Уведомление об обработке персональных данных по новой форме

645

Когда применяется документ

Согласно частям 1 и 4 статьи 22 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ), каждый оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (далее – ПДн). Роскомнадзор в течение 30 дней с даты получения такого уведомления вносит указанные в нем сведения в реестр операторов ПДн. За несоблюдение обязанности по подаче уведомления компания может понести административное наказание в виде штрафа от 3 тыс. до 5 тыс. рублей ( ст. 19.7 КоАП РФ).

Контрольные точки при оформлении

Ранее действовавшие форма уведомления и рекомендации по ее заполнению были утверждены приказом Роскомнадзора от 16.07.10 № 482 (см. подробнее «Уведомление об обработке персональных данных», «Юрист компании», № 3, 2011). Теперь действуют новая форма и рекомендации (утв. приказом Роскомнадзора от 19.08.11 № 706 (далее – приказ № 706 )). В этой статье даны развернутые комментарии о том, как правильно заполнять новые разделы уведомления, а также более краткие пояснения об оформлении тех полей, которые остались неизменными.

1. Указываются полное и сокращенное наименования компании, ее ИНН, адрес в соответствии с учредительными документами, почтовый адрес и другая контактная информация. Если у компании есть филиалы или представительства, нужно указать их наименования и адреса, а также список субъектов РФ, на территории которых они находятся, с указанием их кодов (согласно справочнику «Коды регионов», утв. приказом ФНС России от 17.11.10 № ММВ-7-3/611@) . При этом нужно уточнить, как осуществляется обработка ПДн: только компанией (формирование центральной информационной системы) и (или) филиалами (представительствами) ( п. 4 рекомендаций, утв. приказом № 706).

2. В поле «Правовое обоснование обработки персональных данных» помимо закона № 152-ФЗ необходимо назвать статьи отраслевых нормативных правовых актов, регулирующих деятельность компании и касающихся оснований и порядка обработки ПДн – с указанием даты, номера и названия (например, «ст. 85–90 Трудового кодекса РФ»), и сделать ссылку на устав компании.

3. В поле «Цель обработки персональных данных» прописываются как цели, указанные в учредительных документах (то есть виды деятельности), так и фактические цели обработки ПДн. Причем не только те, которые требуют подачи уведомления в Роскомнадзор, но и не требующие такого уведомления согласно части 2 статьи 22 закона № 152-ФЗ (например, ведение кадровой документации).

4. Необходимо привести полный (исчерпывающий) перечень всех категорий ПДн, подлежащих обработке, без фраз «и т. д.», «и др.», «другая информация» ( п. 6 рекомендаций).

5. Нужно привести полный перечень категорий физических лиц, чьи ПДн обрабатывает компания, и указать виды отношений с ними. Например, работники, состоящие в трудовых отношениях с компанией, или бывшие сотрудники компании, физические лица, состоящие в договорных и иных гражданско-правовых отношениях с компанией (покупатели, заказчики, клиенты). В этом поле, как и в предыдущем, не допускается использование фраз «и т. д.», «другие категории».

6. Следует указать конкретный перечень действий с ПДн, которые планирует проводить или проводит компания, а также конкретные способы обработки. Действия с ПДн указаны в статье 3 закона № 152-ФЗ: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение.

Возможны три способа обработки ПДн: неавтоматизированная обработка, исключительно автоматизированная обработка, а также смешанная (автоматизированная и неавтоматизированная). При автоматизированной или смешанной обработке нужно указать, передается или не передается полученная в ходе обработки информация по сети интернет либо по внутренней корпоративной сети компании. Тут могут быть следующие варианты: «информация передается по внутренней сети юридического лица и по сети интернет», «информация передается по внутренней сети юридического лица, по сети интернет информация не передается», «информация передается с использованием сети интернет, по внутренней сети юридического лица информация не передается», «без передачи полученной информации по сети интернет и по внутренней сети юридического лица». При передаче информации по внутренней сети необходимо также указать, доступна она для всех или строго определенных сотрудников (п. 9 рекомендаций).

