Разъяснения по заполнению уведомления об обработке (о намерении осуществлять обработку) персональных данных
Материал из SecurityPolicy.ru
Прежде чем заполнять уведомление об обработке (о намерении осуществлять обработку) персональных данных, необходимо ознакомиться с федеральным законом "О персональных данных" N 152-ФЗ от 27.07.2006 года и Рекомендациями по заполнению формы уведомления. В уведомлении необходимо обязательно указать контактный телефон исполнителя, с кем можно связаться в случае возникновения вопросов.
Федеральная служба по надзору сфере связи, информационных технологий и массовых коммуникаций является уполномоченным органом по защите прав субъектов персональных данных (Постановление Правительства N 228 от 16 марта 2009 года). В соответствии с законом, обработка персональных данных, (т.е. сбор, систематизация, хранение и распространение любой информации о гражданах), может осуществляться только после уведомления уполномоченного органа.
При подготовке уведомления необходимо, в первую очередь, исходить из принципов обработки персональных данных, прописанных в ст.5 ФЗ "О персональных данных". Основным моментом данных принципов, отправной точкой, являются цели обработки персональных данных. Именно в соответствии с целями обработки должны быть определены характер и объем обрабатываемых персональных данных, способы обработки и в том числе уничтожение данных.
На основании п. 3 ст. 22 ФЗ "О персональных данных" Россвязькомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Рекомендации по заполнению уведомления об обработке.
В настоящее время действует приказ № 08 от 17 июля 2008 года "Об утверждении образца формы уведомления об обработке персональных данных". Данным приказом утверждена форма и рекомендации по ее заполнению.
Во–первых: согласно рекомендациям, уведомление должно быть оформлено на бланке оператора. По правилам делопроизводства документ должен быть зарегистрирован и иметь исходящий номер и дату.
Во-вторых: помимо полного наименования оператора требуется указывать и сокращенное, причем в ТОЧНОМ соответствии с учредительными документами. Обязательно указание адреса юридического лица.
Кроме указания ИНН, что требуется в соответствии с рекомендациями, необходимо указывать КПП и ОГРН.
1. Правовое основание обработки персональных данных
При заполнении данного поля должны быть указаны: ст.85-90 Трудового Кодекса РФ (так как производится обработка персональных данных сотрудников, состоящих в трудовых отношениях с юридическим лицом), Устав (Положение) юридического лица (дата, номер, кем утвержден), если деятельность лицензируемая – номер, дата лицензии. Кроме того, оператор обязан руководствоваться ФЗ "О персональных данных". Помимо перечисленных документов, должны быть указаны отраслевые нормативно-правовые акты, которыми руководствуется юридическое лицо, обрабатывая персональные данные, с указанием статей и пунктов.
2. Цель обработки персональных данных
Цель обработки – указана в учредительных документах. Это цель деятельности оператора, причем необходимо исходить из того, что по законодательству, если цель обработки достигнута, персональные данные должны быть уничтожены. Необходим здравый смысл и подход при формулировании цели обработки, не следует, к примеру, перечислять узкие задачи деятельности.
3. Категории обрабатываемых персональных данных
Не следует давать определение понятия "персональные данные". Необходимо указать именно те категории, которые обрабатываются непосредственно вашим учреждением. Не следует также просто перечислять обобщенные категории (например: биометрические, специальные персональные данные). Необходимо проанализировать, какие именно данные используются в учреждении, причем не следует забывать и о том, что также используются сведения, полученные при работе с обращениями граждан, при административном делопроизводстве.
4. Категории субъектов, персональные данные которых обрабатываются
Указываются категории субъектов (физические лица) и виды отношений с ними. Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица, состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором).
5. Перечень действий и способы обработки
В поле помимо самого перечня (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных), необходимо указывать способ обработки:
- неавтоматизированная;
- исключительно автоматизированная;
- смешанная.
При автоматизированной или смешанной обработке, обязательно необходимо указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников), либо информация передается с использованием сети общего пользования Интернет, либо без передачи полученной информации.
6. Описание мер по обеспечению безопасности
В поле указываются организационные и технические меры. В том числе необходимо обязательно указывать, используются ли шифровальные (криптографические) средства. Кроме того, в уведомлении следует обязательно указывать, имеет ли место трансграничная передача персональных данных (трансграничная передача – передача ПД оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства).
7. Дата начала обработки персональных данных
Следует сказать, что ранее было рекомендовано указывать дату фактического начала обработки, т.е по сути – дату начала деятельности. Но в ФЗ "О персональных данных" в п.7 ст.22 сказано, что в случае изменения сведений оператор обязан уведомить уполномоченный орган. Таким образом, необходимо за дату начала обработки брать дату, когда были произведены последние изменения по одному из пунктов уведомления (возможно это реорганизация, смена наименования). Фактически это дата, которая указана в свидетельстве ИНН.
Дата должна быть указана полностью, т.е. в формате день.месяц.год.
8. Срок или условие прекращения обработки персональных данных
В поле указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки персональных данных. Данное основание тесным образом связано с целями обработки, при достижении целей обработка должна быть прекращена (в том числе уничтожение персональных данных).
Уведомление должно быть составлено исключительно в письменной или электронной форме и подписано соответственно УПОЛНОМОЧЕННЫМ ЛИЦОМ или электронной цифровой подписью.
Уведомление, присланное факсом – уполномоченным органаном не принимается. В случае, если уведомление содержит неполную или недостоверную информацию, оно будет принято к обработке, но временно отклонено. Оператору будет направлено соответствующее письмо о необходимости предоставления недостающей информации.
В течение 30 дней (ст.22 п.4), по закону, оператор должен быть включен в реестр операторов. Сведения, содержащиеся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
На оператора не возлагаются никакие расходы в связи с рассмотрением уведомления, а также в связи с внесением сведений в реестр операторов.
В случае изменения сведений, указанных в уведомлении, оператор обязан уведомить об этом уполномоченный орган, в течение 10 рабочих дней с даты возникновения таких изменений.
Все поступающие уведомления заносятся в базу данных уполномоченного органа и включаются в реестр операторов, обрабатывающих персональные данные. (ст.23 ФЗ "О персональных данных").
В отношении операторов персональных данных проводятся мероприятия по контролю за соответствием обработки персональных данных требованиям законодательства в области персональных данных.
Лица, осуществляющие обработку персональных данных незаконно (т.е. без уведомления уполномоченного органа либо с нарушением прав субъектов персональных данных), привлекаются к ответственности.
Источники
- По материалам Роскомнадзора
См. также
- Федеральный закон N 152-ФЗ от 27 июля 2006 года "О персональных данных"
- Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций N 08 от 17 июля 2008 года "Об утверждении образца формы уведомления об обработке персональных данных"
- Пример заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных
