Реестр операторов, осуществляющих обработку персональных данных
В соответствии со статьей 22 Федерального закона № 152-ФЗ «О персональных данных», организации, осуществляющие обработку персональных данных, уведомляют уполномоченный орган по защите прав субъектов персональных данных путем подачи Уведомления об обработке персональных данных для последующего занесения организации в Реестр операторов, осуществляющих обработку персональных данных.
Консультации по вопросам подачи уведомлений об обработке персональных данных проводятся инспекторами территориального Управления Роскомнадзора (в Москве — каждый вторник в 15:00 по адресу Старокаширское шоссе, д.2, корп.10).
Подача уведомления
Кто должен подавать?
В первую очередь необходимо определить, требуется ли подавать уведомление. В соответствии с частью 2 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
- обрабатываемых в соответствии с трудовым законодательством;
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
- сделанных субъектом персональных данных общедоступными;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
- обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
В большинстве организаций персональные данные обрабатываются сверх вышеперечисленных исключений.
Как подать уведомление?
В случае, если организация не внесена в Реестр и не подпадает по исключение, необходимо подготовить и внести сведения на Портале персональных данных. Для этого необходимо выбрать на интернет-сайте Роскомнадзора меню «Реестр операторов»\ «Электронные формы заявлений»\ предложение «Перейти к заполнению формы электронного уведомления» либо перейти по прямой ссылке http://pd.rkn.gov.ru/operators-registry/notification/form.
После заполнения всех полей электронной формы заявления и отправки формы электронного уведомления (кнопка «Отправить электронное уведомление и подготовить форму к распечатке») заполненную форму необходимо сохранить для последующего формирования письма на бланке организации. После подтверждения корректности внесенных сведений необходимо сформировать письмо на бланке организации с заполненной формой, распечатать, поставить подпись и печать организации, направить в Управление Роскомнадзора в двух экземплярах.
Рекомендации по внесению изменений в Реестр операторов персональных данных
В случае, если организация внесена в Реестр, следует открыть форму уведомления об обработке персональных данных в Реестре и просмотреть содержание. Поиск организации, внесенной в Реестр операторов, осуществляющих обработку персональных данных, осуществляется на Портале персональных данных уполномоченного органа по защите прав субъектов персональных данных: «Реестр операторов»\ «Реестр» или по прямой ссылке http://pd.rkn.gov.ru/operators-registry/operators-list. Поиск удобно проводить по ИНН организации.
Если в Уведомление не внесены сведения о месте нахождения баз данных, содержащих персональные данные граждан Российской Федерации, либо указаны устаревшие сведения (утратившие силу нормативные правовые акты, номера телефонов, иная информация), необходимо внести изменения в сведения об организации в Реестре. Для этого нужно заполнить информационное письмо, выбрав на интернет-сайте Роскомнадзора меню «Реестр операторов»\ «Электронные формы заявлений»\ предложение «Перейти к заполнению информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных» либо по прямой ссылке https://rkn.gov.ru/personal-data/forms/p333. В данной форме заполняются все обязательные поля, а также поля, подлежащие изменению. После заполнения формы информационного письма необходимо сохранить его для последующего формирования письма на бланке организации. Письмо необходимо распечатать, подписать и направить в Управление Роскомнадзора в двух экземплярах.
Рекомендации по заполнению формы информационного письма о внесении изменений в уведомление, а также примеры по заполнению информационного письма можно посмотреть в меню «Реестр операторов»\ «Документы» либо по прямой ссылке http://pd.rkn.gov.ru/operators-registry/operators-registry-documents.
Как сделать это правильно?
Перед составлением уведомления рекомендуется провести аудит соответствия.
Что должно содержать уведомление?
В соответствии с частью 3 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» уведомление должно содержать следующие сведения:
- наименование (фамилия, имя, отчество), адрес оператора;
- цель обработки персональных данных;
- категории персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
- описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 7.1. фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
- дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 10.1. сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Роскомнадзор во время плановых и внеплановых проверок проверяет содержание уведомления по каждому вышеперечисленному пункту и почти у всех Операторов выявляет нарушения.
Рекомендации Роскомнадзора
29 января 2016 г. Роскомнадзор выпустил рекомендации по заполнению формы Уведомления об обработке персональных данных.
Оформление Уведомления производится на бланке оператора и направляется в территориальный орган Роскомнадзора по месту регистрации Оператора в налоговом органе. Уведомление направляется в территориальный орган Роскомнадзора в бумажном или электронном виде и подписывается уполномоченным лицом.
Под полем «Наименование (фамилия, имя, отчество), адрес Оператора» понимается:
для юридических лиц (Операторов):
- полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;
- наименование филиала(ов) (представительства(в)) юридического лица (Оператора), осуществляющего обработку персональных данных;
- адрес Оператора;
- индивидуальный номер налогоплательщика (ИНН).
для физических лиц:
- фамилия, имя, отчество физического лица (Оператора);
- адрес Оператора;
- данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;
- индивидуальный номер налогоплательщика (ИНН).
Поле «Цель обработки персональных данных» отражает цели обработки персональных данных (а также их соответствие полномочиям Оператора), указанные в учредительных документах Оператора и фактически осуществляемые Оператором в деятельности по обработке персональных данных.
В поле «Категории персональных данных» указываются все категории персональных данных, подлежащих обработке Оператором:
- Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных).
- Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни).
- Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных).
В поле «Категории субъектов, персональные данные, которых обрабатываются» указываются категории субъектов, персональные данные которых обрабатываются (например: работники, соискатели, уволенные работники, родственники работников и т.д.).
В поле «Правовое основание обработки персональных данных» указываются правовые основания, которые соответствуют полномочиям Оператора, отраженных в уставных документах, Федеральных законах и принятых на их основе нормативных правовых актов в части, касающейся компетенции Оператора, закрепляющий основание и порядок обработки Оператором персональных данных (например: Федеральные законы, согласие на обработку персональных данных субъекта, договор и т.д.).
Поле «Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных» предусматривает действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:
- неавтоматизированная обработка персональных данных;
- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
- смешанная обработка персональных данных.
Поле «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», предполагает:
- описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
- организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, указываются следующие сведения:
- наименование используемых криптографических средств;
- класс средств криптографической защиты информации (СКЗИ).
В поле «Сведения о наличии или об отсутствии трансграничной передачи персональных данных» рекомендуется относить сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки с указанием перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.
В поле «Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации (далее - База данных)» указываются:
- страна (страны) размещения базы данных;
- конкретный адрес (адреса) местонахождения базы данных.
В поле «Сведения об обеспечении безопасности персональных данных» указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Поле «Дата начала обработки персональных данных» предусматривает конкретную дату (число, месяц, год) начала любого действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (как правило, это дата начала осуществление Оператором деятельности, закрепленной в уставных документах).
В поле «Срок или условие прекращения обработки персональных данных» указывается основание (условие), наступление которого повлечет прекращение обработки персональных данных.
Типовые ошибки при подаче Уведомления
Многие Операторы допускают ошибки при заполнении сведений пунктов 3 и 4. Ошибки заключаются в указании неполного перечня категорий персональных данных и категорий субъектов персональных данных. Роскомнадзор хочет видеть по 3 пункту все категории персональных данных, обрабатываемые Оператором, вплоть до времени входа/ухода посетителя и работника, если такие данные обрабатываются. По 4 пункту Операторы не указывают такие категории как уволенные работники и родственники работников.
Также распространенная ошибка по 5 пункту заключается в указании неполного перечня правовых оснований обработки персональных данных. Операторы не указывают в перечне правовых оснований такие основания как согласие на обработку персональных данных и договор, заключаемый с субъектом персональных данных.
По пункту 7.1 Операторы иногда не указывают почтовый адрес ответственных за организацию обработки персональных данных, что является нарушением.
В перечне действий с персональными данными Операторы обычно указывают все действия, перечисленные в статье 3 152 Федерального закона "О персональных данных", что очень часто не соответствует фактически осуществляемым действиям и приводит к нарушению. Также операторы указывают в перечне действий обезличивание. По последней позиции Роскомнадзора, так как в настоящий момент Методические рекомендации по обезличиванию разработаны только для государственных органов, коммерческие организации не вправе осуществлять такое действие с персональными данными.
В ходе анализа Уведомления на соответствие требованиям Роскомнадзор старается опираться на указанную информацию в представленных Оператором локальных актах, касающихся обработки персональных данных, поэтому рекомендуется заполнять уведомление строго в соответствии с локальными актами. Ошибка, допущенная по любому из вышеперечисленных пунктов, ведет к нарушению части 7 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» и к выдачи предписания об устранении нарушений. Перед подачей Уведомления для снижения риска несоответствия рекомендуется провести Аудит соответствия обработки персональных данных, который позволит определить процессы обработки персональных данных, подготовить/обновить локальные акты по вопросам обработки персональных данных и подготовить Уведомление, опираясь на локальные акты.