Рейтинг: 4.5/5.0 (1764 проголосовавших)Категория: Бланки/Образцы
Да, надо, любая организация-работодатель, вне зависимости от своей организационно-правовой формы и количества сотрудников, располагающая их персональными данными и планирующая обработку этих данных иным способом, не указанным в п. 2 ст. 22 Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (например, передачу этих данных третьим лицам) обязана уведомить об этом Роскомнадзор. Об этом свидетельствует ч. 1 ст. 22 Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», данная норма призвана защитить права граждан на личную информацию, путем установления контроля за процессом обработки и передачи данных.
Такое уведомление необходимо, если организация сообщает сведения о работнике сторонним организациям и это не связано с его трудовой деятельностью в организации или требованием законодательства. Например, если компания передает аудиторам для проверки документы по сотрудникам (трудовые договоры, кадровые приказы, справки 2-НДФЛ. лицевые счета и проч.).
Уведомление подается в управление Роскомнадзора по тому субъекту РФ, где зарегистрирована компания. Адреса всех управлений указаны на сайте Роскомнадзора rkn.gov.ru (Государственные услуги > Территориальные управления). Форма уведомления унифицированная (приложение 2 к приказу Минкомсвязи России от 21 декабря 2011 г. № 346 ). А рекомендации по ее заполнению можно найти в приказе Роскомнадзора от 19 августа 2011 г. № 706 .
Если уведомление не отправить, будет штраф. Для компании он составляет до 5000 руб. а для ее руководителя — до 500 руб. (ст. 19.7 КоАП РФ ).
Из рекомендации Нины Ковязиной. заместителя директора департамента образования и кадровых ресурсов Минздрава России
Как оформить Положение о работе с персональными данными сотрудников
Защита персональных данных
Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в Положении о работе с персональными данными сотрудников (ст. 87 ТК РФ ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации (п. 8 ч. 1 ст. 86 ТК РФ ).
Ситуация: можно ли разместить персональные данные своих сотрудников на корпоративном сайте
Персональные данные сотрудника – это информация, необходимая организации и относящаяся к определенному физическому лицу (конкретному сотруднику). Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д. Об этом сказано в статье 85 Трудового кодекса РФ и в пункте 1 статьи 3 Закона от 27 июля 2006 г. № 152-ФЗ.*
Размещение персональных данных на корпоративном сайте организации является распространением информации, которое возможно только с письменного согласия сотрудника (ст. 88 ТК РФ ).
Ответственность за разглашение
Внимание: за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ ).*
К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (ст. 192 ТК РФ ). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ ).
За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:
Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.
Такие меры ответственности предусмотрены статьями 13.11 и 13.14 Кодекса РФ об административных правонарушениях.*
Уголовная ответственность для руководителя или главного бухгалтера организации может наступить за незаконное:
В этом случае может наступить один из следующих видов ответственности:
При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:
Такая ответственность предусмотрена в статье 137 Уголовного кодекса РФ.
Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»
«Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);*
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе*». Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) сделанных субъектом персональных данных общедоступными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.*
3. Уведомление, предусмотренное частью 1 настоящей статьи. направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18_1 и 19 настоящего Федерального закона. в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
7_1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи. а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных».
Из статьи журнала «Кадровое дело» №11 Ноябрь 2011
Оформляем документы в Роскомнадзор для работы с персональными данными сотрудников
Работодатель должен уведомить Роскомнадзор о том, что он обрабатывает персональные данные работников только в некоторых случаях. Когда организация исполняет свои обязанности по трудовому договору: принимает сотрудников на работу, оформляет им свидетельства пенсионного страхования и в других случаях1 – она не должна направлять извещения в указанный госорган. Если же компания предоставляет своим работникам дополнительные гарантии 2 либо передает третьим лицам их персональные данные в иных ситуациях 3 , у нее появляется обязанность уведомить об этом Роскомнадзор.
Уведомление о намерении осуществлять обработку персональных данных
Уведомите Роскомнадзор, когда вы обрабатываете (планируете обрабатывать) персональные данные работников, предоставляя им дополнительные гарантии (ч. 1 ст. 22 Закона о персональных данных ). Если вы не исполните это требование, компания может заплатить административный штраф от 3000 до 5000 рублей (ст. 19.7 КоАП РФ ).*
В каком виде составляется
Что обязательно должно быть в документе
Из статьи журнала «Главбух» № 20, Октябрь 2014
Роскомнадзор просит уведомление об обработке персональных данных
Что понадобится сделать: Ответить на письмо независимо от того, должна компания предоставлять запрашиваемые данные или нет.
