Бизнес и право

Правовой журнал

Уведомление Роскомнадзора об обработке персональных данных с 01.09.2022

Опубликовано: 15 августа, 2023 Категория: Страхование Комментариев нет

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Уведомление Роскомнадзора об обработке персональных данных с 01.09.2022». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Что отразить в политике конфиденциальности
2. Как составить согласие на обработку персональных данных
3. Персональные данные и требования Роскомнадзора. Что нужно знать, чтобы зарегистрироваться в реестре операторов
4. В каких случаях потребуется уведомление Роскомнадзора
5. Как уведомить Роскомнадзор о сборе персональных данных
6. Что делать, если вы уже обрабатываете персональные данные?
7. Что изменилось в обработке персональных данных с 1 марта
8. Требования к обработке персональных данных
9. Обязанности оператора при обработке персональных данных
10. Положение о порядке обработки персональных данных необходимо

В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.

Что отразить в политике конфиденциальности

Утвержденной законом формы этого документа нет, но есть перечень сведений, которые обязательно должны в нем быть:

  • основание и цель сбора персональных данных;
  • наименование, контактные данные и адрес;
  • информация о том, кто обрабатывает данные. Если этим занимается другая компания, то вписывается информация о третьих лицах, у которых есть доступ к данным;.
  • виды данных для обработки и источники их получения;
  • сроки обработки и хранения персональных данных;
  • способ соблюдения прав субъекта, предусмотренных законом «О персональных данных»;
  • информация о передаче данных за пределы России.

Как составить согласие на обработку персональных данных

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. В бланке обязательно должны быть следующие данные:

  • наименование оператора персональных данных;
  • место и дата составления документа;
  • фамилия, имя, отчество субъекта, его паспортные данные и сведения о месте жительства.

Далее идет информационная часть согласия. В ней прописывается:

  • каких именно персональных данных касается документ;
  • в каких целях и что именно допустимо с ними делать;
  • срок действия согласия и возможность его отзыва.

Персональные данные и требования Роскомнадзора. Что нужно знать, чтобы зарегистрироваться в реестре операторов

За неверную обработку ПД и тем более их утечку, что случается довольно часто, КоАП предусматривает до 18 000 000 руб. штрафа – ст. 13.11. И оператор, то есть любое лицо, в том числе и физическое, которое владеет ПД, обязано пройти регистрацию в Реестре операторов персональных данных еще до начала сбора этих данных. За отсутствие регистрации штраф относительно небольшой. Для физлиц – от 100 руб. до 300 руб. Для юрлиц – от 3000 руб. до 5000 руб. – ст. 19.7 КоАП. Регистрацией занимается Роскомнадзор. Он проверяет все документы и принимает решение о внесении в реестр.

Когда не требуется предварительное уведомление Роскомнадзора

· Если речь идет о трудоустройстве. И в этом случае работодатель обязан уведомить нового работника под роспись о порядке обработки его ПД, а также получить его согласие

· Если данные нигде не распространяются и не передаются третьим лицам (договоры ГПХ и пр.)

· Религиозные организации также могут не регистрироваться в РКН

· Если человек разрешил их распространение или сам их разместил для ознакомления неопределенному кругу лиц

· Если данные включают только ФИО

· Если заполняются данные только для прохода на объект (оформление стандартного пропуска)

· Если речь идет о системах хранения данных, созданных в целях госбезопасности

· Если обработка данных осуществляется без использования средств автоматизации (например, для разового посещения библиотеки или архива)

· Если речь идет о персональных данных пассажиров в транспортной сфере.

Роскомнадзор разработал методические рекомендации для операторов, которые намереваются пройти регистрацию.

Уведомление должно включать следующие сведения:

· Правоустанавливающие данные для юрлиц или госорганов: ИНН, ОГРН, адрес, наименование филиалов, лицензии и пр. Физлицам необходимо предоставить адрес оператора, ИНН и паспорт

Читайте также:  Земельный налог за 1 квартал 2023 — порядок и сроки уплаты

· Необходимо указать цели обработки ПД, категории и субъектов (лиц, чьи ПД будут собираться)

· Правовое обоснование обработки (для чего собираются)

· Вид обработки (автоматизированная или неавтоматизированная, с передачей по сети или нет)

· Описание мер защиты (хранение паролей или документов)

· Указание должностных лиц, ответственных за хранение и обработку, с указанием их ФИО, телефонов и адресов

· Сведения о месте нахождения базы данных

· Сведения о трансграничности передачи, если таковая имеется

Будьте внимательны и избегайте штрафов. С уважением к людям и законам, ваш Юрист24.

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • получаемых и обрабатываемых в рамках трудового законодательства;
  • получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
  • относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
  • разрешенных физлицом для распространения;
  • включающих в себя только фамилии, имена и отчества физлиц;
  • необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • наименование компании (ФИО ИП) и ее адрес;
  • цель обработки персональных данных (например, заключение трудовых договоров);
  • категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
  • категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
  • сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
  • ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
  • предполагаемая дата начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
  • сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

  • в бумажном виде,
  • в электронном виде с использованием усиленной квалифицированной электронной подписи,
  • в электронном виде с использованием средств аутентификации ЕСИА.

Подотчетным станет сбор персональных данных:

  • в ходе трудовых отношений,
  • при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
  • уже упомянутых ФИО,
  • даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
  • для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

Что делать, если вы уже обрабатываете персональные данные?

Если вы уже обрабатываете персональные данные и не знаете как сейчас поступить по поводу регистрации в реестре операторов персональных данных, то следуйте такому плану:

  1. Соберите сведения по обработке и предпринимаемых мерах по защите персональных данных (см. перечень сведений ниже).
  2. Как можно скорее подготовьте и подайте уведомление об обработке персональных данных в Роскомнадзор.
  3. Выполните подготовку по всем требованиям 152-ФЗ с учетом указанных вами в уведомлении сведений (смотрите информацию по ссылке — подготовка по 152-ФЗ).
  4. Произведите корректировку сведений в реестре Роскомнадзора по результатам подготовки по 152-ФЗ путем подачи извещения об изменениях (при необходимости).
Читайте также:  Как взыскать задолженность по алиментам через суд?

Независимо от наличия записи в реестре, в том случае, если компания обрабатывает персональные данные (а любой бизнес их обрабатывает), то она является оператором обработки персональных данных. Т.е. теоретически реестр операторов должен совпадать с ЕГРЮЛом и даже быть немного больше, т.к. и физлицо может являться оператором. Но в реестре находится чуть более 400 000 записей, что явно меньше количества зарегистрированных юридических лиц и индивидуальных предпринимателей.

Конечно же существует возможность не уведомлять Роскомнадзор об обработке персональных данных. Ряд исключений предусмотрены ст. 22 ФЗ “О персональных данных”, но с ними не все так однозначно как кажется на первый взгляд, о чем напишу позже. Важно понять другое — независимо от наличия вашей компании в Реестре требования законодательства о персональных данных на вас также распространяются и их необходимо неукоснительно соблюдать.

Типичные ошибки при заполнении уведомления:

  1. Неверно указано правовое основание обработки ПДн. Считается, что для обработки достаточно согласия субъекта. Этот подход неверный, согласие не «панацея» во всех случаях. Важно перечислить перечень законов и подзаконных актов, в соответствии с которыми осуществляется обработка.
  2. Неправильно определены цели обработки ПДн. Например, ошибочно указывать в качестве цели «хранение персональных данных». Хранение — это одно из действий по обработке. Кроме того, недопустимо собирать сведения о субъекте только для того, чтобы хранить в базах данных. В 2019 году РКН составил 111 протоколов по данному нарушению.
  3. Ошибочно установлен уровень защищенности ПДн. Как следствие, не указаны необходимые меры безопасности. Для правильного определения уровня рекомендуется привлекать специалистов по информационной безопасности.
  4. Данные всех категорий субъектов заполнены в рамках одной ИС. Напомним, что сведения о каждой группе физических лиц (сотрудники, посетители сайта и т.п.) в уведомлении лучше выделить отдельно, поскольку недопустимо объединение баз ПДн, обрабатываемых в разных целях.
  5. Указаны не все категории субъектов ПДн. Без проведения аудита обработки сложно выявить все группы субъектов. Например, компании забывают про обработку сведений о соискателях.
  6. Отсутствуют сведения о первичной базе данных в России.Это прямой повод для проведения проверки Роскомнадзором, по итогам которой компанию могут оштрафовать за отсутствие локализации.

Что изменилось в обработке персональных данных с 1 марта

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

  • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
  • Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
  • В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Требования к обработке персональных данных

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2021 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Читайте также:  Льготы ветеранам труда в Челябинской области в 2023 году

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

  • организующие и (или) осуществляющие обработку ПД;
  • определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

  • ФИО
  • дата рождения
  • адрес
  • телефон
  • электронный адрес
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Обязанности оператора при обработке персональных данных

Субъектам государственного и частного сектора, в чьи обязанности входит систематизация и оптимизация личностных сведений физических лиц, надлежит руководствоваться Федеральным законом № 152-ФЗ. Согласно ему, операторы обязаны:

  1. Вести разъяснительные беседы с гражданами и доходчиво им объяснять, для чего ПД будут использованы.
  2. Получать от физических лиц письменное согласие на обработку и использование личностных сведений.
  3. Опубликовывать правила использования и обработки ПД отдельно взятым оператором.
  4. Защищать личные сведения граждан от посягательств третьих лиц, а также запрещать использование и распространение информации другими субъектами.
  5. Уничтожать ПД по заявлению владельца, если они были обработаны с нарушениями, по мнению гражданина.

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

  1. Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов. В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
  2. Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
  3. Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Положение о порядке обработки персональных данных необходимо

Трудовая инспекция выдала обществу предписание устранить нарушения трудовых прав работников.

Среди них – принять локальный акт, устанавливающий порядок обработки персональных данных сотрудников предприятия.

Общество оспорило предписание, сославшись на то, что вывод о нарушении трудовых прав работников является надуманным. В организации числится лишь один работник, и он же является директором ООО. Выходит, что трудовая инспекция одновременно и защищает права работника, и привлекает его же к ответственности, что недопустимо.

Суд не внял этому аргументу и решил, что в соответствии со ст. 86‒88 ТК РФ у каждого работодателя должен иметься локальный нормативный акт о порядке обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Поэтому у государственного инспектора труда имелись основания для выдачи предписания.

Апелляционное Определение Московского городского суда от 06.05.2014 № 33-15735/14


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *