Уведомление об обработке персональных данных — образец

Что представляет из себя уведомление о персональных данных в Роскомнадзор? На кого распространяется обязанность по его сдаче? Все знают о том, что персональные данные работников могут быть переданы третьим лицам исключительно по их письменному согласию. Конечно, это правило распространяется не на все случаи передачи персональных данных. Также и уведомление о персональных данных в Роскомнадзор (образец заполнения ищи в статье) требуется не всегда.

Любая компания-работодатель осуществляет обработку персональных данных своих работников, является их оператором. По общему правилу, закрепленному в п. 1 ст. 22 Закона от 27. 2006 № 152-ФЗ, оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять такую обработку.

Несмотря на то, что указанное уведомление не требуется в случае с обработкой персональных данных в соответствии с трудовым законодательством (как следует из подп. 2 п. 2 ст. 22 Закона № 152-ФЗ), работодатель периодически направляет данные о работниках в различные ведомства — например, в ПФР или ФНС. Происходить это может и вне трудовых отношений как таковых. Поэтому, обязанность работодателя по уведомлению регулятора об обработке персональных данных работников в полной мере присутствует.

Уведомление осуществляется по специальной форме — ниже вы можете ознакомиться с ее образцом.

Реестр операторов, осуществляющих обработку персональных данных

В соответствии со статьей 22 Федерального закона № 152-ФЗ «О персональных данных», организации, осуществляющие обработку персональных данных, уведомляют уполномоченный орган по защите прав субъектов персональных данных путем подачи Уведомления об обработке персональных данных для последующего занесения организации в Реестр операторов, осуществляющих обработку персональных данных.

Консультации по вопросам подачи уведомлений об обработке персональных данных проводятся инспекторами территориального Управления Роскомнадзора (в Москве — каждый вторник в 15:00 по адресу Старокаширское шоссе, д. 2, корп. 10).

Подача уведомления

В первую очередь необходимо определить, требуется ли подавать уведомление. В соответствии с частью 2 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;
  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  • сделанных субъектом персональных данных общедоступными;
  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  • обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

В большинстве организаций персональные данные обрабатываются сверх вышеперечисленных исключений.

Как подать уведомление?

После заполнения всех полей электронной формы заявления и отправки формы электронного уведомления (кнопка «Отправить электронное уведомление и подготовить форму к распечатке») заполненную форму необходимо сохранить для последующего формирования письма на бланке организации. После подтверждения корректности внесенных сведений необходимо сформировать письмо на бланке организации с заполненной формой, распечатать, поставить подпись и печать организации, направить в Управление Роскомнадзора в двух экземплярах.

Рекомендации по внесению изменений в Реестр операторов персональных данных

Перед составлением уведомления рекомендуется провести аудит соответствия.

Что должно содержать уведомление?

В соответствии с частью 3 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» уведомление должно содержать следующие сведения:

  • наименование (фамилия, имя, отчество), адрес оператора;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
  • описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 7.1. фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  • дата начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 10.1. сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Роскомнадзор во время плановых и внеплановых проверок проверяет содержание уведомления по каждому вышеперечисленному пункту и почти у всех Операторов выявляет нарушения.

Рекомендации Роскомнадзора

29 января 2016 г. Роскомнадзор выпустил рекомендации по заполнению формы Уведомления об обработке персональных данных.

Оформление Уведомления производится на бланке оператора и направляется в территориальный орган Роскомнадзора по месту регистрации Оператора в налоговом органе. Уведомление направляется в территориальный орган Роскомнадзора в бумажном или электронном виде и подписывается уполномоченным лицом.

Под полем «Наименование (фамилия, имя, отчество), адрес Оператора» понимается:

для юридических лиц (Операторов):

  • полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;
  • наименование филиала(ов) (представительства(в)) юридического лица (Оператора), осуществляющего обработку персональных данных;
  • адрес Оператора;
  • индивидуальный номер налогоплательщика (ИНН).

для физических лиц:

  • фамилия, имя, отчество физического лица (Оператора);
  • адрес Оператора;
  • данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;
  • индивидуальный номер налогоплательщика (ИНН).

