Уведомление в Роскомнадзор: кто и зачем обязан подавать, как правильно оформить и какие ошибки можно допустить

Кто и зачем должен подавать уведомление в Роскомнадзор

Согласно ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», представлять уведомление в Роскомнадзор должны организации, предприниматели и самозанятые, собирающие и обрабатывающие персональные данные:

• сотрудников и кандидатов на работу;
• контрагентов;
• членов общественных объединений и религиозных организаций;
• посетителей для однократного пропуска на территорию компании;
• ФИО любого лица, полученное организацией.

Подача уведомления является основанием для внесения компании в реестр операторов персональных данных (ОПД) и легализует всю ее дальнейшую работу по сбору и обработке таких данных. Поэтому подавать уведомление должны даже те компании, которые непосредственно не работают с Роскомнадзором. Если компания собирает такие данные, как ФИО, электронная почта или место работы, то она является оператором персональных данных, а следовательно, должна взаимодействовать с РКН. 

То же самое касается ситуаций, когда у компании есть хотя бы один клиент или сотрудник, чьи личные сведения обрабатываются. Кроме того, если компания сдает в аренду программы, облачные хранилища и прочие места хранения персональных данных, она также является оператором персональных данных и должна подавать в РКН соответствующее уведомление.

Подавая уведомление в Роскомнадзор, компания не только исполняет законное требование, но и поддерживает свою репутацию как ответственного контрагента в деловом сообществе. Сейчас любой желающий может посмотреть в реестре операторов, как конкретная организация обеспечивает защиту персональных данных. 

Также в настоящее время появилась новая практика, когда юристы одной компании не пропускают договоры другой компании по причине ее отсутствия в реестре Роскомнадзора. Считается, что компания, не исполняющая требования законодательства, не обеспечит своим партнерам адекватную защиту персональных данных. Повышенные требования также стали предъявлять к участникам торгов. Теперь часть контрактов доступны только для исполнителей, состоящих в реестре операторов персональных данных. Кроме того, если компания планирует трансграничную передачу данных, то без поданного уведомления заявить о трансграничной передаче сведений будет невозможно.

Уведомление в общем случае подают однократно и в дальнейшем от компании требуется только актуализировать сведения, содержащиеся в нем. Каждый раз, оформляя на работу нового сотрудника или внося в базу данных сведения о новом физлице, подавать уведомление не требуется.

Подача уведомления не приводит к возникновению в компании каких-либо дополнительных обязанностей. Компания в любом случае должна выполнять требования Федерального закона №152-ФЗ. Отсутствие в реестре Роскомнадзора сведений об операторе не освобождает организацию от обязанности разработать локальные акты, принять организационные и технические меры по защите персональных данных, а также не снимает ответственность за нарушение законодательства о защите персональных данных. Не приводит подача уведомления и к повышенному вниманию и проверкам со стороны Роскомнадзора.

Роскомнадзор может проверить любую организацию, предпринимателя или самозанятого – даже тех, кто забыл о себе заявить. Избежать исполнения требований Федерального закона №152-ФЗ, не регистрируясь в реестре операторов персональных данных, не удастся. Основанием для назначения проверки не всегда является наличие организации в реестре. Существуют и другие критерии, которые служат поводом для дальнейшей проверки. 

Кто может не подавать уведомление в Роскомнадзор

В ч. 2 ст.22 Федерального закона №152-ФЗ установлено лишь три случая, когда компаниям не требуется подавать в Роскомнадзор уведомление о намерении обрабатывать персональные данные. Уведомление не требуется, если:

• весь учет персональных данных ведется на бумаге (если хотя бы часть информации хранится и обрабатывается на компьютерах или других устройствах – планшетах, смартфонах, то уведомление необходимо подать);
• организация включена в государственные информационные системы и работает с персональными данными, размещенными в этих государственных информационных системах;
• компания работает с персональными данными в сфере транспортной безопасности (если помимо перечисленных видов деятельности есть другие – ведение кадрового учета, работа с клиентами, заключение договоров или оказание услуг, то организация должна подать уведомление в Роскомнадзор).

