Загрузка...
22.12.2022
5 мин. на чтение

Утверждены новые формы уведомлений Роскомнадзора

en

Юридическая компания «Пепеляев Групп» сообщает, что с 26 декабря 2022 г. операторы персональных данных будут обязаны использовать новые формы уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, и о прекращении обработки персональных данных.

Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 ФЗ «О персональных данных»). Заметим, что лицо, обрабатывающее персональные данные, является оператором персональных данных независимо от факта регистрации в реестре операторов Роскомнадзора.

В случае изменения сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных (ч. 7 ст. 22 ФЗ «О персональных данных»).

Формы уведомлений устанавливаются Роскомнадзором (ч. 8 ст. 22 ФЗ «О персональных данных»). На текущий момент действуют формы, предусмотренные Приказом Роскомнадзора от 30.05.2017 № 94.

26 декабря 2022 г. вступит в силу Приказ Роскомнадзора от 28.10.2022 № 180, которым утверждены новые формы перечисленных выше уведомлений:

  • о намерении осуществлять обработку персональных данных;

  • об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;

  • о прекращении обработки персональных данных.

Уведомление о намерении осуществлять обработку персональных данных

В соответствии с ч. 3 ст. 22 ФЗ «О персональных данных» уведомление о намерении осуществлять обработку персональных данных должно содержать следующие сведения:

  • наименование (ФИО), адрес оператора;

  • цель обработки персональных данных;

  • описание мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных ФЗ «О персональных данных», а также мер по обеспечению безопасности персональных данных при их обработке (ст. 18.1, 19 ФЗ «О персональных данных»), в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

  • ФИО физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

  • дата начала обработки персональных данных;

  • срок или условие прекращения обработки персональных данных;

  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

  • сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;

  • ФИО физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах;

  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

В отличие от формы, действующей до 26 декабря 2022 г., в новой форме уведомления оператор для каждой цели обработки персональных данных обязан указать:

  • категории персональных данных;

  • категории субъектов, персональные данные которых обрабатываются;

  • правовое основание обработки персональных данных;

  • перечень действий с персональными данными;

  • способы обработки персональных данных.

Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных

В отличие от формы, действующей до 26 декабря 2022 г., новая форма уведомления не предусматривает указание на основания изменений. Кроме того, оператор для каждой цели обработки персональных данных обязан указать:

  • категории персональных данных;

  • категории субъектов, персональные данные которых обрабатываются;

  • правовое основание обработки персональных данных;

  • перечень действий с персональными данными;

  • способы обработки персональных данных.

Уведомление о прекращении обработки персональных данных

Оператор считается прекратившим обработку персональных данных при наступлении хотя бы одного из следующих условий:

  • ликвидация оператора;

  • реорганизация оператора;

  • прекращение деятельности по обработке персональных данных, аннулирование лицензии;

  • наступление срока или условия прекращения обработки персональных данных, указанного в уведомлении;

  • вступившее в законную силу решение суда;

  • и иные основания.

В отличие от формы, действующей до 26 декабря 2022 г., новая форма уведомления прямо не предусматривает обязанность оператора приложить документы, подтверждающие условия исключения оператора из реестра операторов Роскомнадзора.

О чем подумать, что сделать

Изменение форм уведомлений связано с изменением требований Федерального закона «О персональных данных» в части информирования Роскомнадзора. Формы уведомлений утверждаются этим ведомством.

Изменение формы Уведомления о намерении осуществлять обработку персональных данных можно оценить двояко. С одной стороны, теперь операторам необходимо будет раскрывать больше сведений Роскомнадзору, а само заполнение формы займет больше времени. С другой, чтобы заполнить эту форму корректно, операторам потребуется проделать достаточно большую работу в организации. Итогом этой работы может стать улучшение процессов обработки ПДн и, как следствие, их большая безопасность.

Сокращение данных в Уведомлении об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, и Уведомлении о прекращении обработки персональных данных можно оценить с небольшим плюсом, но оно не устраняет необходимость изначально раскрыть Роскомнадзору больше сведений.

Операторам целесообразно привести деятельность по обработке персональных данных в соответствие с требованиями законодательства. В частности, компаниям, которые не зарегистрированы в реестре операторов Роскомнадзора, необходимо направить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.

Перед направлением уведомления рекомендуется выявить и проанализировать все процессы, в которых компания встречается с персональными данными.

По каждому из выявленных процессов необходимо собрать информацию, которая требуется в соответствии с новой формой уведомления, проверить наличие правового основания обработки персональных данных, проконтролировать, чтобы состав обрабатываемых данных не был избыточным для определенной цели обработки, поверить, назначен ли в компании ответственный за обработку персональных данных, при необходимости определить такого человека и издать приказ.

Уведомление может быть направлено в Роскомнадзор одним из следующих способов:

  • в бумажном виде;

  • в электронном виде с использованием усиленной квалифицированной электронной подписи;

  • в электронном виде с использованием средств аутентификации ЕСИА.

Помощь консультанта

Специалисты «Пепеляев Групп» готовы оказать компаниям всестороннюю юридическую поддержку по вопросам соблюдения законодательства в области персональных данных, включая:

  • Аудит текущей деятельности компании на предмет соответствия законодательству о персональных данных и подготовка рекомендаций по приведению деятельности в соответствие;

  • Приведение внутренних документов компании в соответствие с требованиями ФЗ «О персональных данных», включая актуализацию или разработку политики обработки персональных данных, форм согласий на обработку персональных данных и иных необходимых документов в области персональных данных;

  • Подготовка уведомлений, подлежащих направлению в Роскомнадзор, включая уведомления о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных;

  • Консультирование по вопросам трансграничной передачи персональных данных;

  • Консультирование по вопросам локализации персональных данных;

  • Консультирование по вопросам обработки персональных данных третьими лицами, включая разработку поручения оператора на обработку персональных данных;

  • Проведение технического аудита на предмет обеспечения оператором безопасности персональных данных, включая определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, определение уровней защищенности персональных данных и иные меры;

  • Подготовка перечней, включая перечень лиц, допущенных к обработке персональных данных, перечень используемых информационных систем персональных данных и др.;

  • Представление интересов клиента при взаимодействии с Роскомнадзором;

  • Проведение обучения работников по вопросам обработки персональных данных.


Если Вы заметили ошибку или опечатку, выделите ее и нажмите CTRL+Q

Вас также может заинтересовать

skill

11.10.2024

Интервью с Еленой Крестьянцевой: карьерный путь, яркие проекты, сильные стороны практики и др.

Интервью с Еленой Крестьянцевой - руководителем практики земельного права, недвижимости и строительства (Санкт-Петербург) в «Пепеляев Групп».

Смотреть

30.08.2024

Грань между свободой и безопасностью: как ее найти в деле Павла Дурова

Задержание во Франции основателя мессенджера «Телеграм» Павла Дурова в рамках расследования преступлений, связанных с работой...

06.05.2024

Персональные данные. Дайджест за 16-30 апреля 2024 г.

Главные новости: В Госдуму внесли законопроект об отзыве согласия на обработку персональных данных через сайты;&nbs...

18.04.2024

Персональные данные. Дайджест за 1-15 апреля 2024 г.

Главные новости: кабмин предложил уточнить штрафы за нарушение порядка обработки персональных данных; банкам предло...

03.04.2024

Персональные данные. Дайджест за 16–31 марта 2024 г.

Главные новости: внесены изменения в порядок использования Единой биометрической системы; регистрация граждан по месту п...