Многие слышали о том, что нужно подавать информацию об обработке персональных данных. А куда, зачем и к чему это ведёт – понимание обычно туманное. Настало время прояснить ситуацию.
Одна из обязанностей оператора, предусмотренная ст. 22 ФЗ № 152 «О персональных данных», – подать уведомление, содержащее сведения о компании и об обработке персональных данных (далее – ПДн), в Роскомнадзор.
Стоит сразу сказать, что есть случаи, когда оператор может не подавать уведомление в Роскомнадзор (далее – РКН). Самые распространенные из них:
1) обработка ПДн ведётся в соответствии с трудовым законодательством. Но здесь нужно быть бдительным, потому что, например, передача ПДн в банк предусмотрена ТК РФ, а передача по ДМС – не предусмотрена и, следовательно, такая обработка под исключение не попадает;
2) ПДн получены оператором при заключении договора с субъектом. Это исключение работает только при выполнении 3-х обязательных условий: ПДн не распространяются, не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно в целях выполнения договора;
3) обработка общедоступных ПДн;
4) ПДн содержатся в ГИС;
5) ПДн обрабатываются без использования средств автоматизации, т.е. без использования компьютеров.
Уведомление должно содержать данные о наименовании и адресе оператора, о целях обработки, категориях ПДн и субъектов, о правовых основаниях обработки данных, перечне действий и способах обработки, описание реализованных мер защиты и обеспечения безопасности ПДн, ФИО и контактные данные ответственного за организацию обработки, дату начала обработки (обычно это дата постановки на учет в налоговом органе) и дату или условие прекращения обработки ПДн (в 99% случаев организация прекращает обрабатывать ПДн при ликвидации юр. лица), данные о трансграничной передаче ПДн и сведения о месте нахождения баз данных ПДн граждан РФ.
Форма уведомления заполняется в электронном виде на официальном сайте РКН, после заполнения её нужно распечатать на официальном бланке, подписать у руководителя и отнести в своё Управление Роскомнадзора.
В законе сказано, что оператор обязан подать данные ещё до начала их обработки, но, как показывает практика, это делают далеко не все. Роскомнадзор за позднее уведомление не наказывает.
После подачи уведомления об обработке организация попадает в реестр операторов персональных данных. Это, как уже стало понятно, база, в которой хранятся сведения об операторах, подавших уведомление на внесение в реестр Роскомнадзора.
По закону организация должна уведомить РКН об изменении сведений в реестре в течение 10 дней с даты возникновения таких изменений. Поэтому лицо, ответственное за организацию обработки ПДн в организации, должно следить за актуальностью сведений в реестре и своевременно уведомлять РКН.
Существует один миф о том, что если организация присутствует в реестре операторов, то вероятность её проверки выше. На самом деле это не так. Проверки проводятся как для организаций из реестра, так и для тех, кто уведомление не подал.
Рассмотрим пример. Управление Роскомнадзора по Центральному федеральному округу запланировало на июнь 2018 года проверку 3-х организаций, в реестре не было ни одной из них, на июль 2018 года – проверку также 3-х организаций, из них только 1 числилась в реестре, только в августе все 4 организации были в реестре.
На июнь 2018 года Управлением Роскомнадзора по Уральскому федеральному округу было запланировано 3 проверки организаций, из них в реестре на тот момент числилась 1 организация, в июле эти цифры составили также 3 и 1, в августе – 3 и 0.
А вот цифры для Северо-Западного федерального округа. На июнь, июль и август 2018 года было запланировано по 2 проверки, в реестре каждый раз числилась только 1 компания из двух.
Получается, что в среднем только 39% организаций, входящих в реестр операторов, попадают в план проверок.
Сейчас РКН использует так называемый «мониторинг» сайтов в Интернете и проверяет, есть ли у форм обратной связи галочка о согласии, размещена ли Политика по персональным данным, сбор каких данных ведётся. И в том числе таким вот образом выявляет потенциальных нарушителей закона.