Pravo-76.ru

Юридический журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как подать уведомление в Роскомнадзор об обработке персональных данных?

Заполняем уведомление об обработке персональных данных в Роскомнадзор. Как избежать ошибок?

Если неправильно заполнить уведомление об обработке персональных данных, то впоследствии со стороны Роскомнадзора могут последовать штрафы. Например, бывает, что не указывают все информационные системы персональных данных или не могут предоставить договор с арендуемым дата-центром. Между тем, Роскомнадзор уделяет уведомлению большое внимание на проверках, сверяя описанный в нем порядок обработки персональных данных с фактическим.

Рассказывает:

Павел Новожилов,

руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет»

К омпания до начала обработки персональных данных (ПДн) обязана уведомить Роскомнадзор о своем намерении обрабатывать ПДн (кроме некоторых исключительных ситуаций). Это указано в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон № 152-ФЗ).

Если компания направит уведомление с ошибками, представители регулятора могут не отреагировать сразу на все несоответствия, заметив только наиболее грубые. Но когда в компании будет проверка, от внимания проверяющих не ускользнут даже мелкие ошибки. Обнаружив, что сведения в уведомлении не соответствуют фактическому порядку обработки ПДн, Роскомнадзор может выдать предписание об устранении нарушений, а в случае невыполнения этих требований в установленный срок и оштрафовать.

Что не стоит указывать в качестве правового основания для обработки ПДн?

Правовыми основаниями для обработки ПДн могут быть нормативные правовые акты:

  • Гражданский и Трудовой кодексы,
  • Федеральный закон «Об исполнительном производстве»,
  • Приказы Минздравсоцразвития,
  • положения и инструкции Банка России и т.д.

Кроме этого, к основаниям относятся учредительные документы оператора ПДн, договоры с субъектами ПДн и их согласия на обработку. О последних при заполнении уведомления часто забывают.

Многие указывают в качестве правового основания в уведомлениях и во внутренних документах сам Закон № 152-ФЗ. Это ошибка.

Как заполнить раздел об информационных системах персональных данных?

Для начала рекомендуем определиться с перечнем информационных систем персональных данных (ИСПДн). Ими могут быть, например, SAP HR, 1C ЗУП, Siebel и другие. Как правило, организации оформляют такой перечень документально.

Затем следует обратить внимание на группу ИСПДн. Как таковые группы нигде не определены, поэтому каждая компания самостоятельно принимает решение о группировке. На практике группировка выполняется по системам, имеющим схожую архитектуру и единую категорию обработки ПДн.

Хотя Закон № 152-ФЗ и допускает деление ИСПДн на группы, важно учитывать, что указываемые о них данные могут применяться не ко всем информационным системам. Приведем простой пример: трансграничная передача ПДн может осуществляться только в двух информационных системах из восьми, входящих в ИСПДн.

Что указать о месте размещения базы данных?

Не так давно появилось требование вносить в уведомление сведения о местонахождении базы данных ПДн граждан РФ (подп. 10.1 п. 3 ст. 22 Закона № 152-ФЗ). На практике это значит, что организация должна указать, какой использует центр обработки данных (ЦОД, дата-центр): собственный или арендованный.

Если организация арендует ЦОД, то нужно убедиться в наличии договора с арендованным дата-центром, так как в ходе проверки его придется предоставить специалистам Роскомнадзора. Информацией о размещении ЦОД обладают ИТ-специалисты.

Важно разобраться, где происходит первичный сбор ПДн россиян. При проверке представители Роскомнадзора будут обращать внимание на зарубежные дата-центры, указанные в уведомлении, и к этому стоит подготовиться заранее. Напомним, что за первичный сбор ПДн граждан РФ с использованием базы данных за пределами России компаниям грозят штрафы от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. за повторное (ч. 8 ст. 13.11 КоАП РФ).

