Уведомление об обработке персональных данных
Уведомление Роскомнадзора об обработке персональных данных
Руководство фирмы работает с персональными данными персонала, а также клиентов и контрагентов. Читайте в статье, когда нужно известить Роскомнадзор об обработке персональных данных и что указать в уведомлении.
Фирма получает данные от сотрудников, клиентов, бизнес-партнеров. Об обработке персональных данных в Роскомнадзор подают уведомление, образец документа пригодится при подготовке. Если руководитель фирмы забыл известить ведомство, компанию привлекут к ответственности.
При сборе и обработке сведений о сотрудниках и других лицах компания обязана сообщать о таких операциях в контролирующий орган (ч. 1 ст. 22 закона о персональных данных). После того, как ведомство известят, оно внесет информацию в специальный реестр в течение 30 дней с даты получения документа. За внесение сведений платить не нужно.
Об обработке персональных данных компании подают уведомления в бумажном или электронном виде
При подготовке уведомления об обработке персональных данных у кадровиков появляются вопросы:
- кто именно должен подавать документ в Роскомнадзор, и есть ли исключения;
- как подать документ.
Компания становится оператором данных, когда ее работники или клиенты сообщают свои ФИО, информацию о проживании и т. д. Однако отправлять уведомление о начале обработки нужно не всегда. В законе присутствует список исключений (ч. 2 ст. 22 закона о персональных данных). Уведомлять не нужно, если:
- работодатель имеет дело только с данными персонала;
- сведения о контрагентах используют только при подготовке договоров;
- компания не пользуется при обработке данных средствами автоматизации (постановление Правительства РФ от 15.09.08 № 687).
Во всех остальных случаях ведомство нужно известить.
Форма уведомления, в котором нужно известить Роскомнадзор об обработке персональных данных клиентов и сотрудников, включает несколько основных пунктов:
- страна, где находится база охраняемых данных;
- адрес базы;
- наименование базы.
Ведомство рекомендует форму в приложении № 1 к Методическим рекомендациям, утв. приказом Роскомнадзора от 30.05.2017 № 94.
В течение 3 месяцев ведомство вправе привлечь организацию к ответственности за неуведомление (ст. 19.7 КоАП РФ).
Но если организация долго не уведомляла Роскомнадзор, а затем ее юристы решили по собственной инициативе исправить ситуацию, при истечении срока давности компанию к ответственности не привлекут.
Перед тем как уведомить Роскомнадзор, проверьте, чтобы в документе об обработке персональных данных были указаны все категории данных, с которыми работает компания. Например, сюда относятся сведения о здоровье сотрудников.Также проверьте, чтобы были верно отражены категории субъектов, чьими данными компания оперирует. Если категории поменяются, руководство фирмы направляет об этом в ведомство информационное письмо. Вместе с изменениями нужно перечислить заново ранее переданные сведения. Если их не указать, Роскомнадзор внесет в реестр изменения, а сведения без корректив удалит.
Работодатель должен указать адрес базы данных. Для этого следует определить наименование системы по учету персонала.
Форму можно подать в бумажном виде. Кроме того, на портале Роскомнадзора в разделе pd.rrkn.gov.ru компания вправе заполнить электронное уведомление об обработке персональных данных. Это делают на специальной странице.
К персональным данным сотрудников относятся сведения, по которым можно установить личность
Персональные данные – это сведения, по которым можно установить личность работника. Это основные идентификационные данные, семейное положение лица, его образование и т. д. (п. 1 ст. 3 закона о персональных данных, подп. «а» ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, Страсбург, 28.01.1981).
Работодатель собирает и обрабатывает сведения о сотруднике при заключении трудового договора (ст.ст. 57, 64 ТК РФ). В дальнейшем компания продолжает сбор сведений о своих работниках. Например, руководитель принимает решение об увольнении сотрудницы-одинокой матери. Работодатель принимает решение на основе анализа персональных данных (ч. 2 ст. 179, ч. 4 ст. 261 ТК РФ).
Хранить персональные данные нужно в РФ
В 2015 году законодатель установил, что базы персональных данных должны находиться на территории РФ. Систематизация такой информации может осуществляться в электронном (позиция Минкомсвязи) или в печатном виде (Роскомнадзор). Единой практики по данному вопросу не имеется.
Когда компания обрабатывает и хранит персональные данные, следует избегать нарушений требований закона. Роскомнадзор или другие уполномоченные органы штрафуют работодателя за следующие нарушения:
- Работодатель не предпринял необходимые меры для защиты персональных данных (постановление Волгоградского областного суда от 15.04.2011 № 7а-392/11). Компания обязана при обработке персональных данных сотрудников защищать данную информацию. Если документы с персональными данными потеряют, третьи лица могут неправомерно воспользоваться материалами на работников.
