чим керуватися
У чому ризик
Існує затверджена форма «Повідомлення про обробку (про намір здійснювати обробку) персональних даних» та рекомендації щодо її заповнення (затв. Наказом № 706 1). До цих реклмендаціям краще прислухатися. Інакше за неподання інформації до територіального органу Роскомнадзора загрожує штраф від 3 тис. До 5 тис. Руб. (Ст. 19.7 КоАП РФ). Також у відомства є повноваження закрити сайт компанії. Нарешті, Роскомнадзор може провести перевірку (в тому числі позапланову виїзну). Щоб уникнути розглядів, повідомлення потрібно відправити до початку обробки персональних даних (далі - ПД).
форма повідомлення
Способи. Повідомити Роскомнадзор про роботу з персональними даними можна двома способами:
1 Заповнити повідомлення на папері, на фірмовому бланку компанії (п. 2 Наказу № 706) та направити його поштою.
2 Заповнити он-лайн форму на офіційному сайті Роскомнадзора (www.pd.rsoc.ru - Портал персональних даних) і роздрукувати її. У цьому випадку після роздруківки повідомлення потрібно скріпити підписом керівника і проставити печатку компанії. А потім вже відправляти його в територіальний орган Роскомнадзора.
Відзначимо, що перший спосіб «відімре», коли на повну потужність (в частині Роскомнадзора) запрацює портал державних і муніципальних послуг (www.gosuslugi.ru). Через цей портал можна буде відправити повідомлення, забезпечивши його електронним підписом.
Зразок форми повідомлення
Одночасно потрібно вказати, хто конкретно обробляє персональні дані - тільки головний офіс (формує центральну інформаційну систему) і (або) філії (представництва).
Цілі обробки. Нарешті, в повідомленні потрібно позначити мету обробки персональних даних. Причому не тільки ті, які випливають з її статутної діяльності, але і ті, які мають місце по факту.
9 випадків, коли повідомляти про роботу з ПД не потрібно
- Обробляти ПД зобов'язує трудове законодавство.
- ПД отримані при укладенні договору (не поширюються і не надаються третім особам без згоди суб'єкта, використовуються виключно для виконання договору і укладення нових договорів з суб'єктом).
- Громадське об'єднання обробляє ПД своїх членів (учасників) на виконання завдань, передбачених установчими документами (не поширюються без письмової згоди суб'єкта).
- Суб'єкт зробив ПД загальнодоступними.
- ПД складаються тільки з ПІБ.
- ПД потрібні для одноразового пропуску на територію.
- ПД включені в державні інформаційні системи (наприклад, реєстри).
- ПД обробляються без засобів автоматизації.
- ПД обробляються в цілях безпеки на транспорті.
Закон про ПД, ст. 22, ч. 2
Просто не пропустіть
Якщо роботодавець передає ПД співробітників для включення їх в програму ДМС або для оформлення зарплатної картки, повідомлення відправляти обов'язково.
Що відбувається в Роскомнадзоре
Територіальний орган Роскомнадзора протягом тридцяти днів фіксує у собі відомості, зазначені в повідомленні (ч. 4 ст. 22 Закону про ПД). І заносить компанію до Реєстру операторів, які здійснюють обробку ПД. Перевірити стан повідомлення, поданого в електронному вигляді, можна через Портал персональних даних (www.pd.rsoc.ru). Датою внесення відомостей до реєстру вважається дата підписання наказу.
Якщо керівництво компанії відмовиться від ідеї вести базу даних постійних клієнтів або змінить політику щодо її (наприклад, знадобиться зібрати дані про дату, місяць і рік народження клієнтів), повідомити про це потрібно протягом десяти робочих днів.
Просто МАЙТЕ НА УВАЗІ
Повідомлення про обробку персональних даних розглядаються безкоштовно.
Суди поки нейтральні
Судових спорів, пов'язаних з повідомленням про обробку персональних даних, на сьогоднішній день вкрай мало. По-перше, персональні дані - відносно нова галузь правового регулювання. По-друге, Закон про ПД (2) вже зазнав кілька редакцій. Тому суди поки трактують його обережно і лояльно ставляться до фірм, до яких є претензії у Роскомнадзора.
Щоб зрозуміти, чи потрібно повідомити Роскомнадзор про роботу з ПД, варто заглянути в статті 1 і 22 Закону про ПД (2). А також вивчити установчі документи та локальні нормативні акти підприємства на предмет напрямків діяльності і можливих цілей обробки ПД.
слово практику
Чи працюєте з персональними даними - отримуйте потрібний статус
начальник служби правового забезпечення діяльності ВАТ «Російська телекомунікаційна мережа»
При використанні аутсорсингу, при наданні телекомунікаційних послуг відбувається вимушена передача персональних даних третім особам. Це зобов'язує отримати статус оператора з обробки персональних даних (ОПД).
Інформація про реєстрацію в якості ОПД, виписка з реєстру операторів в нашій компанії мають статус відкритої інформації і при укладанні трудових договорів, і в будь-яких інших договірних відносинах. Крім того, ця інформація розкрита на нашому сайті.
Такий статус, безсумнівно, говорить про те, що компанія надає великого значення захисту ПД і робить достатньо зусиль для їх законного використання і обробки. Така компанія буде вважатися надійним партнером в будь-яких угодах.
Інформацію про реєстрацію в якості ОПД необхідно представити на першу вимогу будь-якого суб'єкта, чиї дані підпадають під обробку в компанії. Держоргани мають можливість отримати таку інформацію самостійно, а контрагентам така інформація доступна у відкритих джерелах.
думка експерта
Турбота про ділову репутацію
Андрій Волохов.
генеральний директор колекторського агентства «Контраст-Кредит Менеджмент»
Виписка з цього реєстру підтверджує, що організація виконує вимоги, встановлені законодавством про персональні дані, і веде свою діяльність відкрито. Безумовно, дотримання закону позитивно позначається на діловій репутації оператора, і на готовності клієнтів співпрацювати з ним.