Поле «Цель обработки персональных данных» отражает цели обработки персональных данных (а также их соответствие полномочиям Оператора), указанные в учредительных документах Оператора и фактически осуществляемые Оператором в деятельности по обработке персональных данных.

В поле «Категории персональных данных» указываются все категории персональных данных, подлежащих обработке Оператором:

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных).
  • Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни).
  • Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных).

В поле «Категории субъектов, персональные данные, которых обрабатываются» указываются категории субъектов, персональные данные которых обрабатываются (например: работники, соискатели, уволенные работники, родственники работников и т.

В поле «Правовое основание обработки персональных данных» указываются правовые основания, которые соответствуют полномочиям Оператора, отраженных в уставных документах, Федеральных законах и принятых на их основе нормативных правовых актов в части, касающейся компетенции Оператора, закрепляющий основание и порядок обработки Оператором персональных данных (например: Федеральные законы, согласие на обработку персональных данных субъекта, договор и т.

Поле «Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных» предусматривает действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

  • неавтоматизированная обработка персональных данных;
  • исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
  • смешанная обработка персональных данных.

Поле «Описание мер, предусмотренных статьями 18. 1 и 19 Федерального закона «О персональных данных», предполагает:

  • описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
  • фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  • организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, указываются следующие сведения:

  • наименование используемых криптографических средств;
  • класс средств криптографической защиты информации (СКЗИ).

В поле «Сведения о наличии или об отсутствии трансграничной передачи персональных данных» рекомендуется относить сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки с указанием перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.

В поле «Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации (далее — База данных)» указываются:

  • страна (страны) размещения базы данных;
  • конкретный адрес (адреса) местонахождения базы данных.

В поле «Сведения об обеспечении безопасности персональных данных» указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Поле «Дата начала обработки персональных данных» предусматривает конкретную дату (число, месяц, год) начала любого действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (как правило, это дата начала осуществление Оператором деятельности, закрепленной в уставных документах).

В поле «Срок или условие прекращения обработки персональных данных» указывается основание (условие), наступление которого повлечет прекращение обработки персональных данных.

Типовые ошибки при подаче Уведомления

Многие Операторы допускают ошибки при заполнении сведений пунктов 3 и 4. Ошибки заключаются в указании неполного перечня категорий персональных данных и категорий субъектов персональных данных. Роскомнадзор хочет видеть по 3 пункту все категории персональных данных, обрабатываемые Оператором, вплоть до времени входа/ухода посетителя и работника, если такие данные обрабатываются. По 4 пункту Операторы не указывают такие категории как уволенные работники и родственники работников.

Также распространенная ошибка по 5 пункту заключается в указании неполного перечня правовых оснований обработки персональных данных. Операторы не указывают в перечне правовых оснований такие основания как согласие на обработку персональных данных и договор, заключаемый с субъектом персональных данных.

По пункту 7. 1 Операторы иногда не указывают почтовый адрес ответственных за организацию обработки персональных данных, что является нарушением.

В перечне действий с персональными данными Операторы обычно указывают все действия, перечисленные в статье 3 152 Федерального закона «О персональных данных», что очень часто не соответствует фактически осуществляемым действиям и приводит к нарушению. Также операторы указывают в перечне действий обезличивание. По последней позиции Роскомнадзора, так как в настоящий момент Методические рекомендации по обезличиванию разработаны только для государственных органов, коммерческие организации не вправе осуществлять такое действие с персональными данными.

В ходе анализа Уведомления на соответствие требованиям Роскомнадзор старается опираться на указанную информацию в представленных Оператором локальных актах, касающихся обработки персональных данных, поэтому рекомендуется заполнять уведомление строго в соответствии с локальными актами. Ошибка, допущенная по любому из вышеперечисленных пунктов, ведет к нарушению части 7 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» и к выдачи предписания об устранении нарушений. Перед подачей Уведомления для снижения риска несоответствия рекомендуется провести Аудит соответствия обработки персональных данных, который позволит определить процессы обработки персональных данных, подготовить/обновить локальные акты по вопросам обработки персональных данных и подготовить Уведомление, опираясь на локальные акты.