- Работник не дал работодателю официального согласия на обработку персональных данных при составлении анкет, опросников и так далее.
- Работодатель продолжает хранить персональные данные после того, как они стали не нужны. Например, работодатель искал сотрудника и получил от соискателей множество резюме. Руководитель нашел работника, однако резюме других соискателей не уничтожил. Роскомнадзор считает, что этот факт является нарушением.
Источник: https://www.tspor.ru/article/2230-qqe-17-m5-17-05-2017-uvedomlenie-ob-obrabotke-personalnyh-dannyh
Роскомнадзор начал массово требовать уведомления об обработке персональных данных
19 Июля, 2018
Елена Рыбникова
руководитель отдела контроля качества услуг и методологии
Причина активности Роскомнадзора — сверка баз зарегистрированных налогоплательщиков в ФНС с базой операторов персональных данных Роскомнадзора.
Напомним, что уведомление о том, что компания является оператором персональных данных, обязаны подавать все, кто обрабатывает персональные данные физических лиц. Уведомление заполняется на сайте Роскомнадзора.
Согласно ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
Если вы хотя бы один раз запросили у физлица персональные данные и передали их третьим лицам, то ДА, вы являетесь оператором: купили билет работнику в командировку, оформили зарплатную или корпоративную карту, сделали постоянный пропуск на территорию бизнес-центра у сторонней службы охраны, взяли резюме у соискателя и т.п.
Штрафы
С 1 июля 2017 года существенно ужесточена ответственность за нарушения при работе с персональными данными (см. таблицу).
Нарушение | Штрафные санкции | ||
Должностное лицо | Юридическое лицо | ИП | |
Обработка персональных данных в случаях, не предусмотренных законодательством РФ | 5 000 – 10 000 руб. | 30 000 – 50 000 руб. | 5 000 – 10 000 руб. |
Обработка персональных данных, несовместимая с целями сбора персональных данных | 5 000 – 10 000 руб. | 30 000 – 50 000 руб. | 5 000 – 10 000 руб. |
Обработка персональных данных без согласия в письменной форме | 10 000 — 20 000 руб. | 15 000 – 75 000 руб. | 10 000 — 20 000 руб. |
Невыполнение условий, обеспечивающих сохранность персональных данных | 4 000 – 10 000 руб. | 25 000 – 50 000 руб. | 10 000 – 20 000 руб. |
Невыполнение обязанностей оператора в части политику оператора в отношении обработки персональных данных | 3 000 – 6 000 руб. | 15 000 – 30 000 руб. | 5 000 – 10 000 руб. |
Невыполнение оператором обязанности по информированию субъекта об обработке его персональных данных | 4 000 – 6 000 руб. | 20 000 – 40 000 руб. | 10 000 – 15 000 руб. |
Невыполнение оператором требования субъекта об уничтожении его персональных данных | 4 000 – 10 000 руб. | 25 000 – 45 000 руб. | 10 000 – 20 000 руб. |
На данный момент нет комментариев что делать, если компания уже давно работает с персональными данными, но уведомления не подавала. Штрафных санкций тоже пока не применяли (за первый раз — предупреждение, далее — максимум 75 000 руб. за каждое нарушение для юридических лиц и 20 000 руб. для ИП). Однако, Интеркомп рекомендует обезопасить себя и подать уведомление.
Справочно. Понятие «оператор» и «обработка персональных данных»
Приложение к приказу Роскомнадзора от 30.05.2017 N 94:
П. 2.1.
Оператор — федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, иные государственные органы (далее — государственные органы), органы местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
П. 2.4.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Источник: https://www.intercomp.ru/press-center/blog/roskomnadzor-nachal-massovo-trebovat-uvedomleniya-ob-obrabotke-personalnykh-dannykh/
Об утверждении образца формы уведомления об обработке персональных данных (с изменениями на 18 февраля 2009 года) (не применяется на основании приказа Роскомнадзора от 16.07.2010 N 482), Приказ Роскомнадзора от 17 июля 2008 года №08
(с изменениями на 18 февраля 2009 года)____________________________________________________________________Не применяется на основании
приказа Роскомнадзора от 16 июля 2010 года N 482
____________________________________________________________________
______________________________________________________________Документ не нуждается в госрегистрации
Министерства юстиции Российской Федерации. —
Письмо Минюста России от 06.08.2008 N 01/7830-АС.
______________________________________________________________
____________________________________________________________________
Документ с изменениями, внесенными:
приказом Роскомнадзора от 18 февраля 2009 года N 42.
____________________________________________________________________
В целях реализации частей 1, 3 статьи 22, а также части 4 статьи 25 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 31.07.2006, N 31 (1 ч.), ст.3451,
приказываю:
1. При направлении уведомления об обработке (о намерении осуществлять обработку) персональных данных рекомендуется использовать следующий образец (приложение N 1).
2. Утвердить Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (приложение N 2).
3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Россвязькомнадзора А.А.Романенкова.
Врио руководителяС.К.Ситников
Приложение N 1. Уведомление об обработке (о намерении осуществлять обработку) персональных данных
Приложение N 1к приказу Россвязькомнадзораот 17 июля 2008 года N 08Образец
Руководителю Управления Федеральной службы |
по надзору в сфере связи и массовых коммуникаций |
по |
(наименование (фамилия, имя, отчество), адрес оператора) |
руководствуясь | |||
(правовое основание обработки персональных данных) | |||
с целью | |||
(цель обработки персональных данных) | |||
осуществляет обработку: | |||
(категории персональных данных) | |||
принадлежащих: | |||
(категории субъектов, персональные данные которых | |||
обрабатываются) | |||
Обработка вышеуказанных персональных данных будет осуществляться путем | |||
(перечень действий с персональными данными, общее описание используемых оператором | |||
способов обработки персональных данных) | |||
(описание мер, которые оператор обязуется осуществлять при обработке | |||
персональных данных, по обеспечению безопасности персональных данных при их обработке) | |||
Дата начала обработки персональных данных: | |||
Срок или условие прекращения обработки персональных данных: | |||
(подпись) | |||
(должность) | (расшифровка подписи) | ||
« | « | 200 | г. |
Приложение N 2. Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных
Приложение N 2к приказу Россвязькомнадзораот 17 июля 2008 года N 08
(с изменениями на 18 февраля 2009 года)
1. Настоящие Рекомендации разработаны в целях установления единых принципов и порядка заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее — Уведомление).
2. Уведомление оформляется на бланке оператора, осуществляющего обработку персональных данных, и направляется в территориальный орган Федеральной службы по надзору в сфере связи и массовых коммуникаций (далее — территориальный орган Россвязькомнадзора).
3. Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. В поле «наименование (фамилия, имя, отчество), адрес оператора» указывается:
4.1.
Источник: http://docs.cntd.ru/document/902118027
Уведомление об обработке персональных данных на сайте www pd rkn gov ru (Роскомнадзор) в 2019 году — скачать, пример, заполненный
Правила обработки персональных данных в Российской Федерации утверждены на законодательном уровне, и периодически рекомендации Роскомнадзора — контролирующего эту сферу органа, обновляются.
Поэтому следует отслеживать последние изменения и разбираться, в каких случаях потребуется уведомлять эту организацию об обработке персональных данных, и как это можно сделать правильно.
Подготовка документа с уведомлением — это один из важнейших нюансов, который позволит не нарушать нормы и при этом грамотно сотрудничать с РКН.
Кем оформляется документ
Нормы того, как необходимо обрабатывать персональную информацию населения, и какие еще обязанности есть у компаний, выполняющих роль операторов, изложены в законе 152-ФЗ “О персональных данных”.
В нем говорится о том, что прежде чем начинать такую деятельность, компания должна известить об этом Роскомнадзор.
При этом есть определенные нормы того, как это сделать верно, найти их можно в Методических рекомендациях по уведомлению уполномоченного органа.
Нюансы, которые действовали с 2011 года, больше недействительны, как и рекомендации от 2016 года, ведь датой последних изменений стало 21 августа 2017 года.
Согласно законодательства, произвести оповещение Роскомнадзора о деятельности, связанной с обработкой персональных данных, должен любой оператор.
Компания получает такой статус, если как-либо работает с информацией, запрашиваемой у граждан и относящейся к разряду личной.
Так, при получении фирмой сведений о месте проживания клиентов, их паспортных реквизитов или иных сведений, которые могут связать их с конкретной личностью, следует обязательно отправлять документацию в контролирующую организацию.Но есть и исключения из этой нормы, например в следующих ситуациях:
- если компания собирает и производит обработку информации только среди своих сотрудников;
- личные сведения применяются только для формирования договоров, например, когда в соглашении указываются данные представителя другой компании;
- обработка не связана с использованием автоматизационных методов.
Во всех остальных ситуациях Роскомнадзор должен получать соответствующую информацию о ведении подобной деятельности.
Делать это следует путем формирования документа, созданного по утвержденной в правовых нормах форме. На сайте РКН можно увидеть, как выглядит уведомление, и какие данные в него следует включать.
Это ведомство формирует реестр операторов личных данных граждан, и после отсылки уведомления туда, за месяц документ обработают и внесут сведения в реестр всех распорядителей. А об успешном внесении можно узнать непосредственно на официальном ресурсе.
Можно использовать не только стандартный способ передачи документа, то есть бумажный, но и задействовать электронный метод.
Для этого нужно произвести заполнение уведомления, взятого на сайте, далее документ распечатывается. На нем ставится электронная цифровая подпись ответственного лица и отсылается через электронную почту.
Также для этого подойдет функционал ресурса “Госуслуги”, что будет самым быстрым и удобным способом.
При заполнении бумажного документа его можно как отнести лично, так и использовать почтовые услуги, создав заказное письмо с описью содержимого и уведомлением о прибытии получателю.
Если этого не сделать вовремя, то компания будет привлечена к административной ответственности согласно КоАПа РФ.
Граждане по этим нормам будут вынуждены заплатить от 100 до 300 рублей взыскания, должностные лица будут оштрафованы на сумму 300-500 рублей, а компания в целом, как юрлицо, получит санкцию на уровне 3-5 тыс. рублей.
Общее содержание
В целом уведомление РКН о проводимой обработке персональных данных и их сборе, не отличается сложным форматом, но должно содержать информацию о том, какие именно сведения собираются, с какой целью, и что используется как для сбора, так и обработки данных.
Таким образом, при подаче соответствующего уведомления, следует указать следующую информацию:
Название того отделения ведомства РКН | По которому находится компания |
Разновидность оператора | Это юридическое лицо, или другой тип организации деятельности |
Название фирмы | Подающей документ |
Адрес нахождения компании | По которому ее можно найти и идентифицировать |
Идентификационный код и ОГРН юридического лица | — |
Основания | На которых производится обработка данных, и цель, которая преследуется в ее итоге |
Меры | Которые принимаются для обеспечения безопасности и сохранения информации в тайне от третьих лиц |
Дату начала обработки | Срок, в который это завершится, вместо последнего можно прописать условия, которые могут повлечь за собой прекращение работы с персональными данными |
Категории субъектов права | Сведения о которых будет обрабатывать фирма |
Список операций | Осуществляемых с данными, в том числе и способы обработки получаемой информации |
Будет ли производиться | Трансграничная передача получаемых данных |
Адрес | По которому находится база, где сведения хранятся физически и их можно будет достать |
Лицо | Которое несет полную ответственность за работу с данными, либо перечисление всех таких людей, если их несколько |
Прочая информация в уведомлении о проведении обработки личных данных оговариваться в обязательном порядке не должна. Но если компания желает, или имеет основания для добавления, то она может это сделать.
Образец заполнения формы (пример)
Начинается бланк уведомления с должности человека, которому направляется документ, а также подразделение, где он является начальником.
Так, Роскомнадзор правильно будет назвать Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Кроме того, отдельно указывается адрес подразделения, и после наименования документа можно приступать к основной части.
Так, говорится о полном названии оператора и его адресе, а также контактной информации, с указанием номера телефона, адреса электронной почты, регионах, где он находится, коды и ИНН также обязательно пишутся.
Наличие филиалов необходимо отразить, а правовым основанием будет любой закон, позволяющий собирать данные.
Цель, меры соблюдения закона и обеспечения безопасности также обязательно отражаются в уведомлении к учреждению, занимающемуся наладкой информационного надзора.
Далее говорится дата начала обработки, а также вариации, при которых может прекратиться работа с данными.Дальше подаются характеристики информационных систем, сведения о местонахождении информационной базы и применении шифровальных систем, с обязательным указанием реквизитов и уровня защиты.
Финальным разделом будет информация об ответственном за организацию обработки персональных данных человеке, после чего ставится должность подателя, его подпись и расшифровка автографа с датой составления.
Когда компания хочет собирать и производить обработку личной информации клиентов или третьих лиц, ей нужно составить уведомление и отправить его в Роскомнадзор для подтверждения таких полномочий.
В бумаге указываются цели и методы сбора данных, а также методы защиты и сведения об операторе.
Если такого документа не будет подано, то компании грозит штраф, который в самом большом размере составит 5 тысяч рублей.
Источник: https://juristhere.ru/uvedomlenie-ob-obrabotke-personalnyh-dannyh-na-sajte-www-pd-rkn-gov-ru/