1

Фев

УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Нет комментариев  Роскомнадзор
Очень плохоПлохоСреднеХорошоОтлично (среднее: 5,00 из 5)
Загрузка...

1. УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

Общая информация

1.1. Нормативное регулирование представления уведомления об обработке персональных данных

Порядок представления уведомлений об обработке персональных данных регулируется:

  • Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон);
  • Административным регламентом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных» (утв. Приказом Минкомсвязи России от 21.12.2011 N 346) (далее — Регламент);
  • Рекомендациями по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (утв. Роскомнадзором 29.01.2016; далее — Рекомендации).

1.2. Случаи, в которых необходимо представлять уведомление об обработке персональных данных

До начала обработки персональных данных оператор обязан представить в уполномоченный орган уведомление о намерении осуществлять такую обработку (ч. 1 ст. 22 Закона).
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона). Такой информацией, в частности, являются фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных (п. 6.1 Рекомендаций).
Обработкой персональных данных признаются любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации. К таким действиям относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 Закона).
Условия обработки персональных данных предусмотрены в ст. 6 Закона.
Не требуется представление уведомления

Без уведомления уполномоченного органа может производиться обработка следующих персональных данных (ч. 2 ст. 22 Закона):

1) обрабатываемых в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона).
На практике это основание является одним из самых распространенных исключений, позволяющим не подавать уведомление. Однако работодателям следует учитывать, что под него подпадают не все персональные данные работников, а только те, обработка которых осуществляется в соответствии с трудовым законодательством. На практике встречаются случаи обработки персональных данных работников в объемах (категориях) и целях, не предусмотренных трудовым законодательством, например обработки сведений об имущественном положении, о судимости (за исключением случаев, указанных в ст. ст. 65, 349.1 ТК РФ). Названное исключение не распространяется на персональные данные уволенных сотрудников (кроме случаев, предусмотренных трудовым законодательством, например ст. 64.1 ТК РФ); членов семей сотрудников, их детей (персональные данные которых могут иметься у работодателя, например, в связи с уплатой алиментов или предоставлением налоговых вычетов по НДФЛ). В указанных случаях операторы обязаны подавать уведомление, если отсутствуют иные основания для обработки персональных данных без его подачи (например, обработка персональных данных без использования средств автоматизации);
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных.
Это условие применяется, если персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона).
Указанное основание также является одним из распространенных случаев, при котором уведомление об обработке персональных данных не представляется. Следует иметь в виду, что для обработки персональных данных без представления уведомления по этому основанию должны одновременно соблюдаться все перечисленные условия:

  • персональные данные не должны распространяться;
  • они не должны предоставляться третьим лицам без согласия субъекта персональных данных;
  • персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных.

Иное использование персональных данных влечет за собой необходимость представить в уполномоченный орган уведомление;
3) относящихся к членам (участникам) общественного объединения или религиозной организации, которые обрабатываются таким объединением (религиозной организацией), действующим в соответствии с законодательством РФ, в целях, предусмотренных учредительными документами.
Это условие применяется, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Закона);
4) сделанных субъектом персональных данных общедоступными (п. 4 ч. 2 ст. 22 Закона);
5) включающих только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 22 Закона);
6) необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или аналогичных целей (п. 6 ч. 2 ст. 22 Закона);
7) включенных в информационные системы персональных данных, имеющих в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 Закона);
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных (п. 8 ч. 2 ст. 22 Закона).
Обработка персональных данных без использования средств автоматизации является еще одним из распространенных оснований, при которых она может осуществляться без представления уведомления. Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (далее — Положение). При соблюдении требований Положения подача уведомления согласно п. 8 ч. 2 ст. 22 Закона не требуется.
Если средства автоматизации (вычислительная техника, компьютеры) при обработке персональных данных не используются, уведомление об обработке персональных данных подаваться не должно (при соблюдении особенностей организации обработки данных, установленных в разд. II Положения). Однако при нынешней распространенности электронно-вычислительной техники она часто задействована в обработке персональных данных. Критерии, при которых такая обработка признается (либо не признается) неавтоматизированной, сформулированы в п. п. 1 и 2 Положения. Согласно п. 1 Положения считается неавтоматизированной обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из нее, если такие операции с персональными данными, как использование, уточнение, распространение, уничтожение (в отношении каждого из субъектов персональных данных), осуществляются при непосредственном участии человека. Кроме того, обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее (п. 2 Положения).
Необходимо отметить, что приведенные в п. 1 Положения критерии недостаточно конкретны для разграничения на практике случаев, в которых подача уведомления для обработки персональных данных с применением вычислительной техники требуется и не требуется. В связи с этим при возникновении сложностей с определением того, нужно ли подавать уведомление при различных вариантах использования вычислительной техники в процессе обработки персональных данных, следует уточнять этот вопрос в уполномоченном органе. На сайтах уполномоченных органов (их перечень приведен в Приложении N 1 к Регламенту, а также на сайте Роскомнадзора www.rkn.gov.ru) могут быть указаны контактные телефоны для обращений по вопросам, связанным с обработкой персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, для обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п. 9 ч. 2 ст. 22 Закона).

