Как составить уведомление в роскомнадзор

Форма уведомления

Источники: Федеральный закон от 14.07.2022 N 266-ФЗ, Письмо Роскомнадзора от 19.08.2022 N 08-75348

Информация для: всех организаций и ИП

С 01.09.2022 большинство компаний и ИП обязаны уведомлять Роскомнадзор о начале обработки персональных данных. До выполнения этой обязанности нельзя будет работать с личной информацией людей: заключать договоры с сотрудниками, оформлять пропуска посетителям, использовать персданные клиентов и т. д.

Уведомление в Роскомнадзор об обработке персональных данных

Форма уведомления содержится Приложении 1 к Методическим рекомендациям (Приказ Роскомнадзора от 30.05.2017 N 94). Для каждой цели обработки в нем указываются:

• субъекты, данные которых обрабатываются;
• категории персданных;
• правовое основание обработки;
• перечень действий с персданными.

1. Если вы ранее оповещали РКН о намерении обрабатывать персданные, убедитесь, что вас включили в реестр операторов.
2. Если вы не нашли себя в реестре, заполните уведомление на сайте Роскомнадзора.

Форму удобно заполнить здесь >>

Подать Уведомление можно и после 01.09.2022. Об этом Роскомнадзор сообщил на своем сайте.

В письме Управления Роскомнадзора по Республике Татарстан от 24.08.2022 N 12413-04/16 даны пояснения по заполнению Уведомления в т.ч. по дате представления и дате начала обработки персданных — это разные даты.

Образец уведомления, как заполнить

Электронного формата нет, поэтому по ТКС в т.ч. через 1С-Отченость не отправить.

Но можно с помощью ЭЦП это сделать или через Госуслуги, как показано ниже.

Автоматизацию в 1С можно отслеживать здесь.

Далее:

Если выбрали через ЕСИА, то далее так:

Примерный образец заполнения ниже. Можно менять, дополнять по своей ситуации. Если что-то будет недозаполнено, то при отправке всплывет сообщение, и проблемное поле подсветится красным цветом.

Текст для заполнения:

– Трудовым кодексом РФ, Гражданским кодексом РФ, Федеральным законом № 152-ФЗ от 27.07.2006.

– ведение кадрового и бухгалтерского учета, оформления трудовых и гражданско-правовых отношений, обработки персональных данных в соответствии с трудовым и гражданским законодательством

Текст для заполнения:

– назначение лица, ответственного за обработку и хранение персональных данных, которым является …, …, тел. +7 …, …, …;

– разработка и утверждение локальных нормативных актов, регламентирующих работу с персональными данными (Положение о работе с персональными данными, Политика обработки персональных данных и др.);

– осуществление внутреннего контроля и аудита соответствия обработки персональных данных законодательству РФ;

– оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;

– ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями к их защите, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

– применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных;

– применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

– оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

– учет машинных носителей персональных данных;

– обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

– установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;

– контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем и другие меры в соответствии с законодательством.

– реализация разрешительной системы допуска пользователей, регистрация действий пользователей;

– учет и хранение съемных носителей информации;

– использование средств защиты информации, использование защищенных каналов связи;

– организация физической защиты помещений.

Текст для заполнения:

сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (распространения, предоставления, доступа), извлечения, использования, обезличивания, блокирования,  удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники, смешанной обработки персональных данных, информация передается с использованием сети связи общего пользования (Интернет)

Текст для заполнения:

– профессия, гражданство, должность, изображение (фотография), контакты (номера телефонов, электронной почты), ИНН, данные паспорта, военного билета, медицинского полиса, СНИЛС, сведения о близких родственниках работников

– работникам (субъектам), состоящим в трудовых отношениях с … (Оператором), исполнителям по гражданско-правовым договорам, соискателям, близким родственникам работников

Как отправить Уведомление в Роскомнадзор

Уведомление передайте в РКН любым из способов:

• отправьте письмом в адрес территориального отделения Роскомнадзора по месту регистрации компании или ИП (или привезите лично);
• в электронном виде через сайт РКН, используя УКЭП;
• через ЛК на портале Госуслуг с использованием средств аутентификации ЕСИА.

Кстати, Роскомнадзор планирует поменять форму уведомления и уже разработал три новых бланка:

• о намерении осуществлять обработку персональных данных;
• о внесении изменений в ранее представленные сведения;
• о прекращении обработки персональных данных.

Проект приказа об утверждении этих форм опубликован на федеральном портале НПА (ID проекта 02/08/08-22/00130665).

См. также:

• Уведомление в Роскомнадзор с 1 сентября 2022 — порядок и сроки
• Как контролировать доступ к персональным данным в 1С?
• Электронный кадровый документооборот и порядок обработки персональных данных. Законодательный обзор

Подписывайтесь на наши YouTube и Telegram чтобы не пропустить
важные изменения 1С и законодательства

Помогла статья?

Получите еще секретный бонус и полный доступ к справочной системе БухЭксперт8 на 14 дней бесплатно

Персональные данные – личные сведения о физических лицах, которые могут быть получены в самых разных ситуациях. Эта информация находится под защитой закона, поэтому те, кто имеет к ней доступ, должны подавать уведомление об обработке персональных данных в Роскомнадзор.

До сентября 2022 года работодатели подпадали под исключение, то есть могли собирать, хранить и обрабатывать персональные данные своих работников без подачи такого уведомления. Но сейчас это исключение не действует, поэтому круг операторов ПД существенно увеличился.

Если вы никогда не подавали уведомление об обработке данных, но при этом нанимаете работников, или раньше указывали в уведомлении другие цели (кроме кадровых), стоит разобраться в этом вопросе. Ведь за нарушения при обработке ПД грозят немалые штрафы.

Какие данные относятся к персональным

Основной нормативный акт, который регулирует работу с персональными данными, это закон № 152-ФЗ от 27.07.2006. Но проблема в том, что этот документ не содержит полного перечня ПД, да и само понятие нельзя назвать однозначным.

Вот что написано в статье 3 закона: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».

Есть также Указ Президента РФ от 06.03.1997 № 188, где персональными данными называют «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность».

Кроме того, существуют Методические рекомендации Роскомнадзора (приказ от 30.05.2017 № 94), в котором перечислены некоторые персональные данные. К ним совершенно точно относятся:

• ФИО человека;
• полная дата и место рождения;
• адрес жительства;
• семейное, социальное и имущественное положение;
• образование, профессия, доходы.

По логике сюда же стоит добавить другие сведения, которые позволяют идентифицировать человека: номера телефонов, email, аккаунты в социальных сетях и мессенджерах, данные паспорта, номер СНИЛС, биометрия и др.

Отдельно стоит сказать про номер ИНН, по которому можно получить много другой информации о человеке. Это уникальный набор цифр, который присваивается один раз в течение жизни. По своей сути ИНН тоже должен относится к персональным данным, потому что позволяет однозначно идентифицировать физическое лицо.

При этом есть письма Минфина (от 28.01.2020 № 03-01-11/4925, от 12.02.2020 № 03-01-11/9505 и другие), в которых ведомство указывает, что ИНН применяется только для учёта налогоплательщиков и не может признаваться персональными данными.

Можно спорить, так это или нет, но надо знать, что мнения разных госорганов не всегда совпадают, а судебная практика по одной и той же ситуации бывает противоречивой. С учётом этого стоит всё-таки относить ИНН к персональным данным.

В некоторых случаях имеет значение сочетание ПД. Так, просто email или телефонный номер не поможет точно определить человека, для этого нужно знать его имя или другие данные. Если у вас есть сомнения по поводу того, относятся ли полученные вами данные к персональным, лучше задать этот вопрос в Роскомнадзор.

Действия с персональными данными

Персональные данные физлиц запрашиваются не из праздного любопытства. Так, если говорить о работниках, то статья 65 ТК РФ обязывает при приёме на работу предъявлять определённые документы (паспорт, трудовая книжка, СНИЛС, диплом и др.).

При подписании договора стороны указывают не только реквизиты компании, но и свои персональные данные, например, полное имя директора. Без этого договор не имеет юридической силы. Личные сведения о себе оставляет клиент или покупатель при заказе, а пользователь личного кабинета – при регистрации на сайте.

Таким образом, получение персональных данных – необходимое и обязательное условие многих гражданско-правовых и хозяйственных действий.

Субъекты, которые получают эти сведения, признаются операторами ПД. В отношении полученной информации они могут осуществлять разные действия: собирать, записывать, накапливать, хранить, использовать, передавать, анализировать, блокировать, уничтожать.

Очень важно не допускать при этом утечки персональных данных, потому что они могут использоваться третьими лицами в неблаговидных и даже преступных целях. Для полноценного контроля все операторы обязаны подавать уведомление об обработке персональных данных в Роскомнадзор. Только после этого действия с ПД могут признаваться легитимными.

Операторы персональных данных

Итак, мы выяснили, что ситуаций, при которых производятся действия с персональными данными, множество. И если говорить о бизнесе, то очень трудно найти такого субъекта, который в процессе деятельности в них не оказывался.

Ведь даже когда предпринимательская деятельность ведётся без работников, ПД поступают от покупателей и клиентов, посетителей сайта, при заключении сделок, продаже товаров, оказании услуг, выполнении работ. Сбор и хранение базы контактов потенциальных потребителей тоже сюда относится.

Чтобы не было никаких разночтений, законодатели перечислили в п. 2 статьи 22 закона № 152-ФЗ ситуации, при которых персональные данные можно обрабатывать без подачи уведомления:

• сведения используются органами защиты безопасности государства и общественного порядка;
• информация обрабатывается в целях безопасности объектов транспортного комплекса и транспорта;
• данные обрабатываются без использования средств автоматизации, то есть только на бумаге.

Все остальные ситуации из этого перечня исключили с 1 сентября 2022 года. Это, как мы уже говорили, обработка ПД в рамках трудового законодательства, а также:

• получение информации только для исполнения договора, заключённого с субъектом персональных данных;
• оформление разового пропуска для прохода на охраняемую территорию;
• распространение личной информации с согласия самого субъекта;
• обработка данных, включающих только имя, отчество, фамилию человека;
• обработка данных участников общественных объединений и религиозных организаций.

С учётом всего сказанного к операторам ПД, обязанным подать уведомление, относятся государственные и муниципальные органы, организации, физические лица, производящие с персональными данными любые действия. Немногочисленные исключения приводятся в п. 2 статьи 22 закона № 152-ФЗ.

Если при обработке ПД допущены нарушения, оператора могут наказать по статье 13.11 КоАП РФ (штраф до 75 тысяч рублей). Отдельная санкция предусмотрена за хранение данных граждан РФ за пределами России: 6 млн рублей и до 12 млн рублей, если нарушение повторное. Отсутствие самого уведомления о начале обработке ПД наказывается по статье 19.7 КоАП РФ (штраф до 5 000 рублей).

Как подать уведомление

А теперь о том, как заполнить и подать уведомление об обработке ПД. Для этого надо перейти на сайт Роскомнадзора.

Как видим, есть несколько способов подготовки и подачи уведомления:

• на бумаге;
• с использованием электронной цифровой подписи;
• через портал Госуслуг.

Мы рассмотрим первый способ, то есть подготовим уведомление, которое потом надо распечатать и направить в территориальное подразделение РКН лично, почтой или курьером.

Верхняя часть уведомления заполняется довольно просто, надо ввести стандартные реквизиты заявителя (выбрав сначала тип оператора).

Дальше стоит воспользоваться всплывающими подсказками, потому что не все термины могут быть понятными. Например, вот что понимается под правовыми основаниями обработки ПД.

Приведём примерные формулировки по разделам.

• Правовое основание обработки персональных данных: политика обработки ПД, устав организации, публичная оферта, договоры с контрагентами, согласие на получение рассылок, нормативно-правовые акты с реквизитами (указывайте законы, постановления, приказы, имеющие отношение к вашей ситуации).
• Цель обработки персональных данных: регистрация пользователей в личном кабинете, техподдержка пользователей, работа онлайн-сервисов, обработка обращений и звонков потребителей, сбор и составление статистики заказов, заключение и исполнение договоров, взаимодействие с контрагентами, выполнение определённых работ, исполнение требований ТК РФ, публикация личных данных работников, осуществление управленческих и кадровых решений, оформление социальных льгот, организация командировок.
• Описание мер, предусмотренных статьями 18.1 и 19 закона № 152-ФЗ: используйте формулировки из самого закона, но с учётом своей ситуации. Например, для организации можно указать: «назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных».
• Перечень действий с персональными данными: выбирайте формулировки из закона № 152-ФЗ, такие как, накопление, запись, хранение, уточнение, использование, передача удаление, уничтожение. В полях ниже выберите способы обработки данных. Например, смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
• Категории персональных данных. Сначала приводится стандартный перечень, в котором надо проставить галочки в отношении тех сведений, которые вы будете обрабатывать. Но часто этих категорий недостаточно, поэтому в поле ниже надо вписать недостающие. Так, в отношении работников дополнительно обрабатываются: паспортные данные, СНИЛС, место проживания, номер телефона, email, сведения о стаже, о составе семьи, реквизиты банковского счёта для выплаты зарплаты и др.
• Категории субъектов, ПД которых обрабатываются. Это могут быть: работники и члены их семей, покупатели и клиенты, контактные лица деловых партнеров, пользователи сервисов и сайтов.

Если затрудняетесь с формулировками, обратитесь за поддержкой к сотрудникам территориального отделения Роскомнадзора. Можно также найти в реестре операторов схожую по виду деятельности компанию и воспользоваться её описаниями в качестве примера.

Как дополнить уведомление новыми основаниями

Большинство бизнес-субъектов уже подавали уведомление, но напомним, что с 1 сентября 2022 года появились новые основания обработки, о которых тоже надо сообщить (в частности, получение данных работников).

В таком случае новое уведомление подавать не требуется, но необходимо дополнить уже поданное. Для этого сайт Роскомнадзора разработал специальную форму информационного письма.

Но предварительно стоит проверить, внесены ли вы в реестр операторов, а также какие основания обработки персональных данных вы уже указывали. Поиск проводится по ИНН, названию компании или регистрационному номеру в реестре.

Вернёмся к информационному письму. Его интерфейс аналогичен форме при подаче уведомления. Некоторые поля отмечены звездочкой, поэтому обязательны для заполнения, кроме того, заполняются поля, в которых вносятся изменения. Подготовленное информационное письмо направляется в Роскомнадзор одним из уже рассмотренных способов: на бумаге, с ЭЦП или через портал Госуслуг.

Напоследок стоит сказать про срок подачи уведомления или информационного письма. Новые основания обработки персональных данных возникли с 01.09.2022, однако этот срок не является крайним, до которого надо было обратиться в РКН.

Ведомство сообщает, что предельный срок подачи уведомления персональных данных не определён. Но при этом стоит помнить, что если вы обрабатываете новые ПД или категории субъектов без уведомления, можно получить административный штраф. Так что лучше сделать это как можно раньше.

Расчёт зарплаты и кадровый учёт

С недавних пор работодателей обязали подавать в Роскомнадзор уведомления об обработке персональных данных своих работников. В бизнес-среде возникают вопросы: кому конкретно следует это делать, в какие сроки и каким способом. Предлагаем Вам ознакомиться с пошаговой инструкцией по этой процедуре и с предстоящими изменениями в ней.

С сентября этого года начала действовать новая версия Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Нововведения заключаются в том, что операторы персональных данных, которыми признаны юрлица и физлица, работающие с ПД, получили новый круг обязанностей. Туда входит извещение Роскомнадзора о своих планах обрабатывать персональные данные действующих работников и соискателей на вакансии. Отметим, что обработкой персональных данных считается и их хранение, в том числе, хранение кадровых документов, которое тоже подпадает под поправки к Закону № 152-ФЗ.

Старая и новая формы уведомления об обработке персональных данных

Сейчас актуальна форма такого извещения, которая содержится в приложении № 1 к методическим рекомендациям, утверждённым приказом Роскомнадзора от 30.05.17 № 94 (далее — Методические рекомендации). Возможны 3 способа её подачи:

1. На бумаге по почте. Вы можете распечатать письмо с портала персональных данных Роскомнадзора. Заполните бланк на портале и кликните по кнопке «Отправить электронное уведомление и подготовить форму к распечатке». Затем распечатайте, поставьте подпись и вышлите письмом.
2. В электронной форме на сайте РКН. Данный вариант уведомления нужно предварительно заверить усиленной квалифицированной электронной подписью.
3. В электронной форме на портале Госуслуг, не дублируя заявку на бумаге, если есть подтверждённая учётная запись, которая привязана к данным фирмы. С сайта РКН Вы сможете перейти к странице заполнения данной формы.

Недавно Роскомнадзор подготовил новые бланки, на которых работодатели должны будут уведомлять службу об обработке персональных данных своих сотрудников. Кроме новой версии этой формы, планируется утвердить бланки ещё 2 уведомлений: о корректировке ранее представленных данных и о прекращении обработки ПД. Проект приказа размещён на государственном портале для публикации проектов нормативно-правовых актов. Давайте разберём порядок действий до и после утверждения новой формы.

До утверждения нового бланка

1. Шаг 1. Проверка фирмы по открытому реестру операторов на сайте РКН. Введите ИНН проверяемой организации или её название и кликните «Найти».
2. Шаг 2. При отсутствии фирмы в реестре отправьте уведомление на бланке, содержащемся в приложении № 1 к Методическим рекомендациям.

Обратите внимание на поле «Дата начала обработки персональных данных». Что в нём указать? В п. 3.1.9 Методических рекомендаций говорится, что нужно ввести число, месяц и год, когда Вы начали какие-либо действия с персональными данными. В сложившейся практике это, как правило, оказывается дата государственной регистрации юрлица.

1. Шаг 3. При наличии — проверка актуальности сведений в реестре. Например, сотрудник, отвечающий за обработку персданных, мог поменяться. Могли возникнуть новые цели обработки, допустим, поиск новых кадров и подписание трудовых договоров. В подобной ситуации нужно выслать в РКН информационное письмо о внесении изменений (бланк содержится в приложении № 2 к Методическим рекомендациям).

Если оператор перестал обрабатывать персданные, к примеру, по причине ликвидации или реорганизации фирмы, ему также следует уведомить Роскомнадзор об этом. Бланк такого заявления содержится в приложении № 3 к Методическим рекомендациям.

Внимание! Если информация об операторе изменилась или он прекратил обрабатывать ПД, ему следует оповестить об этом Роскомнадзор в течение 10 рабочих дней с момента смены данных или прекращения работы. Этого требует ч. 7 ст. 22 Закона № 152-ФЗ.

После утверждения нового бланка

Новая версия бланка будет отличаться от текущей. Сейчас в уведомлении достаточно просто указать определённые факты: категории персданных и цели их обработки, категории их субъектов и правовое основание для обработки ПД, а также список действий с ними. В новой форме потребуются подробности: категории персданных и их субъектов, правовое обоснование и список действий необходимо будет прописывать по отдельности для каждой из целей обработки (последняя версия ч. 3 и ч. 3.1 ст. 22 Закона № 152-ФЗ).

Отсюда следует, что, когда новый бланк утвердят, Вам как оператору ПД, возможно, понадобится написать уведомление о внесении изменений в реестр. Данное предположение вытекает из текста, размещённого на портале РКН. Ведомство напоминает также, что в законах не зафиксирован крайний срок для подачи предпринимателями уведомлений об обработке персональных данных.

Читайте также Акт сверки с налоговой