницы с ответом. Делать это рекомендуется не ранее двух недель с даты подачи заявки.

    Подать уведомление об обработке и внесении изменений в персональные данные лучше в срок – это поможет обезопасить компанию от проблем с законом и дополнительных финансовых затрат.

    Видео по теме

    Как предоставить уведомление об обработке персональных данных:

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    Видео (кликните для воспроизведения).

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Источники


    1. Широкунова, О. В. Как открыть свое дело. Создание юридического лица / О.В. Широкунова. — М.: Феникс, 2005. — 384 c.

    2. Иванов, И.И. Методические рекомендации по обращению в Европейский Суд по правам человека; новая юстиция, 2013. — 288 c.

    3. Фоменко, С.Е. Как уволить нерадивого сотрудника; М.: Бератор, 2013. — 160 c.
    Уведомление об обработке персональных данных в роскомнадзор
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here