7. Одно из значимых нововведений – необходимость перечислять в уведомлении меры, принятые компанией согласно статьям 18.1 и 19 закона № 152-ФЗ. Речь идет о мерах, направленных на обеспечение выполнения обязанностей в сфере ПДн и безопасности ПДн при их обработке. К первым относятся: назначение ответственного за организацию обработки ПДн, издание локальных актов по вопросам обработки ПДн, а также предотвращение и выявление нарушений законодательства и устранение последствий нарушений, о применении правовых, организационных, технических мер по обеспечению безопасности ПДн, о том, что работники, которые обрабатывают ПДн, прошли обучение и (или) ознакомлены с нормами законодательства о ПДн, с требованиями о защите ПДн, документами о политике компании в отношении обработки ПДн. Вторая группа состоит из следующих мер: определение угроз безопасности ПДн, применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, применение прошедших процедуру оценки соответствия средств защиты информации, учет машинных носителей персональных данных, обнаружение фактов несанкционированного доступа к ПДн и принятие мер, установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационной системе персональных данных, контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.

При обработке ПДн в информационных системах в данном поле также указывается класс информационной системы (К1, К2, К3 или К4), который оператор самостоятельно определяет по результатам анализа информационной системы ( п. 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.08 № 55/86/20). Если компания использует криптографические средства защиты, нужно также указать сведения об этих средствах ( п. 10 рекомендаций).

Еще одно изменение состоит в том, что в этом же поле теперь нужно указывать фамилию, имя, отчество ответственных за организацию обработки персональных данных, их контактные телефоны, почтовые адреса и адреса электронной почты ( п. 10 рекомендаций).

Уведомление об обработке персональных данных по новой формеУведомление об обработке персональных данных по новой форме

8. Ранее сведения о наличии или отсутствии трансграничной передачи данных указывались в разделе об обработке персональных данных. Теперь эта информация размещается в отдельном поле. Если компания в процессе обработки ПДн передает (планирует передавать) их на территорию иностранных государств, здесь же нужно указать перечень таких государств ( п. 11 рекомендаций).

9. Нужно дополнительно раскрыть сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными правительством ( п. 12 ). Это организационные и технические меры, которые компания применяет для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, блокирования, копирования и распространения, указанные в постановлениях Правительства РФ от 15.09.08 № 687 , от 17.11.07 № 781 . При смешанной обработке указывается перечень мер по обеспечению безопасности данных на бумажных носителях и при их обработке в информационных системах.

10. В поле «Дата начала обработки персональных данных» указывается фактическая дата начала совершения действий с ПДн. Лучше указывать дату регистрации юридического лица, поскольку предполагается, что с самого начала деятельности компания обрабатывает ПДн (в частности, работников по трудовому договору).

11. Указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки ПДн. Например, ликвидация (прекращение деятельности) юридического лица.

На что еще обратить внимание

Первый момент. В случае изменения сведений, указанных в уведомлении, оператор обязан уведомить об этих изменениях Роскомнадзор в течение 10 рабочих дней с даты возникновения изменений ( ч. 7 ст. 22 закона № 152-ФЗ).

Второй момент. Некоторые ПДн компании вправе обрабатывать без уведомления Роскомнадзора. Например, ПДн сотрудников компании, ПДн, полученные в связи с заключением договора, стороной которого является субъект ПДн, если эти данные не распространяются, не предоставляются третьим лицам и используются оператором исключительно для исполнения указанного договора. Еще можно не уведомлять об обработке ПДн, необходимых в целях однократного пропуска субъекта на территорию, где находится оператор, а также в случае обработки ПДн, которые представляют собой только Ф.И.О. субъектов, или при неавтоматизированной (то есть только в бумажном виде) обработке ПДн.

 



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Академия юриста компании

Академия

Смотрите полезные юридические видеолекции

Смотреть

Cтать постоян­ным читателем журнала!

Cтать постоян­ным читателем журнала

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Рассылка

© Актион кадры и право, Медиагруппа Актион, 2007–2016

Журнал «Юрист компании» –
первый практический журнал для юриста

Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×

Подпишитесь на рассылку. Это бесплатно.

В рассылках мы вовремя предупредим об акции, расскажем о новостях в работе юриста и изменениях в законодательстве.

×
Только для зарегистрированных пользователей

Всего минута на регистрацию и документы у вас в руках!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль