Уведомление об обработке персональных данных

Ответственность за неисполнение обязанности

Роскомнадзор систематически проводит проверки действующих операторов и тех, кто не попадает под это определение. Если гражданин, организация или учреждение всё же осуществляет какие-либо действия с индивидуальными сведениями, но уведомление об этом направлено не было, придётся представить доказательства, что для отсутствия регистрации есть законные основания.

В противном случае придётся нести ответственность. Ст. 19.7. КоАП РФ за непредставление обязательной информации в контролирующие органы устанавливает штраф:

  • для граждан – от 100 до 300 рублей;
  • для должностных лиц – от 300 до 500 рублей;
  • для юридических лиц – от 3 до 5 тысяч рублей.

Кроме того, сведения о нарушителях размещаются на сайте Роскомнадзора и становятся общедоступны, что может повлиять на репутацию организации.

Остаётся добавить, что ответственность наступает не только за неподанное уведомление, но и за внесение недостоверных данных или отсутствие их своевременной корректировки.

Подробнее о заполнении формы уведомления смотрите ниже на видео.

В каких случаях это необходимо

В ст. 22 ч. 1 Закона сказано, что юрлицо или ИП обязано сообщить в Роскомнадзор о своем намерении собирать ПД, т. к. они потребуются в ходе работы. Фактически юрлицо обязано это сделать сразу после открытия, предполагая, что его деятельность будет связана частично с обработкой ПД.

После того как в Роскомнадзор будет направлено уведомление, запись в реестр о новом операторе вносится в течение месяца. Регистрация в реестре операторов осуществляется бесплатно на государственном уровне.

Соответственно, когда оператор будет взаимодействовать с физлицом, он должен предупредить, что ПД будут обрабатываться и получить от гражданина согласие, иногда устное, в других случаях в письменной форме на отдельном листе. По смыслу Закона заниматься обработкой ПД может юрлицо, которое стало оператором.

Нужно подавать или нет

В Законе установлено 9 пунктов исключений, когда операторам разрешено не подавать уведомление в Роскомнадзор, но, как правило, работают они только в некоторых случаях. Но, исходя из практики, можно сказать, если хотя бы для одного бизнес-процесса требуется обработка ПД, когда исключением нельзя воспользоваться, уведомление подавать придется. Обязанность подавать уведомление – это лишь одно из требований, которые предъявляются к оператору.

Другой вопрос, который задают юрлица, стоит ли им привлекать к себе внимание уполномоченного органа, который после поступления информации не только занесет новое предприятие в реестр, но и постарается прийти с проверкой как можно раньше. На самом деле Роскомнадзор выбирает предприятия для проверок независимо оттого, подали они уведомление или нет.. Кроме того, на сегодняшний день Роскомнадзор целенаправленно рассылает запросы компаниям, которые, как предполагается, собирают и обрабатывают ПД, но не числятся в реестре операторов

Для проведения планового контроля любых предприятий уполномоченный орган руководствуется 2-мя факторами – это 3 года с момента открытия юрлица или последней проверки

Кроме того, на сегодняшний день Роскомнадзор целенаправленно рассылает запросы компаниям, которые, как предполагается, собирают и обрабатывают ПД, но не числятся в реестре операторов. Для проведения планового контроля любых предприятий уполномоченный орган руководствуется 2-мя факторами – это 3 года с момента открытия юрлица или последней проверки.

Центральные требования

Персональными считаются данные, с помощью которых можно установить личность человека (ФЗ №152, ст. 3, п. 1), − это ФИО, дата и место рождения. Такие сведения можно найти в свидетельстве о рождении ребенка или гражданском паспорте взрослого. Но существуют и другие сведения, которые косвенно указывают на человека. Иногда без них невозможно установить личность, все же их нельзя относить к ПД.

Главные положения

При сборе, хранении и использовании ПД предприятие, которое их собирает, должно соблюдать требования закона о защите информации. Ответственность за это ложится именно на оператора.

Так:

  • оператору нужно предусмотреть, чтобы ПД не воспользовались третьи лица;
  • каждое физлицо, предоставляющее свои ПД, должно дать разрешение (согласие) оператору на их обработку;
  • ПД не должны храниться оператором после того, как стали не нужны.

Под обработкой ПД понимаются любые действия, которые возможно над ними совершать:

  • собирать;
  • записывать;
  • систематизировать;
  • накапливать;
  • уточнять;
  • хранить.

Несмотря на то что оператор берет с физлиц согласие на обработку ПД, каждый случай индивидуален. К примеру, согласно Жилищному кодексу, ст. 16, ч. 15 управляющие компании обязаны привлекать пользователей к расчету за коммунальные услуги. Но в этом случае никто не берет с агентов согласие на обработку их ПД.

В некоторых случаях, к примеру, никак нельзя обойтись без согласия на обработку ПД, причем в письменном виде. Это касается биометрических данных человека (ФЗ №152, ст. 11, ч. 1). Тем более, когда речь идет об обработке ПД третьим лицом, гражданин должен дать на это согласие.

Само третье лицо не должно брать согласие на обработку ПД с физлиц, ведь такое поручение ему дал оператор. Он обязан убедить гражданина дать согласие, указав на возможные последствия отказа, в тоже время никто не может заставить субъекта это сделать.

Меру наказания определял суд, куда поступало постановление о возбуждении дела об админнарушении, направленного прокуратурой. Сообщение в прокуратуру поступало от Роскомнадзора, который провел проверку на том или ином предприятии, и выявил нарушения.

Начиная с 2017 г. ситуация изменилась, в новой редакции статьи были определены 7 составов правонарушений. Закон расширил полномочия Роскомнадзора, теперь он может самостоятельно возбуждать дело об административном нарушении. Максимальный штраф может быть начислен оператору в размере 75 тыс. руб.

Образец уведомления об обработке персональных данных:

Разъяснения по статьям

Нередко операторы ПД не желают подавать сведения о себе в Роскомнадзор, другие же, наоборот, делают это сразу.

Существует 2 ситуации:

Первая
  • Роскомнадзору приходится самому присылать оператору запрос с целью внесения его в реестр. Последний не понимает, что занимается обработкой ПД, поэтому ничего не сообщает о себе.
  • После поступления запроса оператор должен дать ответ в течение 30 дней (ФЗ №152, ст. 20, ч. 4). Если оператор не даст вовремя ответ, ему грозит административная ответственность (КоАП, ст. 19.7).
  • Если он представит сведения неправильно, считается, что он подал неполные сведения, а значит, тоже должен быть наказан. Если юрлицо правильно установило цели обработки ПД, оно обязано определить, есть ли у него основания обрабатывать ПД без уведомления Роскомнадзора (ФЗ №152, ст. 22, ч. 2).
  • В ситуации, когда оператору по закону не нужно сообщать о себе в Роскомнадзор, он должен для контролирующего органа подготовить обоснованный ответ на запрос, ссылаясь на ст. 22 Закона. Возможность не подавать уведомление не освобождает юрлицо от ответственности защищать ПД.
ВтораяОператор знает Закон, потому сознательно подает уведомление, чтобы своевременно попасть в реестр. Для заполнения формы необходимо обратиться к Рекомендациям, утвержденным Приказом Роскомнадзора №706 (19.08.11).

Пример заполнения информационного письма о внесении изменений в сведения об операторе в реестре операторов, осуществляющих обработку персональных данных

Пример формы информационного письма для юридического лица, ПАО (DOCX, 30КБ)

Пример формы информационного письма для юридического лица, ООО (DOCX, 30КБ)

Пример формы информационного письма для юридического лица, Совет СП (DOCX, 30КБ)

Пример формы информационного письма для юридического лица, Исполком СП (DOCX, 30КБ)

Пример формы информационного письма для юридического лица, Школа (DOCX, 30КБ)

Пример формы информационного письма для юридического лица, Детсад (DOCX, 30КБ)

Пример формы информационного письма для юридического лица с использованием 2-х информационных систем (DOCX, 30КБ)

Пример формы информационного письма для индивидуального предпринимателя с использованием 2-х информационных систем и Интернет-сайта (DOCX, 30КБ)

Пример формы информационного письма для нотариуса с использованием 2-х информационных систем (DOCX, 30КБ)

Пример формы информационного письма для учреждения здравоохранения с использованием 5-ти информационных систем (DOCX, 30КБ)

Пример формы информационного письма для юридического лица (Образовательное учреждение) с использованием 2-х информационных систем (DOCX, 30КБ) 

Пример короткой формы информационного письма о внесении изменений в сведения об операторе в реестр ОПД (DOCX, 30КБ)

Образец информационного письма для операторов персональных данных (ст. 25 и п. 10.1) (DOCX, 30КБ)

Портал Роскомнадзора: что это

Оператор персональных данных – человек, учреждение, организация, располагающие доступом к индивидуальной информации, выполняющие в отношении неё действия, направленные на достижение собственных целей. Под это определение попадают также лица, привлечённые для работы с полученными сведениями, хотя правовую ответственность за деятельность третьих лиц несёт оператор.

  • в случае пользования индивидуальной информацией в личных целях, если это не приносит вред;
  • в отношении работы архивных учреждений;
  • если сведения относятся к государственной тайне;
  • когда материалы касаются деятельности судов.

Все остальные обязаны заявить о себе в Роскомнадзор для занесения в общую базу операторов персональных данных.

Для контроля деятельности лиц, обладающих доступом к персональным данным, Роскомнадзором создан интернет-портал. На нём опубликована информация обо всём, что касается этого вопроса: нормативные документы, рекомендации, дополнительные материалы, новости.

Основная цель создания портала в обеспечении взаимодействия между гражданами и операторами, а также в организации возможности сообщить контролирующему органу о нарушениях в работе с индивидуальными сведениями.

Возможности сайта доступны для всех желающих, для получения справки об интересующем операторе достаточно указать его ИНН.

На середину 2018 года, в реестре Роскомнадзора зарегистрировано около 400 тыс. операторов персональных данных.

Порядок уведомления

Порядок оповещения оператором о своих действиях включает в себя:

  1. Заполнение и отправку электронной формы на портале.
  2. Отправку распечатанной на фирменном бланке и подписанной бумажной формы в Управление Роскомнадзора своего региона.

На то, чтобы принять решение о занесении оператора в реестр, отведено 30 дней, этот срок исчисляется с момента получения формы на бланке организации.

При указании неправильных данных или выяснение, что каких-то сведений недостаёт, может потребоваться их уточнение.

Похожие:

Педагогическим Советом мадоу д/с №82 к/в города ТюмениПоложение о сайте образовательного учреждения (далее – Положение) определяет цели и задачи, требования к официальному сайту образовательного… В школе имеются локальные акты, отражающие вопросы прав и обязанностей участников образовательного процессаСостояние локальных актов образовательного учреждения, их соответствие действующему законодательству. Организация питания детей в…
Доклад 2014 общая характеристика учреждения тип, вид, статус учрежденияОхватывает все подразделения образовательного учреждения и подключена к сети Интернет Программа Образовательного Учреждения? Выберите один из 4 вариантов ответаС какого раздела начинается Примерная Основная Программа Образовательного Учреждения?
Образовательная программа дошкольного образовательного учрежденияПояснительная записка к образовательной программе муниципального дошкольного образовательного учреждения Центра развития ребенка… Описание образовательной программы основного общего образованияПримерная основная образовательная программа образовательного учреждения. Основная школа. М.: Просвещение, 2014, особенностей образовательного…
Программа дошкольного образования Муниципального автономного дошкольного образовательного учрежденияПриоритетные направления деятельности дошкольного образовательного учреждения по реализации Программы Мбоу верхнеднепровская сош №2 Систематическая деятельность образовательного учреждения по подготовке школьников к участию в предметных олимпиадахЛюбая олимпиада выступает в роли механизма для поиска, отбора, испытания новых решений в области содержания образования, мощного…
Пояснительная записка Образовательная деятельность муниципального казенного образовательного учреждения Вараксинской основной общеобразовательной школы осуществляется на основании лицензии наименование образовательного учрежденияОбразовательная деятельность муниципального казенного образовательного учреждения Вараксинской основной общеобразовательной школы… Анализ деятельности дошкольного образовательного учреждения детского сада комбинированного вида №94 Г. Иркутска за 2010-20011 учебный годПроблемно-ориентированный анализ деятельности дошкольного образовательного учреждения

