Гайд: уведомление Роскомнадзора о персональных данных 

В современном информационном обществе персональные данные сотрудников находятся по защитой государства. Операторы персональных данных, осуществляющие обработку информации о гражданах, обязаны соблюдать определенные процедуры, предусмотренные законодательством. Одним из ключевых моментов в этом процессе является уведомление Роскомнадзора о персональных данных и о намерении провести их обработку. В данной статье мы рассмотрим, как заполняется форма уведомления Роскомнадзора и какие правила этой процедуры существуют.

Персональные данные сотрудников – это индивидуальная информация о конкретных людях, которая может оказаться в руках различных организаций и лиц. Они защищены законом и требуют особого внимания и контроля. Любой, кто работает с такими данными, обязан уведомить Роскомнадзор о своем намерении обрабатывать их.

Например, при приеме на работу сотрудника, работодатель обязан запросить определенные документы, такие как паспорт, трудовую книжку, СНИЛС и диплом. Это делается в соответствии со статьей 65 Трудового кодекса Российской Федерации.

Однако есть случаи, когда уведомление оператора персональных данных не требуется:

• Если персональные данные включены в государственные информационные системы, созданные для обеспечения безопасности государства и общественного порядка.
• Если обработка персональных данных осуществляется без использования средств автоматизации.
• В случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, когда обработка данных необходима для обеспечения устойчивого и безопасного функционирования транспортного комплекса и защиты интересов личности, общества и государства от незаконного вмешательства.

Когда речь идет о том, чтобы начать обрабатывать персональные данные, нужно не только быть готовым к этому, но и уведомить Роскомнадзор о своих планах. Это не только обязательно, но и важно для обеспечения законности и прозрачности в работе с данными.

Уведомление оператора персональных данных, как правило, представляется в виде документа, который может быть как на бумажном носителе, так и в электронной форме. Приказ Роскомнадзора 180 содержит порядок заполнения уведомления об обработке персональных данных и саму форму уведомления. Этот документ должен содержать определенную информацию:

• Наименование и адрес оператора - чтобы идентифицировать кто и где будет осуществлять обработку персональных данных.
• Цель обработки персональных данных - почему эти данные собираются и как они будут использоваться.
• Описание мер по защите данных - какие меры будут предприняты для защиты данных, включая информацию о шифровальных средствах.
• Контактные данные ответственных лиц - их ФИО, номера телефонов, почтовые и электронные адреса.
• Дата начала обработки и условия ее прекращения - когда начнется и завершится процесс обработки данных.
• Информация о трансграничной передаче данных - если такая передача предполагается.
• Местонахождение базы данных - где физически располагаются данные граждан Российской Федерации.
• Сведения о лицах, имеющих доступ к данным - их ФИО и организации.
• Обеспечение безопасности данных - какие меры безопасности будут приняты в соответствии с требованиями законодательства.

Этот процесс обязателен для всех, кто собирается работать с персональными данными, будь то государственные органы, муниципальные структуры, организации или даже отдельные физические лица.

Отправка уведомления:

• Уведомление может быть направлено как в электронной, так и в бумажной форме.
• Если уведомление отправляется электронно, оно должно быть подписано электронной подписью.
• Уведомление на бумажном носителе должно быть подписано руководителем и направлено в территориальный орган Роскомнадзора.

Актуальная форма уведомления Роскомнадзора находится в материалах к данной статье.

Если у вас изменятся сведения, указанные в уведомлении об обработке персональных данных, необходимо уведомить об этом Роскомнадзор. Это следует сделать по форме из приложения № 2 к приказу Роскомнадзора не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

Когда вы прекратите обрабатывать персональные данные, также необходимо направить уведомление об этом в Роскомнадзор. Для этого используйте форму из приложения № 3. Уведомление должно быть отправлено в течение 10 рабочих дней с момента прекращения обработки персональных данных.

После направления уведомления Роскомнадзор внесет информацию о вашей компании в специальный реестр в течение 30 дней с момента получения уведомления.

Когда Роскомнадзор получит информацию о том, что вы прекратили обработку персональных данных, сведения о вашей компании будут удалены в течение 30 дней после получения уведомления.