На заметку

Если организация собирает ПДн граждан РФ с использованием базы данных действительно через иностранный ЦОД, то тогда будет штраф по ч. 8 ст. 13.11 КоАП РФ. Но бывает, что организации собирают ПДн на территории РФ, а потом выполняется их передача в информационные системы, размещенные в зарубежном ЦОД. То есть нарушения не будет, если актуализация данных и ввод осуществлялся в базах данных на территории РФ, так как дальнейшая передача в иностранные ЦОД не запрещена при соблюдении данного условия.

Как быть с трансграничной передачей ПДн?

В случае трансграничной передачи персональных данных при заполнении уведомления необходимо обратить внимание на два важных нюанса.

Во-первых, нужно убедиться в наличии договора с компанией, куда они передаются, поскольку он может понадобиться представителям Роскомнадзора во время проверки.

Во-вторых, следует проверить, какие именно страны в нем указаны. Дело в том, что в договоре могут быть прописаны как конкретные страны, так и указана их группа, объединенная по какому-либо признаку: СНГ, страны всего мира, страны Европы и т.д. Если в договоре используется общая формулировка, например, «страны Европы», то в уведомлении их необходимо перечислить. В противном случае проверяющие могут расценить это как нарушение и выписать организации соответствующее предписание.

Что указывать в описании мер и средств обеспечения безопасности?

Если смотреть раздел уведомления «Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ», то тут указываются меры из постановлений Правительства от 06.07.2008 № 512, от 01.11.2012 № 1119, от 15.09.2008 № 687. Например, могут быть указаны следующие меры:

  • в компании разработана модель угроз;
  • определены уровни защищенности ПДн при их обработке в ИСПДн;
  • определен перечень лиц, осуществляющих обработку ПДн неавтоматизированным и автоматизированным способами.

Если смотреть раздел «Описание мер, предусмотренных статьями 18.1. и 19 Закона № 152-ФЗ», то необходимо указать выполняемые оператором меры защиты, указанные в данных статьях. Например:

  • назначено ответственное лицо за организацию обработки ПДн;
  • в компании проводится оценка вреда субъектам ПДн;
  • установлены правила доступа к ПДн.

В части подраздела «средства обеспечения безопасности» перечисляют подсистемы обеспечения защиты ПДн. Например, средства управления доступом, средства межсетевого экранирования, средства антивирусной защиты и др.

БЛИЦ-ОПРОС

Какую указывать дату начала обработки персональных данных в уведомлении? Если указать реальную дату, то есть позже начала работы, не будет ли это поводом для проверки Роскомнадзора из-за того, что компания не сразу подала уведомление?

— Как правило, указывается дата, с которой компания начала работать и, как следствие, обрабатывать ПДн. Если организация отправит уведомление гораздо позже, Роскомнадзор может сразу обратить на это внимание, расценить как несоответствие Закону № 152-ФЗ и выдать предписание о его устранении. В большинстве же случаев поводом для проверки становятся публикации об утечках в СМИ и обращения граждан, по которым выявлено нарушение.

Если компания обрабатывает cookies, то нужно ли указывать об этом в разделе «Другие категории персональных данных, не указанные в данном перечне»?

— Да, такую информацию необходимо указывать.

Что делать, если процесс обработки ПДн изменился после отправки уведомления?

Операторы персональных данных обязаны сообщать в Роскомнадзор обо всех изменениях, которые происходят после подачи уведомления (п. 7 ст. 22 Закона № 152-ФЗ). Для внесения изменений в ранее поданное уведомление я рекомендую выполнить следующее:

  • зайти на сайт Роскомнадзора;
  • заполнить обязательные поля информационного письма;
  • заполнить поля информационного письма, в которые внесены изменения;
  • после заполнения полей информационного письма отправить его в информационную систему Роскомнадзора;
  • распечатать заполненную форму информационного письма и подписать внутри своей организации;
  • направить по почте подписанную форму информационного письма в территориальный орган Роскомнадзора по месту регистрации организации.

Когда можно не подавать уведомление в Роскомнадзор?

Существует девять исключений, когда уведомление в Роскомнадзор можно не заполнять (п. 2 ст. 22 Закона № 152-ФЗ). Однако в большинстве случае воспользоваться ими и не отправлять уведомление в Роскомнадзор не получится.

  1. Компания обрабатывает ПДн только своего персонала. Но на практике компании зачастую обрабатывают персональные данные соискателей, посетителей, клиентов, пользователей личного кабинета, контрагентов и т.д. Поэтому большинству организаций это исключение не подойдет.
  2. Компания получает ПДн при заключении договора и использует их исключительно для его исполнения, а сами данные при этом не распространяются и не передаются третьим лицам без согласия субъекта. На деле выполнить эти условия не так просто. Ведь организация может передавать ПДн значительному количеству третьих лиц, а наличие согласий на такие действия не всегда отслеживает. ПДн могут обрабатываться и в целях, отличных от тех, что указаны в договоре, например, для рассылки в маркетинговых целях. В подобных случаях применить это исключение не получится.
  3. Общественные объединения и религиозные организации обрабатывают ПДн своих участников для достижения законных целей, предусмотренных в их учредительных документах. Здесь, как и в предыдущем примере, есть важное и вместе с тем трудновыполнимое условие: персональные данные не должны распространяться или раскрываться третьим лицам без письменного согласия субъектов. Так что и это исключение применимо не для каждой общественной или религиозной организации.
  4. Субъект сам сделал свои персональные данные общедоступными. Сложность здесь заключается в том, что наряду с общедоступными данными компании, как правило, обрабатывают и другие категории ПДн, в том числе специальные и биометрические. Поэтому практически для всех организаций это исключение не применимо.
  5. Персональные данные включают только ФИО. Как подсказывает опыт подготовки организаций к проверкам Роскомнадзора, зачастую компании обрабатывают гораздо больше сведений о гражданах, поэтому это исключение также не применимо в большинстве случаев.
  6. ПДн обрабатываются для однократного пропуска человека на территорию оператора. Здесь также есть подводные камни, ведь организации могут обрабатывать ПДн и в других целях, например, при подборе кадров, оказании материальной помощи персоналу и т. д.
  7. ПДн обрабатывают государственные информационные системы (ГИС), созданные для защиты безопасности государства и общественного порядка. Часть информационных систем действительно может иметь такой статус. При этом в организации могут быть и другие системы, для которых данное исключение не действует. Например, если в них обрабатываются персональные данные для внутренних целей: ПДн соискателей, контрагентов и т. д.
  8. Компания обрабатывает ПДн без использования средств автоматизации при их защите по всем нормативным требованиям. Однако сегодня сложно представить себе компании, которые могли бы обойтись без информационных систем для обработки ПДн.
  9. ПДн обрабатываются для обеспечения транспортной безопасности. Организации транспортного комплекса, например, ж/д или авиаперевозчики, как и компании из других отраслей, могут обрабатывать персональные данные в других целях, и в этом случае данное исключение для них будет не применимо.
Читать еще:  Примерная форма трудового договора с главным бухгалтером срочный договор

Таким образом, практически всем операторам ПДн необходимо направлять уведомление в Роскомнадзор.

Уведомление Роскомнадзора об обработке персональных данных в 2020 г

Перед тем, как начать собирать персональные данные, оператору необходимо уведомить об этом Роскомнадзор в соответствии ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Без уведомления Роскомнадзора можно обойтись если вы:

  • Обрабатываете данные в соответствии с трудовым законодательством.
  • Данные получены в связи с заключением договора, стороной которого является субъект персональных данных. При этом сведения должны не распространятся и не передаваться третьим лицам без согласия субъекта. Только использование для исполнения договора и заключения договоров с субъектом.
  • Сделанных субъектом ПДн общедоступными.
  • Полученных для однократного пропуска субъекта ПДн на территорию, на которой находится оператор.
  • Включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.
  • Обрабатываемых без использования средств автоматизации.

Бумажный носитель vs электронный документ: форма уведомления об обработке персональных данных в Роскомнадзор

При отправке уведомлений об обработке персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций у операторов часто возникает вопрос: нужно ли отправлять письмо с распечатанным уведомлением или достаточно заполнить электронную форму уведомления на портале Роскомнадзора.

ФЗ-152, как и п. 3.2 Методических рекомендаций по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 разрешают отправлять уведомление на бумажном носителе или в форме электронного документа.

Несмотря на это полностью исключить бумажные носители из документооборота не удалось – так как правовым основанием для совершения регистрационных действий являются бумажные варианты документов, операторы обязаны направлять бумажные носители независимо от того, подавались ли они в электронном виде.

На практике направление уведомления о персональных данных в Роскомнадзор происходит в два этапа:

  1. заполнение формы уведомления Роскомнадзора в электронном виде – необходимо для ускорения работы по внесению данных в реестр и получения готовой заполненной формы для печати на бумажном носителе;
  2. отправка формы уведомления на бумажном носителе – является основанием для совершения Роскомнадзором регистрационных действий (уведомление регистрируется в уполномоченном органе и является основанием для внесения оператора в реестр).

В будущем планируется полный переход на электронный документооборот, но до этого момента операторы не могут избежать бумажной работы и должны направлять оформленные и подписанные уведомления на бумажном носителе.

Форма уведомления Роскомнадзора об обработке персональных данных в 2020 г.

ФЗ-152 не утверждает обязательную форму или бланк уведомления об обработке персональных данных. По закону главное – предоставить сведения, которые указаны в норме.

Форма уведомления об обработке персональных данных, рекомендуемая к использованию Роскомнадзором, содержится в Приложении № 1 к Методическим рекомендациям по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017. Данная форма содержит сведения, требуемые ст. 22 ФЗ-152 и необходимые для включения в реестр операторов.

На практике самый простой и быстрый способ получить заполненное уведомление о персональных данных в Роскомнадзор – заполнить форму, предложенную на портале персональных данных и без изменений распечатать её на бумажном носителе для направления в Роскомнадзор. Далее мы рассмотрим, как заполнить форму уведомления Роскомнадзора об обработке персональных данных.

Заполнение уведомления в Роскомнадзор: подпись, оформление и отправка уведомлений об обработке персональных данных

При оформлении и отправке уведомлений об обработке персональных данных у операторов часто возникают вопросы, связанные с подписанием и оформлением уведомлений. Ниже приведены самые популярные из них.

Кто может подписывать уведомление о персональных данных в Роскомнадзор?

Согласно ФЗ-152 уведомление в Роскомнадзор должны быть подписано уполномоченным лицом. Специальных требований к подписанию уведомлений не установлено.Исходя из общих положений законодательства здесь возможно несколько вариантов:

  • Подписание уведомления лицом, имеющим право подписи без доверенности – к ним чаще всего относятся руководители (можно проверить в ЕГРЮЛ).
  • Подписание уведомления по доверенности – может подписывать иное лицо. В таком случае к уведомлению нужно приложить доверенность на право подписи.

Есть ли дополнительные требования к оформлению уведомлений?

Оператору необходимо распечатать, подписать уведомление, проставить на нем печать и направить в территориальное отделение Роскомнадзора. В уведомлении на бумажном носителе необходимо указать текущую дату отправки уведомления в бумажном виде. Если уведомление подписано по доверенности, необходимо также приложить к нему оформленную доверенность или надлежащим образом заверенную копию.

Из дополнительных требований – Роскомнадзор также рекомендует размещать уведомление на фирменном бланке оператора.

В то же время важно понимать, что получение Роскомнадзором документа на бумажном носителе является основанием для совершения регистрационных действий, поэтому фиксация факта получения письма Роскомнадзором, находится в интересах оператора.

Заполнение уведомления в Роскомнадзор: сроки и порядок отправки уведомления об обработке персональных данных

ФЗ-152 обязывает операторов персональных данных высылать уведомление о начале обработки персональных данных. Операторам не стоит пренебрегать выполнением этого требования – не уведомление Роскомнадзора может повлечь привлечение к административной ответственности в соответствии с Статьей 19.7 КоАП РФ
Уведомление в Роскомнадзор подразумевает включение оператора в реестр операторов по обработке персональных данных. Для включения в реестр оператору необходимо заполнить и отправить уведомление по обработке персональных данных.

Срок направления уведомления оператором – до начала обработки персональных данных. Срок включения в реестр – 30 дней с даты регистрации уведомления Роскомнадзором. Как правило, оператор о включении в реестр не уведомляется. Отслеживать статус уведомления можно самостоятельно по ссылке. Для проверки статуса уведомления нужно запомнить его номер и ключ – их можно найти в конце каждого электронного уведомления после его заполнения.

Читать еще:  Прощальное письмо коллегам руководителю и коллективу при увольнении примеры

Заполнение уведомления в Роскомнадзор: цели обработки уведомления об обработке персональных данных

Направление уведомления об обработке персональных данных является условием начала обработки персональных данных, а его неправильное заполнение может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.

Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.

Определяем цели обработки данных

Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.
При определении целей обработки персональных данных и заполнении уведомления необходимо проанализировать следующее:

  1. Цели деятельности оператора, определённые в его уставе, локальных актах, согласии на обработку персональных данных, анкетах, договорах, предусматривающих передачу персональных данных и пр.
  2. Основания получения персональных данных, деятельность, которую оператор осуществляет при получении и обработке персональных данных на таких основаниях.

Цели, указываемые в уведомлении, должны охватывать все случаи обработки персональных данных. При этом нужно учитывать как внешнюю деятельность компании – работа с клиентами, пользователями, заключение и исполнение договоров, маркетинговая активность и пр., так и внутреннюю – подбор и приём кадров, сбор данных о сотрудниках, организация пропускного режима.

Примеры заполнения информации о целях обработки персональных данных в уведомлениях:

цель обработки, регистрации сведений, необходимых для оказания услуг учащимся в области образования, персональных данных работников, сведений об их профессиональной служебной деятельности

цель обработки, регистрации сведений, необходимых для оказания жилищно-коммунальных услуг собственникам, жильцам помещений, персональных данных работников, сведений об их профессиональной служебной деятельности

При определении целей рекомендуется привлекать специалистов, которые знакомы со всей деятельностью компании, а не заняты в одном отделе – это обеспечит правильность и полноту работы в сфере обработки персональных данных.

Заполняем уведомления об обработке персональных данных: Категории персональных данных

Указание неполного перечня обрабатываемых персональных данных – одно из типовых нарушений в сфере обработки персональных данных. Чтобы избежать сложностей в заполнении уведомления разберёмся, какие сведения о персональных данных нужно указывать в уведомлении об обработке.

Из законодательства следует, что категории персональных данных – это перечень персональных данных, конкретные сведения о субъекте, с помощью которых он идентифицируется или может быть идентифицирован.

Персональные данные группируются в зависимости от их особенностей, на основе чего их относят к специальным, биометрическим и иным видам категорий персональных данных.

Электронная форма уведомления на портале Роскомнадзора предлагает при определении категорий персональных данных указать конкретные сведения, которые будет собирать оператор – ФИО, дата, место рождения, семейное и социальное положение и пр.

Сложность в определении категории персональных данных при заполнении уведомления связана с тем, что сам по себе перечень персональных данных не является исчерпывающим.
В электронной форме уведомления есть графа «Другие категории персональных данных, не указанные в данном перечне», в которой оператор самостоятельно вписывает обрабатываемые персональные данные.

Операторы указывают не все «иные категории» и, как результат, нарушают требования законодательства. Так, операторы часто не указывают сведения о составе семьи; о трудовом и общем стаже, воинском учете; ИНН; СНИЛС и пр.

Во избежание неверного заполнения уведомления об обработке необходимо чётко определить цели обработки персональных данных, после чего указать, какие именно данные субъектов персональных данных будут обрабатываться для их достижения.

При этом нужно учитывать особенности толкования положений законодательства в части отнесения тех или иных данных к персональным. Так, согласно подходу Роскомнадзора к биометрическим персональным данным могут относиться не только данные изображения отпечатка пальца, радужной оболочки глаза и т.д., но и изображения лица.

Заполняем уведомления об обработке персональных данных: категории субъектов персональных данных

Статья 22 ФЗ-152 обязывает операторов указывать категории субъектов, персональные данные которых обрабатываются. Логично, что субъектами персональных данных являются физические лица, но остаётся открытым вопрос, как их нужно идентифицировать в уведомлении Роскомнадзора.

Категории субъектов персональных – это указание на правовой статус субъектов персональных данных, определение места физических лиц в отношениях с оператором.

Так, если оператор обрабатывает информацию в целях обработки персональных данных персонала, то такое физическое лицо определяется в уведомлении как «работник», что и является категорией субъектов персональных данных.

Контрагентов необходимо идентифицировать как сторону вида заключаемых с ними гражданско-правовых договоров.

Роскомнадзор в Методических рекомендациях по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 рекомендует указывать в уведомлениях виды отношений оператора с субъектами персональных данных, т.е. определять, какие отношения (трудовые, гражданско-правовые и пр.) связывают оператора и физическое лицо-субъекта персональных данных.

Таким образом, для указания полной и достоверной информации об обработке персональных данных, правильного уведомления Роскомнадзора необходимо описывать категории персональных данных по следующему образцу:

работники, состоящие в трудовых отношениях с оператором физические лица (абонент, пассажир, заказчик), состоящие в договорных или иных гражданско-правовых отношениях с оператором

а так же уделять внимание внутреннему аудиту персональных данных, периодически сверяя состав документов и информацию в них.

Заполнение уведомления в Роскомнадзор: внесение изменений в уведомление об обработке персональных данных

Если в деятельности организации, произошли изменения влияющие на процесс обработки персональных данных, оператору ПД необходимо направить информационное письмо регулятору в течение 10 рабочих дней с момента возникновения поправок для внесения изменений в ранее отправленное уведомление.

Информационное письмо оформляется на бланке оператора по форме, определенной Приложением 2 к Рекомендациям, и направляется в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе. Поля, отмеченные *, обязательны для заполнения.

Если установится факт размещения в реестре операторов недостоверной или неполной информации, сотрудник Роскомнадзора информирует ответственное лицо в компании оператора путем направления в его адрес письма о перечне недостающих или неточных сведений. Решить вопрос необходимо в течение 30 дней со дня получения такого запроса. Далее мы рассмотрим как заполнить информационное письмо.

Кем заполняется и кто подает?

Прежде чем отправить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных, лицу следует разобраться, является ли оно оператором ПД.

Законом предусмотрен ряд исключений, когда уведомлять надзорный орган нет необходимости. Уведомление может быть составлено в форме электронного или бумажного документа. За составление документа отвечает лицо, уполномоченное осуществлять операции в сфере ПД в данной организации (п. 1-4 ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Это может быть сотрудник юридического отдела, отдела кадров или любой представитель администрации.


Если документ составляется в бумажной форме, подавать его можно как письмо, отправив по почте. Альтернативным способом подачи является электронное заполнение на сайте Роскомнадзора.

Заполненную на портале форму придется распечатать и так же отправить по почте, тем самым подтвердив сведения, поданные через онлайн-ресурс.

В обоих случаях бумажный носитель заверяется печатью, подписями генерального директора и уполномоченного за обработку ПД лица. Направлять уведомляющий документ следует в управление по тому субъекту Российской Федерации, где зарегистрировано лицо.

Уведомление в электронной форме можно отправить исключительно через Госуслуги. В этом случае распечатывать его и отправлять в Роскомнадзор нет необходимости.