docs.likenul.com

Отправка почтой или курьерской службой

Этот вариант, как основной, с каждым годом выбирают все реже. Он включает в себя несколько этапов:

  • войти на сайт Роскомнадзора;
  • скачать форму уведомления;
  • распечатать документ;
  • внести в графы данные;
  • подать на подпись руководителю и уполномоченному работать с ПД лицу;
  • заверить печатью.

Далее клиенту нужно отправить бумагу в Роскомнадзор (местное отделение) и ожидать его приемки. Только после этого можно заниматься обработкой данных.

Почтовая отправка, несмотря на кажущуюся простоту, имеет массу минусов:

  • сложности с заполнением формы;
  • большие временные затраты;
  • необходимость лично ехать на почту;
  • невозможность сразу увидеть данные по статусу заявки и не только.

Чаще всего отправка уведомления почтой используется как вспомогательный способ, отмеченный в законодательном акте.

Кто может не уведомлять

Список ограничений, когда у оператора есть право не уведомлять Роскомнадзор о своих действиях, представлен в ст. 22.

Это возможно, если:

  • Оператор будет осуществлять обработку ПД без использования компьютера, а также электронных баз данных. В этом случае потребуется соблюдать требования Постановления №687 об обработке ПД без автоматизации. В то же время нужно учесть, если предприятие использует для своей работы компьютеры, это вовсе не обозначает, что с их помощью будут обрабатываться ПД. Неавтоматизированным считается процесс с участием не компьютера, а человека (сотрудника оператора).
  • Необходимо собирать сведения о гражданах, с которыми оператор вступает в трудовые отношения. Обычно такие данные представляются гражданами в момент подписания трудовых или коллективных договоров. Если предполагается собирать данные физлиц, не касающиеся трудовых отношений, или уволенных сотрудников, то форма уведомления не подается.
  • Компания, являющаяся исполнителем, продавцом или поставщиком, заключает договор с физлицом. В данном случае в рамках договорных отношений гражданин предоставляет свои ПД для исполнения условий соглашения. При этом оператор не собирается передавать ПД гражданина третьему лицу, о чем должна свидетельствовать отметка в самом тексте договора.
  • ПД собирает общественная или религиозная организация. Данные членов таких организаций обрабатываются без уведомления Роскомнадзора, а сами сведения не предполагается передавать третьим лицам, тем более без разрешения граждан.
  • Гражданин сделал свои ПД общедоступными, их можно свободно собирать и обрабатывать.
  • В качестве ПД гражданин предоставляет только свои ФИО.
  • Сведения гражданин предоставляет, чтобы получить одноразовый пропуск на территорию оператора.
  • Данные собираются для обработки в автоматизированных информационных системах, имеющих статус государственных.
  • Сведения собирают транспортные компании, которым требуется обеспечить безопасное функционирование своего комплекса, защитить интересы отдельных личностей и общества в целом в сфере транспортного обслуживания населения.

https://youtube.com/watch?v=SHJ7UttWWnI

Пошаговая инструкция

Необходимо отнестись со всей ответственностью к процедуре заполнения и подачи уведомления, тщательно проверив исходные документы на достоверность и актуальность сведений и реквизитов.

Как заполнить?

Инструкция по заполнению онлайн-формы по уведомлению выглядит следующим образом:

  1. Скачивать ничего не нужно – сведения вписываются сразу в электронный документ.
  2. Тщательно заполнить все поля, отмеченные звездочкой *.
  3. Ввести капчу – защитный код.
  4. Поставить галочки напротив пунктов об ознакомлении с порядком подачи документа и подтверждения согласия на передачу информации через глобальную сеть.
  5. Кликнуть по кнопке “Отправить”.

При наличии выпадающего списка в поле – выбрать из списка подходящий ответ. Если напротив пункта свободного поля нет – отметить галочками актуальные сведения, при необходимости – внести дополнительные данные. При заполнении адресов можно ввести информацию вручную, а можно воспользоваться встроенным онлайн-справочником.

Как отправить?

После заполнения электронного уведомления информация поступает на обработку в РКН, а система подготавливает заполненную форму к распечатке. Дальнейшие действия:

  1. Сохранить подготовленный документ на свой компьютер и распечатать либо отправить на распечатку непосредственно с сайта.
  2. Подписать бумажный вариант документа у лица, которое несет ответственность за обработку ПД, поставить печать.
  3. Отправить по почте подписанный документ в территориальный орган РКМ по месту регистрации оператора.

Как внести изменения?

Если первоначальные сведения, внесенные в форму-уведомление устарели, в РКН в течение 10 дней следует подать информационное письмо (п.7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

План действий внесения изменений в уведомление:

  1. Заполнить письмо онлайн – внести измененные данные.
  2. Распечатать информационное письмо и после подписания уполномоченным лицом отправить почтой в территориальный филиал РКН.

Роскомнадзор внесет изменения в реестр в течение 15 дней.

Как посмотреть статус?

Подать уведомление об обработке и внесении изменений в персональные данные лучше в срок – это поможет обезопасить компанию от проблем с законом и дополнительных финансовых затрат.

Общие положения

Для отправки уведомления необходимо пройти простой алгоритм и заполнить электронный вариант формы, представленной на сайте pd.rkn.gov.ru.

Что необходимо сделать

Оператору, который решил отправить уведомление, необходимо:

  1. Зайти на сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
  2. Найти и заполнить форму. Новый вариант был представлен законодателем в Приложении №1 к Методическим рекомендациям по заполнению, которые были утверждены Приказом №94.
  3. После заполнения форму уведомления следует отправить для обработки информационной системой, а затем скачать и распечатать. Бумажную версию уведомления необходимо подписать руководителю предприятия-оператора и направить в территориальный орган Роскомнадзора.
  4. После включения в реестр сделать проверку и найти оператору самого себя. По результатам поискового запроса через этот же сайт получить сразу можно информацию о 100 операторах. Для более точного поиска лучше вводить не только наименование оператора, но и его ИНН. К примеру, можно ввести некоторую оригинальную часть наименования, не указывая организационно-правовую форму, кавычки и т. д. Из часто встречающихся слов лучше избегать таких как «федеральный», «российский», «общество» и т. д.

Есть возможность подать уведомление и через сайт Госуслуг, алгоритм действий тот же. Бумажный вариант уведомления направляется в Роскомнадзор по почте письмом с уведомлением.

Инструкция по заполнению для Роскомнадзора

Заполнение формы не составляет труда, на официальном сайте уполномоченного органа можно воспользоваться образцом.

Потребуется учесть такие параметры:

  • Перечислить нужно отдельно персональные, биометрические и другие сведения о физлицах, которые относятся к разным категориям, таким как:
    • расовая и национальная принадлежность;
    • религиозные или философские убеждения;
    • политические взгляды;
    • состояние здоровья;
    • наличие вредных привычек;
    • вопросы интимной сферы.
  • Субъектами могут быть разные лица, которые вступают с оператором в трудовые отношения.
  • Правовые основания данного вопроса – это статьи основного Закона и других нормативных актов.
  • Для перечня действия нужно будет указать, какими способами оператор планирует обрабатывать данные:
    • автоматизированный;
    • неавтоматизированный;
    • смешанный.
  • Какие мероприятия будет осуществлять оператор с поступающими ПД.

Обзор формы

Перечень данных, которые потребуется вносить в электронную форму уведомления, указан в ст. 22 ч. 3.

