Утверждены новые формы уведомлений Роскомнадзора
Юридическая компания «Пепеляев Групп» сообщает, что с 26 декабря 2022 г. операторы персональных данных будут обязаны использовать новые формы уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, и о прекращении обработки персональных данных.
Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 ФЗ «О персональных данных»). Заметим, что лицо, обрабатывающее персональные данные, является оператором персональных данных независимо от факта регистрации в реестре операторов Роскомнадзора.
В случае изменения сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных (ч. 7 ст. 22 ФЗ «О персональных данных»).
Формы уведомлений устанавливаются Роскомнадзором (ч. 8 ст. 22 ФЗ «О персональных данных»). На текущий момент действуют формы, предусмотренные Приказом Роскомнадзора от 30.05.2017 № 94.
26 декабря 2022 г. вступит в силу Приказ Роскомнадзора от 28.10.2022 № 180, которым утверждены новые формы перечисленных выше уведомлений:
-
о намерении осуществлять обработку персональных данных;
-
об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
-
о прекращении обработки персональных данных.
Уведомление о намерении осуществлять обработку персональных данных
В соответствии с ч. 3 ст. 22 ФЗ «О персональных данных» уведомление о намерении осуществлять обработку персональных данных должно содержать следующие сведения:
-
наименование (ФИО), адрес оператора;
-
цель обработки персональных данных;
-
описание мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных ФЗ «О персональных данных», а также мер по обеспечению безопасности персональных данных при их обработке (ст. 18.1, 19 ФЗ «О персональных данных»), в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
-
ФИО физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
-
дата начала обработки персональных данных;
-
срок или условие прекращения обработки персональных данных;
-
сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
-
сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;
-
ФИО физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах;
-
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.
В отличие от формы, действующей до 26 декабря 2022 г., в новой форме уведомления оператор для каждой цели обработки персональных данных обязан указать:
-
категории персональных данных;
-
категории субъектов, персональные данные которых обрабатываются;
-
правовое основание обработки персональных данных;
-
перечень действий с персональными данными;
-
способы обработки персональных данных.
Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных
В отличие от формы, действующей до 26 декабря 2022 г., новая форма уведомления не предусматривает указание на основания изменений. Кроме того, оператор для каждой цели обработки персональных данных обязан указать:
-
категории персональных данных;
-
категории субъектов, персональные данные которых обрабатываются;
-
правовое основание обработки персональных данных;
-
перечень действий с персональными данными;
-
способы обработки персональных данных.
Уведомление о прекращении обработки персональных данных
Оператор считается прекратившим обработку персональных данных при наступлении хотя бы одного из следующих условий:
-
ликвидация оператора;
-
реорганизация оператора;
-
прекращение деятельности по обработке персональных данных, аннулирование лицензии;
-
наступление срока или условия прекращения обработки персональных данных, указанного в уведомлении;
-
вступившее в законную силу решение суда;
-
и иные основания.
В отличие от формы, действующей до 26 декабря 2022 г., новая форма уведомления прямо не предусматривает обязанность оператора приложить документы, подтверждающие условия исключения оператора из реестра операторов Роскомнадзора.
О чем подумать, что сделать
Изменение форм уведомлений связано с изменением требований Федерального закона «О персональных данных» в части информирования Роскомнадзора. Формы уведомлений утверждаются этим ведомством.
Изменение формы Уведомления о намерении осуществлять обработку персональных данных можно оценить двояко. С одной стороны, теперь операторам необходимо будет раскрывать больше сведений Роскомнадзору, а само заполнение формы займет больше времени. С другой, чтобы заполнить эту форму корректно, операторам потребуется проделать достаточно большую работу в организации. Итогом этой работы может стать улучшение процессов обработки ПДн и, как следствие, их большая безопасность.
Сокращение данных в Уведомлении об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, и Уведомлении о прекращении обработки персональных данных можно оценить с небольшим плюсом, но оно не устраняет необходимость изначально раскрыть Роскомнадзору больше сведений.
Операторам целесообразно привести деятельность по обработке персональных данных в соответствие с требованиями законодательства. В частности, компаниям, которые не зарегистрированы в реестре операторов Роскомнадзора, необходимо направить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.
Перед направлением уведомления рекомендуется выявить и проанализировать все процессы, в которых компания встречается с персональными данными.
По каждому из выявленных процессов необходимо собрать информацию, которая требуется в соответствии с новой формой уведомления, проверить наличие правового основания обработки персональных данных, проконтролировать, чтобы состав обрабатываемых данных не был избыточным для определенной цели обработки, поверить, назначен ли в компании ответственный за обработку персональных данных, при необходимости определить такого человека и издать приказ.
Уведомление может быть направлено в Роскомнадзор одним из следующих способов:
-
в бумажном виде;
-
в электронном виде с использованием усиленной квалифицированной электронной подписи;
-
в электронном виде с использованием средств аутентификации ЕСИА.
Помощь консультанта
Специалисты «Пепеляев Групп» готовы оказать компаниям всестороннюю юридическую поддержку по вопросам соблюдения законодательства в области персональных данных, включая:
-
Аудит текущей деятельности компании на предмет соответствия законодательству о персональных данных и подготовка рекомендаций по приведению деятельности в соответствие;
-
Приведение внутренних документов компании в соответствие с требованиями ФЗ «О персональных данных», включая актуализацию или разработку политики обработки персональных данных, форм согласий на обработку персональных данных и иных необходимых документов в области персональных данных;
-
Подготовка уведомлений, подлежащих направлению в Роскомнадзор, включая уведомления о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных;
-
Консультирование по вопросам трансграничной передачи персональных данных;
-
Консультирование по вопросам локализации персональных данных;
-
Консультирование по вопросам обработки персональных данных третьими лицами, включая разработку поручения оператора на обработку персональных данных;
-
Проведение технического аудита на предмет обеспечения оператором безопасности персональных данных, включая определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, определение уровней защищенности персональных данных и иные меры;
-
Подготовка перечней, включая перечень лиц, допущенных к обработке персональных данных, перечень используемых информационных систем персональных данных и др.;
-
Представление интересов клиента при взаимодействии с Роскомнадзором;
-
Проведение обучения работников по вопросам обработки персональных данных.