Роскомнадзор напоминает: не забудьте прислать уведомление об обработке персональных данных

1405
Повод для разговора: В августе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) утвердила приказ, в котором даны рекомендации, как заполнить уведомление об обработке персональных данных

Повод для разговора: В августе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) утвердила приказ, в котором даны рекомендации, как заполнить уведомление об обработке персональных данных*.

Почему это важно? Работодателю как оператору, осуществляющему обработку персональных данных, следует знать, что до начала их обработки следует известить Роскомнадзор. В каком виде (электронном или бумажном) нужно направлять уведомление? Каковы требования к его оформлению?

На наши вопросы отвечает: Юлия ЗАБУДЬКО, заместитель начальника Управления по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Все ли работодатели обязаны направлять в Роскомнадзор уведомление об обработке персональных данных?

– Сначала хотелось бы отметить, что Роскомнадзор удивил факт такого пристального внимания к приказу № 706. Федеральным законом «О персональных данных», вступившим в силу в январе 2007 года, уже предусматривалось, что работодатель должен направить в Роскомнадзор уведомление об обработке персональных данных**. В 2008 году был издан приказ, утверждающий форму уведомления и рекомендации по ее заполнению. И лишь после этого был издан приказ № 706, отражающий те изменения, которые были внесены в Закон в июле этого года. И хотя тема не нова, поток звонков в территориальные управления Роскомнадзора с вопросами по заполнению уведомления в последнее время не прекращается.

Возвращаясь к вопросу, поясню, что в Законе перечислены основания, при которых работодатель вправе осуществлять обработку персональных данных без уведомления Роскомнадзора (ч. вторая ст. 22). Например: если они обрабатываются в соответствии с трудовым законодательством; если данные получены в связи с заключением гражданско-правового договора с работником (при условии, что персональные данные не предоставляются третьим лицам без согласия работника и используются работодателем исключительно для исполнения договора) и т. п.

Чтобы четко понять, нужно ли уведомлять Роскомнадзор, рекомендую не только внимательно изучить закон, но и свои учредительные документы, локальные нормативные акты – в них закрепляются направления деятельности юридического лица и цель предполагаемой обработки персональных данных.

Иногда работодателю все же сложно определить, обязательно ли направлять уведомление. Об этом свидетельствуют многочисленные звонки в наш Справочно-информационный центр и письменные обращения граждан и юридических лиц – мы разбираемся с каждым конкретным случаем. Например, наиболее распространенный вопрос: нужно ли направлять уведомление, если в компании обрабатываются лишь персональные данные работников в соответствии с трудовым законодательством. Ответ: нет. Однако если предполагается передавать их персональные данные по программе добровольного медицинского страхования или для оформления зарплатной карты, уведомление отправлять обязательно, потому что эти отношения выходят за рамки трудового законодательства.

Обращаю ваше внимание: если организация вправе не уведомлять Рос­комнадзор, она, тем не менее, должна выполнять все требования по защите персональных данных, особенно при трансграничной передаче персональных данных***. Практика показывает, что многие фирмы в настоящее время взаимодействуют со своими иностранными партнерами и передают персональные данные граждан Российской Федерации (работников, клиентов) на территорию иностранного государства. Работодатель должен понимать: в этой ситуации должны быть обеспечены особые условия защиты их персональных данных.

ПОРТРЕТ ОФИЦИАЛЬНОГО ЛИЦА
Юлия Сергеевна ЗАБУДЬКО
Роскомнадзор напоминает: не забудьте прислать уведомление об обработке персональных данных

С 2003 по 2007 год помощник прокурора прокуратуры Богучарского района Воронежской области. Затем главный специалист-эксперт, заместитель начальника юридического отдела Управления Федеральной службы по надзору в сфере связи по Москве и Московской области. С 2008 года – начальник отдела судебно-претензионной работы в области защиты прав субъектов персональных данных Правового управления Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия. В марте 2011 года назначена на должность заместителя начальника Управления по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Заместитель председателя Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных. Специализируется в области защиты конституционных прав человека на неприкосновенность частной жизни. Принимает активное участие и выступает на конференциях, в том числе международных, научно-практических семинарах по вопросам информационной безопасности и защиты персональных данных, рабочих группах по совершенствованию законодательства Российской Федерации в области персональных данных.

В какой форме – бумажной или электронной – нужно направлять уведомление? Как правильно его составить?

– Если организация обязана уведомить Роскомнадзор, она вправе сделать это двумя способами. Первый – самостоятельно составить уведомление в бумажной форме и направить его по почте. И второй – более удобный – заполнить уведомление в электронной форме на Портале персональных данных****, а затем распечатать. Второй способ более удобен потому, что на портале опубликована типовая форма документа с рекомендациями, как ее заполнить. Вашими помощниками будут всплывающие подсказки, которые поясняют каждую графу. После того как уведомление составлено, необходимо нажать кнопку «Отправить электронное уведомление и подготовить форму к распечатке». При этом совершаются два действия – электронный документ уходит непосредственно в нашу базу данных и преобразуется в форму, которую нужно распечатать на фирменном бланке. После этого необходимо подписать бумажный вариант у руководителя организации, поставить печать и отправить в территориальное управление Рос­комнадзора. Их адреса опубликованы на главной странице нашего интернет-портала www.rsoc.ru.

В ближайшее время появится возможность в полном объеме пользоваться Единым порталом государственных и муниципальных услуг, откуда можно будет подать уведомление в электронной форме, не используя бумажный вариант. Для этого нужно зайти на портал через Личный кабинет (физического или юридического лица) и заполнить уведомление. Документ отправится в локальную сеть Роскомнадзора, а затем в соответствующее территориальное управление для обработки. В дальнейшем эта версия будет снабжаться электронной подписью. Сегодня во время регистрации вы также проходите необходимый этап идентификации, указав ИНН компании. Таким образом, подтверждается, что уведомление поступает от конкретного лица.

Уведомление, поступившее в территориальное управление, проверяется на соответствие требованиям закона и, при положительном решении, сведения об организации включаются в Реестр операторов, осуществляющих обработку персональных данных. Реестр также размещен на нашем сайте*****, причем ведется он с 2008 года. Любой кадровик может убедиться, что его уведомление дошло до Роскомнадзора и сведения внесены реестр. Для этого наберите в нужных строках название компании и ИНН.

Если вы хотите документально подтвердить, что состоите в Реестре операторов, отправьте «Заявление о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных»******. Можно просто написать письмо в территориальное управление с просьбой предоставить выписку. В последнее время некоторые граждане обращаются в Роскомнадзор с вопросом – занесена ли в реестр та или иная компания? От этого будет зависеть, обратятся ли они в эту компанию за какой-либо услугой, будут ли с ней взаимодействовать в дальнейшем. То есть потенциальному клиенту важно знать, каким образом там защищают и защищают ли вообще персональные данные. Соблюдение всех требований действующего законодательства благоприятно отражается на деловой репутации организации.

Назовите, пожалуйста, самые распространенные ошибки в уведомлении. Что делать, если они допущены?

– Одна из самых распространенных ошибок – отражение неполных и (или) недостоверных данных, то есть когда не все пункты уведомления оказались заполненными или в них представлена недостоверная информация.

Вопросы возникают и с перечнем действий с персональными данными – сбором, хранением, систематизацией, накоплением, изменением, а также со способом обработки. Существуют три способа обработки – автоматизированная, неавтоматизированная и смешанная, когда данные обрабатываются в автоматизированном режиме, но при этом дублируются бумажными формами. Часто работодатель из-за невнимательности забывает указать нужный способ.

Еще одна системная ошибка – определение срока начала и окончания обработки персональных данных. Датой начала считается тот день, когда вы непосредственно начали их обрабатывать. Как правило, это начало деятельности юридического лица, а не день заполнения уведомления. А срок и основания прекращения – дата ликвидации фирмы или дата, когда прекращается обработка персональных данных и они уничтожаются, если не передаются в архив. Когда вы не можете определить точную дату окончания обработки персональных данных, можно в уведомлении указать предполагаемую, а потом, когда станет известна точная дата, заполнить «Форму заявления о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных» на Портале персональных данных. Если нет доступа в Интернет, необходимо отправить письмо в территориальное управление с просьбой внести изменения в конкретный пункт. Эти же действия нужно совершить, если вы допустили ошибку в уведомлении.

Когда Роскомнадзор может прийти в организацию с проверкой?

– Действующий закон о защите юридических лиц и индивидуальных предпринимателей предусматривает как плановые, так и внеплановые проверки*******. Например, основанием для плановой проверки может быть истечение трех лет со дня государственной регистрации юридического лица или индивидуального предпринимателя или окончания последней плановой проверки. Истечение срока исполнения работодателем ранее выданного предписания об устранении нарушения или поступление в Роскомнадзор (его территориальные органы) информации о нарушении прав граждан при обработке их персональных данных также являются основаниями для проведения внеплановой проверки.

Незаконная обработка персональных данных без согласия работника, незаконное их распространение неограниченному кругу лиц – например, когда в Интернете появляется информация о должниках или нарушителях дисциплины – одни из наиболее распространенных нарушений. Так, на сайте одной организации были размещены сведения о человеке (фамилия, имя, отчество и место жительства), который совершил дисциплинарный проступок. Тем самым был нарушен закон о персональных данных, что стало причиной внеплановой проверки.

Нужно ли работодателю писать заявление об исключении сведений из Реестра операторов?

– Разумеется, если работодатель по каким-либо причинам прекращает обрабатывать персональные данные. Например, в случае ликвидации или реорганизации компании, окончания срока обработки данных, указанного в уведомлении, и т. д. Поэтому работодатель обязан прислать заявление в территориальное управление Рос­комнадзора с просьбой исключить его из реестра, а также обоснования, почему это следует сделать. Обращаю ваше внимание, что такое заявление – это не простая формальность, а прямое доказательство ответственного отношения к своим обязанностям.

Беседовала Елена ИЛЬИНА,
эксперт журнала «Кадровое дело»


* Приказ Роскомнадзора от 19 августа 2011 г. № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».

** Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон).

*** Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 2 Закона).

**** www.pd.rsoc.ru/operators-registry/notification/form.

***** www.rsoc.ru/personal-data/register.

****** www.rsoc.ru/personal-data/forms/extract.

******* Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Анонсы будущих номеров
    Подробнее о журнале


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Школа

      Самое выгодное предложение

      Проверь свои знания и приобрети новые

      Записаться

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      А еще...

      САМОЕ ВАЖНОЕ









      © 2011–2017 ООО «Актион кадры и право»

      Журнал «Кадровое дело» –
      практический журнал по кадровой работе

      Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Кадровое дело». Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      Зарегистрировано Федеральной службой по надзору в сфере связи,
      информационных технологий и массовых коммуникаций (Роскомнадзор)
      Свидетельство о регистрации ПИ № ФС77-62263 от 03.07.2015

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      ×

      Чтобы скачать этот и другие экспертные материалы сайта, оформите ознакомительный доступ.

      Не беспокойтесь, это займет меньше минуты.

      Получить доступ

      Простите, что прерываем ваше чтение

      Чтобы обеспечить качество материалов и защитить авторские права редакции, многие статьи на нашем сайте находятся в закрытом доступе.

      Предлагаем вам зарегистрироваться и продолжить чтение. Это займет всего 2 минуты.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      2 минуты, и вы продолжите читать
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль