Уведомление об обработке персональных данных

776

Когда применяется документ
Согласно части 1 и части 4 статьи 22 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ), каждый оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (далее – ПДн), а Роскомнадзор в течение 30 дней с даты поступления уведомления вносит указанные в нем сведения в реестр операторов ПДн. Оператором, обрабатывающим ПДн, считается любая компания, которая осуществляет различные действия (операции) с ПДн, включая их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, обезличивание, блокирование, уничтожение (ст. 3 закона № 152-ФЗ). Таким образом, еще до начала работы с ПДн об этом необходимо поставить в известность Роскомнадзор. Однако на практике подобные уведомления операторы подают уже после начала работы с ПДн (см. статью «Защита персональных данных. Какие меры необходимо предпринять в любой компании»). За несоблюдение обязанности по подаче уведомления компанию могут подвергнуть административному наказанию в виде штрафа от 3 тыс. до 5 тыс. рублей (ст. 19.7 КоАП РФ).

В части 2 статьи 22 закона № 152-ФЗ перечислены случаи, в которых операторы вправе обрабатывать ПДн без уведомления Роскомнадзора. В частности, к таким случаям относится обработка ПДн сотрудников компании, а также ПДн, полученных в связи с заключением договора, стороной которого является субъект ПДн, если эти данные не распространяются, не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом. Кроме того, можно не уведомлять Роскомнадзор в случае обработки ПДн, необходимых в целях однократного пропуска субъекта на территорию, на которой находится оператор, или в иных аналогичных целях, а также в случае обработки ПДн, которые представляют собой только Ф.И.О. субъектов. Не требует уведомления также неавтоматизированная обработка ПДн (то есть обработка только в бумажном виде), осуществляемая в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности ПДн при их обработке и к соблюдению прав субъектов ПДн. Например, не требует уведомления неавтоматизированная обработка ПДн бывших сотрудников компании (хранение их личных дел и иных документов с ПДн), хотя они уже не состоят в трудовых отношениях с оператором, поскольку хранение данных документов после увольнения работников предусмотрено законодательством (разд. 8 Перечня типовых управленческих документов с указанием сроков хранения, утвержденного приказом Росархива от 25.08.10 № 558).

Контрольные точки при оформлении
Форма уведомления и рекомендации по ее заполнению утверждены приказом Роскомнадзора от 16.07.10 № 482 (далее – приказ № 482). Более подробные разъяснения, а также образцы заполненных уведомлений и список типичных ошибок для разных операторов можно найти на сайтах территориальных управлений Роскомнадзора. Утвержденный образец уведомления имеет рекомендованную форму, но независимо от того, придерживается его компания или нет, уведомление должно быть оформлено на бланке компании с указанием исходящего номера и даты. Его необходимо отправить в территориальное управление Роскомнадзора в письменной форме либо в электронной форме, однако последний вариант допустим лишь при условии, что документ подписан электронной цифровой подписью (ч. 3 ст. 22 закона № 152-ФЗ).

1. В уведомлении необходимо указать полное наименование компании с организационно-правовой формой и ее сокращенное наименование в соответствии с учредительными документами. Если у компании есть филиалы или представительства, необходимо указать также их наименования (в поле «адрес» – их адреса), а также коды субъектов РФ, на территории которых они находятся (согласно справочнику, утвержденному приказом ФНС России от 17.11.10 № ММВ-7-3/611@). Кроме того, при наличии филиалов и представительств нужно уточнить, как осуществляется обработка ПДн: централизованно (формирование центральной информационной системы) или в том числе филиалами (представительствами).

2. Согласно рекомендациям, утвержденным приказом № 482, необходимо указать как адрес компании (филиалов и представительств), указанный в учредительных документах, так и фактический адрес, а также иные контактные данные.

3. В поле «Правовое обоснование обработки персональных данных» помимо закона № 152-ФЗ необходимо назвать статьи отраслевых нормативных-правовых актов, регулирующих осуществляемый вид деятельности компании и касающихся оснований и порядка обработки персональных данных с указанием даты, номера и названия (например, «ст. 85-90 Трудового кодекса Российской Федерации»). На практике ссылаются также на устав компании в связи с тем, что в нем названы виды ее деятельности.

4. В поле «Цель обработки персональных данных» приводятся как цели, указанные в учредительных документах компании (то есть виды деятельности компании по ОКУН и ОКВЭД), так и фактические цели обработки ПДн. Например, «оказание (предоставление) услуг», «выполнение работ по...», «для заключения договоров», «контроль за качеством выполняемых работ/оказываемых услуг», «ведение базы данных клиентов», «выполнение требований налогового законодательства РФ» (в частности, для предоставления налоговых вычетов работникам, связанным с наличием детей, требуется обработка ПДн детей) и т. д. В данном поле перечисляют все фактические цели обработки данных, которыми руководствуется компания: не только те, которые требуют подачи уведомления в Роскомнадзор, но и те, которые, согласно части 2 статьи 22 закона № 152-ФЗ, подачи уведомления не требуют (в частности, «ведение кадровой документации»).

5. В поле «Категории персональных данных» необходимо привести полный (исчерпывающий) перечень всех категорий ПДн, подлежащих обработке компанией, без фраз «и т. д.», «и др.», «другая информация». Недопустимо использовать обобщенные понятия (например, «анкетные данные», «паспортные данные», «специальные персональные данные»). Если компания в силу специфики деятельности или для предоставления работникам стандартных налоговых вычетов обрабатывает специальные категории ПДн (к ним относятся, например, сведения о состоянии здоровья – ст. 10 закона № 152-ФЗ) или биометрические ПДн (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность – ст. 11 закона № 152-ФЗ), эти категории нужно особо выделить в данном пункте и тоже перечислить.

6. Нужно привести полный перечень категорий физических лиц, чьи ПДн обрабатывает компания, и указать виды отношений с ними. Например, работники, состоящие и состоявшие в трудовых отношениях с компанией, физические лица, состоящие и состоявшие в договорных и иных гражданско-правовых отношениях с компанией (покупатели, заказчики, клиенты). В этом поле, как и в предыдущем, не допускается использование фраз «и т. д.», «другие категории».7. Следует указать конкретный перечень действий с ПДн, которые планирует проводить компания, а также конкретные способы обработки. Возможные действия с персональными данными указаны в статье 3 закона № 152-ФЗ: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение.

Возможны три способа обработки ПДн: неавтоматизированная обработка, исключительно автоматизированная обработка, а также смешанная обработка (автоматизированная и неавтоматизированная). При автоматизированной или смешанной обработке нужно указать, передается или не передается полученная в ходе обработки информация по сети интернет либо по внутренней корпоративной сети компании. Возможны следующие варианты: «информация передается по внутренней сети юридического лица и по сети интернет», «информация передается по внутренней сети юридического лица, по сети интернет информация не передается», «информация передается с использованием сети интернет, по внутренней сети юридического лица информация не передается», «без передачи полученной информации по сети интернет и по внутренней сети юридического лица». При передаче информации по внутренней сети необходимо также указать, доступна она для всех или для строго определенных сотрудников. Обязательно надо отметить, осуществляется или не осуществляется трансграничная передача данных (то есть передача через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства).

8. Необходимо четко раскрыть организационные и технические меры, которые компания применяет для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, блокирования, копирования и распространения. При смешанной обработке указывается перечень мер по обеспечению безопасности данных на бумажных носителях и при их обработке в информационных системах. В случае обработки ПДн в информационных системах, согласно рекомендациям, утвержденным приказом № 482, в данном поле нужно указать класс информационной системы (К1, К2, К3 или К4), который оператор самостоятельно определяет по результатам анализа информационной системы (п. 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.08 № 55/86/20). Если компания использует криптографические средства защиты, нужно указать сведения об этих средствах (п. 10 рекомендаций, утвержденных приказом № 482).

9. В поле «Дата начала обработки персональных данных» указывается фактическая дата начала совершения действий с ПДн. Исходя из разъяснений территориальных управлений Роскомнадзора, если возникают сложности с определением конкретной даты, то предпочтительнее указать дату регистрации юридического лица в ЕГРЮЛ, поскольку предполагается, что с самого начала деятельности компания обрабатывает какие-либо ПДн (в частности, работников по трудовому договору).10. В поле «Срок или условие прекращения обработки персональных данных» указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки ПДн. Например, ликвидация юридического лица, аннулирование лицензии на соответствующий вид деятельности (для страховых компаний, банков и т. д.).На что еще обратить вниманиеПервый момент. В случае представления неполных или недостоверных сведений Роскомнадзор вправе требовать от оператора уточнения представленных сведений до их внесения в реестр операторов (ч. 6 ст. 22 закона № 152-ФЗ).

Второй момент. В случае изменения сведений, указанных в уведомлении, оператор обязан уведомить об этих изменениях Роскомнадзор в течение 10 рабочих дней с даты возникновения изменений (ч. 7 ст. 22 закона № 152-ФЗ). Образец формы уведомления об изменениях не утвержден, компания может составить его в свободной форме.

ведомление об обработке персональных данных (стр. 1)

Уведомление об обработке персональных данных



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Академия юриста компании

Академия

Смотрите полезные юридические видеолекции

Смотреть

Cтать постоян­ным читателем журнала!

Cтать постоян­ным читателем журнала

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Рассылка

© Актион кадры и право, Медиагруппа Актион, 2007–2016

Журнал «Юрист компании» –
первый практический журнал для юриста

Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Только для зарегистрированных пользователей

Всего минута на регистрацию и документы у вас в руках!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×

Подпишитесь на рассылку. Это бесплатно.

В рассылках мы вовремя предупредим об акции, расскажем о новостях в работе юриста и изменениях в законодательстве.