Над статьей работали:
Автор: Волчкова Людмила
С первого сентября 2022 года изменился порядок уведомления Роскомнадзора об обработке персональных данных. В нашей статье рассказываем, в каких случаях нужно подавать уведомления, по какой форме их заполнять и отправлять в ведомство. Также обозначим срок, в течение которого следует уведомить Роскомнадзор об обработке личных сведений.
Содержание
- Когда нужно подать уведомление в Роскомнадзор об обработке персональных данных
- Форма уведомления Роскомнадзора об обработке персональных данных
- Как заполнить уведомление в Роскомнадзор
- Как подать уведомление в Роскомнадзор об обработке персональных данных
- Cрок уведомления Роскомнадзора об обработке персональных данных
Когда нужно подать уведомление в Роскомнадзор об обработке персональных данных
Подробно обо всех внесенных в Закон о персональных данных от 27.07.2006 № 152-ФЗ поправках мы рассказывали в статье «Персональные данные: изменения в законодательстве». В данном материале поговорим о процессе уведомления Роскомнадзора об обработке персданных.
До внесения Законом от 14.07.2022 № 266-ФЗ поправок в Закон от 27.07.2006 № 152-ФЗ уже существовала обязанность компаний и частных коммерсантов уведомлять ведомство о предстоящей обработке персональных данных. При этом законодателем предусматривались ситуации, когда уведомлять Роскомнадзор не требовалось – то есть исключения из общего правила.
Теперь же из нормативного акта вывели большинство ситуаций, когда не надо было уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные. Основное нововведение – это необходимость проинформировать ведомство и в тех случаях, когда компания или частный предприниматель собираются обрабатывать персональные данные:
- своих сотрудников;
- клиентов, когда данные о них необходимы исключительно для заключения и исполнения сделок;
- физлиц, которые разрешили их распространять;
- физлиц — только в части фамилии имени и отчества;
- физлиц — для однократного пропуска на территорию или в аналогичных целях.
Если для обработки личных сведений не используют средства автоматизации, уведомлять ведомство не нужно. Пример можно привести такой: информацию о посетителях фирмы записывают в журнал при выдаче им разовых пропусков.
Роскомнадзор указал: уведомление нужно подать также и тем, кто уже обрабатывал персональные данные в ситуациях, которые ранее считались исключением.
Форма уведомления Роскомнадзора об обработке персональных данных
В Законе от 27.07.2006 № 152-ФЗ закреплено положение о том, что форму уведомления утверждает Роскомнадзор. Указанная форма приведена в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180.
В нем отражают следующие сведения (ч. 3, 3.1 ст. 22 Закона о персональных данных):
• свое наименование (фамилию, имя, отчество), адрес;
• цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных;
• дату начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения об обеспечении безопасности персональных данных в соответствии с установленными требованиями к защите таких данных.
Как заполнить уведомление в Роскомнадзор
Оформить уведомление нужно в соответствии с требованиями Закона от 27.07.2006 № 152-ФЗ. В нем согласно частям 3, 3.1 ст. 22 должны быть указаны:
- фамилия, имя, отчество человека или название компании, адрес;
- цель обработки персональных данных. Это может быть, например, заключение трудового договора. Принятыми поправками были скорректированы требования к содержанию уведомления. Если сведения будут обрабатывать в разных целях, то для каждой из них теперь понадобится указать категорию данных и их субъектов, правовое основание обработки, перечень действий с данными и способы их обработки;
- фамилии, имена и (при наличии) отчества физлиц и наименование организаций, если у них есть доступ к персональным данным в государственных и муниципальных информационных системах или они обрабатывают данные из этих систем по договору;
- дату начала обработки персональной данных;
- срок или условие для прекращения обработки персональных данных;
- категории персональных данных. Так, можно указать, что сведения необходимы для оформления трудовых договоров;
- категории субъектов, информация о которых обрабатывается. Это могут быть и сотрудники организации, и клиенты или покупатели;
- правовое основание для обработки персональных данных;
- перечень действий с персданными, общее описание используемых способов обработки информации: автоматизированная обработка с передачей полученных сведений по Сети или без ее использования, смешанная обработка персональных данных и прочее;
- сведения о наличии у организации криптографических средств и их названия;
- информацию о специалисте, ответственном за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и имейл;
- информацию о трансграничной передаче личных данных при их обработке. Вместе с тем внесенные поправки коснулись и правил трансграничной передачи сведений. Новый порядок действует с 1 марта 2023 года. Так, оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган о своем намерении осуществлять трансграничную передачу сведений. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных.