Он включает:

  • наименование и адрес оператора;
  • с какой целью он собирается обрабатывать ПД;
  • сведения о лице, которое ответственно за обработку информации;
  • начало обработки данных;
  • сроки и условия окончания обработки ПД;
  • другие.

Оператору рекомендуется пользоваться дополнительно инструкциями и правилами, требованиями к заполнению формы, которые могут быть представлены на сайте регионального подразделения Роскомнадзора. Местным властям разрешено регулировать данный вопрос. Если оператор допустит неточности при заполнении, Роскомнадзор вправе потребовать исправить нарушения.

Форма уведомления об обработке персональных данных

Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Челябинской области

М.И. Олениной

ул. Энгельса, д.44-Д, г. Челябинск, 454080

Уведомление об обработке* (о намерении осуществлять обработку) персональных данных

________________________________________________________________________(полное и сокращенное наименования, фамилия, имя, отчество оператора)   ________________________________________________________________________(адрес местонахождения и почтовый адрес оператора)   руководствуясь: _______________________________________________________________________(правовое основание обработки персональных данных)   с целью :______________________________________________________________________(цель обработки персональных данных) осуществляет обработку: ____________________________________________________________________(категории  персональных  данных)     принадлежащих: _______________________________________________________________________(категории субъектов, персональные данные которыхобрабатываются)

Обработка вышеуказанных персональных данных будет осуществляться путем:

________________________________________________________________________(перечень действий с персональными данными, общее  описание используемых оператором способов ____________________________________________________________________обработки  персональных данных)

Для обеспечения безопасности персональных данных принимаются следующие меры: ______________________________________________________________________(описание мер, предусмотренных ст.ст. 18.1. и 19 Федерального закона  от 27.07.2006 № 152-ФЗ   ______________________________________________________________________»О персональных данных», в т.ч. сведения о наличии шифровальных (криптографических)   ________________________________________________________________________средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование ________________________________________________________________________юридического лица, ответственных за организацию обработки персональных данных,  _____________________________________________________________________и номера их контактных телефонов, почтовые адреса и адреса электронной почты)

Сведения о наличии или об отсутствии трансграничной передачи персональных данных ________________________________________________________________________(при наличии трансграничной передачи персональных данных в процессе их обработки, указывается перечень   ___________________________________________________________________иностранных государств, на территорию которых осуществляется трансграничная передача персональных ______________________________________________________________________________________________

Сведения об обеспечении безопасности персональных данных: ________________________________________________________

__________________________________________________________________(сведения об обеспечении безопасности персональных данных в соответствии с требованиями  ________________________________________________________________________к защите персональных данных, установленными Правительством Российской Федерации)

Дата начала обработки персональных данных: ______________________________________________________________________                                                                                                          (число, месяц, год)         Срок или условие прекращения обработки персональных данных: ______________________________

_________________________________________________________________________________________________________________(число, месяц, год или основание (условие), наступление которого повлечет прекращение обработки ________________________________________________________________________ персональных данных)

_____________________                                  _____________________      

должность                                              расшифровка подписи  

   “____” ________________ 20___ г.     

* Указанное уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.     


Время публикации: 23.06.2017 13:33Последнее изменение: 16.01.2018 07:30

Можно ли не подавать уведомление?

Закон «О персональных данных» требует, чтобы каждая компания подала уведомление.

В законе есть несколько исключений, позволяющих ряду компаний избежать этого. В этом случае нужно быть готовым юридически грамотно доказать контролирующему органу, что исключения на компанию распространяются. Сделать это не так-то просто: отсутствие уведомления — одно из самых частых нарушений, выявляемых в ходе проверок Роскомнадзора.

Самый лучший вариант — подать уведомление и обезопасить компанию от вопросов контролирующего органа, почему это не было сделано.

Иногда компании опасаются, что подача уведомления привлечёт излишнее внимание Роскомнадзора, и он придёт с проверкой. На практике этого не происходит

Поделитесь в социальных сетях:vKontakteFacebookTwitter
Напишите комментарий