Уведомление об обработке персональных данных в Роскомнадзор
Если кто не знает, 28.10.2022 Минцифры России выпустило свежий документ, относящийся к провайдерам персональных данных. Этот документ утверждает формуляры для уведомления о намерении осуществлять обработку личных данных, о внесении изменений в соответствующие уведомления, а также о временной приостановке обработки персональных данных. Cloud4Y рассказывает, кого это затрагивает и как правильно заполнить форму.
Кого затрагивает закон
Данный закон затрагивает провайдеров персональных данных. Провайдером, в свою очередь, может быть кто угодно (государственное учреждение, юридическое или физическое лицо), которое собирает, обрабатывает и передает персональные данные. Фактически, чуть ли не любое действие, связанное с персональными данными, уже считается обработкой. Физическое или юридическое лицо не обязательно должно быть включено в реестр провайдеров, ведомый надзорными службами, оно все равно считается таковым.
Например, если у вас есть собственный сайт, где пользователи должны регистрироваться, указывая свое имя и электронную почту, или если в вашем мобильном приложении требуется ввод личных данных пользователя, то вы автоматически становитесь провайдером персональных данных.
Обязательно ли включение в реестр операторов
Не каждый оператор обязан пройти регистрацию в реестре, который формируется надзорными органами. Этого не требуется, если:
- Организация осуществляет обработку данных исключительно своих сотрудников.
- Информация необходима для исполнения договорных обязательств между оператором и субъектом персональных данных.
- Речь идет о деятельности общественных и религиозных организаций, которые используют данные своих участников.
- В персональных данных присутствуют только ФИО.
- Данные существуют только в письменном виде и хранятся в надежном месте.
- Сам субъект разрешил распространение своих данных (положение с 2021 года).
Что необходимо сообщить Роскомнадзору
Для соответствия требованиям законодательства необходимо предоставить следующую информацию надзорным органам (Роскомнадзору):
- Полное имя физического лица или название организации, а также адрес;
- Цели, для которых происходит сбор информации;
- Список персональных данных, которые собираются;
- Перечень нормативных актов и других документов, на основании которых осуществляется обработка данных;
- Описать действия, которые выполняются с персональными данными;
- Предоставить информацию о мерах, принимаемых для защиты данных;
- Указать ответственное лицо за обработку данных;
- Указать сроки начала работы с данными;
- Условия, при которых обработка данных будет завершена;
- Определить, передается ли информация за пределы страны;
- Указать местонахождение баз данных;
- Оценить уровень защищенности данных в организации
Способы подачи уведомлений
Существует три доступных способа отправки уведомления об обработке персональных данных:
- Заполнение формы на сайте, после чего её нужно напечатать в физическом виде и направить в территориальный надзорный орган.
- Заполнение формы на сайта и отправка её в электронном формате. При отправке используется усиленная квалифицированная электронная подпись. После подачи формы в электронном виде не требуется предоставление печатной версии. Для использования этого метода необходимо установить плагин КриптоПро ЭЦП Browser и выполнить все необходимые настройки.
- Заполнение формы на портале Госуслуг и ее электронная подача. Для отправки используются средства аутентификации ЕСИА. Для этого необходимо иметь подтвержденную учетную запись на Госуслугах. После входа на портал заполняется форма и отправляется в электронном формате. Как и в предыдущем случае, печатная версия не требуется. Если уведомление подаётся от имени организации, учетная запись на Госуслугах должна быть связана с соответствующей компанией.