Сейчас Роскомнадзор массово рассылает по компаниям письма о том, что они не уведомили ведомство об обработке персональных данных. В таких письмах чиновники напоминают, что организации, которые обрабатывают личные данные граждан, должны подать об этом специальное уведомление. А иначе будет штраф. Для компании он составляет до 5000 руб. а для ее руководителя — до 500 руб. (ст. 19.7 КоАП РФ ).
На подобное письмо нужно ответить в любом случае — письменно сообщить в ведомство о том, что у компании нет обязанности подавать уведомление. Либо подать уведомление, которое требуют ревизоры из Роскомнадзора, если окажется, что такая обязанность у организации все же есть.*
Большинству компаний не нужно подавать уведомление. Например, без него можно обрабатывать персональные данные при сдаче справок 2-НДФЛ в налоговую инспекцию и персонифицированных сведений в фонд, передаче данных о сотрудниках в банк для открытия зарплатных карт или в страховую компанию для оформления полисов добровольного медицинского страхования, оформлении доверенностей и пропусков. Полный перечень случаев, когда можно обойтись без уведомления, есть в части 2 статьи 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ.
Уведомление необходимо, когда компания сообщает сведения о работнике сторонним организациям и это не связано с его трудовой деятельностью в организации или требованием законодательства. Например, если компания передает аудиторам для проверки документы по сотрудникам (трудовые договоры, кадровые приказы, справки 2-НДФЛ. лицевые счета и проч.).
Убедившись, что компания не должна подавать такое уведомление, направьте в Роскомнадзор письмо об этом. Его можно составить в свободной форме (см. образец ниже). Но если все-таки уведомление нужно подать — отправьте его в управление Роскомнадзора по тому субъекту РФ, где зарегистрирована компания. Адреса всех управлений указаны на сайте Роскомнадзора rkn.gov.ru (Государственные услуги > Территориальные управления). Форма уведомления унифицированная (приложение 2 к приказу Минкомсвязи России от 21 декабря 2011 г. № 346 ). А рекомендации по ее заполнению можно найти в приказе Роскомнадзора от 19 августа 2011 г. № 706 .*
Уведомление можно направить почтой, а заполнить его удобнее на портале персональных данных pd.rkn.gov.ru в разделе «Реестр операторов».
Материалы для скачивания:
Персональные консультации по учету и налогам
Лучшие ответы специалистов по налогообложению, бухгалтерскому учету и праву. Ответы специалистов по налогообложению, бухгалтерскому учету и праву.
Уведомление об обработке персональных данных служит для извещения Роскомнадзора о намерениях организации осуществлять обработку персональных данных.
Согласно ст. 22 Федерального закона "О персональных данных" оператор до начала обработки ПД обязан уведомить уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку ПД. Такое уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.
Обязанность уведомлять касается многих - это работодатели, большинство перевозчиков, все госорганы, имеющие дело с персональными данными. Так, согласно действующему законодательству, оператором ПД является госорган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, действия (операции), совершаемые с ПД.
Приказом Роскомнадзора от 19 августа 2011 г. N 706 утверждены рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных. Они разработаны для установления единых правил заполнения таких уведомлений.
Согласно приказу Роскомнадзора уведомление необходимо оформить на бланке оператора по форме, прилагаемой к данному приказу. После чего уведомление направляется в территориальный орган Роскомнадзора.
В уведомлении об обработке персональных данных указываются :
Сведения об операторе персональных данных: наименование оператора, фактический и почтовый адреса, регион, данные паспорта (физ.лицо), ИНН, ОГРН, ОКВЭД, ОКПО, ОKФС, ОКОГУ,ОКОПФ (если юр.лицо), адреса филиалов (если есть) и т.д.
Цель и правовое основание обработки персональных данных;
Предполагаемые обрабатываемые персональные данные: ФИО, дата рождения, место рождения, семейное положение, профессия, адрес, образование, расовая принадлежность, биометрические данные и т.д.
Категории субъектов, персональные данные которых обрабатываются;
Перечень предполагаемых действий с персональными данными;
Ответственный за организацию обработки персональных данных: ФИО или наименование организации, номера контактных телефонов, почтовые адреса и адреса электронной почты;
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ;
Дата начала обработки персональных данных;
Срок или условие прекращения обработки персональных данных;
ФИО и контактная информация исполнителя.
Рекомендации по заполнению основных полей документа:
Уведомление об обработке персональных данных направляется один раз за время деятельности организации, не влечёт за собой каких-либо затрат и дополнительных обязательств. Проверить наличие организации в Реестре можно на Портале персональных данных. Поиск рекомендуется осуществлять по ИНН.
За непредставление уведомления об обработке персональных данных предусмотрена административная ответственность по ст. 19.7 КоАП РФ (непредставление сведений (информации)), которая влечет штраф от 3 000 до 5 000 рублей. За нарушение законодательства в области персональных данных также предусмотрена уголовная ответственность по ст. 137 УК РФ (нарушение неприкосновенности частной жизни).
Уведомление об обработке (о намерении осуществлять обработку) персональных данных
Техподдержка 8-800-333-14-84 Звонок по РФ бесплатный ICQ: 609-394-313 E-mail: support@freshdoc.ru Skype: freshdoc.support Отдел продаж +7 (495) 212-14-84 sales@freshdoc.ru Заказать звонок
Копирование и дальнейшее распространение любых текстов с сайта freshdoc.ru без разрешения авторов или администрации сайта, а также заимствование фрагментов текстов будет рассматриваться как нарушение авторских прав. Помните об ответственности, предусмотренной ст.146, п.3 УК РФ. Смотрите правила.
© 2016 DocLab
Роскомнадзор ведёт реестр операторов — компаний, выполняющих требования закона «О персональных данных». Чтобы попасть в реестр, компания подаёт уведомление об обработке персональных данных. Это может быть непросто сделать: непонятно, когда подавать уведомление, как его заполнить и как убедиться, что информация дошла до Роскомнадзора.
Можно ли не подавать уведомление?Закон «О персональных данных» требует, чтобы каждая компания подала уведомление.
В законе есть несколько исключений. позволяющих ряду компаний избежать этого. В этом случае нужно быть готовым юридически грамотно доказать контролирующему органу, что исключения на компанию распространяются. Сделать это не так-то просто: отсутствие уведомления — одно из самых частых нарушений, выявляемых в ходе проверок Роскомнадзора.
Самый лучший вариант — подать уведомление и обезопасить компанию от вопросов контролирующего органа, почему это не было сделано.
Иногда компании опасаются, что подача уведомления привлечёт излишнее внимание Роскомнадзора, и он придёт с проверкой. На практике этого не происходит.
Когда отправить уведомление?Уведомление подаётся до начала обработки персональных данных. Исходя из буквы закона, это нужно сделать в первые дни после государственной регистрации юридического лица или ИП.
Часто решение подать уведомление принимается тогда, когда компания работает уже несколько месяцев или несколько лет. Не стоит опасаться штрафа или других санкций за «опоздание» с подачей уведомления. А вот если компанией заинтересуется Роскомнадзор (придёт с проверкой или пришлёт «письмо счастья», где потребует подать уведомление), тогда штрафа будет не избежать.
Важный нюанс: даже если уведомление подаётся с «опозданием», в качестве «даты начала обработки персональных данных» лучше указать дату государственной регистрации компании.
Как заполнить уведомление?Уведомление нужно подать через интернет (в электронном виде) и направить по почте (в печатном виде).
Электронная форма уведомления заполняется на сайте Роскомнадзора. Требуется указать достаточно много информации, и это не так-то просто сделать, несмотря на наличие подсказок. Нужно быть готовым сформулировать правовые основания и цели обработки персональных данных, описать совершаемые с ними действия и указать, каким образом обеспечивается их безопасность.
После отправки электронной формы сайт Роскомнадзора предложит скачать уже заполненную печатную форму. Её нужно будет распечатать, подписать и удостоверить печатью компании, после чего отправить по почте в территориальный орган Роскомнадзора. Это необходимо, чтобы подтвердить сведения, поданные через интернет.
Ещё можно заполнить уведомление в электронном виде на Портале государственных услуг. однако это менее удобный способ.
Как узнать, что уведомление принято?После заполнения уведомления на сайте Роскомнадзора компания получит номер уведомления и секретный ключ. С их помощью на специальной странице можно уточнить статус уведомления и узнать, когда его сведения попадут в реестр операторов.
Вся информация в реестре операторов общедоступна, кроме сведений об обеспечении безопасности персональных данных. Можно найти уведомление любого оператора .
Сколько раз нужно подавать уведомление?Уведомление подаётся только один раз.
Однако есть важный нюанс: закон «О персональных данных» требует оповещать Роскомнадзор об изменении сведений, указанных в уведомлении, в течение 10 дней после таких изменений. Уведомление содержит много сведений о компании, и изменения могут случаться довольно часто. Увы, следить за ними и вовремя реагировать бывает непросто.
Лучше всего подать уведомление как можно раньше и аккуратно следить за тем, чтобы сведения о компании в реестре операторов были актуальны. Это очень просто сделать с помощью нашего сервиса.
Игорь Луканин. менеджер продукта «Контур.Персональные данные»
15 октября 2014
В итоге с Еленой Валерьевной обратились в суд. Вернули около 200.000 рублей. Поэтому работать очень нравится. Я сама рекомендую ее другим председателям
Палова Татьяна Федоровна Председатель ТСЖ №239 и ТСЖ №237 г.Нижний Новгород, ул.Гаугеля, д.30
«С Еленой Валерьевной работаем уже полтора года. Человек очень компетентный коммуникабельный, в любой момент выслушает, никогда не оттолкнет, в наши проблемы уходит с головой, проявляет максимум терпения и понимания. Дает всегда дельные и мудрые советы. Человек, с которым очень приятно общаться и иметь дело. »
Пронина Ольга Юрьевна Председатель правления ТСЖ №53 г.Нижний Новгород, ул.Куйбышева, 49
«Мы работаем с этой компанией уже около двух с половиной лет. Вместе с ними забрали свой дом у домоуправляющей компании. У нас абонентское обслуживание, поэтому сразу решаем много текущих вопросов. Выиграли несколько судов суд, когда один житель попытался оспорить легитимность создания нашего ТСЖ. »
Снегирева М.С. Председатель ТСЖ «Малая Ямская 65/4» г.Нижний Новгород, ул. Малая Ямская 65/4
«Могу дать только самые лестные отзывы о грамотности и работе Елены Фомичевой и ее компании. В плане юридической составляющей, могу сказать, что она полностью в теме тех отношений, которые мы сейчас решаем: консультации, перерасчет коммунальных платежей от РСО. Она работает с учетом всех постоянных изменений в законах.»
Смаль Анатолий Энверович Председатель ТСЖ №23, г.Нижний Новгород, ул.В.Революции, 23
Повод для разговора: В августе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) утвердила приказ, в котором даны рекомендации, как заполнить уведомление об обработке персональных данных*.
Почему это важно? Работодателю как оператору, осуществляющему обработку персональных данных, следует знать, что до начала их обработки следует известить Роскомнадзор. В каком виде (электронном или бумажном) нужно направлять уведомление? Каковы требования к его оформлению?
На наши вопросы отвечает: Юлия Забудько, заместитель начальника Управления по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Все ли работодатели обязаны направлять в Роскомнадзор уведомление об обработке персональных данных?
– Сначала хотелось бы отметить, что Роскомнадзор удивил факт такого пристального внимания к приказу № 706. Федеральным законом «О персональных данных», вступившим в силу в январе 2007 года, уже предусматривалось, что работодатель должен направить в Роскомнадзор уведомление об обработке персональных данных**. В 2008 году был издан приказ, утверждающий форму уведомления и рекомендации по ее заполнению. И лишь после этого был издан приказ № 706, отражающий те изменения, которые были внесены в Закон в июле этого года. И хотя тема не нова, поток звонков в территориальные управления Роскомнадзора с вопросами по заполнению уведомления в последнее время не прекращается.
Возвращаясь к вопросу, поясню, что в Законе перечислены основания, при которых работодатель вправе осуществлять обработку персональных данных без уведомления Роскомнадзора (ч. вторая ст. 22). Например: если они обрабатываются в соответствии с трудовым законодательством; если данные получены в связи с заключением гражданско-правового договора с работником (при условии, что персональные данные не предоставляются третьим лицам без согласия работника и используются работодателем исключительно для исполнения договора) и т. п.
Чтобы четко понять, нужно ли уведомлять Роскомнадзор, рекомендую не только внимательно изучить закон, но и свои учредительные документы, локальные нормативные акты – в них закрепляются направления деятельности юридического лица и цель предполагаемой обработки персональных данных.
Иногда работодателю все же сложно определить, обязательно ли направлять уведомление. Об этом свидетельствуют многочисленные звонки в наш Справочно-информационный центр и письменные обращения граждан и юридических лиц – мы разбираемся с каждым конкретным случаем. Например, наиболее распространенный вопрос: нужно ли направлять уведомление, если в компании обрабатываются лишь персональные данные работников в соответствии с трудовым законодательством. Ответ: нет. Однако если предполагается передавать их персональные данные по программе добровольного медицинского страхования или для оформления зарплатной карты, уведомление отправлять обязательно, потому что эти отношения выходят за рамки трудового законодательства.
Обращаю ваше внимание: если организация вправе не уведомлять Роскомнадзор, она, тем не менее, должна выполнять все требования по защите персональных данных, особенно при трансграничной передаче персональных данных***. Практика показывает, что многие фирмы в настоящее время взаимодействуют со своими иностранными партнерами и передают персональные данные граждан Российской Федерации (работников, клиентов) на территорию иностранного государства. Работодатель должен понимать: в этой ситуации должны быть обеспечены особые условия защиты их персональных данных.
Портрет официального лица Юлия Сергеевна ЗабудькоС 2003 по 2007 год помощник прокурора прокуратуры Богучарского района Воронежской области. Затем главный специалист-эксперт, заместитель начальника юридического отдела Управления Федеральной службы по надзору в сфере связи по Москве и Московской области. С 2008 года – начальник отдела судебно-претензионной работы в области защиты прав субъектов персональных данных Правового управления Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия. В марте 2011 года назначена на должность заместителя начальника Управления по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Заместитель председателя Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных. Специализируется в области защиты конституционных прав человека на неприкосновенность частной жизни. Принимает активное участие и выступает на конференциях, в том числе международных, научно-практических семинарах по вопросам информационной безопасности и защиты персональных данных, рабочих группах по совершенствованию законодательства Российской Федерации в области персональных данных.
В какой форме – бумажной или электронной – нужно направлять уведомление? Как правильно его составить?
– Если организация обязана уведомить Роскомнадзор, она вправе сделать это двумя способами. Первый – самостоятельно составить уведомление в бумажной форме и направить его по почте. И второй – более удобный – заполнить уведомление в электронной форме на Портале персональных данных****, а затем распечатать. Второй способ более удобен потому, что на портале опубликована типовая форма документа с рекомендациями, как ее заполнить. Вашими помощниками будут всплывающие подсказки, которые поясняют каждую графу. После того как уведомление составлено, необходимо нажать кнопку «Отправить электронное уведомление и подготовить форму к распечатке». При этом совершаются два действия – электронный документ уходит непосредственно в нашу базу данных и преобразуется в форму, которую нужно распечатать на фирменном бланке. После этого необходимо подписать бумажный вариант у руководителя организации, поставить печать и отправить в территориальное управление Роскомнадзора. Их адреса опубликованы на главной странице нашего интернет-портала www.rsoc.ru.
В ближайшее время появится возможность в полном объеме пользоваться Единым порталом государственных и муниципальных услуг, откуда можно будет подать уведомление в электронной форме, не используя бумажный вариант. Для этого нужно зайти на портал через Личный кабинет (физического или юридического лица) и заполнить уведомление. Документ отправится в локальную сеть Роскомнадзора, а затем в соответствующее территориальное управление для обработки. В дальнейшем эта версия будет снабжаться электронной подписью Сегодня во время регистрации вы также проходите необходимый этап идентификации, указав ИНН компании. Таким образом, подтверждается, что уведомление поступает от конкретного лица.
Уведомление, поступившее в территориальное управление, проверяется на соответствие требованиям закона и, при положительном решении, сведения об организации включаются в Реестр операторов, осуществляющих обработку персональных данных. Реестр также размещен на нашем сайте*****, причем ведется он с 2008 года. Любой кадровик может убедиться, что его уведомление дошло до Роскомнадзора и сведения внесены реестр. Для этого наберите в нужных строках название компании и ИНН.
Если вы хотите документально подтвердить, что состоите в Реестре операторов, отправьте «Заявление о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных»******. Можно просто написать письмо в территориальное управление с просьбой предоставить выписку. В последнее время некоторые граждане обращаются в Роскомнадзор с вопросом – занесена ли в реестр та или иная компания? От этого будет зависеть, обратятся ли они в эту компанию за какой-либо услугой, будут ли с ней взаимодействовать в дальнейшем. То есть потенциальному клиенту важно знать, каким образом там защищают и защищают ли вообще персональные данные. Соблюдение всех требований действующего законодательства благоприятно отражается на деловой репутации организации.
Назовите, пожалуйста, самые распространенные ошибки в уведомлении. Что делать, если они допущены?
– Одна из самых распространенных ошибок – отражение неполных и (или) недостоверных данных, то есть когда не все пункты уведомления оказались заполненными или в них представлена недостоверная информация.
Вопросы возникают и с перечнем действий с персональными данными – сбором, хранением, систематизацией, накоплением, изменением, а также со способом обработки. Существуют три способа обработки – автоматизированная, неавтоматизированная и смешанная, когда данные обрабатываются в автоматизированном режиме, но при этом дублируются бумажными формами. Часто работодатель из-за невнимательности забывает указать нужный способ.
Еще одна системная ошибка – определение срока начала и окончания обработки персональных данных. Датой начала считается тот день, когда вы непосредственно начали их обрабатывать. Как правило, это начало деятельности юридического лица, а не день заполнения уведомления. А срок и основания прекращения – дата ликвидации фирмы или дата, когда прекращается обработка персональных данных и они уничтожаются, если не передаются в архив. Когда вы не можете определить точную дату окончания обработки персональных данных, можно в уведомлении указать предполагаемую, а потом, когда станет известна точная дата, заполнить «Форму заявления о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных» на Портале персональных данных. Если нет доступа в Интернет, необходимо отправить письмо в территориальное управление с просьбой внести изменения в конкретный пункт. Эти же действия нужно совершить, если вы допустили ошибку в уведомлении.
Когда Роскомнадзор может прийти в организацию с проверкой?
– Действующий закон о защите юридических лиц и индивидуальных предпринимателей предусматривает как плановые, так и внеплановые проверки*******. Например, основанием для плановой проверки может быть истечение трех лет со дня государственной регистрации юридического лица или индивидуального предпринимателя или окончания последней плановой проверки. Истечение срока исполнения работодателем ранее выданного предписания об устранении нарушения или поступление в Роскомнадзор (его территориальные органы) информации о нарушении прав граждан при обработке их персональных данных также являются основаниями для проведения внеплановой проверки.
Незаконная обработка персональных данных без согласия работника, незаконное их распространение неограниченному кругу лиц – например, когда в Интернете появляется информация о должниках или нарушителях дисциплины – одни из наиболее распространенных нарушений. Так, на сайте одной организации были размещены сведения о человеке (фамилия, имя, отчество и место жительства), который совершил дисциплинарный проступок. Тем самым был нарушен закон о персональных данных, что стало причиной внеплановой проверки.
Нужно ли работодателю писать заявление об исключении сведений из Реестра операторов?
– Разумеется, если работодатель по каким-либо причинам прекращает обрабатывать персональные данные. Например, в случае ликвидации или реорганизации компании, окончания срока обработки данных, указанного в уведомлении, и т. д. Поэтому работодатель обязан прислать заявление в территориальное управление Роскомнадзора с просьбой исключить его из реестра, а также обоснования, почему это следует сделать. Обращаю ваше внимание, что такое заявление – это не простая формальность, а прямое доказательство ответственного отношения к своим обязанностям.
Беседовала Елена Ильина.
эксперт журнала «Кадровое дело»
* Приказ Роскомнадзора от 19 августа 2011 г. № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».
** Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон).
*** Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 2 Закона).
******* Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