Как подготовиться к подаче уведомления в Роскомнадзор

Законодательство допускает три способа заполнения и отправки уведомления в Роскомнадзор:

• заполнить электронную форму, распечатать и отправить почтой или любым удобным способом в Роскомнадзор;
• сформировать и отправить на портале Роскомнадзора, подписав электронной подписью;
• сформировать на портале Госуслуг и там же отправить.

Нужно учитывать, что время на заполнение уведомления на портале ограничено, а сохранить черновик нет технической возможности. Поэтому, прежде чем заносить данные в уведомление непосредственно на портале РКН, необходимо подготовиться и собрать все сведения – прервать работу и потом к ней вернуться не получится. 

Примерный план работ по подготовке уведомления в РКН

1. Назначьте ответственного за организацию обработки персональных данных в компании. Сделать это нужно приказом. Данные ответственного сотрудника следует внести в уведомление.
2. Определите и пропишите в приказах цели сбора и категории собираемых персональных данных
3. Разработайте политику в области обработки персональных данных. Информация в политике должна соответствовать тому, что вы укажете в уведомлении. Между этими документами не должно быть расхождений.
4. Проверьте сайт по следующему чек-листу:

• какие персональные данные на сайте собираются;
• есть ли на сайте формы согласия для обработки данных;
• размещена ли политика обработки данных;
• наличие метрических программ, собирающих данные.

5. Проверьте наличие и актуальность средств защиты информации, которые должны быть размещены на компьютерах, где обрабатываются персональные данные. Эту информацию тоже нужно отразить в уведомлении в Роскомнадзор.
6. Соберите следующую информацию обо всех сторонних сервисах (например, электронная отчетность или облачные хранилища), в которых вы размещаете личные данные: название, владелец, адреса серверов и т.д. Если компания, у которой вы арендуете сервис, не знает или не дает адрес своего сервера, то в этом случае можно указать юридический адрес этой компании. При этом необходимо сохранить переписку, которая подтвердит, что вы сделали все, чтобы установить адрес, но вам отказали. Это пригодится на случай проверки.

Как заполнить уведомление в РКН 

Первичное уведомление или корректировка

В самом начале нужно выбрать тип уведомления – первичное или корректирующее. Если вы нажмете кнопку «Заполнить уведомление данными из ранее составленного письма», то откроется окошко, где нужно ввести номер и ключ предыдущего уведомления. В этом случае все ранее заполненные данные автоматические подтянутся.

Рис. 1

Сведения об операторе

Регион. Если вы зарегистрированы в одном регионе, а деятельность ведете в другом, укажите регион фактического местонахождения.

Адрес электронной почты. Красными звездочками отмечены поля, обязательные к заполнению. Адрес электронной почты как раз относится к таким обязательным полям. Он нужен для оперативного взаимодействия с вами по вопросам подачи уведомлений и обработки персональных данных.

Регионы обработки. Регионы обработки – это та территория, на которой вы как оператор непосредственно работаете с персональными данными. Например, у вас есть филиалы, в которых обрабатывается личная информация сотрудников. Это может быть и несколько территорий, и вся Российская Федерация. На сегодня нет судебной практики, когда Роскомнадзор привлек бы к ответственности за то, что в Регионах обработки была указана Российская Федерация, а не конкретный субъект. Здесь важно не перепутать с территориями субъектов, чьи данные вы обрабатываете, потому что субъект может находиться в любом регионе.

Рис. 2

Цели обработки данных

Далее в уведомлении необходимо указать каждую цель, с которой компания планирует обрабатывать персональные данные. В зависимости от объемов обработки данных у организации может быть различное количество целей. Указать в одном поле несколько целей через запятую нельзя. Например, ведение кадрово-бухгалтерского учета, заключение договоров с клиентами и организация пропускного режима на территорию оператора – это три разные цели.

В справочнике на портале Роскомнадзора предложены более 30 целей. Вы можете выбрать из имеющихся или добавить вручную свой вариант. 

Есть близкие по смыслу процессы, которые можно объединить в одну цель. Например, в рамках трудовых отношений это оформление трудоустройства, внесение персональных данных сотрудников в информационные системы, например СРМ, и направление персональных данных в банки для выплаты зарплаты. 

То же самое при подборе персонала, который складывается из различных процессов: поиск соискателей с помощью различных сервисов, взаимодействие с соискателями, прием от них документов, формирование кадрового резерва. Для каждой цели определяем установленную ч.3.1 ст.22 Федерального закона №152-ФЗ информацию. Выбираем из предложенного Справочника или добавляем вручную через выбор кнопки «Иные». При выборе «Иные» в любом из разделов в форме уведомления появятся дополнительные поля, где нужно дописать вручную недостающие сведения (категории ПДн, субъектов, правовые основания и т.д.). Заполнять эти сведения нужно обязательно.

Далее под каждую цель обработки нужно указать категории персональных данных и категории субъектов. Например, при подборе персонала категории сведений, которые обрабатываются, это ФИО, сведения об образовании и предыдущих местах работы, паспортные данные и т.д.

Рис. 3

Если мы не распространяем данные соискателей, то это действие указывать не нужно. Распространение, возможно, например, в случае, когда персональные данные сотрудников размещены на сайте.

Способы обработки данных

Обработка может быть автоматизированная, неавтоматизированная и смешанная. Способ указывается относительно каждой цели. Редко какие компании используют исключительно автоматизированный способ, поэтому не будет ошибкой указать по всем целям смешанную обработку. Кроме того, нужно конкретизировать: передача данных происходит через интернет, или в рамках внутренней сети, или используются оба варианта.

Меры по защите персональных данных

Полный перечень мер содержится в ст. 18.1 и 19 Федерального закона №152-ФЗ. Те данные, которые вы укажете в уведомлении, могут быть проверены Роскомнадзором. Поэтому нужно указывать исключительно достоверную информацию. То же самое касается и сведений об использовании шифровальных криптографических средств. В электронной форме уведомления помимо наименования нужно указать изготовителей, серийные номера средств шифрования и класс из КЗИ. Если у вас нет полных сведений, то достаточно будет указать их наименование.

Ответственный за организацию обработки персональных данных

Ответственным за организацию обработки персональных данных в компании может быть только один сотрудник. Внутри организации вы можете распределить обязанности между несколькими работниками, но ответственность перед проверяющими органами будет нести только человек, указанный в приказе.

Если для целей обработки данных вы привлекаете компанию, то указываете наименование юридического лица. Индивидуальный предприниматель может как сам отвечать за этот процесс, так и назначить ответственного из лица сотрудников. В первом случае можно поле не заполнять.

Обратите внимание, для ответственных лиц важно указывать исключительно рабочие телефоны и электронные адреса, поскольку эти данные будут открытыми. При этом убедитесь, что с человеком можно легко связаться по указанным контактам.

Дата начала и окончания обработки персональных данных

Укажите в качестве даты начала обработки персональных данных день регистрации компании или ИП в Росреестре. Иначе у сотрудников Роскомнадзора возникнет вопрос о том, почему именно указанная дата была выбрана в качестве начального момента обработки данных. В качестве окончания обработки персональных данных можно выбирать не дату, а событие: ликвидация юрлица или окончание регистрации ИП.

Места нахождения баз данных

Помимо страны (РФ) здесь указывается полный адрес ЦОДа: город, улица, дом, номер офиса или квартиры. Под ЦОДом в уведомлении в Роскомнадзор понимается любой сервер и любое место хранения бумажных носителей. Если у вас ЦОД не собственный, а, например, арендованный, хостинг сайта или Яндекс.Диск, то нужно указать, кто обеспечивает хранение. То есть заполнить наименование организации, ИНН, ОГРН и адрес.

Номер и ключ уведомления

После завершения формирования и отправки уведомления вы получите номер и ключ документа. Его необходимо сохранить, он понадобится вам для последующей подачи корректирующих сведений. 

Рис. 4

Если номер и ключ были утеряны, можно связаться с территориальным органом Роскомнадзора, в который вы подавали уведомление, и спросить у сотрудников варианты восстановления утерянных сведений. Сделать это самостоятельно на портале уже не получится.

Основные ошибки при оформлении и подаче уведомления в Роскомнадзор

Отражены не все цели обработки

В качестве целей вы указали только ведение кадрового и бухгалтерского учета, но не сообщили, что обрабатываете данные населения при оказании услуг. То есть в уведомлении была отражена только одна цель обработки персональных данных. Узнать об этом достаточно просто. Во-первых, сотрудник Роскомнадзора может заглянуть в ОКВЭДы оператора персональных данных и понять, какую деятельность организация ведет, например, торгует или оказывает услуги. Во-вторых, много информации можно почерпнуть с сайта компании или досок объявлений, рекламы.

Выявляется это, как правило, в ходе профилактических визитов или при рассмотрении жалоб со стороны субъектов персональных данных. В качестве последствий могут быть и требование, и предписание, и привлечение к ответственности в виде штрафа по ч.1 ст.13.11 КоАП РФ:

• на граждан – от 2 000 до 6 000 рублей;
• на должностных лиц – от 10 000 до 20 000 рублей;
• на юридических лиц – от 60 000 до 100 000 рублей.

В уведомлении указаны избыточные сведения

Компания на всякий случай отразила в уведомления сведения, которые фактически не собирает или они не нужны для ее деятельности. Причина может быть любая: ответственный сотрудник перепутал, написал «про запас» – вдруг в будущем пригодится.

Одно дело, когда для ведения бухгалтерского и кадрового учета вы указываете большой набор категорий собираемых персональных данных. Например, СНИЛС, ИНН, сведения о воинском учете, сведения о водительском удостоверении. В этой ситуации вы имеете право все это собирать в рамках законодательства и можете обосновать, для чего вам эта информация. Другое дело, когда для цели оказания услуг населению вы выбираете обширный перечень данных, включая сведения о воинской обязанности, сведения о водительском удостоверении и т.д. В этом случае объяснить Роскомнадзору, зачем вы собираете эти персональные данные, будет достаточно сложно.

Роскомнадзор может усмотреть в этом избыточный сбор персональных данных. За это также предусмотрен штраф по ч.1 ст.13.11 КоАП РФ. Поэтому необходимо указывать только тот сбор персональных данных, который обусловлен необходимостью или законодательством.

Цели указаны обобщенно

Цели обработки данных должны быть четкими и конкретными. Например, нельзя в качестве цели указать договорные отношения. Непонятная формулировка цели является нарушением и может повлечь штрафы по ч.1 ст.13.11 КоАП РФ. Пример четкой цели – оказание туристических услуг в рамках договоров о реализации туристского продукта. Должно быть понятно, с кем работаете и для чего собираете персональные данные.

Подали неполный перечень категорий субъектов, оснований, адресов

Допустим, вы забыли указать, что работаете не только с сотрудниками, но и с соискателями, с уволенными работниками, с их родственниками – важно прописать всех. Все это также будет являться основанием для назначения штрафа по ч.1 ст.13.11 КоАП РФ. То же самое будет и в случае правовых оснований обработки персданных, когда забывают указать, к примеру, договор или требования закона, а ссылаются только на согласие. Также в уведомлении часто забывают указать полные сведения об адресах баз данных, арендованных серверах и т.д., хотя это сделать необходимо.

Данные между уведомлением и локальными актами расходятся

Еще одна частая ошибка – несоответствие внутренних документов компании той информации, которая указана в уведомлении. Согласно статистике проверки сайтов, примерно в 80% случаев выявляются расхождения между документами, которые опубликованы на сайте и уведомлением. Если Роскомнадзор выявит более трех расхождений, то вам вправе назначить контрольную проверку. И мораторий тут не действует. Сотрудники Роскомнадзора вправе приехать и проверить полностью деятельность, связанную с персональными данными.

В уведомлении содержатся личные контакты сотрудников

Личные контактные данные и домашние адреса ответственных сотрудников указывать в уведомлении не нужно. Дело в том, что эта информация конфиденциальная, и вы как оператор персональных данных вообще не имеете права ее распространять и показывать кому-либо. Обязательно указывайте только рабочие контакты. Также важно, чтобы контакты были актуальными. В противном случае указанная почта или телефон могут быть завалены письмами и предписаниями от Роскомнадзора, а вы об этом не узнаете. За предписаниями обычно следуют штрафы. Чтобы избежать этой ошибки, установите график актуализации контактов и ответственных лиц. Делайте проверку, например, раз в полгода.

В материале использованы фото: Mix and Match Studio / Shutterstock / Fotodom.