Анна Каплина, 02 сентября 2018
Один из главных вопросов, который встаёт перед операторами персональных данных – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?
Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление в нежелании обращать на себя взор надзирающего ока Роскомнадзора.
С пассивностью операторов в этом вопросе государство, в лице Роскомнадзора, борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
Здесь важно учесть, что запрос Роскомнадзора – это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.
Возможны две ситуации:
- Вы ничего не знаете о персональных данных или что-то слышали, но не заинтересовались и вам пришел запрос уполномоченного органа
- Вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление
Для начала рассмотрим первую ситуацию – вам поступил запрос от уполномоченного органа о том, что информация о вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.
В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.
Те, кто не отвечают на запрос, совершают ошибку сразу, так как в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.
Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.
Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.
Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.
В свою очередь, скоропостижный отказ в подаче уведомления также может содержать множество ошибок. Некоторые организации, обрабатывающие данные не только своих работников, например, учебные либо лечебные учреждения, в своем ответе ссылаются только на пункт 1 части 2 статьи 22 ФЗ «О персональных данных».
Чтобы избежать этих ошибок получив запрос мы советуем не торопиться. У вас есть 30 дней на ответ. Прежде всего найдите непосредственную форму уведомления – она находится на сайте Роскомнадзора. Изучив форму вы поймете, что заполнение уведомления – это серьезная работа и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.
Прежде всего необходимо выполнить самообследование. Отправной точкой для этого и послужит форма уведомления. В нем четко видно, что необходимо определить:
- категории персональных данных
- категории субъектов персональных данных
- цель обработки персональных данных
- правовое основание обработки персональных данных
- перечень действий с персональными данными
- описание способов обработки
- осуществление трансграничной передачи персональных данных
- описание мер, предусмотренных статьями 18.1. и 19 ФЗ «О персональных данных»
- ответственного за организацию обработки персональных данных
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ
В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденные приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.
Если вам удалось провести полноценное обследование и вы выявили цели обработки персональных данных, являющиеся самым главным, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных без уведомления уполномоченного органа. Если у вас есть хотя бы один случай обработки персональных данных не подпадающий под эти основания, вы обязаны подать уведомление.
Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.
Важно понимать, что наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных.
Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца, все зависит от размера предприятия или учреждения, однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки некоторые операторы в поле «описание мер, предусмотренных статьями 18.1 и 19» временно указывают общие фразы типа «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора. Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но это лучше, чем ничего.
Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.
И опять повторим главное, что если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации. Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе. Можно даже найти подобного оператора, например, если вы учебное заведение, поищите в реестре себе подобных. Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706. В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.
Большинство вопросов связано со следующими пунктами:
- описание мер, предусмотренных статьями 18.1. и 19 ФЗ «О персональных данных»
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ
Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Исходя из требований статьи 18.1 можно понять, что мы должны выполнить следующие действия:
- назначить ответственного за организацию обработки
- издать политику оператора в отношении обработки персональных данных
- издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ
- и так далее
Данные рекомендации представляют исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по этим рекомендациям, нареканий со стороны контролирующих органов не вызывали.
В свою очередь в уведомлении в данном пункте мы пишем, что назначен ответственный за организацию обработки, некоторые пишут номер приказа, издана политика оператора в отношении обработки персональных данных, издан локальный акт, описывающий процедуры и так далее.
С 19 статьей делаем то же самое.
Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:
- Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"
- Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
- Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных"
- Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например, руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных либо трудовых обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.
Если у вас возникли трудности с указанием даты начала обработки, сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, а условием указывают прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов.
Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте. Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр.
Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.
Напомним, что вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано.
Удачной вам работы в сфере обработки и защиты персональных данных.
США изучают возможность включения приложения TikTok в "черный список"
Основные нарушения при обработке персональных данных работников
Практические моменты обработки персональных данных без использования средств автоматизации
Идентификация в отчетности государственных служащих
Ответственность работника за разглашение персональных данных
Интересная судебная практика
Принимаемые меры при поручении обработки третьему лицу
7 простых шагов для защиты документов в Google Docs