Когда не нужно отправлять уведомление о персональных данных в Роскомнадзор

Как уже упоминалось ранее, не все субъекты хозяйствования обязаны осуществлять уведомление Роскомнадзора о проводимых мероприятиях по обработке персональных данных. Причем данные исключения могут касаться как субъектов хозяйствования в целом, так и отдельных видов персональных данных или ситуаций, в которых происходит их обработка. К подобным случаям можно отнести следующие ситуации, в которых законодательство освобождает оператора персональных данных от обязанности уведомлять Роскомнадзор:

Читать еще:  Что написать о себе в резюме чтобы заинтересовать работодателя?

Обработка персональных данных проводится для оформления трудового договора, а объем запрашиваемых сведений не превышает необходимого для проведения означенной процедуры.

  • Договор оформляется с физическим лицом и в обработке персональной информации не будут участвовать третьи лица никоим образом.
  • Персональные данные обрабатываются общественной организацией или религиозной общиной, и также не будут использоваться для передачи их третьим лицам за пределами означенной структуры.
  • Обработка проводится в отношении общедоступной информации.
  • Проводится обработка исключительно имени, фамилии и отчества лица.
  • Целью обработки является оформление единоразового пропуска.
  • Обрабатываемый материал уже содержится автоматизированных государственных информационных системах.
  • Сбор сведений проводится в рамках деятельности транспортной компании и в целях обеспечения безопасности.
  • В ситуациях, которые находятся вне рассматриваемого перечня, любые действия по обработке персональных данных, равно как и в ситуациях, когда обрабатываются специальные персональные данные, необходимо уведомление Роскомнадзора. Кроме этого, в большинстве таких случаев также необходимо получение и согласия лица, в отношении которого проводится обработка информации.

    Порядок подачи претензии

    Обратите внимание, процедура бесплатна, никаких гос. пошлин платить не придется. Из вышесказанного можно сделать вывод, что подать жалобу можно 3-мя способами, а именно лично, при помощи отправки заявления по почте, через официальный сайт.

    При подаче через интернет следует внимательно заполнять все формы, дабы не допустить ошибок и не получить отказ из-за такой мелочи.

    На официальном сайте Роскомнадзора предусмотрен специальный раздел, который потребует от подающего заполнения формы с персональными данными. Также приветствуется подача заявления через Госуслуги.

    Что делать, если коллекторы звонят на работу?

    Как написать заявление в Прокуратуру о проведении проверки, читайте тут.

    Какой срок исковой давности по кредитной задолженности, читайте по ссылке: https://novocom.org/banki-i-kredity-2/srok-iskovoj-davnosti-po-kreditnoj-zadolzhennosti.html

    Важно! При заполнении заявления, подаче жалобы в электронном виде обращайте внимание на электронный адрес сайта. На сегодняшний день существует множество клонов, которые делают идентичный дизайн оригинала.

    Цель этих клонов проста получить данные и использовать их в своих целях. Также при авторизации на подобном клоне злоумышленники получат пароль от реального сайта, а Вам сайт выдаст ошибку с просьбой немного подождать.

    Чтобы не попасться на фишинг, следует тщательно проверять ссылку, в фишинговых сайтах она отличается от оригинальной, порой сильно, порой почти незаметно. Будьте бдительны!

    Как составить жалобу в Роскомнадзор на коллекторов?

    Что изменилось в обработке персональных данных?

    Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

    • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку персональных данных.
    • Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
    • В согласии на обработку персональных данных, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

    Как прекратить передачу данных, разрешенных для распространения?

    Законодательство обязывает прекратить передачу персональных данных, разрешенных для распространения, в любое время по требованию субъекта.

    Для этого нужно направить требование, в котором нужно четко указать перечень персональных данных, обработку которых нужно прекратить.

    Указанные персональные данные могут обрабатываться только оператором, которому оно направлено.

    В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физическому лицу, то к персональным данным относятся:

    • ФИО;
    • дата рождения;
    • адрес;
    • телефон;
    • электронный адрес;
    • фотография;
    • ссылка на персональный сайт;
    • ссылка на профиль в социальных сетях.

    Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и пр.

    Закон о персональных данных

    Содержание

    ФЗ-152 о “Персональных данных” требует, чтобы каждая организация еще до начала сбора, обработки и хранения персональных данных была внесена в реестр операторов, либо принять ряд компенсационных мер, которые позволили бы избежать данной регистрации. Отсутствие уведомления – одно из самых распространенных нарушений, которое выявляется в ходе проверок. — Анастасия Шоричева

    Один из главных вопросов:

    Всем ли нужно регистрироваться в Роскомнадзоре?

    Есть несколько вариантов, которые позволяют избежать этой регистрации. Однако, в этом случае нужно юридически грамотно обосновать контролирующему органу то, что Ваша организация соответствует данным критериям.

    Исключения из правил для бизнеса:

    • сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
    • персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
    • обработка персональных данных, находящимся в открытом доступе;
    • сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
    • сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
    • сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации.

    Во всех остальных случаях регистрация в реестре операторов Роскомнадзора обязательна!

    Регистрация обязательна?

    Взвешивая все причины, организации могут принять следующие решения.

    Первое. Ждать. Надеяться, что проверка не придет. Смотреть, как поступят другие операторы персональных данных. Плюсы очевидны – “авось пронесет”. А вот минусы часто упускают, а они более чем существенные. В ходе проверки выявленные нарушения становятся известны всем на общедоступном сайте соответствующего территориального управления Роскомнадзора, что, во-первых, поставит под сомнение Вашу репутацию перед клиентами, во-вторых, этими сведениями могут воспользоваться недобросовестные конкуренты.

    Второе. Подать несмотря ни на что. Не важно надо, не надо, просто подать. Сразу обратим внимание, это сложный процесс, даже учитывая подсказки и рекомендации на сайте. За ошибки в составлении уведомления предусматривается ответственность и штрафы.

    Третье. Не подавать. Попытаться найти способ не подавать уведомление. Ниже рассмотрим подробнее как это можно сделать.

    Реально ли избежать регистрации?

    Чтобы избежать регистрации в Роскомнадзоре необходимо все процессы и документооборот в организации построить таким образом, чтобы они четко были определены п.2 ст.22 № 152-ФЗ. И другого выхода нет. Либо подавать уведомление, либо привести в порядок все документы.

    Алгоритм действий прост:

    • Для начала необходимо определить тип, субъект персональных данных и на основании каких документов они обрабатываются.
    • Выявленные процессы сбора и использования персональных данных необходимо юридически грамотно сопоставить с видами обработки, которые позволяют не подавать уведомления в Роскомнадзор (п.2 ст.22 №152-ФЗ и п.2 ст.1).
    • Получить согласие на распространение и предоставление персональных данных гражданина третьим лицам, которое бы соответствовало Закону.
    • Внести коррективы в договоры с субъектами.
    • Грамотно составить все документы имеющиеся, как на сайте Вашей организации, так и привести в порядок внутреннюю документацию.

    Стоит отметить, что все это трудно выполнить штатным работникам, так как решение данных задач выходит далеко за рамки типовых обязанностей. Для приведения в соответствие с законом всех процессов в организации руководитель будет терять большое количество своего дорогостоящего времени.

    Наиболее разумным выходом из данной ситуации является привлечение специализированной организации, чьи эксперты проходили обучение и участвовали в конференциях по изменениям в ФЗ-152, которые обладают необходимыми знаниями и огромным опытом. Наши специалисты избавят Вас и Ваших сотрудников от выполнения задач, которые занимают много времени и будут несвойственные их характеру работы, а также оценить и при необходимости реализовать меры, которые дадут возможность избежать подачи уведомления.

    Как избежать штрафов и блокировки Вашего сайта? Заполните форму заявки на нашем сайте, и с Вами свяжется наш специалист.

    У Вас еще остались вопросы по ФЗ-152? Ответы на них можно найти в следующих статьях:
    Перейдем на личности

    голоса
    Рейтинг статьи
    Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector