Уведомление об обработке персональных данных по новой форме

853

Когда применяется документ

Согласно частям 1 и 4 статьи 22 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ), каждый оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (далее – ПДн). Роскомнадзор в течение 30 дней с даты получения такого уведомления вносит указанные в нем сведения в реестр операторов ПДн. За несоблюдение обязанности по подаче уведомления компания может понести административное наказание в виде штрафа от 3 тыс. до 5 тыс. рублей ( ст. 19.7 КоАП РФ).

Контрольные точки при оформлении

Ранее действовавшие форма уведомления и рекомендации по ее заполнению были утверждены приказом Роскомнадзора от 16.07.10 № 482 (см. подробнее «Уведомление об обработке персональных данных», «Юрист компании», № 3, 2011). Теперь действуют новая форма и рекомендации (утв. приказом Роскомнадзора от 19.08.11 № 706 (далее – приказ № 706 )). В этой статье даны развернутые комментарии о том, как правильно заполнять новые разделы уведомления, а также более краткие пояснения об оформлении тех полей, которые остались неизменными.

1. Указываются полное и сокращенное наименования компании, ее ИНН, адрес в соответствии с учредительными документами, почтовый адрес и другая контактная информация. Если у компании есть филиалы или представительства, нужно указать их наименования и адреса, а также список субъектов РФ, на территории которых они находятся, с указанием их кодов (согласно справочнику «Коды регионов», утв. приказом ФНС России от 17.11.10 № ММВ-7-3/611@) . При этом нужно уточнить, как осуществляется обработка ПДн: только компанией (формирование центральной информационной системы) и (или) филиалами (представительствами) ( п. 4 рекомендаций, утв. приказом № 706).

2. В поле «Правовое обоснование обработки персональных данных» помимо закона № 152-ФЗ необходимо назвать статьи отраслевых нормативных правовых актов, регулирующих деятельность компании и касающихся оснований и порядка обработки ПДн – с указанием даты, номера и названия (например, «ст. 85–90 Трудового кодекса РФ»), и сделать ссылку на устав компании.

3. В поле «Цель обработки персональных данных» прописываются как цели, указанные в учредительных документах (то есть виды деятельности), так и фактические цели обработки ПДн. Причем не только те, которые требуют подачи уведомления в Роскомнадзор, но и не требующие такого уведомления согласно части 2 статьи 22 закона № 152-ФЗ (например, ведение кадровой документации).

4. Необходимо привести полный (исчерпывающий) перечень всех категорий ПДн, подлежащих обработке, без фраз «и т. д.», «и др.», «другая информация» ( п. 6 рекомендаций).

5. Нужно привести полный перечень категорий физических лиц, чьи ПДн обрабатывает компания, и указать виды отношений с ними. Например, работники, состоящие в трудовых отношениях с компанией, или бывшие сотрудники компании, физические лица, состоящие в договорных и иных гражданско-правовых отношениях с компанией (покупатели, заказчики, клиенты). В этом поле, как и в предыдущем, не допускается использование фраз «и т. д.», «другие категории».

6. Следует указать конкретный перечень действий с ПДн, которые планирует проводить или проводит компания, а также конкретные способы обработки. Действия с ПДн указаны в статье 3 закона № 152-ФЗ: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение.

Возможны три способа обработки ПДн: неавтоматизированная обработка, исключительно автоматизированная обработка, а также смешанная (автоматизированная и неавтоматизированная). При автоматизированной или смешанной обработке нужно указать, передается или не передается полученная в ходе обработки информация по сети интернет либо по внутренней корпоративной сети компании. Тут могут быть следующие варианты: «информация передается по внутренней сети юридического лица и по сети интернет», «информация передается по внутренней сети юридического лица, по сети интернет информация не передается», «информация передается с использованием сети интернет, по внутренней сети юридического лица информация не передается», «без передачи полученной информации по сети интернет и по внутренней сети юридического лица». При передаче информации по внутренней сети необходимо также указать, доступна она для всех или строго определенных сотрудников (п. 9 рекомендаций).

7. Одно из значимых нововведений – необходимость перечислять в уведомлении меры, принятые компанией согласно статьям 18.1 и 19 закона № 152-ФЗ. Речь идет о мерах, направленных на обеспечение выполнения обязанностей в сфере ПДн и безопасности ПДн при их обработке. К первым относятся: назначение ответственного за организацию обработки ПДн, издание локальных актов по вопросам обработки ПДн, а также предотвращение и выявление нарушений законодательства и устранение последствий нарушений, о применении правовых, организационных, технических мер по обеспечению безопасности ПДн, о том, что работники, которые обрабатывают ПДн, прошли обучение и (или) ознакомлены с нормами законодательства о ПДн, с требованиями о защите ПДн, документами о политике компании в отношении обработки ПДн. Вторая группа состоит из следующих мер: определение угроз безопасности ПДн, применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, применение прошедших процедуру оценки соответствия средств защиты информации, учет машинных носителей персональных данных, обнаружение фактов несанкционированного доступа к ПДн и принятие мер, установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационной системе персональных данных, контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.

При обработке ПДн в информационных системах в данном поле также указывается класс информационной системы (К1, К2, К3 или К4), который оператор самостоятельно определяет по результатам анализа информационной системы ( п. 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.08 № 55/86/20). Если компания использует криптографические средства защиты, нужно также указать сведения об этих средствах ( п. 10 рекомендаций).

Еще одно изменение состоит в том, что в этом же поле теперь нужно указывать фамилию, имя, отчество ответственных за организацию обработки персональных данных, их контактные телефоны, почтовые адреса и адреса электронной почты ( п. 10 рекомендаций).

Уведомление об обработке персональных данных по новой формеУведомление об обработке персональных данных по новой форме

8. Ранее сведения о наличии или отсутствии трансграничной передачи данных указывались в разделе об обработке персональных данных. Теперь эта информация размещается в отдельном поле. Если компания в процессе обработки ПДн передает (планирует передавать) их на территорию иностранных государств, здесь же нужно указать перечень таких государств ( п. 11 рекомендаций).

9. Нужно дополнительно раскрыть сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными правительством ( п. 12 ). Это организационные и технические меры, которые компания применяет для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, блокирования, копирования и распространения, указанные в постановлениях Правительства РФ от 15.09.08 № 687 , от 17.11.07 № 781 . При смешанной обработке указывается перечень мер по обеспечению безопасности данных на бумажных носителях и при их обработке в информационных системах.

10. В поле «Дата начала обработки персональных данных» указывается фактическая дата начала совершения действий с ПДн. Лучше указывать дату регистрации юридического лица, поскольку предполагается, что с самого начала деятельности компания обрабатывает ПДн (в частности, работников по трудовому договору).

11. Указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки ПДн. Например, ликвидация (прекращение деятельности) юридического лица.

На что еще обратить внимание

Первый момент. В случае изменения сведений, указанных в уведомлении, оператор обязан уведомить об этих изменениях Роскомнадзор в течение 10 рабочих дней с даты возникновения изменений ( ч. 7 ст. 22 закона № 152-ФЗ).

Второй момент. Некоторые ПДн компании вправе обрабатывать без уведомления Роскомнадзора. Например, ПДн сотрудников компании, ПДн, полученные в связи с заключением договора, стороной которого является субъект ПДн, если эти данные не распространяются, не предоставляются третьим лицам и используются оператором исключительно для исполнения указанного договора. Еще можно не уведомлять об обработке ПДн, необходимых в целях однократного пропуска субъекта на территорию, где находится оператор, а также в случае обработки ПДн, которые представляют собой только Ф.И.О. субъектов, или при неавтоматизированной (то есть только в бумажном виде) обработке ПДн.

 

Скоро в журнале «Юрист компании»
    Узнать больше


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Академия юриста компании

      Академия

      Смотрите полезные юридические видеолекции

      Смотреть

      Cтать постоян­ным читателем журнала!

      Cтать постоян­ным читателем журнала

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      © Актион кадры и право, Медиагруппа Актион, 2007–2017

      Журнал «Юрист компании» –
      первый практический журнал для юриста

      Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Свидетельство о регистрации  ПИ № ФС77-62254 от 03.07.2015

      Политика обработки персональных данных

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Простите, что прерываем ваше чтение

      Это профессиональный сайт для юристов-практиков. Чтобы обеспечить качество материалов и защитить авторские права редакции, мы вынуждены размещать лучшие статьи в закрытом доступе.

      Предлагаем вам зарегистрироваться и продолжить чтение. Это займет всего полторы минуты.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      Вы продолжите читать статью через 1 минуту
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль