Федеральная служба по надзору в сфере связи и массовых коммуникаций УПРАВЛЕНИЕ ПО Забайкальскому краю, г. Чита

Разъяснения по заполнению уведомления об обработке персональных данных

Уважаемые операторы персональных данных! Просим Вас внимательно ознакомиться с данным текстом, он содержит ответы на многие Ваши вопросы, возникающие при заполнении уведомления об обработке персональных данных!

Прежде чем заполнять уведомление об обработке персональных данных, Вам необходимо, в первую очередь, изучить Федеральный Закон «О персональных данных» от 01.01.2001 года и Рекомендации по заполнению формы уведомления. Просим Вас подойти к данному вопросу со всей ответственностью, формально заполненные уведомления требуют массы уточнений, и соответственно, времени. В уведомлении необходимо обязательно указывать контактный телефон исполнителя, с кем можно связаться в случае возникновения вопросов.

Федеральная служба по надзору в сфере связи и массовых коммуникаций является уполномоченным органом по защите прав субъектов персональных данных (Постановление Правительства № 000 от 01.01.2001).

В соответствии с законом, обработка персональных данных, (т. е. сбор, систематизация, хранение и распространение любой информации о гражданах), может осуществляться только после уведомления уполномоченного органа. т. е. в наш адрес должно быть направлено уведомление о намерении осуществлять обработку персональных данных.

При подготовке уведомления необходимо, в первую очередь, исходить из принципов обработки персональных данных, прописанных в ст.5 ФЗ № 000 «О персональных данных». Основным моментом данных принципов, отправной точкой, являются цели обработки персональных данных. Именно в соответствии с целями обработки должны быть определены характер и объем обрабатываемых персональных данных, способы обработки и в том числе уничтожение данных.

На основании п. 3 ст. 22 Федерального закона «О персональных данных» Россвязькомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Рекомендации по заполнению уведомления об обработке.

В процессе работы мы столкнулись с некоторыми проблемами, попробуем их типизировать, в том числе нам бы хотелось назвать наиболее часто повторяющиеся ошибки при заполнении уведомлений об обработке персональных данных. Дело в том, что некоторые, казалось бы, мелочи, не позволяют нам вносить оператора в базу данных, поэтому хотим обратить ваше внимание на необходимость внимательного заполнения уведомления, без пропуска полей.

В настоящее время действует приказ № 08 от 17 июля 2008 года «Об утверждении образца формы уведомления об обработке персональных данных». Данным приказом утверждена форма и рекомендации по ее заполнению.

Во –первых: согласно рекомендациям, уведомление должно быть оформлено на бланке оператора. По правилам делопроизводства документ должен быть зарегистрирован и иметь исходящий номер и дату.

Во- вторых, помимо полного наименования оператора требуется указывать и сокращенное, причем в ТОЧНОМ соответствии с учредительными документами. Обязательно указание адреса юридического лица.

Кроме указания ИНН, что требуется в соответствии с рекомендациями, мы просим операторов указывать и ОГРН, он необходим нам для внесения в базу данных.

1. Правовое основание обработки персональных данных

При заполнении данного поля должны быть как минимум указаны: ст.85-90 Трудового Кодекса РФ (так как производится обработка персональных данных сотрудников, состоящих в трудовых отношениях с юридическим лицом), Устав (Положение) юридического лица (дата, номер, кем утвержден), если деятельность лицензируемая – номер, дата лицензии. Кроме того, оператор сейчас обязан руководствоваться Федеральным законом от 01.01.2001 «О персональных данных» (пункты указывать, ВНИМАТЕЛЬНО ИЗУЧИВ ЗАКОН, не следует указывать пункты, которые вам «кто-то подсказал», ошибки повторяются во многих уведомлениях!). Помимо перечисленных документов, должны быть указаны свои отраслевые нормативно-правовые акты, которыми руководствуется юридическое лицо, обрабатывая персональные данные, с указанием статей и пунктов. НЕ НУЖНО УКАЗЫВАТЬ ПОЛОЖЕНИЕ О НАШЕЙ СЛУЖБЕ, ОНО РАЗРАБОТАНО ДЛЯ НАШЕЙ ДЕЯТЕЛЬНОСТИ И РУКОВОДСТВУЕМСЯ ИМ ТОЛЬКО МЫ!

2. Цель обработки персональных данных

Очень много некорректной информации заносится в поле «цель обработки». По сути, цель обработки – указана в учредительных документах. Это цель деятельности оператора, причем необходимо исходить из того, что по законодательству, если цель обработки достигнута, персональные данные должны быть уничтожены. Необходим здравый смысл и подход при формулировании цели обработки, не следует, к примеру, перечислять какие-то узкие задачи деятельности.

3. Категории обрабатываемых персональных данных

Во-первых, не следует давать определение понятия «персональные данные». Да, в определении перечислены категории, но вам необходимо указать именно те категории, которые обрабатываются непосредственно вашим учреждением. Не следует также просто перечислять обобщенные категории (например: биометрические, специальные ПД). Необходимо проанализировать, какие именно данные используются в вашем учреждении, причем не следует забывать и о том, что также используются сведения, полученные при работе с обращениями граждан, при административном делопроизводстве, при работе с кадровым резервом.

4. категории субъектов, персональные данные которых обрабатываются.

Указываются категории субъектов (физические лица) и виды отношений с ними.

Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица, состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором).

В данном поле зачастую указываются не все даже очевидные сведения, например: логично предположить, что в образовательном учреждении обрабатываются персональные данные не только сотрудников и обучающихся, но и родителей обучающихся, но ее почему-то забывают указывать. Также не указывается такая категория, как граждане, обратившиеся с жалобами, обращениями и лица при подготовке и рассмотрении дел об административных правонарушениях, лица находящиеся в кадровом резерве. СЛЕДУЕТ ПОНИМАТЬ, ЧТО ПОНЯТИЕ «ПЕРСОНАЛЬНЫЕ ДАННЫЕ» НЕ ИМЕЕТ ОТНОШЕНИЯ К ЮРИДИЧЕСКИМ ЛИЦАМ, ТОЛЬКО К ФИЗИЧЕСКИМ!

5. В поле «перечень действий и способы обработки», помимо самого перечня (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных), необходимо указывать способ обработки:

- неавтоматизированная

-исключительно автоматизированная,

- смешанная.

При автоматизированной или смешанной обработке, обязательно необходимо указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников) либо информация передается с использованием сети общего пользования Интернет либо без передачи полученной информации.

6. В поле «описание мер по обеспечению безопасности» указываются организационные и технические меры. В том числе необходимо обязательно указывать, используются ли шифровальные (криптографические) средства. Кроме того, обращаем ваше внимание на еще один момент – в уведомлении следует обязательно указывать, имеет ли место трансграничная передача персональных данных (трансграничная передача – передача ПД оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства). В действующих рекомендациях пока нет такого требования, но соответствующие изменения готовятся. При внесении оператора в нашу базу данных уже сейчас требуется указание данного факта.

7. много вопросов возникает по заполнению поля «дата начала обработки ПД». Необходимо указывать дату фактического начала обработки, т. е по сути – дату начала деятельности. ФАКТИЧЕСКИ ЭТО ДАТА, КОТОРАЯ УКАЗАНА В СВИДЕТЕЛЬСТВЕ ИНН!

Кроме того, обращаю ваше внимание, что дата должна быть указана полностью, т. е. в формате день, месяц, год.

8.  В поле «срок или условие прекращения обработки ПД» указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки ПД. Данное основание тесным образом связано с целями обработки, при достижении целей обработка должна быть прекращена (в том числе уничтожение ПД).

Уведомление должно быть составлено исключительно в письменной или электронной форме и подписано соответственно УПОЛНОМОЧЕННЫМ ЛИЦОМ или электронной цифровой подписью.

Уведомление, присланное факсом – не принимается. В случае, если уведомление содержит неполную или недостоверную информацию, оно будет принято к обработке, но временно находиться в статусе «требует уточнения сведений». Оператору будет направлено соответствующее письмо о необходимости предоставления недостающей информации.

А также доводим до вашего сведения согласно статьи 19.7 КоАП Российской Федерации непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или в искаженном виде влечет наложение административного штрафа.

В течение 30 дней (ст.22 п.4), по закону, оператор должен быть включен в реестр операторов. Сведения, содержащиеся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

На оператора не возлагаются никакие расходы в связи с рассмотрением уведомления, а также в связи с внесением сведений в реестр операторов.

В случае изменения сведений, указанных в уведомлении, оператор обязан уведомить об этом уполномоченный орган, в течение 10 рабочих дней с даты возникновения таких изменений.

Все поступающие уведомления заносятся нами в базу данных и включаются в реестр операторов, обрабатывающих персональные данные (ст.23 ФЗ О персональных данных).

Получить информацию о данных реестра можно по адресу: http://www. pd. *****

В отношении операторов персональных данных проводятся мероприятия по контролю за соответствием обработки персональных данных требованиям законодательства в области персональных данных.

Лица, осуществляющие обработку персональных данных незаконно (т. е. без уведомления уполномоченного органа либо с нарушением прав субъектов персональных данных), будут привлечены к ответственности.