Чтобы подать уведомление об обработке персональных данных, следуйте этим простым шагам:

1. Перейдите на сайт Роскомнадзора.
2. В разделе уведомлений выберите территориальное управление Роскомнадзора, куда вы будете отправлять уведомление.
3. Выберите тип оператора и введите полное и сокращенное наименование вашей организации в соответствии с учредительными документами.
4. Укажите фактический и юридический адреса вашей организации, а также регионы, в которых она осуществляет деятельность.
5. Заполните реквизиты организации, включив ИНН и ОГРН.
6. Если у вашей организации есть филиалы, добавьте информацию о них.
7. В графе "Правовое основание обработки персональных данных" перечислите все нормативно-правовые и внутренние документы, связанные с обработкой ПД, начиная с Федерального закона № 152-ФЗ и других законов, регулирующих вашу деятельность.
8. Укажите цели обработки персональных данных, например, обеспечение кадрового и бухгалтерского учета или подбор персонала.
9. Опишите меры безопасности персональных данных, согласно статьям 18.1 и 19 Федерального закона "О персональных данных".
10. Укажите дату начала обработки персональных данных, которая обычно совпадает с датой регистрации компании, и условие окончания обработки ПД, например, прекращение деятельности организации.
11. Выберите категории персональных данных: Отметьте все категории персональных данных, которые ваша организация обрабатывает. Если есть категории, которых нет в списке, укажите их в поле "Другие категории персональных данных".
12. Укажите категории субъектов данных: Определите, чьи персональные данные ваша организация обрабатывает, например, сотрудники, соискатели на вакансии, клиенты и т. д.
13. Перечень действий с данными: Укажите все действия, которые ваша организация выполняет с персональными данными. Это может включать сбор, запись, хранение, использование и т. д. Убедитесь, что все указанные действия соответствуют вашей деятельности.
14. Способ обработки данных: Укажите способы обработки персональных данных, например, смешанная обработка, передача по внутренней сети организации или по сети Интернет.
15. Трансграничная передача данных: Определите, передаются ли персональные данные за пределы России. Если да, укажите страны, в которые они передаются.
16. Использование шифровальных средств: Если ваша организация использует шифровальные средства, укажите их наименования и класс.
17. Местонахождение базы данных: Укажите страну, где располагается центр обработки данных (ЦОД), его адрес, и является ли он собственностью вашей организации.
18. Данные ответственного за обработку ПД: Укажите ФИО, контактный телефон и адрес электронной почты лица, ответственного за обработку персональных данных в вашей организации.
19. Данные исполнителя: Укажите данные лица, которое заполняет уведомление. Эти данные необязательны, но если их укажете, их также внесут в реестр операторов ПД.

После заполнения всех полей уведомления, отметьте галочки и нажмите кнопку "Отправить электронное уведомление и подготовить форму к распечатке". Затем распечатайте форму, подпишите, поставьте печать организации (если есть) и отправьте почтой в территориальное управление Роскомнадзора. После этого ваши данные внесут в реестр операторов персональных данных.

Обработка персданных: штрафы

Если в процессе обработки персональных данных допущены нарушения, оператора могут наказать согласно статье 13.11 КоАП РФ, что предусматривает штраф до 75 тысяч рублей.

Отдельная санкция применяется за хранение данных граждан РФ за пределами страны: от 6 млн рублей до 12 млн рублей в случае повторного нарушения.

Если оператор не предоставил уведомление о начале обработки персональных данных, его может оштрафовать по статье 19.7 КоАП РФ на сумму до 5 000 рублей.

Обработка персданных - ответственный процесс, который регулируется Законом. Практически все работодатели должны подавать уведомление об обработке персональных данных в Роскомнадзор. Научиться правильно работать с персональными данными можно в ЕВИДПО. У нас есть более 35 курсов повышения квалификации и переподготовки по кадровому делу. Обучение проходит онлайн в сжатые сроки.

Итак, в статье рассмотрены основные аспекты обработки персональных данных и требования к операторам персональных данных. Операторы обязаны уведомить Роскомнадзор о своей деятельности по обработке персональных данных, используя специальную форму уведомления, утвержденную приказом Роскомнадзора № 180. Это уведомление должно содержать подробные сведения о целях обработки персональных данных, категориях персональных данных и субъектах, правовом основании для обработки, а также о мерах безопасности и сроках обработки данных.