Уведомление в Роскомнадзор об обработке персональных данных, образец, форма, как подать

Перед тем, как начать собирать персональные данные, оператору необходимо уведомить об этом Роскомнадзор в соответствии ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Без уведомления Роскомнадзора можно обойтись если вы:

• Обрабатываете данные в соответствии с трудовым законодательством.
• Данные получены в связи с заключением договора, стороной которого является субъект персональных данных. При этом сведения должны не распространятся и не передаваться третьим лицам без согласия субъекта. Только использование для исполнения договора и заключения договоров с субъектом.
• Сделанных субъектом ПДн общедоступными.
• Полученных для однократного пропуска субъекта ПДн на территорию, на которой находится оператор.
• Включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.
• Обрабатываемых без использования средств автоматизации.

Бумажный носитель vs электронный документ: форма уведомления об обработке персональных данных в Роскомнадзор

При отправке уведомлений об обработке персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций у операторов часто возникает вопрос: нужно ли отправлять письмо с распечатанным уведомлением или достаточно заполнить электронную форму уведомления на портале Роскомнадзора. ФЗ-152, как и п. 3.2 Методических рекомендаций по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 разрешают отправлять уведомление на бумажном носителе или в форме электронного документа. Несмотря на это полностью исключить бумажные носители из документооборота не удалось – так как правовым основанием для совершения регистрационных действий являются бумажные варианты документов, операторы обязаны направлять бумажные носители независимо от того, подавались ли они в электронном виде. На практике направление уведомления о персональных данных в Роскомнадзор происходит в два этапа:

1. заполнение формы уведомления Роскомнадзора в электронном виде – необходимо для ускорения работы по внесению данных в реестр и получения готовой заполненной формы для печати на бумажном носителе;
2. отправка формы уведомления на бумажном носителе – является основанием для совершения Роскомнадзором регистрационных действий (уведомление регистрируется в уполномоченном органе и является основанием для внесения оператора в реестр).

В будущем планируется полный переход на электронный документооборот, но до этого момента операторы не могут избежать бумажной работы и должны направлять оформленные и подписанные уведомления на бумажном носителе.

Форма уведомления Роскомнадзора об обработке персональных данных в 2020 г.

ФЗ-152 не утверждает обязательную форму или бланк уведомления об обработке персональных данных. По закону главное – предоставить сведения, которые указаны в норме.

Форма уведомления об обработке персональных данных, рекомендуемая к использованию Роскомнадзором, содержится в Приложении № 1 к Методическим рекомендациям по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017.

Данная форма содержит сведения, требуемые ст. 22 ФЗ-152 и необходимые для включения в реестр операторов.

На практике самый простой и быстрый способ получить заполненное уведомление о персональных данных в Роскомнадзор – заполнить форму, предложенную на портале персональных данных и без изменений распечатать её на бумажном носителе для направления в Роскомнадзор. Далее мы рассмотрим, как заполнить форму уведомления Роскомнадзора об обработке персональных данных.

Заполнение уведомления в Роскомнадзор: подпись, оформление и отправка уведомлений об обработке персональных данных

При оформлении и отправке уведомлений об обработке персональных данных у операторов часто возникают вопросы, связанные с подписанием и оформлением уведомлений. Ниже приведены самые популярные из них.

Кто может подписывать уведомление о персональных данных в Роскомнадзор?

Согласно ФЗ-152 уведомление в Роскомнадзор должны быть подписано уполномоченным лицом. Специальных требований к подписанию уведомлений не установлено.Исходя из общих положений законодательства здесь возможно несколько вариантов:

• Подписание уведомления лицом, имеющим право подписи без доверенности – к ним чаще всего относятся руководители (можно проверить в ЕГРЮЛ).
• Подписание уведомления по доверенности – может подписывать иное лицо. В таком случае к уведомлению нужно приложить доверенность на право подписи.

Есть ли дополнительные требования к оформлению уведомлений? Оператору необходимо распечатать, подписать уведомление, проставить на нем печать и направить в территориальное отделение Роскомнадзора. В уведомлении на бумажном носителе необходимо указать текущую дату отправки уведомления в бумажном виде. Если уведомление подписано по доверенности, необходимо также приложить к нему оформленную доверенность или надлежащим образом заверенную копию. Из дополнительных требований – Роскомнадзор также рекомендует размещать уведомление на фирменном бланке оператора. В то же время важно понимать, что получение Роскомнадзором документа на бумажном носителе является основанием для совершения регистрационных действий, поэтому фиксация факта получения письма Роскомнадзором, находится в интересах оператора.

Заполнение уведомления в Роскомнадзор: сроки и порядок отправки уведомления об обработке персональных данных

ФЗ-152 обязывает операторов персональных данных высылать уведомление о начале обработки персональных данных. Операторам не стоит пренебрегать выполнением этого требования – не уведомление Роскомнадзора может повлечь привлечение к административной ответственности в соответствии с Статьей 19.

7 КоАП РФ Уведомление в Роскомнадзор подразумевает включение оператора в реестр операторов по обработке персональных данных. Для включения в реестр оператору необходимо заполнить и отправить уведомление по обработке персональных данных.

Срок направления уведомления оператором – до начала обработки персональных данных.

Срок включения в реестр – 30 дней с даты регистрации уведомления Роскомнадзором. Как правило, оператор о включении в реестр не уведомляется. Отслеживать статус уведомления можно самостоятельно по ссылке.

Для проверки статуса уведомления нужно запомнить его номер и ключ – их можно найти в конце каждого электронного уведомления после его заполнения.

Заполнение уведомления в Роскомнадзор: цели обработки уведомления об обработке персональных данных

Направление уведомления об обработке персональных данных является условием начала обработки персональных данных, а его неправильное заполнение может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.

Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.

Определяем цели обработки данных

Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется. При определении целей обработки персональных данных и заполнении уведомления необходимо проанализировать следующее:

1. Цели деятельности оператора, определённые в его уставе, локальных актах, согласии на обработку персональных данных, анкетах, договорах, предусматривающих передачу персональных данных и пр.
2. Основания получения персональных данных, деятельность, которую оператор осуществляет при получении и обработке персональных данных на таких основаниях.

Цели, указываемые в уведомлении, должны охватывать все случаи обработки персональных данных. При этом нужно учитывать как внешнюю деятельность компании – работа с клиентами, пользователями, заключение и исполнение договоров, маркетинговая активность и пр., так и внутреннюю – подбор и приём кадров, сбор данных о сотрудниках, организация пропускного режима. Примеры заполнения информации о целях обработки персональных данных в уведомлениях:цель обработки, регистрации сведений, необходимых для оказания услуг учащимся в области образования, персональных данных работников, сведений об их профессиональной служебной деятельности цель обработки, регистрации сведений, необходимых для оказания жилищно-коммунальных услуг собственникам, жильцам помещений, персональных данных работников, сведений об их профессиональной служебной деятельности При определении целей рекомендуется привлекать специалистов, которые знакомы со всей деятельностью компании, а не заняты в одном отделе – это обеспечит правильность и полноту работы в сфере обработки персональных данных.

Заполняем уведомления об обработке персональных данных: Категории персональных данных

Указание неполного перечня обрабатываемых персональных данных – одно из типовых нарушений в сфере обработки персональных данных. Чтобы избежать сложностей в заполнении уведомления разберёмся, какие сведения о персональных данных нужно указывать в уведомлении об обработке.

Из законодательства следует, что категории персональных данных – это перечень персональных данных, конкретные сведения о субъекте, с помощью которых он идентифицируется или может быть идентифицирован.

Персональные данные группируются в зависимости от их особенностей, на основе чего их относят к специальным, биометрическим и иным видам категорий персональных данных.

Электронная форма уведомления на портале Роскомнадзора предлагает при определении категорий персональных данных указать конкретные сведения, которые будет собирать оператор – ФИО, дата, место рождения, семейное и социальное положение и пр.

Сложность в определении категории персональных данных при заполнении уведомления связана с тем, что сам по себе перечень персональных данных не является исчерпывающим. В электронной форме уведомления есть графа «Другие категории персональных данных, не указанные в данном перечне», в которой оператор самостоятельно вписывает обрабатываемые персональные данные.

Операторы указывают не все «иные категории» и, как результат, нарушают требования законодательства. Так, операторы часто не указывают сведения о составе семьи; о трудовом и общем стаже, воинском учете; ИНН; СНИЛС и пр.

Во избежание неверного заполнения уведомления об обработке необходимо чётко определить цели обработки персональных данных, после чего указать, какие именно данные субъектов персональных данных будут обрабатываться для их достижения.

При этом нужно учитывать особенности толкования положений законодательства в части отнесения тех или иных данных к персональным. Так, согласно подходу Роскомнадзора к биометрическим персональным данным могут относиться не только данные изображения отпечатка пальца, радужной оболочки глаза и т.д., но и изображения лица.

Заполняем уведомления об обработке персональных данных: категории субъектов персональных данных

Статья 22 ФЗ-152 обязывает операторов указывать категории субъектов, персональные данные которых обрабатываются.

Логично, что субъектами персональных данных являются физические лица, но остаётся открытым вопрос, как их нужно идентифицировать в уведомлении Роскомнадзора.

Категории субъектов персональных – это указание на правовой статус субъектов персональных данных, определение места физических лиц в отношениях с оператором.

Так, если оператор обрабатывает информацию в целях обработки персональных данных персонала, то такое физическое лицо определяется в уведомлении как «работник», что и является категорией субъектов персональных данных. Контрагентов необходимо идентифицировать как сторону вида заключаемых с ними гражданско-правовых договоров.

Роскомнадзор в Методических рекомендациях по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 рекомендует указывать в уведомлениях виды отношений оператора с субъектами персональных данных, т.е. определять, какие отношения (трудовые, гражданско-правовые и пр.) связывают оператора и физическое лицо-субъекта персональных данных.

Таким образом, для указания полной и достоверной информации об обработке персональных данных, правильного уведомления Роскомнадзора необходимо описывать категории персональных данных по следующему образцу:работники, состоящие в трудовых отношениях с оператором физические лица (абонент, пассажир, заказчик), состоящие в договорных или иных гражданско-правовых отношениях с оператором а так же уделять внимание внутреннему аудиту персональных данных, периодически сверяя состав документов и информацию в них.

Заполнение уведомления в Роскомнадзор: внесение изменений в уведомление об обработке персональных данных

Если в деятельности организации, произошли изменения влияющие на процесс обработки персональных данных, оператору ПД необходимо направить информационное письмо регулятору в течение 10 рабочих дней с момента возникновения поправок для внесения изменений в ранее отправленное уведомление.

Информационное письмо оформляется на бланке оператора по форме, определенной Приложением 2 к Рекомендациям, и направляется в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе. Поля, отмеченные *, обязательны для заполнения.

Если установится факт размещения в реестре операторов недостоверной или неполной информации, сотрудник Роскомнадзора информирует ответственное лицо в компании оператора путем направления в его адрес письма о перечне недостающих или неточных сведений. Решить вопрос необходимо в течение 30 дней со дня получения такого запроса. Далее мы рассмотрим как заполнить информационное письмо.

Видео по заполнению электронной формы уведомления можно посмотреть на ютуб канале ПДМастер, также как и видео по оформлению Согласия на обработку персональных данных и другие полезные материалы по тематике «Персональные данные»

Персональные данные для digital-маркетинга: полный гайд и шаблоны документов

Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:

• Политику конфиденциальности.
• Правила работы с персональными данными.
• Согласие на обработку персональных данных.
• Обязательство о неразглашении персональных данных.

В разделе мы расскажем об этих документах подробнее.

Политика конфиденциальности и правила работы с персональными данными. В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.

https://www.youtube.com/watch?v=Up1h8Jf4csU

Правила работы с персональными данными должны содержать то, что рекомендует Роскомнадзор и требует 152-ФЗ. Политика конфиденциальности шире: документ описывает работу со всей конфиденциальной информацией, в том числе с персональными данными. В политику добавляют то, что нужно защитить дополнительно. Например, это договоры, переписка с клиентами и партнёрами, внутренняя документация.

Два документа можно объединить в один, это не противоречит законодательству. Когда пользователи регистрируются на сайте, их нужно познакомить с политикой конфиденциальности и правилами работы с персональными данными до процедуры регистрации.

Политику конфиденциальности публикуют в открытом доступе, обычно в подвале (внизу) сайта. Скриншот: сайт Skillbox

Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора.

Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы.

Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.

Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные.

Ошибкой будет написать что-то вроде «Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».

Если собираете данные только в интернете, достаточно прописать в политике конфиденциальности случаи, в которых пользователь выражает согласие на обработку. Например, если он заполняет чекбокс.

