Прежде, чем начать обрабатывать персональные данные (ПДн), в соответствии с ч.1 ст. 22 Федерального Закона №152-ФЗ «О персональных данных» оператор обязан направить уведомление об этом в Роскомнадзор.
Когда не нужно отправлять уведомление
Уведомление Роскомнадзора не требуется в следующих случаях:
данные обрабатываются согласно трудовому законодательству;
данные получены оператором в рамках договора, заключенного с субъектом ПДн, при этом исключено их распространение и передача третьим лицам без получения согласия субъекта ПДн, а использование оператором производится исключительно для того, чтобы исполнить указанный договор и заключить договора с субъектом ПДн;
данные сделаны субъектом ПДн общедоступными;
данные предоставлены субъекту для единовременного пропуска ПДн на территорию оператора, а также в других аналогичных целях;
данные содержат только фамилию, имя и отчество субъекта ПДн;
данные касаются членов (участников) религиозной организации или общественного объединения и обрабатываются соответствующими объединением или организацией, действующими в рамках законодательства РФ, с целью достижения законных целей, установленных их учредительными документами, лишь в том случае, если распространение ПДн или их раскрытие третьим лицам будет производиться только с письменного согласия, полученного от субъекта ПДн;
данные введены в информационные системы (ИС) ПДн, которые имеют статус государственных автоматизированных ИС, и в государственные ИС ПДн, целью создания которых является безопасность государства и общественный порядок;
обработка данных производится без применения средств автоматизации согласно требованиям по безопасности ПДн при их обработке и к соблюдению прав субъектов ПДн, которые устанавливаются федеральными законами и другими нормативными правовыми актами РФ;
обработка данных производится в случаях, регламентированных законодательством РФ о транспортной безопасности.
Как отправить уведомление
В соответствии с ФЗ-152 и п. 3.2 Методических рекомендаций по уведомлению о начале обработки ПДн (приказ Роскомнадзора №94 от 30.05.2017) уведомление о ПДн разрешается отправлять на бумажном носителе либо в форме электронного документа. Законом №152-ФЗ не устанавливается обязательная форма или бланк уведомления о ПДн. Рекомендации по форме уведомления даны в Приложении №1 к Методическим рекомендациям по уведомлению о начале обработки ПДн.
Для направления уведомления о ПДн на практике необходимо выполнить следующие два шага:
- заполнить электронную форму уведомления Роскомнадзора, что ускорит процесс внесения данных в реестр и позволит получить заполненную форму, готовую к печати на бумажном носителе;
- отправить форму уведомления в территориальный орган Роскомнадзора на бумажном носителе либо в электронном виде с использованием усиленной квалифицированной цифровой подписи либо средств аутентификации ЕСИА.
Оператор обязан направить уведомление до начала обработки ПДн. После регистрации уведомления уполномоченным органом в течение 30 дней оператор должен быть внесён в реестр. В случае нехватки каких-то сведений, работники контролирующего органа запрашивают данные для уточнения поданных документов. Получить отказ в принятии уведомления и внесении информации об организации в реестр оператор ПДн не может.
При изменении целей обработки ПДн у организации в силу различных причин, а также при необходимости внести другие изменения организация в течение 10 дней направляет в Роскомнадзор письмо установленного образца.
Услуги оказываются в этом случае Роскомнадзором бесплатно.
Пренебрежение оператором требования направлять уведомление в Роскомнадзор, а также нарушение сроков направления грозит его привлечением к административной ответственности согласно ст. 19.7 КоАП РФ в виде штрафа до 5 тысяч рублей.
Образец уведомления об обработке персональных данных
