Уведомление в Роскомнадзор об обработке персональных данных

Нормативные основы уведомления Роскомнадзора об обработке персональных данных

В целях контроля за соблюдением прав субъектов персональных данных Роскомнадзор ведет электронный реестр обрабатывающих их операторов. Для добавления в него записей компании подают письменные уведомления. Порядок их составления и передачи регламентируют следующие документы:

• Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных";
• Методические рекомендации по уведомлению (утв. Приказом Роскомнадзора от 30.05.2017 № 94).

Уведомление подают субъекты, осуществляющие обработку личной информации, независимо от их организационно-правового статуса: юрлица, ИП, физлица, госучреждения. Отправляют информацию до начала обработки персональных сведений.  Оповещать Роскомнадзор нужно 1 раз, а не при каждой обработке данных о новом физлице. Если уведомление уже подано, направлять новое следует в случаях изменения:

• Состава используемой информации;
• Категории лиц, от которых поступают сведения;
• Технологии обработки данных.

Дополнительно информируют Роскомнадзор о намерении прекратить обработку персональных данных. При необходимости зарегистрировать изменения в реестре по указанным выше основаниям, уведомление направляют в срок до 10 суток после наступления соответствующих обстоятельств.

Важно! Уведомление проводят 1 раз, при неизменности набора информации, субъектов персональных данных и подходов к их обработке, дополнительно оповещать Роскомнадзор не нужно.

Уведомление о персональных данных в Роскомнадзор: обязательно или нет

Направлять информацию о планах обработки персональных данных нужно в большинстве случаев использования личной информации физлиц. Но есть определенные исключения, перечень которых с 1 сентября 2022 года был сокращен. Подавать уведомление нужно в следующих обстоятельствах:

• Получение сведений для -оформления трудовых отношений от работника или еще соискателя на должность;
• Применение личной информации в целях заключения договоров;
• Сбор сведений об участниках религиозных или общественных объединений;
• При распространении с разрешения гражданина сведений с определенными условиями и в ограниченном объеме;
• При получении данных ФИО физлиц;
• Накопление информации о посещающих территорию компании лицах при организации пропускного режима;
• В иных случаях работы с персональными сведениями за исключением ситуаций, прямо не требующих уведомления согласно законодательству.

Передают сведения в территориальный орган Роскомнадзора по месту нахождения налоговой инспекции, в которой зарегистрирован оператор персональных данных. Законодательство разграничивает ситуации, в которых уведомлять надзорный орган не нужно (ч. 6 ст. 22 Закона № 152-ФЗ):

• Накопление сведений для государственных баз данных согласно законодательству, предназначенных для обеспечения безопасности и защиты правопорядка;
• Полученные персональные данные не обрабатываются автоматизированными системами, при этом, обеспечен надлежащий контроль за доступом к ним и сохранностью;
• Накопление личной информации в соответствии с законодательством для обеспечения транспортной безопасности и обеспечения функционирования транспортной инфраструктуры.

Список исключений ограничен, закрыт и не предполагает расширения. Перечень контактных данных для уточнения того, нужно ли подавать уведомление есть на сайте ведомства.

Образец уведомления об обработке персональных данных и его содержание

Закон предписывает Роскомнадзору разработать унифицированный обязательный к применению бланк уведомления (ч.8 ст. 22 Закона № 152-ФЗ). По состоянию на сентябрь 2022 года этого еще не сделано. Поэтому временно используются старые формы.

Уведомление разрешено подавать в бумажном или электронной версии, до утвержедения обновленной формы можно использовать:

• Для печатного формата рекомендованный бланк из Приложения № 1 к Методическим рекомендациям;
• Для цифрового варианта – форму с сайта Роскомнадзора.

Независимо от выбранного формата предоставления, уведомление должно включать строгий перечень обязательных реквизитов. Закрепленный законодательно список сведений (в ч. 3 ст. 22 Закона о персональных данных, п. 3.1 Методических рекомендаций):

• Название компании, ее ИНН, ОГРН, адрес или ФИО, ИНН, паспортные данные физлица, выступающего оператором обработки персональных данных;
• Задачи, которые планируется решать при помощи персональной информации;
• Необходимый перечень данных, которые будет собирать оператор;
• Нормативное обоснование необходимости сбора персональных сведений;
• Список субъектов персональных данных, с которыми планируют работать;
• Способы обработки данных и операций с полученными сведениями;
• Данные лиц, непосредственно занятых обработкой персональных данных;
• Дата начала обработки персональных данных, окончания работы с ними и сроки использования личной информации (если они известны);
• Указание на факт необходимости трансграничного перемещения (например, перенос базы данных на территорию другого государства).

Информацию заверяют подписью уполномоченного руководителем лица и передают в Роскомнадзор. Сведения попадают в реестр в течение 30 дней после получения. Если Роскомнадзор обнаружит ошибки он уведомит об этом оператора, который должен исправить их в течение 30 дней. В случае непредоставления исправленных сведений, их не вносят в реестр, а уведомление возвращают отправителю. За отсутствие оповещения Роскомнадзора предусмотрен штраф.

Итоги

Уведомление предоставляют в Роскомнадзор все операторы персональных данных. Его можно подать в бумажном или электронном виде, с указанием закрепленного законодательно перечня информации. За непредоставление уведомления, отправку не в срок или искажение сведений в уведомлении оператору грозит административный штраф.