Шаблон Согласия на обработку персональных данных

Пример, как можно прописать согласие на обработку в политике конфиденциальности. Скриншот: сайт Skillbox

Обязательство о неразглашении персональных данных. Документ обязывает работников не разглашать персональные данные, полученные компанией. Его должны подписывать все сотрудники, у которых есть доступ к сведениям о клиентах.

Шаблон Обязательства о неразглашении персональных данных

Приказ о назначении ответственного за работу с персональными данными. Внутренний документ. Его не нужно нигде публиковать, но Роскомнадзор может попросить его при проверке. Как правило, ответственным назначают IT-специалиста или сотрудника службы безопасности.

Важно! Если на сайте можно зарегистрироваться, нужно знакомить пользователей с политикой конфиденциальности и получать согласие на обработку персональных данных перед тем, как он отправит анкетные сведения.

Разъяснения по вопросам уведомления об обработке персональных данных

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами.

Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.

Здесь важно учесть, что запрос Роскомнадзора — это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Возможны две ситуации:

1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.

В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок.

Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».

Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления — она находится на сайте Роскомнадзора.

Изучив форму, вы поймете, что заполнение уведомления — это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

• категории персональных данных,
• категории субъектов персональных данных,
• цель обработки персональных данных,
• правовое основание обработки персональных данных,
• перечень действий с персональными данными,
• описание способов обработки,
• осуществление трансграничной передачи персональных данных,
• описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
• ответственный за организацию обработки персональных данных,
• сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.

Если вам удалось провести полноценное обследование, и вы выявили самое главное — цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа.

Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.

Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

Важно понимать — наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации.

Чтобы уложиться в отведенные для ответа на запрос сроки — в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора.

Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации.

Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе.

Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706.

В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

Большинство вопросов связано со следующими пунктами:

• описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
• сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1.

Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации — исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

• назначить ответственного за организацию обработки;
• издать политику оператора в отношении обработки персональных данных;
• издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
• и так далее…

В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.

В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры… И так далее.

С 19 статьей делаем то же самое.

Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

• Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
• Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
• Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления.

В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие — прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

• Напомним — Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!
• В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.
• Удачной Вам работы в сфере обработки и защиты персональных данных!

Как начинающему бизнесу работать с персональными данными?

Я решил открыть небольшой интернет-магазин, но узнал, что бизнес должен строго соблюдать закон о персональных данных, в том числе разработать документацию по их защите.

Мы собираемся обрабатывать ФИО, телефоны, адреса доставки посылки и технические данные вроде IP-адреса, сведений об используемом браузере и cookies. Можем ли мы обойтись без документации и просто создать магазин на базе сертифицированной CMS или CRM? Нанять фирму, которая помогла бы соблюсти все требования закона о персональных данных, нам не по карману.

Законодательство в сфере персональных данных действительно строгое, за его нарушение могут оштрафовать на несколько десятков и даже сотен тысяч рублей. Если компании и предприниматели собирают информацию о клиентах, они считаются операторами персональных данных и должны работать с этими данными по определенным правилам.

Одно из правил — разработать и утвердить как минимум четыре документа, которые должны соответствовать закону и зачастую содержать технические сведения. Разработка каждого документа — кропотливая работа, и, скорее всего, обойтись без помощи юристов или специалистов в сфере информационной безопасности не получится.

Расскажу основные правила, о которых нужно знать.

Проблема в том, что в законе нет точного списка, что считать персональными данными. Некоторые суды полагают, что ими могут быть ФИО человека, его паспортные данные, адрес, номера телефонов.

При этом сами по себе ФИО, адрес и номер телефона могут не быть персональными данными: ФИО могут повторяться, по адресу могут регистрироваться разные люди, номер телефона может перейти к другому абоненту, если расторгнут договор на оказание абонентских услуг.

Персональные данные человека собирают, например, когда проводят опросы, оформляют договоры или открывают доступ к сервисам на сайте.

Просто так собирать, хранить или передавать данные третьим лицам нельзя. Сначала нужно подготовить условия, чтобы информация накапливалась в безопасном месте и никуда не утекала. А еще получить у субъекта персональных данных разрешение на сбор и обработку информации о нем. Без его согласия никакую персональную информацию хранить нельзя, иначе оператора привлекут к ответственности.

Все свои действия — что будут собирать и как будут работать с данными — операторы описывают в документах.