1.3. Лица, которые должны представлять уведомление об обработке персональных данных, и орган, в который оно подается

Лица, которые должны представлять уведомление

Представлять уведомление об обработке персональных данных должен оператор (ч. 1 ст. 22 Закона).
Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Закона).
Дополнительная информация о том, должен ли оператор при поручении обработки персональных данных иному лицу подавать уведомление в уполномоченный орган
Оператор вправе поручить обработку персональных данных иному лицу на основании заключенного с ним договора (в то числе государственного или муниципального контракта) либо путем принятия соответствующего акта (если оператор — государственный или муниципальный орган). Для этого необходимо согласие субъекта персональных данных, если иное не установлено законодательством (ч. 3 ст. 6 Закона). Однако поручение обработки персональных данных иному лицу не освобождает оператора от обязанности подавать уведомление в уполномоченный орган, поскольку, как прямо установлено в ч. 1 ст. 22 Закона, уведомление об обработке персональных данных должно подаваться именно им.

Орган, в который подается уведомление
Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор (абз. 2 п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 N 228). Согласно абз. 1 п. 14 Регламента ведение реестра операторов осуществляют и территориальные органы Роскомнадзора.
Уведомление рекомендуется направлять в территориальный орган Роскомнадзора — управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе (абз. 1 п. 2 Рекомендаций).
Контактная информация территориальных органов (включая адреса их сайтов) приведена в Приложении N 1 к Регламенту, а также на сайте www.rkn.gov.ru. На сайтах территориальных органов может быть размещена информация о конкретном адресе, по которому следует направлять уведомление.

1.4. Последствия обработки персональных данных без подачи уведомления, а также в случаях его несвоевременной подачи либо подачи уведомления, содержащего неполные или недостоверные сведения

Непредставление в уполномоченный орган уведомления об обработке персональных данных, его несвоевременное представление (т.е. уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ. Данная статья предусматривает ответственность за непредставление или несвоевременное представление в государственный орган сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. Ответственность по данной статье наступает также в случае предоставления сведений в неполном объеме или в искаженном виде.
Ответственность установлена в виде предупреждения или штрафа в размере:

  • для граждан — от 100 до 300 руб.;
  • для должностных лиц (в том числе индивидуальных предпринимателей — примечание к ст. 2.4 КоАП РФ)
  • от 300 до 500 руб. При этом согласно примечанию к ст. 2.4 КоАП РФ такими лицами являются руководители и иные работники организаций, выполняющие организационно-распорядительные или административно-хозяйственные функции;
  • для юридических лиц — от 3000 до 5000 руб.

 

2. ПОРЯДОК ПРЕДСТАВЛЕНИЯ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Заполнение формы уведомления об обработке персональных данных

 

Уведомление об обработке (о намерении осуществлять обработку) персональных данных должно быть составлено по форме, приведенной в Приложении N 2 к Регламенту (п. 22 Регламента).

 

Уведомление оформляется на бланке оператора (абз. 1 п. 2 Рекомендаций). Оно может быть составлено и направлено в уполномоченный орган как на бумажном носителе, так и в электронной форме (ч. 3 ст. 22 Закона, п. 3 Рекомендаций). Об особенностях заполнения и представления уведомления в электронной форме см. в разделе о представлении уведомления в уполномоченный орган.В уведомлении приводятся следующие сведения.

2.1.1. Наименование (Ф.И.О.), адрес оператора.

