Подписаться на рассылку
Ваш план формируется...

Персональные данные в организации. Какие требования по уведомлению Роскомнадзора

Создана: 25.09.2019 | Обновлена: 08.09.2022 | Время прочтения: 4 мин., 51 сек.

Работа отдела персонала, отдела кадров и бухгалтерии всегда связана с обработкой персональных данных. С момента принятия 152 ФЗ мы жили относительно спокойно, потому что все соблюдали требования закона по защите персональных данных, даже если вы не разрабатывали 60 рекомендованных локальных актов.

Прошло 13 лет и в полученном письме Управления Роскомнадзора по Северо-Западному федеральному округу об обязанности уведомления об обработке (намерении осуществлять обработку) персональных данных написано, что:

– использование личных данных работников (фамилия, имя, отчество, адрес, паспортные данные), сбор анкет (резюме) кандидатов на работу, направление третьим лицам (органов) списков сотрудников при оформлении им медицинских полисов, перечисление денежных средств на зарплатные счета, использование персональных данных клиентов… организация пропускного режима, рассмотрение поступивших жалоб и обращений граждан – все это обработка персональных данных. А значит, организация является оператором, осуществляющим обработку персональных данных.

Какие изменения произошли.

10 сентября 2019 года от Управления Роскомнадзора поступила информация о внесении изменений в законопроект от 27.07.2006 №152-ФЗ «О персональных данных» п.1, п. 5.2.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций.

К персональным данным можно отнести любую информацию, которой достаточно, чтобы определить физическое лицо и получить о нём какую-либо дополнительную информацию. Любая организация, работающая с данными физических лиц, должна защитить информационные системы и получить документы, подтверждающие соответствие этих систем требованиям закона.

Требования к обеспечению безопасности персональных данных касаются практически всех. Ведь к информационным системам персональных данных могут быть отнесены, кроме кадровых и бухгалтерских, биллинговые системы, call-центры и автоматизированные системы бюро пропусков. Даже если секретарь просто набирает у себя в компьютере список сотрудников с телефонами и днями рождений – эта информация должна быть защищена.

Как уведомить Роскомнадзор.

  1. Уведомление об обработке (о намерении) необходимо отправить почтовым отправлением по адресу Управления Роскомнадзора
  2. Можно направить электронную форму Уведомления, предусмотренную ч.1 ст. 22 Федерального закона с портала Роскомнадзора. В Санкт-Петербурге: 78.rkn.gov.ru
  3. После заполнения формы в электронном виде, уведомление нужно распечатать, подписать и направить по почте (почтовым отправлением или нарочно) в свое Управление Роскомнадзора.

Что обязательно нужно отметить в Уведомлении

1. Основание обработки ПД.

Например, руководствуясь Гражданским кодексом РФ, Трудовым кодексом РФ от 30.12.2001 № 197-ФЗ, Налоговым Кодексом РФ от 31.07.1998 №146-ФЗ, Федеральным законом от 06.12.2011 №402-ФЗ “О бухгалтерском учете”, Федеральным законом “Об образовании в Российской Федерации” от 29.12.2012 N 273-ФЗ, Постановлением Правительства РФ от 15.08.2013 N 706 (ред. от 29.11.2018) “Об утверждении Правил оказания платных образовательных услуг”, Законом РФ от 07.02.1992 № 2300-1 “О защите прав потребителей”, ФИС ФРДО для дополнительного образования, Лицензией №78П01 0005228 от 24.10.2016г. , Уставом ЮЛ.

2. Указать цель обработки ПД.

Например, обеспечения финансово-хозяйственной и производственной деятельности предприятия; ведения кадровой работы и бухгалтерского учета; обеспечения соблюдения трудового законодательства и иных нормативно-правовых актов Российской Федерации при содействии в трудоустройстве, заключения и регулирования трудовых отношений, обучения и продвижения по работе; с целью выполнения обязательств и работ в соответствии с заключенными договорами гражданско-правового характера, а также иные цели, обусловленные уставными целями и задачами.

3. Определить категории обработки ПД

Например, фамилия, имя, отчество; год, месяц, дата и место рождения, адрес, образование, профессия, доходы, гражданство, данные документа, удостоверяющего личность, данные свидетельства о рождении, ИНН, СНИЛС, стаж, номер телефона, Email, а также дополнительные сведения, предусмотренные условиями договора и требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных;

  • специальные категории персональных данных –не обрабатываются;
  • биометрические персональные данные – не обрабатываются.

4. Указать кому могут принадлежать ПД

Например, работникам; близким родственникам работника; работникам, ранее состоявшим в трудовых отношениях с юридическим лицом; физическим лицам, состоящим в гражданских (договорных) отношениях; кандидатам на замещение вакантной должности, клиентам; заявителям с обращениями (жалобами).

5. Указать какие действия организация совершает по обработке ПД

Например, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6. Описать способы обработки ПД

Например, способом смешенной (автоматизированной, неавтоматизированной) обработки (на бумажных, на электронных носителях информации и в ИСПДн), с передачей по внутренней сети юридического лица, в сети общего пользования Интернет.

7. Написать, какие меры принимаются и какие средства используются по защите персональных данных:

Например,определены места хранения персональных данных (материальных носителей). Определен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ. Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Обеспечен учет материальных носителей. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации.

Средства обеспечения безопасности: пароли, программные средства защиты информации.

8. Сведения об обеспечении безопасности ПД

Например, определены места хранения персональных данных (материальных носителей). Определен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ. Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Обеспечен учет материальных носителей. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации. Хранение сведений на бумажных носителях организовано в сейфах (шкафах, исключающих несанкционированный доступ).

Какие санкции ожидают организации, которые проигнорировали процедуру уведомления Роскомнадзора.

Таким образом, согласно Федеральному закону, при сборе персональных данных, в том числе через интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан России с использованием баз данных, находящихся на территории РФ.

Если Вы, как и наша организация, получила письмо из Управления Роскомнадзора, то в течение 30 дней должны направить Уведомление об обработке ПД.

В случае непредоставления или несвоевременного предоставления информации, а также непредоставления информации в полном виде или искаженном виде нас ждет административная ответственность в соответствии со ст. 19.7 Кодекса РФ об административных правонарушениях.

Роскомнадзор, выявив нарушение, обращается за протоколом в прокуратуру, и уже она направляет этот протокол в суд.

Ожидаемые изменения в КОАП по персональным данным

В соответствии с законопроектом, ст. 13.11 Кодекса Российской Федерации об административных правонарушениях предлагается дополнить и установить штрафы в размере:

  • от 30 до 50 тысяч рублей для физических лиц;
  • от 200 до 500 тысяч рублей для должностных лиц;
  • от 2 до 6 миллионов для юридических лиц.

Более подробно изучить тему защиты персональных данных, узнать о всех подробностях обработки, защиты и хранения персональных данных, а также о новом статусе работодателя как оператора по обработке персональных данных вы сможете на курсе повышения квалификации: «Защита персональных данных».

Адрес проведения: г. Санкт-Петербург, м. Гражданский проспект, ул. Ушинского 5-1

Телефон для связи: (812) 935-11-22; (812) 532-12-12.

Курсы на сайте