После того как вы разработаете и утвердите все документы, нужно уведомить контролирующий орган о том, что вы будете собирать и обрабатывать персональные данные. За тем, как бизнес исполняет закон об обработке персональных данных, следит Роскомнадзор. Операторы отправляют ему уведомления, а ведомство заносит их в реестр операторов.

По ИНН или названию организации можно проверить, законно ли оператор собирает персональные данные

Вы хотите ежедневно обрабатывать персональные данные пользователей интернет-магазина: ФИО, номера телефонов, адреса доставки посылки и технические данные вроде IP-адресов, сведений об используемом браузере и cookies. Вся эта информация относится к конкретному человеку, прямо и косвенно, и позволяет его идентифицировать. Об этом нужно уведомить Роскомнадзор.

Уведомление подает тот, кто отвечает за обработку персональных данных. Его можно отправить обычной почтой или через сайт Роскомнадзора, если есть усиленная квалифицированная электронная подпись или регистрация на госуслугах.

В уведомлении нужно подробно описать:

1. Кто будет собирать информацию и какую именно: имена, адреса, технические данные, номера телефонов.
2. Для чего и каким образом собираются персональные данные. Например, «для организации деловых поездок» и «с помощью средств автоматизации». Средства автоматизации — это, к примеру, корпоративный компьютер или программы бухучета. В законе это называется средствами вычислительной техники.
3. Где будете хранить персональные данные.
4. Какие меры принимаете, чтобы их обезопасить. Например, вы назначили ответственного за обработку данных, разработали политику и модели угроз безопасности, обучили людей, которые будут работать с персональными данными.

В уведомлении нужно указать полный адрес с почтовым индексом места, где расположены серверы компаний, на которых хранятся базы персональных данных. Роскомнадзор зарегистрирует уведомление и внесет оператора в реестр в течение 15 дней. Платить за это не нужно.

После того как вы разработаете документацию, я рекомендую перепроверить несколько вещей перед тем, как уведомлять Роскомнадзор. Ведомство требует максимально актуальную информацию, поэтому лучше перестраховаться.

Просмотрите и обновите списки. Вот они:

1. Список персональных данных, которые вы обрабатываете.
2. Перечень субъектов, с чьими данными вы работаете.
3. Перечень третьих лиц. Третьи лица для оператора — это компании, которым вы поручаете обработку персданных, или компании, с которыми вместе обрабатываете данные для общих целей. Например, фирмы, которые предоставляют вам какие-либо услуги на аутсорсинге. Подавать список третьих лиц в Роскомнадзор не нужно, но при проверке ведомство может про него спросить.

СЗИ должны быть сертифицированы Федеральной службой по техническому и экспортному контролю России. Если Роскомнадзор придет с проверкой, он будет запрашивать сертификат на СЗИ.

Если оператора нет в реестре, Роскомнадзор рано или поздно сам его найдет. Ведомство регулярно просматривает сайты, где собирают персональные данные, выясняет, кому они принадлежат, и отправляет владельцам письма-запросы.

На такое письмо нужно ответить в течение 10 дней: отправить в ведомство уведомление о включении в реестр или обоснованный отказ.

Что делать?Читатели спрашивают — эксперты Т⁠—⁠Ж отвечают

Задать свой вопрос

Согласие на обработку персональных данных. Образец и бланк 2021 года

Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.

ФАЙЛЫ
Скачать пустой бланк согласия на обработку персональных данных .docСкачать образец согласия на обработку персональных данных .doc

Что собой представляет согласие

Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Когда чаще всего требуется согласие

Сейчас согласие необходимо писать почти повсеместно:

• при подаче документов на ребенка в садик или школу;
• при трудоустройстве;
• при заключении договора с банком, страховой компанией и т.д.

Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.

Что вкладывается в термин «персональные данные»

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

• фамилия, имя, отчество;
• дата и место рождения;
• сведения из паспорта, трудовой книжки и прочих документов;
• а также некоторые характеристики его личности.

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

1. общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
2. биометрические (физиологические особенности индивида, его внешние параметры)
3. специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д.

Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Что грозит за разглашение персональных данных

• Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.
• Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.
• Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.
• В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Как уведомить

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает.

Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия.

Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

• наименование компании-работодателя;
• место и дата составления документа;
• фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

• каких именно персональных данных касается документ;
• в каких целях и что именно допустимо с ними делать;
• срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Иваново

03.08.2018 г.

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных.

Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях.

Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч.

передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Ковтун И.О. (подпись)

Скачать документбесплатно