Лента сообщений в удобном формате:

Разберемся с понятиями

По роду деятельности компании (организации и индивидуальные предприниматели) имеют дело с персональными сведениями работников. В организациях хранятся документы, содержащие в себе персональные данные персонала:

  • личные карточки работников;
  • зарплатные ведомости;
  • личные дела;
  • тому подобные документы.

Источниками сведений о себе являются, как правило, сами сотрудники. В случае если сведения о работнике можно получить только от третьих лиц, работодатель все равно должен заручиться согласием работника. Для этого его нужно предупредить о характере запрашиваемых сведений и последствиях отказа работника дать согласие на их получение (п. 3 ч. 1 ст. 86 ТК РФ).

Отметим, что согласие на обработку персданных требуется не всегда. В ряде случаев никакого согласия не требуется. К примеру, это относится к ситуациям, связанным с выполнением оператором обязанностей, установленных действующим законодательством. К примеру, не нужно брать согласие на предоставление информации:

  • ФНС (ст. 24 НК РФ);
  • ПФР (ст. 9 Федерального закона от 01.04.1996 № 27-ФЗ);
  • военным комиссариатам (ст. 4 Федерального закона от 28.03.1998 № 53-ФЗ).

Сообщаем чиновникам

Так зачем же нужно уведомление о персональных данных в Роскомнадзор и образец заполнения для ООО и других форм собственности?

Письменное согласие работника на обработку данных составляется в свободной форме, так как специального бланка для этой формы не утверждено. Важно, чтобы разработанный бланк содержал сведения, перечисленные в ч. 4 ст. 9 Федерального закона от 27. 2006 № 152-ФЗ:

  • Ф.И.О., адрес работника и реквизиты паспорта, в том числе, дата выдачи документа и наименование органа, который его выдал;
  • название или Ф.И.О. работодателя (оператора персональных данных), который получает согласие на обработку данных;
  • цель обработки персональных сведений;
  • перечень сведений, на обработку которых работник дает согласие;
  • название или Ф.И.О., а также адрес лица, осуществляющего обработку данных по поручению работодателя, если обработка будет ему поручена;
  • список действий с персональными данными, на совершение которых дается согласие и способы их обработки;
  • срок действия выданного согласия и способы его отзыва;
  • подпись сотрудника.

Действительно, многие знают, что нужно сдавать уведомление о персональных данных в Роскомнадзор, а кто и когда должен сдавать, не знают. Работодатели, обрабатывающие персданные работников еще до начала обработки должны уведомить территориальное подразделение Роскомнадзора о своем желании обрабатывать данные. Это требование справедливо для всех случаев, кроме, тех ситуаций, когда сведения (ст. 22 Федерального закона от 27. 2006 № 152-ФЗ):

  • обрабатываются в соответствии с трудовым законодательством;
  • являются общедоступными;
  • получены вследствие заключения договора с сотрудником, при условии, что сведения не распространяются, а используются для исполнения данного договора;
  • содержат в себе только Ф.И.О. работников;
  • требуются для однократного пропуска на территорию работодателя;
  • включены в информационные системы персданных;
  • обрабатываются без использования средств автоматизации;
  • обрабатываются в случаях, предусмотренных действующим законодательством о транспортной безопасности.

Уведомление об обработке персональных данных — образец

Направить документ можно на бумаге в территориальное подразделение Роскомнадзора или в электронном виде через портал персональных данных. Срок сдачи уведомления о персональных данных в Роскомнадзор не установлен.

Добавим, что существует срок уведомления о прекращении обработки персональных данных (ч. 7 ст. 22 Федерального закона от 27. 2006 № 152-ФЗ). Он составляет 10 рабочих дней с момента прекращения обработки данных.

Специально для читателей наши специалисты подготовили образец уведомления о персональных данных в Роскомнадзор. Он доступен для скачивания по прямой ссылке на сайте.

Если компания (индивидуальный предприниматель) планирует работу с персональными данными сотрудников, выходящую за рамки деятельности, о которой сообщать не нужно, то о подаче уведомления забывать не следует. Компании грозит ответственность за уведомление о персональных данных в Роскомнадзор, не предоставленное в соответствии с законом (ст. 11, 13. 14 КоАП РФ).