Уведомление роскомнадзора об обработке персональных данных в 2021 г
Содержание:
- Содержание
- Содержание
- Кем заполняется и кто подает?
- Ответственное лицо
- Нужно подавать или нет
- Пошаговая инструкция
- Последствия неуведомления
- Где взять документ?
- Где взять документ?
- Когда не нужно отправлять уведомление о персональных данных в Роскомнадзор
- Отзыв согласия на обработку и распространение общедоступных персональных данных
- В каких случаях можно обойтись без него?
- Как составить и подать уведомление об обработке персональных данных
- Трудовые отношения
- Что относится к персональным данным по мнению Роскомнадзора
- Кем заполняется и кто подает?
- Отправка с помощью Контура
- Уведомление об обработке персональных данных — что это такое
- Подробные требования к содержанию согласия
- 1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.
- 2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)
- 3) Сведения об операторе персональных данных
- 4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных
- 5) Цель (цели) обработки персональных данных
- 6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
- 7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов
- 8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников
- 9) Срок действия согласия
- Рекомендации по оформлению
- Отправка почтой или курьерской службой
- Договоры поручения на обработку персональных данных
- Заключение
Содержание
Для того чтобы попасть в реестр операторов персональных данных (ПДн), необходимо предоставить следующую информацию:
- наименование (или ФИО), адрес;
- цель обработки;
- категории ПДн;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание;
- перечень действий с ПДн и их способы обработки;
- описание мер, предусмотренных статьей 18.1 и статьей 19 Федерального закона №152-ФЗ, в том числе, сведения о наличии шифровальных средств;
- данные физического или юридического лица, ответственных за организацию обработки персональных данных;
- дата начала обработки информации;
- срок или условие прекращения обработки;
- сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей ПДн граждан Российской Федерации;
- сведения об обеспечении безопасности ПДн.
Содержание
Для того чтобы попасть в реестр операторов персональных данных (ПДн), необходимо предоставить следующую информацию:
- наименование (или ФИО), адрес;
- цель обработки;
- категории ПДн;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание;
- перечень действий с ПДн и их способы обработки;
- описание мер, предусмотренных статьей 18.1 и статьей 19 Федерального закона №152-ФЗ, в том числе, сведения о наличии шифровальных средств;
- данные физического или юридического лица, ответственных за организацию обработки персональных данных;
- дата начала обработки информации;
- срок или условие прекращения обработки;
- сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей ПДн граждан Российской Федерации;
- сведения об обеспечении безопасности ПДн.
Кем заполняется и кто подает?
Прежде чем отправить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных, лицу следует разобраться, является ли оно оператором ПД.
Законом предусмотрен ряд исключений, когда уведомлять надзорный орган нет необходимости. Уведомление может быть составлено в форме электронного или бумажного документа. За составление документа отвечает лицо, уполномоченное осуществлять операции в сфере ПД в данной организации (п. 1-4 ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Это может быть сотрудник юридического отдела, отдела кадров или любой представитель администрации.
Если документ составляется в бумажной форме, подавать его можно как письмо, отправив по почте. Альтернативным способом подачи является электронное заполнение на сайте Роскомнадзора.
Заполненную на портале форму придется распечатать и так же отправить по почте, тем самым подтвердив сведения, поданные через онлайн-ресурс.
В обоих случаях бумажный носитель заверяется печатью, подписями генерального директора и уполномоченного за обработку ПД лица. Направлять уведомляющий документ следует в управление по тому субъекту Российской Федерации, где зарегистрировано лицо.
Уведомление в электронной форме можно отправить исключительно через Госуслуги. В этом случае распечатывать его и отправлять в Роскомнадзор нет необходимости.
Ответственное лицо
Можно ли назначить нескольких лиц, ответственных за обработку ПД?
В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных. Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.
Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?
Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст. 22 Закона № 152-ФЗ.
Нужно подавать или нет
В Законе установлено 9 пунктов исключений, когда операторам разрешено не подавать уведомление в Роскомнадзор, но, как правило, работают они только в некоторых случаях. Но, исходя из практики, можно сказать, если хотя бы для одного бизнес-процесса требуется обработка ПД, когда исключением нельзя воспользоваться, уведомление подавать придется. Обязанность подавать уведомление – это лишь одно из требований, которые предъявляются к оператору.
Другой вопрос, который задают юрлица, стоит ли им привлекать к себе внимание уполномоченного органа, который после поступления информации не только занесет новое предприятие в реестр, но и постарается прийти с проверкой как можно раньше. На самом деле Роскомнадзор выбирает предприятия для проверок независимо оттого, подали они уведомление или нет.. Кроме того, на сегодняшний день Роскомнадзор целенаправленно рассылает запросы компаниям, которые, как предполагается, собирают и обрабатывают ПД, но не числятся в реестре операторов
Для проведения планового контроля любых предприятий уполномоченный орган руководствуется 2-мя факторами – это 3 года с момента открытия юрлица или последней проверки
Кроме того, на сегодняшний день Роскомнадзор целенаправленно рассылает запросы компаниям, которые, как предполагается, собирают и обрабатывают ПД, но не числятся в реестре операторов. Для проведения планового контроля любых предприятий уполномоченный орган руководствуется 2-мя факторами – это 3 года с момента открытия юрлица или последней проверки.
Пошаговая инструкция
Необходимо отнестись со всей ответственностью к процедуре заполнения и подачи уведомления, тщательно проверив исходные документы на достоверность и актуальность сведений и реквизитов.
Как заполнить?
Инструкция по заполнению онлайн-формы по уведомлению выглядит следующим образом:
При наличии выпадающего списка в поле – выбрать из списка подходящий ответ. Если напротив пункта свободного поля нет – отметить галочками актуальные сведения, при необходимости – внести дополнительные данные. При заполнении адресов можно ввести информацию вручную, а можно воспользоваться встроенным онлайн-справочником.
Как отправить?
После заполнения электронного уведомления информация поступает на обработку в РКН, а система подготавливает заполненную форму к распечатке. Дальнейшие действия:
- Сохранить подготовленный документ на свой компьютер и распечатать либо отправить на распечатку непосредственно с сайта.
- Подписать бумажный вариант документа у лица, которое несет ответственность за обработку ПД, поставить печать.
- Отправить по почте подписанный документ в территориальный орган РКМ по месту регистрации оператора.
Роскомнадзор обязан рассмотреть уведомление в течение 30 дней и внести сведения в общий реестр (п. 4 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
Как внести изменения?
Если первоначальные сведения, внесенные в форму-уведомление устарели, в РКН в течение 10 дней следует подать информационное письмо (п.7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
План действий внесения изменений в уведомление:
Роскомнадзор внесет изменения в реестр в течение 15 дней.
Как посмотреть статус?
Подать уведомление об обработке и внесении изменений в персональные данные лучше в срок – это поможет обезопасить компанию от проблем с законом и дополнительных финансовых затрат.
Последствия неуведомления
РКН регулярно проводит проверки оператор ПД и даже лиц, которые под определение не подпадают. В случае, если объект имеет право не уведомлять Роскомнадзор, необходимо быть готовым аргументированно доказать, что в данном случае это законно. Если же надзирательный орган в ходе проверки столкнется с нарушениями, в частности неуведомлением об обработке ПД, придется нести ответственность.
За неуведомление РКН оператором ПД предусмотрена уплата штрафов. Компании придется заплатить штраф в размере 5000 рублей, а руководству – 500 рублей (ст. 19.7 КоАП РФ). Штраф может последовать не только за неуведомление, но и за предоставление недостоверных или устаревших сведений.
Где взять документ?
Документ должен обязательно содержать следующую информацию:
- тип и название оператора;
- адрес оператора с указанием местонахождения;
- ИНН и ОГРН;
- сведения о законах, которыми руководствуется оператор;
- цели работы с ПД;
- средства обеспечения защиты информации;
- когда оператор начал обрабатывать ПД;
- сроки окончания обработки или условия прекращения проведения операций;
- данные об информационной системе и категории сведений;
- категории субъектов ПД;
- список действий и способов обработки ПД;
- осуществляется ли передача сведений третьим лицам;
- где находится база данных – страна и адрес;
- кто отвечает за действия с ПД: физическое лицо (паспортные данные, контакты и должность) или юридическое лицо (наименование, адрес, контакты).
Где взять документ?
Документ должен обязательно содержать следующую информацию:
- тип и название оператора;
- адрес оператора с указанием местонахождения;
- ИНН и ОГРН;
- сведения о законах, которыми руководствуется оператор;
- цели работы с ПД;
- средства обеспечения защиты информации;
- когда оператор начал обрабатывать ПД;
- сроки окончания обработки или условия прекращения проведения операций;
- данные об информационной системе и категории сведений;
- категории субъектов ПД;
- список действий и способов обработки ПД;
- осуществляется ли передача сведений третьим лицам;
- где находится база данных – страна и адрес;
- кто отвечает за действия с ПД: физическое лицо (паспортные данные, контакты и должность) или юридическое лицо (наименование, адрес, контакты).
Когда не нужно отправлять уведомление о персональных данных в Роскомнадзор
Как уже упоминалось ранее, не все субъекты хозяйствования обязаны осуществлять уведомление Роскомнадзора о проводимых мероприятиях по обработке персональных данных. Причем данные исключения могут касаться как субъектов хозяйствования в целом, так и отдельных видов персональных данных или ситуаций, в которых происходит их обработка. К подобным случаям можно отнести следующие ситуации, в которых законодательство освобождает оператора персональных данных от обязанности уведомлять Роскомнадзор:
- Обработка персональных данных проводится для оформления трудового договора, а объем запрашиваемых сведений не превышает необходимого для проведения означенной процедуры.
- Договор оформляется с физическим лицом и в обработке персональной информации не будут участвовать третьи лица никоим образом.
- Персональные данные обрабатываются общественной организацией или религиозной общиной, и также не будут использоваться для передачи их третьим лицам за пределами означенной структуры.
- Обработка проводится в отношении общедоступной информации.
- Проводится обработка исключительно имени, фамилии и отчества лица.
- Целью обработки является оформление единоразового пропуска.
- Обрабатываемый материал уже содержится автоматизированных государственных информационных системах.
- Сбор сведений проводится в рамках деятельности транспортной компании и в целях обеспечения безопасности.
В ситуациях, которые находятся вне рассматриваемого перечня, любые действия по обработке персональных данных, равно как и в ситуациях, когда обрабатываются специальные персональные данные, необходимо уведомление Роскомнадзора. Кроме этого, в большинстве таких случаев также необходимо получение и согласия лица, в отношении которого проводится обработка информации.
Отзыв согласия на обработку и распространение общедоступных персональных данных
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
При этом требование о прекращении передачи общедоступных данных должно содержать следующие сведения (п. 12 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ):
- ФИО заявителя;
- контактную информацию заявителя (номер телефона, адрес электронной почты или почтовый адрес);
- перечень персональных данных, обработка которых подлежит прекращению.
Причем все вышеуказанные персональные данные могут обрабатываться только оператором, которому было направлено требование. С момента получения оператором персданных указанного требования действие согласия физлица на обработку его общедоступных сведений считается прекращенным.
Получив от физлица требование о прекращении передачи общедоступных сведений, оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа (п. 14 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). В противном случае он понесет административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных).
В каких случаях можно обойтись без него?
Обработка ПД без уведомления федерального надзорного органа может осуществляться в следующих случаях:
- при получении конфиденциальных сведений в рамках трудовых отношений;
- при осуществлении операций без использования автоматизированных средств – компьютеров и баз данных;
- при оформлении договоров с физическим лицом – в случае, если лицо обязуется не предоставлять данные третьей стороне;
- если данные собираются общественной или религиозной организацией и предполагают исключительно внутреннее пользование;
- при оперировании со сведениями, которые выложены лицом в открытый доступ;
- компаниям, в которых действует пропускная система – где сведения принимаются лишь для оформления одноразового пропуска;
- если обрабатываются данные, содержащиеся в государственных информсистемах ПД;
- если информация собирается транспортными компаниями с целью оформления проездных документов.
Важно!!! Юридическим и физическим лицам рекомендуется отслеживать изменения в законодательстве – статус оператора ПД может поменяться, и тогда придется отправлять уведомление в Роскомнадзор.
Как составить и подать уведомление об обработке персональных данных
Получатель уведомления – Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Он ведет реестр уведомлений, из которого можно даже получить выписку. На сайте Роскомнадзора есть Портал персональных данных (http://rkn.gov.ru/). На нем размещается и рекомендованная форма уведомления, и заявления о предоставлении выписки из Реестра. Мы рекомендации Роскомнадзора учли, поэтому за образец Вы можете использовать наш пример.
Итак, уведомление содержит ряд обязательных граф:
- наименование оператора персональных данных. Для физических лиц это Ф.И.О., адрес, паспортные данные, ИНН (при наличии). Для юридических – полное наименование, сокращенное наименование, юридический адрес, ИНН и ОГРН
- цель обработки данных
- категории персональных данных
- категории субъектов, чьи данные обрабатываются. Здесь рекомендуем указать виды отношений с субъектами (например, заемщик), юридические или физические лица и т.п.
- правовое основание – почему оператор имеет право собирать и обрабатывать с такой целью информацию
- действия по обработке – автоматизированная, неавтоматизированная, смешанная
- меры ст. 18.1 и 19 Закона – организационные и технические меры защиты данных, в т.ч. сведения о наличии шифровальных средств
- сведения (ф.и.о., наименование юр.лица), ответственных за обработку данных, контактные телефоны и адреса электронной почты
- дата начала обработки данных (любой операции)
- срок прекращения обработки (или условие-основание)
- место нахождения базы данных (адрес)
- обеспечение безопасности в соответствии с постановлением правительства РФ от 01.11.2012 г. № 119
Заявление оператор направляет в бумажном формате или через сайт Портал персональных данных. В случае изменения каких-то сведений, он направляет информационное письмо об этом.
Кроме уведомления об обработке персональных данных оператор может направить уведомление о прекращении обработки.
Трудовые отношения
Как передавать персональные данные сотрудников в рамках групп компаний
Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.
Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч. 4 ст. 9 Закона “О персональных данных”).
Если в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.
Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании
Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).
В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.
Что относится к персональным данным по мнению Роскомнадзора
Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.
Сбор копий документов, содержащих персональные данные
Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.
Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.
Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.
Являются ли идентификаторы персональными данными
Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.
Даже без дополнительной информации идентификаторы являются персональными данными.
Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.
Фотографии и видеозаписи в контексте персональных данных
Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”
Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.
Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.
Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.
Профилирование и оценка личностных качеств
Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных
Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.
Кем заполняется и кто подает?
Прежде чем отправить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных, лицу следует разобраться, является ли оно оператором ПД.
Законом предусмотрен ряд исключений, когда уведомлять надзорный орган нет необходимости. Уведомление может быть составлено в форме электронного или бумажного документа. За составление документа отвечает лицо, уполномоченное осуществлять операции в сфере ПД в данной организации (п. 1-4 ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Это может быть сотрудник юридического отдела, отдела кадров или любой представитель администрации.
Если документ составляется в бумажной форме, подавать его можно как письмо, отправив по почте. Альтернативным способом подачи является электронное заполнение на сайте Роскомнадзора.
Заполненную на портале форму придется распечатать и так же отправить по почте, тем самым подтвердив сведения, поданные через онлайн-ресурс.
В обоих случаях бумажный носитель заверяется печатью, подписями генерального директора и уполномоченного за обработку ПД лица. Направлять уведомляющий документ следует в управление по тому субъекту Российской Федерации, где зарегистрировано лицо.
Уведомление в электронной форме можно отправить исключительно через Госуслуги. В этом случае распечатывать его и отправлять в Роскомнадзор нет необходимости.
Отправка с помощью Контура
Все предыдущие варианты имеют один существенный недостаток – пользователь редко представляет, как подступиться к уведомлению. Процесс заполнения занимает от 2-3 часов до нескольких дней, так как форма изобилует специфическими и профессиональными терминами, ошибаться в которых нельзя.
Контур решает эту проблему в один клик. Чтобы отправить уведомление в Роскомнадзор достаточно войти в сервис и нажать на одну вкладку «Отправить уведомление». Данные вносятся в автоматическом режиме без участия пользователя.
При этом на экране будет доступна информация следующего характера:
- номер, присвоенный уведомлению;
- цифровой ключ.
Проверить текущий статус по отправленному уведомлению можно не выходя из программы, нажав вкладку «Проверить состояние». Теперь бумагу можно распечатывать и отправлять почтой в качестве подтверждения в Роскомнадзор.
После того, как РКН примет решение по отправленному уведомлению, Контур вышлет электронное письмо с данными на мэйл пользователя. Теперь можно браться за обработку сведений.
Получить более подробную информацию о сервисе можно связавшись со специалистами нашего удостоверяющего центра.
Обработка персональных данных – это стандартный процесс, с которым ЮЛ и ФЛ сталкиваются ежедневно. Но узаконить его без Роскомнадзора и уведомления об обработке персональных данных невозможно.
Уведомление об обработке персональных данных — что это такое
Согласно нормативам международных соглашений, Конституции РФ, федерального законодательства и Трудового кодекса, в Российской Федерации в рамках трудовых взаимоотношений обязательно принимаются определенные мероприятия по защите персональных данных трудящихся. В частности, работодатели, осуществляющие обработку личных сведений должны сообщать об этом государственным надзорным и контролирующим органам. Так, для рассматриваемого вопроса, основной государственной службой, которая регламентирует работу со сведениями личного характера о трудящихся или иных контрагентах, является Роскомнадзор.
Персональными данными с точки зрения закона, считаются непосредственно любые сведения, связанные с определенным физическим лицом. При этом существует разделение персональных данных на общие, к которым относятся в том числе имя, фамилия, дата рождения и иные паспортные данные, биометрические, содержащие сведения о росте, весе, внешности и других показателях человека, а также специальные, включающие его воззрения и взгляды, национальную принадлежность, а также личную жизнь. В отношении различных категорий данных устанавливаются разные принципы обработки.
Под обработкой сведений, в свою очередь подразумевается осуществление с ними различных операций, начиная от получения, хранения и учета и заканчивая передачей, распространением, изменением, уничтожением или удалением, но не ограничиваясь вышеназванными видами. Более подробно об обработке персональных данных в целом можно прочитать в отдельной статье.
Соответственно нормативам федерального законодательства, ряд работодателей и иных субъектов хозяйствования, которые обрабатывают персональные данные своих сотрудников и клиентов, должны уведомлять о ведении подобных процедур Роскомнадзор. Уведомление осуществляется на строго определенном и установленном законодательно бланке в соответствии со строгими сроками.
Не все субъекты хозяйствования обязаны уведомлять Роскомнадзор о проведении обработки персональных данных. Более подробно о том, кто может обойтись без уведомления, можно узнать далее.
Подробные требования к содержанию согласия
Согласие должно включать в себя следующую информацию:
1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.
2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)
3) Сведения об операторе персональных данных
Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ
Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.
Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.
4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных
5) Цель (цели) обработки персональных данных
Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.
6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:
- общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
- биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).
Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов
Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.
Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.
Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.
8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников
9) Срок действия согласия
Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.
Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.
Рекомендации по оформлению
ВНИМАНИЕ: Как правило, заполнением уведомления об обработке персональных данных в Роскомнадзор и отправкой составляемого документа занимается специалист по защите информации, администратор безопасности или ответственный за организацию обработки ПДн.
Но при оформлении уведомления о намерении осуществлять обработку персональных данных для ООО в Роскомнадзор (скачать форму и пример заполнения можно ниже) вы также должны следовать правилам:
Проверьте полноту и правильность заполнения всех пунктов
Отвечать на вопросы, не отмеченные звездочкой, не обязательно.
При поздней отправке уведомления датой начала работы с ПДн правильно будет обозначить дату регистрации вашей компании.
Обратите внимание, что при заполнении электронной формы уведомления на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, ее необходимо распечатать, подписать и направить в территориальный орган.
Обо всех изменениях, касающихся систем, указанных в документе, необходимо уведомлять территориальное управление Роскомнадзора в срок до 10 дней.
Отправка почтой или курьерской службой
Этот вариант, как основной, с каждым годом выбирают все реже. Он включает в себя несколько этапов:
- войти на сайт Роскомнадзора;
- скачать форму уведомления;
- распечатать документ;
- внести в графы данные;
- подать на подпись руководителю и уполномоченному работать с ПД лицу;
- заверить печатью.
Далее клиенту нужно отправить бумагу в Роскомнадзор (местное отделение) и ожидать его приемки. Только после этого можно заниматься обработкой данных.
Почтовая отправка, несмотря на кажущуюся простоту, имеет массу минусов:
- сложности с заполнением формы;
- большие временные затраты;
- необходимость лично ехать на почту;
- невозможность сразу увидеть данные по статусу заявки и не только.
Чаще всего отправка уведомления почтой используется как вспомогательный способ, отмеченный в законодательном акте.
Договоры поручения на обработку персональных данных
Является ли провайдер облачных услуг оператором?
Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.
Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.
Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.
Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.
Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.
Заключение
Если вы дочитали и не нашли каких-то ответов — это нормально. Отрасль развивается и даже регулятор не может дать четких рекомендаций. Судебная практика охватывает частные случаи, поэтому ее нужно изучать в контексте вашей ситуации.
Контемиров пообещал, что по результатам работы Центров компетенций в 2021 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными. РКН хочет, чтобы такой портфель был хорошим подспорьем.
Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных. Почитайте пост о Реестре операторов персональных данных
Почитайте пост о Реестре операторов персональных данных.
Ну а я продолжаю наблюдение. Подпишитесь на мои страницы в Фейсбуке, и Телеграм, чтобы делать это вместе.
Остаюсь с вами на связи. Все вопросы по статье можно написать в .
ps. Чатик придумал, чтобы избежать включения в реестр ОРИ, но быть с вами на связи.
Поделитесь в соцсетях
- 1
- 3