- сведения о нахождении информационной базы данных, включающей аккумулируемую персональную информацию;
- информацию об обеспечении безопасности персональных данных.
Уведомление должно быть подписано уполномоченным лицом.
Как подать уведомление в Роскомнадзор об обработке персональных данных
Уведомление в ведомство можно направить одним из способов:
- в виде бумажного документа. Уведомление направляется в территориальное управление Роскомнадзора по местонахождению организации, которое указано в ее учредительных документах и свидетельстве о постановке на налоговый учет;
- в виде электронного документа через сайт Роскомнадзора. Его можно заполнить и подать через портал персональных данных по электронному адресу https://pd.rkn.gov.ru/operators-registry/notification/. Такое уведомление необходимо подписать усиленной квалифицированной электронной подписью. В таком случае повторно подавать документ на бумаге не придется;
- онлайн через портал госуслуг. Для этого потребуется подтвержденная учетная запись на юридическое или физическое лицо, в зависимости от того, кто выступает оператором данных. Перейти к заполнению формы можно через сайт Роскомнадзора. Дублировать уведомление на бумаге в этом случае также не нужно. Однако при заполнении и отправке электронного документа через госуслуги могут возникнуть ошибка, говорящая об отсутствии регистрационных данных, и рекомендация пройти повторно аутентификацию. Такое может произойти, если для заполнения формы потребовалось много времени, и на портале произошел автоматический выход из аккаунта. Избежать ошибки можно, заполнив все поля электронного документа, после чего в новом окне еще раз открыв форму и скопировав данные из первого окна. После проделанных манипуляций и отправки уведомления ошибки не возникнет.
Cрок уведомления Роскомнадзора об обработке персональных данных
Из Закона от 27.07.2006 № 152-ФЗ следует, что уведомлять Роскомнадзор нужно именно о намерении обработать персональные данные, а не об уже свершившемся факте. При этом к обработке таких сведений относят любые действия с персональными данными или их совокупность: сбор, запись, систематизацию, накопление, хранение, уточнение и так далее. Они могут производиться как вручную, так и с применением средств автоматизации. Однако при ручной обработке уведомление подавать не потребуется.
Конкретный срок подачи уведомления законодательством РФ не предусмотрен. Главное сделать это до начала обработки личных сведений.
Уведомление достаточно подать один раз. Указанные в нем сведения Роскомнадзор внесет в специальный реестр. На это ведомству отведено 30 дней с момента поступления уведомления (ч. 4 ст. 22 Закона от 27.07.2006 № 152-ФЗ).
Новое уведомление потребуется только в случае:
- изменения поданных ранее сведений. Оно направляется не позднее 15-го числа месяца, следующего за месяцем появления изменений. Данный срок установлен новой редакцией ч. 7 ст. 22 Закона от 27.07.2006 № 152-ФЗ, вступившей в силу с 1 марта 2023 года;
- прекращения обработки личной информации. Его подают в течение 10 рабочих дней с момента прекращения обработки.
Непредставление уведомления или его несвоевременное представление, то есть уже после начала обработки персональных данных, как и представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением. Ответственность за него установлена статьей 19.7 КоАП РФ в виде предупреждения или штрафа в размере:
- для должностных лиц, в том числе индивидуальных предпринимателей, согласно примечанию к ст. 2.4 КоАП РФ, — от 300 до 500 рублей;
- для юридических лиц — от 3 до 5 тыс. рублей.
Вы можете оставить первый комментарий