Уведомление об обработке персональных данных в Роскомнадзор

Если кто не знает, 28.10.2022 Минцифры России выпустило свежий документ, относящийся к провайдерам персональных данных. Этот документ утверждает формуляры для уведомления о намерении осуществлять обработку личных данных, о внесении изменений в соответствующие уведомления, а также о временной приостановке обработки персональных данных. Cloud4Y рассказывает, кого это затрагивает и как правильно заполнить форму.

Данный закон затрагивает провайдеров персональных данных. Провайдером, в свою очередь, может быть кто угодно (государственное учреждение, юридическое или физическое лицо), которое собирает, обрабатывает и передает персональные данные. Фактически, чуть ли не любое действие, связанное с персональными данными, уже считается обработкой. Физическое или юридическое лицо не обязательно должно быть включено в реестр провайдеров, ведомый надзорными службами, оно все равно считается таковым.

Например, если у вас есть собственный сайт, где пользователи должны регистрироваться, указывая свое имя и электронную почту, или если в вашем мобильном приложении требуется ввод личных данных пользователя, то вы автоматически становитесь провайдером персональных данных.

Не каждый оператор обязан пройти регистрацию в реестре, который формируется надзорными органами. Этого не требуется, если:

• Организация осуществляет обработку данных исключительно своих сотрудников.
• Информация необходима для исполнения договорных обязательств между оператором и субъектом персональных данных.
• Речь идет о деятельности общественных и религиозных организаций, которые используют данные своих участников.
• В персональных данных присутствуют только ФИО.
• Данные существуют только в письменном виде и хранятся в надежном месте.
• Сам субъект разрешил распространение своих данных (положение с 2021 года).

Для соответствия требованиям законодательства необходимо предоставить следующую информацию надзорным органам (Роскомнадзору):

• Полное имя физического лица или название организации, а также адрес;
• Цели, для которых происходит сбор информации;
• Список персональных данных, которые собираются;
• Перечень нормативных актов и других документов, на основании которых осуществляется обработка данных;
• Описать действия, которые выполняются с персональными данными;
• Предоставить информацию о мерах, принимаемых для защиты данных;
• Указать ответственное лицо за обработку данных;
• Указать сроки начала работы с данными;
• Условия, при которых обработка данных будет завершена;
• Определить, передается ли информация за пределы страны;
• Указать местонахождение баз данных;
• Оценить уровень защищенности данных в организации

Существует три доступных способа отправки уведомления об обработке персональных данных:

• Заполнение формы на сайте, после чего её нужно напечатать в физическом виде и направить в территориальный надзорный орган.
• Заполнение формы на сайта и отправка её в электронном формате. При отправке используется усиленная квалифицированная электронная подпись. После подачи формы в электронном виде не требуется предоставление печатной версии. Для использования этого метода необходимо установить плагин КриптоПро ЭЦП Browser и выполнить все необходимые настройки.
• Заполнение формы на портале Госуслуг и ее электронная подача. Для отправки используются средства аутентификации ЕСИА. Для этого необходимо иметь подтвержденную учетную запись на Госуслугах. После входа на портал заполняется форма и отправляется в электронном формате. Как и в предыдущем случае, печатная версия не требуется. Если уведомление подаётся от имени организации, учетная запись на Госуслугах должна быть связана с соответствующей компанией.