Операторы — юридические лица отражают в этой графе (п. 4.1 Рекомендаций):

  • полное наименование с указанием организационно-правовой формы, а также сокращенное наименование;
  • для юридических лиц с филиальной структурой — наименование филиалов (представительств), осуществляющих обработку персональных данных. При этом необходимо привести список субъектов РФ, на территории которых находятся филиалы (представительства) и (или) оператор производит обработку персональных данных. Согласно п. 4.1 Рекомендаций в списке субъектов РФ нужно указать коды субъектов согласно Справочнику «Коды субъектов РФ и иных территорий» (Приложение N 2 к Приложению N 2 к Приказу ФНС России от 30.10.2015 N ММВ-7-11/485@);
  • место нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию.

Следует отметить, что в силу п. 2 ст. 54 ГК РФ место нахождения определяется местом государственной регистрации на территории РФ путем указания лишь населенного пункта (муниципального образования). Сведения об адресе юридического лица в пределах данного населенного пункта содержатся в ЕГРЮЛ (абз. 1 п. 3 ст. 54 ГК РФ). В связи с этим адрес организации необходимо отразить в соответствии с данными ЕГРЮЛ.
Для организаций, имеющих филиалы (представительства), указываются также юридический и почтовый адреса филиалов и представительств, осуществляющих непосредственную обработку персональных данных. При этом необходимо уточнить, осуществляется ли обработка только самим юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами);
— ИНН.
Операторы — физические лица указывают (п. 4.2 Рекомендаций):

  • Ф.И.О.;
  • место нахождения в соответствии со свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию;
  • данные документа, удостоверяющего личность, дату выдачи, наименование органа, выдавшего документ;
  • ИНН.

Операторы — государственные и муниципальные органы указывают (п. 4.3 Рекомендаций):

  • полное и сокращенное наименования;
  • наименование территориальных органов, осуществляющих обработку персональных данных;
  • место нахождения в соответствии с учредительными документами и свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию;
  • ИНН.

 

2.1.2. Правовое основание обработки персональных данных.</p.

В случае осуществления лицензируемого вида деятельности следует также указать номер, дату выдачи и наименование лицензии. Согласно абз. 2 п. 8 Рекомендаций должны быть приведены (при их наличии и распространении на лицензиата) лицензионные условия (конкретный пункт лицензионных условий), закрепляющие запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.

2.1.3. Цель обработки персональных данных.

  • «оказание услуг по…»;
  • «выполнение работ по…»;
  • «осуществление… деятельности».

 

2.1.4. Категории персональных данных.

В этой графе указываются все категории персональных данных, подлежащих обработке (п. 6 Рекомендаций):
— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных): фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация (п. 6.1 Рекомендаций);
— специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, состояние здоровья, интимной жизни) (п. 6.2 Рекомендаций). Перечень случаев, когда допускается обработка специальных категорий персональных данных, установлен в ч. 2 ст. 10 Закона;
— биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность) (п. 6.3 Рекомендаций). К ним относятся физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.), а также иные физиологические или биологические характеристики человека, в том числе его изображения (фотография и видеозапись), которые позволяют установить личность субъекта и с этой целью используются оператором (Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностям их обработки»). Биометрические персональные данные могут обрабатываться оператором только при наличии письменного согласия субъекта персональных данных (за исключением случаев, установленных в ч. 2 ст. 11 Закона) (ч. 1 ст. 11 Закона).

2.1.5. Категории субъектов, персональные данные которых обрабатываются.
Согласно п. 7 Рекомендаций в этой графе указываются категории субъектов (физических лиц) и виды отношений с ними, например:

  • работники, состоящие в трудовых отношениях с юридическим лицом;
  • физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом.

 

2.1.6. Перечень действий с персональными данными, общее описание используемых оператором способов их обработки.
В этой графе указывается способ обработки персональных данных (п. 9 Рекомендаций):

  • неавтоматизированная обработка персональных данных;
  • исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
  • смешанная обработка персональных данных.

При автоматизированной либо смешанной обработке персональных данных следует отразить, передается полученная в ходе обработке информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников), с использованием сети Интернет либо вообще не передается (п. 9 Рекомендаций). На практике уполномоченный орган может потребовать четкого указания в уведомлении соответствующих вариантов:

  • «информация передается по внутренней сети юридического лица»;
  • «информация не передается по внутренней сети юридического лица»;
  • «информация доступна лишь для строго определенных сотрудников»;
  • «информация передается с использованием сети общего доступа Интернет»;
  • «без передачи полученной информации».

 

2.1.7. Описание мер, предусмотренных ст. ст. 18.1 и 19 Закона.
В этой графе оператор приводит (п. 10 Рекомендаций):

а) описание мер, указанных в ст. ст. 18.1 и 19 Закона, в том числе сведения о наличии шифровальных (криптографических) средств и их наименования.
В ст. 18.1 Закона содержится перечень мер, направленных на обеспечение выполнения оператором обязанностей, установленных Законом. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения этих обязанностей (если иное не предусмотрено Законом или иными федеральными законами). К таким мерам могут относиться, в частности, следующие (ч. 1 ст. 18.1 Закона):
— назначение оператором-организацией лица, ответственного за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1 Закона);
— издание оператором-организацией документов, определяющих его политику в отношении обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1 Закона);
— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона (п. 3 ч. 1 ст. 18.1 Закона);
См. продолжение перечня

  • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативно-правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора (п. 4 ч. 1 ст. 18.1 Закона);
  • оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение его с принимаемыми оператором мерами (п. 5 ч. 1 ст. 18.1 Закона);
  • ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к их защите, документами, определяющими политику оператора в отношении их обработки, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников (п. 6 ч. 1 ст. 18.1 Закона).

В уведомлении следует перечислить конкретные меры, которые будут приниматься оператором в соответствии со ст. 18.1 Закона.
В ст. 19 Закона предусмотрены возможные меры по обеспечению безопасности персональных данных при их обработке. Оператор должен принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий (ч. 1 ст. 19 Закона).
Примерный перечень таких мер приведен в ч. 2 ст. 19 Закона.
В уведомлении следует перечислить конкретные меры, которые будут приниматься оператором в соответствии со ст. 19 Закона. Необходимо отметить, что на практике уполномоченный орган особое внимание обращает на наличие в уведомлении конкретного перечня организационных и технических мер. К организационным мерам, в частности, можно отнести принятие организацией локальных нормативных актов (внутренних документов — приказов, положений, регламентов). К техническим мерам, например, относятся:

  • защита от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах);
  • защита паролем компьютеров с персональными данными;
  • использование системы паролей при работе в сети (на портале);
  • ограничение доступа к компьютерной технике для определенных категорий работников.

При смешанной обработке персональных данных уполномоченный орган может потребовать, чтобы перечень мер по обеспечению безопасности персональных данных был приведен отдельно для персональных данных на бумажных носителях и на электронных носителях.
В случае использования оператором шифровальных (криптографических) средств в уведомлении также указываются следующие сведения (п. 10 Рекомендаций):

  • наименование используемых криптографических средств;
  • класс средств криптографической защиты информации.

Такая информация предоставляется в соответствии с Приказом ФСБ России от 10.07.2014 N 378;

б) фамилию, имя, отчество физического лица или сотрудника юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты.

Оператор-организация должен назначить лицо, ответственное за организацию обработки персональных данных (ч. 1 ст. 22.1 Закона). Оно должно получать указания непосредственно от исполнительного органа оператора и быть ему подотчетно (ч. 2 ст. 22.1 Закона). Обязанности лица, ответственного за обработку персональных данных, установлены в ч. 4 ст. 22.1 Закона.

2.1.8. Сведения о наличии или отсутствии трансграничной передачи персональных данных.

В названной графе указываются сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки. При трансграничной передаче персональные данные передаются на территорию иностранного государства его органу власти, иностранному физическому или юридическому лицу (п. 11 ст. 3 Закона). В этом случае следует привести перечень иностранных государств, на территорию которых передаются персональные данные (п. 11 Рекомендаций).
Условия, при которых допускается трансграничная передача персональных данных, установлены в ст. 12 Закона.

2.1.9. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ.

В соответствии с п. 12 Рекомендаций в этой графе приводятся:

  • страна (страны) размещения базы данных;
  • ее адрес (адреса) местонахождения.

Согласно форме уведомления нужно указать наименование информационной системы (базы данных).

2.1.10. Сведения об обеспечении безопасности персональных данных.

Согласно п. 13 Рекомендаций нужно указать сведения об обеспечении безопасности персональных данных в соответствии с требованиями к их защите, установленными Правительством РФ. Правительством РФ утверждены, в частности:
— Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства РФ от 01.11.2012 N 1119);
— Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства РФ от 15.09.2008 N 687), в разд. III которого приведены меры по обеспечению безопасности персональных данных при такой обработке.

2.1.11. Дата начала обработки персональных данных.
В этой графе указывается дата начала осуществления оператором своей деятельности. Такой датой признается конкретная дата (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с персональными данными с использованием или без использования средств автоматизации. В частности, к этим действиям относятся запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 14 Рекомендаций).

2.1.12. Срок или условие прекращения обработки персональных данных.
Указывается конкретная дата (число, месяц, год) или основание (условие), наступление которого влечет прекращение обработки персональных данных (п. 15 Рекомендаций).
Такими основаниями могут являться, например, ликвидация юридического лица, аннулирование лицензии на осуществление соответствующего вида деятельности, прекращение осуществления той деятельности, в рамках которой обрабатывались персональные данные.
Уведомление должно быть подписано уполномоченным лицом (ч. 3 ст. 22 Закона).
Рекомендация: ни в Законе, ни в Регламенте, ни в Рекомендациях не конкретизируется, какое именно лицо должно подписать уведомление. О возможном варианте (руководитель организации, лицо, наделенное такими полномочиями по доверенности) целесообразно уточнить в уполномоченном органе.
Процедура подачи уведомления об обработке персональных данных является для оператора бесплатной (п. 30 Регламента).

2.2. Представление уведомления об обработке персональных данных в уполномоченный орган

Уведомление направляется оператором в уполномоченный орган на бумажном носителе или в электронной форме (ч. 3 ст. 22 Закона). Если уведомление составлено на бумажном носителе, оно может быть отправлено в уполномоченный орган по почте.
В Регламенте, с одной стороны, установлено, что предоставление госуслуги (внесение сведений об операторе в реестр) осуществляется без непосредственного взаимодействия с заявителем (п. п. 31 и 35 Регламента), что исключает возможность представить уведомление непосредственно в территориальный орган Роскомнадзора. С другой стороны, в п. 37.1 Регламента указано, что взаимодействие с заявителем обеспечивается в том числе при его личном (либо через законного представителя) обращении в уполномоченный орган. Однако на едином портале госуслуг (www.gosuslugi.ru) размещена информация о возможности подачи заявки лично.
Контактная информация уполномоченных органов приведена в Приложении N 1 к Регламенту, а также на сайте Роскомнадзора www.rkn.gov.ru.

Особенности оформления и представления уведомления в электронной форме
Согласно ч. 3 ст. 22 Закона и п. 3 Рекомендаций оператор вправе составить и направить уведомление в уполномоченный орган в электронной форме. Для этого может быть использован единый портал госуслуг (www.gosuslugi.ru) или официальный сайт Роскомнадзора (www.rkn.gov.ru), а именно его портал персональных данных (www.pd.rkn.gov.ru) (п. п. 37.3 и 50.2 Регламента, абз. 2 п. 2 Рекомендаций).
Помимо названных сайтов на практике уведомление может быть заполнено в электронной форме на сайте уполномоченного органа (на некоторых из них есть возможность заполнить уведомление непосредственно на самом сайте, на других предусмотрена ссылка на соответствующий раздел интернет-портала персональных данных).
Направленное в электронной форме уведомление должно быть подписано электронной цифровой подписью (п. 43 Регламента).
При этом следует учитывать, что Федеральный закон от 10.01.2002 N 1-ФЗ «Об электронной цифровой подписи» утратил силу.
В случаях когда согласно федеральным законам или иным нормативным правовым актам, вступившим в силу до 1 июля 2013 г., необходимо применять электронную цифровую подпись, используется усиленная квалифицированная электронная подпись (ч. 3 ст. 19 Закона N 63-ФЗ).
Таким образом, уведомление об обработке персональных данных, направляемое в электронном виде, должно быть заверено усиленной квалифицированной электронной подписью. Правила ее использования при обращении за получением государственных и муниципальных услуг утверждены Постановлением Правительства РФ от 25.08.2012 N 852. Требования к форматам заявлений и иных документов, представляемых в форме электронных документов, утверждены Приказом Роскомнадзора от 19.11.2012 N 1207.
При поступлении уведомления в уполномоченный орган оно регистрируется сотрудником данного органа не позднее дня, следующего за днем его поступления (п. п. 32, 55, 63 Регламента).

Последствия представления уведомления, содержащего неполные или недостоверные сведения
В случае представления уведомления, содержащего неполные или недостоверные сведения, уполномоченный орган вправе потребовать их уточнения до внесения данных сведений в реестр операторов (ч. 6 ст. 22 Закона). В таком случае уполномоченный орган направляет оператору письмо с уведомлением о его вручении, в котором содержится запрос об уточнении предоставленных сведений (п. 58 Регламента). Если уведомление было направлено в электронном виде, оператор информируется о перечне недостающих сведений путем изменения статуса уведомления на странице личного кабинета Единого портала госуслуг и по электронной почте (п. 65 Регламента).
Оператор обязан сообщить уточненные сведения (представить новое уведомление в электронной форме) в течение 30 дней с даты получения запроса (извещения) (п. п. 59, 66 Регламента). Если в течение 30 дней с даты регистрации уведомления, представленного в бумажном виде, уточненные сведения не поступят, ранее поданное уведомление возвращается оператору без внесения сведений о нем в реестр (п. 61 Регламента).

Внесение сведений об операторе в реестр
В течение 30 дней с даты поступления уведомления уполномоченный орган вносит сведения, содержащиеся в уведомлении (а также сведения о дате направления уведомления), в реестр операторов, осуществляющих обработку персональных данных (ч. 4 ст. 22 Закона). Необходимо отметить, что Регламентом предусмотрен меньший срок для осуществления такой процедуры — 15 дней с момента регистрации уведомления (п. 16 Регламента). Эти положения не противоречат требованиям ч. 4 ст. 22 Закона, где установлен лишь максимальный срок на внесение сведений в реестр. Так как указанный срок установлен в Регламенте, можно предположить, что действия по внесению сведений об операторе в реестр должны быть совершены в течение 15 дней.
На основании приказа руководителя уполномоченного органа в реестр вносится запись об операторе. Записи присваивается регистрационный номер (п. 69 Регламента). В срок не позднее трех дней с даты подписания приказа информация о внесении сведений об операторе в реестр размещается на официальном сайте Роскомнадзора (www.rkn.gov.ru) (п. п. 20, 52, 70 Регламента).
Основания для отказа в предоставлении государственной услуги (внесении сведений об операторе в реестр) отсутствуют (п. 28.1 Регламента).
Дополнительная информация о возможных действиях оператора при отказе в приеме уведомления или во внесении сведений о нем в реестр, либо при невнесении данных сведений в установленный срок
Если уполномоченный орган отказал оператору в приеме уведомления или внесении сведений о нем в реестр, либо если данные сведения не были внесены в установленный срок, соответствующее решение либо действия (бездействие) уполномоченного органа можно обжаловать в арбитражном суде в порядке, предусмотренном гл. 24 АПК РФ. Обжаловать действие (бездействие) можно в течение трех месяцев со дня, когда организации или индивидуальному предпринимателю стало известно о нарушении их прав и законных интересов (ч. 4 ст. 198 АПК РФ).
Возможен и административный порядок обжалования, установленный в гл. 2.1 Федерального закона от 27.07.2010 N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (далее — Закон N 210-ФЗ). В ст. 11.1 Закона N 210-ФЗ приведен примерный перечень тех нарушений порядка предоставления госуслуг, которые могут обжаловаться в досудебном (внесудебном) порядке. К ним относятся, в частности, нарушение срока предоставления госуслуги (п. 2 ст. 11.1 Закона N 210-ФЗ), отказ в ее предоставлении по основаниям, не установленным нормативно-правовыми актами (п. 5 ст. 11.1 Закона N 210-ФЗ), требование у заявителя документов, не предусмотренных нормативно-правовыми актами (п. 3 ст. 11.1 Закона N 210-ФЗ), или отказ в приеме документов (п. 4 ст. 11.1 Закона N 210-ФЗ).
Общие требования к порядку подачи и рассмотрения жалобы установлены в ст. 11.2 Закона N 210-ФЗ. Жалоба подается непосредственно в тот орган, который предоставляет госуслугу (т.е. в управление Роскомнадзора по субъекту РФ), а в случае, если обжалуется решение руководителя этого органа, — в вышестоящий орган (ч. 1 ст. 11.2 Закона N 210-ФЗ). Вышестоящим органом в данном случае будет являться Роскомнадзор.
Требования к содержанию жалобы указаны в ч. 5 ст. 11.2 Закона N 210-ФЗ. Правила подачи и рассмотрения жалоб утверждены Постановлением Правительства РФ от 16.08.2012 N 840.
Нарушение должностным лицом федерального органа исполнительной власти порядка предоставления госуслуги, повлекшее ее непредоставление либо предоставление с нарушением установленных сроков, влечет наложение на указанное лицо административного штрафа в размере от 3000 до 5000 руб. (ч. 1 ст. 5.63 КоАП РФ). Штраф за требование в ходе предоставления госуслуги от заявителя документов или платы, не предусмотренных законодательством, составляет от 5000 до 10 000 руб. (ч. 2 ст. 5.63 КоАП РФ). Административная ответственность в указанных случаях наступает, если действия должностного лица не содержат уголовно наказуемого деяния.

Ни Законом, ни Регламентом не предусмотрена обязательная выдача оператору какого-либо документа, подтверждающего подачу уведомления и факт внесения в реестр соответствующих сведений. В то же время оператор может по собственной инициативе получить выписку из реестра.

3. ДОПОЛНИТЕЛЬНЫЕ ПРОЦЕДУРЫ, ОСУЩЕСТВЛЯЕМЫЕ ПОСЛЕ ПРЕДСТАВЛЕНИЯ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Получение выписки из реестра операторов, осуществляющих обработку персональных данных

Сведения, содержащиеся в реестре операторов, осуществляющих обработку персональных данных (за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке), являются общедоступными (ч. 4 ст. 22 Закона).
Оператор, а также любое заинтересованное лицо вправе получить выписку из реестра, направив запрос в уполномоченный орган (п. п. 3, 52 Регламента).
Форма заявления о предоставлении выписки из реестра приведена в Приложении N 4 к Регламенту. В нем указываются:

  • полное наименование (либо Ф.И.О.) заявителя.

Наименование организации согласно п. 1 ст. 54 ГК РФ должно содержать указание на организационно-правовую форму;

  • адрес местонахождения и почтовый адрес заявителя.

Заявителям — физическим лицам в качестве адреса местонахождения рекомендуем указать адрес места жительства;

  • ИНН заявителя;
  • сведения о запрашиваемом операторе: ИНН, регистрационный номер записи в реестре.

Заявление подписывается уполномоченным лицом заявителя с указанием должности и расшифровкой подписи, в нем указывается дата его составления.
Заявление о выдаче выписки может быть подано в уполномоченный орган в письменном виде или в электронной форме через единый портал госуслуг (www.gosuslugi.ru) (п. 102 Регламента).
Сотрудник уполномоченного органа в срок, не превышающий пяти дней с даты поступления запроса, готовит выписку из реестра (п. п. 19, 105, 108 Регламента). Она высылается заявителю по почте с уведомлением о вручении (п. п. 105, 108 Регламента).
При отсутствии в запросе данных о наименовании (Ф.И.О.) либо почтовом адресе заявителя в предоставлении выписки из реестра будет отказано (п. 105 Регламента). В таком случае сотрудник уполномоченного органа должен выслать заявителю по почте с уведомлением о вручении письмо с указанием причины отказа (п. п. 105, 108 Регламента). Очевидно, что письмо будет выслано только в случае, если в запросе указан почтовый адрес заявителя.
О возможных действиях заявителя при отказе в выдаче выписки либо в случае, если она не направлена в установленный срок, см. в разделе о представлении уведомления в уполномоченный орган.

3.2. Представление информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных

В случае изменения сведений, содержащихся в ранее поданном уведомлении, оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней (ч. 7 ст. 22 Закона). Для этого он должен направить в уполномоченный орган информационное письмо с указанием основания изменения сведений (п. п. 23 и 71 Регламента).
Форма информационного письма приведена в Приложении N 3 к Регламенту. Она практически аналогична форме уведомления, при этом в нем дополнительно указывается номер регистрационной записи в реестре и основание внесения изменений. Заполняются только те поля, в которых изменяются сведения. При этом рекомендуем в любом случае заполнить поля с указанием территориального органа Роскомнадзора, полного и сокращенного наименования (либо ФИО) оператора, его адреса местонахождения и почтового адреса, а также регистрационного номера записи в реестре и основания изменений.
Информационное письмо может быть представлено в уполномоченный орган одним из следующих способов (п. 71 Регламента):

  • направлено почтой. О возможности непосредственно подать документы в территориальный орган Роскомнадзора см. в разделе о представлении уведомления в уполномоченный орган;
  • направлено в электронном виде через единый портал госуслуг (www.gosuslugi.ru).

Составить информационное письмо в электронном виде можно также на портале персональных данных Роскомнадзора (www.pd.rkn.gov.ru).
При поступлении информационного письма с измененными сведениями в уполномоченный орган оно регистрируется сотрудником этого органа (п. п. 32, 72 Регламента). Изменения вносятся в реестр в течение 15 дней с момента регистрации информационного письма (п. 17 Регламента) на основании приказа руководителя уполномоченного органа, ранее присвоенный регистрационный номер записи об операторе при этом не изменяется (п. 80 Регламента).
В срок не позднее трех дней с даты подписания приказа информация об изменениях размещается на официальном сайте Роскомнадзора (www.rkn.gov.ru) (п. п. 20 и 81 Регламента).
Неисполнение оператором обязанности по уведомлению уполномоченного органа об изменении сведений, содержащихся в ранее поданном уведомлении, будет влечь за собой такую же ответственность, как и в случае неподачи уведомления.

3.3. Представление заявления об исключении из реестра сведений об операторе, осуществляющем обработку персональных данных

В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней (ч. 7 ст. 22 Закона). Для этого в уполномоченный орган подается соответствующее заявление с приложением обоснований (п. п. 25 и 82.1 Регламента).
Форма заявления об исключении сведений об операторе из реестра приведена в Приложении N 5 к Регламенту. В заявлении указываются:

  • полное наименование оператора или его Ф.И.О.;
  • адрес местонахождения и почтовый адрес оператора;
  • сведения об операторе: ИНН, ОГРН, регистрационный номер записи в реестре;
  • основание для исключения из реестра (ликвидация оператора, его реорганизация, прекращение деятельности по обработке персональных данных, аннулирование лицензии, наступление срока или условия прекращения обработки персональных данных).

Заявление подписывается уполномоченным лицом заявителя с указанием должности и расшифровкой подписи, даты его составления.
Как следует из п. п. 84 и 92 Регламента, заявление может быть представлено в уполномоченный орган одним из следующих способов:

  • направлено почтой. О возможности непосредственно подать документы в территориальный орган Роскомнадзора см. в разделе о представлении уведомления в уполномоченный орган;
  • направлено в электронном виде через единый портал госуслуг (www.gosuslugi.ru).

К заявлению должны прилагаться отсканированные документы, обосновывающие исключение оператора из реестра (какие именно — рекомендуем уточнить в уполномоченном органе).
При поступлении заявления в уполномоченный орган оно регистрируется сотрудником данного органа (п. п. 84, 92 Регламента).
В случае выявления несоответствий заявления прилагаемым документам, подтверждающим необходимость исключения оператора из реестра, ему направляется письмо с уведомлением о вручении, содержащее запрос с указанием перечня недостающих сведений для внесения в реестр (п. 87 Регламента). При направлении заявления в электронном виде оператор также уведомляется о необходимости его доработки, соответствующее сообщение он получает на странице личного кабинета единого портала госуслуг (www.gosuslugi.ru) (п. 96 Регламента). Оператор в таком случае в соответствии с ч. 4 ст. 20 Закона и п. п. 88, 97 Регламента обязан предоставить уполномоченному органу уточненную информацию в течение 30 дней с даты получения запроса.
В течение 15 дней с момента регистрации заявления руководитель уполномоченного органа издает приказ об исключении сведений об операторе из реестра (п. п. 18, 91, 100 Регламента). На основании приказа в реестр вносится запись об исключении сведений об операторе из реестра (п. 100 Регламента). Информация об этом в срок не позднее 3 дней с даты подписания приказа размещается на официальном сайте Роскомнадзора (www.rkn.gov.ru) (п. 20 Регламента).
Неисполнение оператором обязанности по уведомлению уполномоченного органа о прекращении обработки персональных данных будет влечь за собой такую же ответственность, как и в случае неподачи уведомления.

 

Скачать Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Приказ Минкомсвязи России от 20.07.2017 № 373 «О признании утратившими силу приказов Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346, от 28.08.2015 № 315 и пункта 9 приказа Министерства связи и массовых коммуникаций Российской Федерации от 24.11.2014 № 403»

Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»

Реестр операторов, осуществляющих обработку персональных данных

Пример заполнения информационного письма

Пример заполнения уведомления

 




Индекс цитирования.

Обратная связь



×