Статья: Представление уведомления об обработке персональных данных

ПРЕДСТАВЛЕНИЕ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ

ДАННЫХ

1. ПРЕДСТАВЛЕНИЕ УВЕДОМЛЕНИЯ. ОБЩАЯ ИНФОРМАЦИЯ

1.1.   Нормативное регулирование

Порядок представления уведомлений об обработке персональных данных регулируется:

-     Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон);

-    Административным регламентом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции "Ведение реестра операторов, осуществляющих обработку персональных данных" (утв. Приказом Минкомсвязи России от 30.01.2010 N 18) (далее - Регламент);

-    Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (утв. Приказом Роскомнадзора от 19.08.2011 N 706) (далее - Рекомендации).

1.2.   Случаи, в которых необходимо представлять уведомление

До начала обработки персональных данных оператор обязан представить в уполномоченный орган уведомление о намерении осуществлять такую обработку (ч. 1 ст. 22 Закона).

Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона). Такой информацией, в частности, являются фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация, относящаяся к субъекту персональных данных (п. 6 Рекомендаций).

Обработкой персональных данных признаются любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации. К таким действиям относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 Закона).

Условия обработки персональных данных предусмотрены в ст. 6 Закона.

Обратите внимание!

Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 г., обязаны до 1 января 2013 г. представить в уполномоченный орган следующие сведения (ч. 2.1 ст. 25 Закона):

-    информацию о правовом основании обработки персональных данных (п. 5 ч. 3 ст. 22 Закона);

-    фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их телефонов, почтовые адреса и адреса электронной почты (п. 7.1 ч. 3 ст. 22 Закона);

-    сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки (п. 10 ч. 3 ст. 22 Закона);

-          сведения об обеспечении безопасности персональных данных в соответствии с требованиями к их защите, установленными Правительством РФ (п. 11 ч. 3 ст. 22 Закона).

Ни Законом, ни Рекомендациями не конкретизировано, каким образом должны быть представлены указанные сведения. Можно предположить, что они либо подаются в уполномоченный орган в том же порядке, что и информационное письмо об изменении сведений, содержащихся в реестре операторов, либо направляются в него в произвольной форме. В случае необходимости представить указанные сведения рекомендуем предварительно уточнить в уполномоченном органе, в какой форме они должны быть представлены.

Не требуется представление уведомления

Без уведомления уполномоченного органа может производиться обработка следующих персональных данных (ч. 2 ст. 22 Закона).

1)    обрабатываемых в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона);

На практике данное основание является одним из самых распространенных исключений, позволяющим не подавать уведомление. Однако работодателям следует учитывать, что помимо персональных данных работников (полученных в рамках ст.65 ТК РФ), обработка которых не требует уведомления, у них могут находиться персональные данные превышающий данный перечень в т.ч. членов семей сотрудников, их детей - например, в связи с уплатой алиментов или предоставлением налоговых вычетов по НДФЛ, оформление зарплатных карт и перечисление на них денежных средств, страхование ДМС. Обработка этих персональных данных не признается осуществляемой в соответствии с трудовым законодательством;

2)        полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных. Данное условие применяется, если персональные данные не распространяются и не предоставляются третьим лицам без согласия этого субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона).

Данное основание также является одним из распространенных случаев, при котором уведомление об обработке персональных данных не представляется. Следует иметь в виду, что для обработки персональных данных без представления уведомления по данному основанию должны одновременно соблюдаться все перечисленные выше условия:

-    персональные данные не должны распространяться;

-      они не должны предоставляться третьим лицам без согласия субъекта персональных данных;

-          персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных.

Иное использование персональных данных влечет за собой необходимость представить в уполномоченный орган уведомление;

3)      относящихся к членам (участникам) общественного объединения или религиозной организации, которые обрабатываются данным объединением (религиозной организацией), действующим в соответствии с законодательством РФ, в целях, предусмотренных учредительными документами. Данное условие применяется, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов таких данных (п. 3 ч. 2 ст. 22 Закона);

4)    сделанных субъектом персональных данных общедоступными (п. 4 ч. 2 ст. 22 Закона);

5)        включающих в себя только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 22 Закона);

6)     необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или аналогичных целей (п. 6 ч. 2 ст. 22 Закона). Данное условие применяется, если данные не фиксируются в информационной системе;

7)     включенных в информационные системы персональных данных, имеющих в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 Закона);

8)    обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных (п. 8 ч. 2 ст. 22 Закона).

Обработка персональных данных без использования средств автоматизации является еще одним из распространенных оснований, при которых она может осуществляться без представления уведомления. Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (далее - Положение). При соблюдении требований данного Положения подача уведомления согласно п. 8 ч. 2 ст. 22 Закона не требуется.

Если средства автоматизации (вычислительная техника, компьютеры) при обработке персональных данных не используются вовсе, уведомление об обработке персональных данных подаваться не должно (при соблюдении особенностей организации обработки данных, установленных в разд. II Положения). Однако при нынешней распространенности электронно- вычислительной техники она очень часто задействована в обработке персональных данных. Критерии, при которых такая обработка признается (либо не признается) неавтоматизированной, сформулированы в п. п. 1 и 2 Положения. Согласно п. 1 данного Положения считается неавтоматизированной обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из нее, если такие операции с персональными данными, как использование, уточнение, распространение, уничтожение (в отношении каждого из субъектов персональных данных), осуществляются при непосредственном участии человека. Кроме того, обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее (п. 2 Положения).

Необходимо отметить, что приведенные в п. 1 Положения критерии недостаточно конкретны для разграничения на практике случаев, в которых подача уведомления для обработки персональных данных с применением вычислительной техники требуется и не требуется. В связи с этим при возникновении сложностей с определением того, нужно ли подавать уведомление при различных вариантах использования вычислительной техники в процессе обработки персональных данных, следует уточнять данный вопрос в уполномоченном органе. На сайтах уполномоченных органов (их перечень приведен на сайте Роскомнадзора www.rsoc.ru) могут быть приведены контактные телефоны для обращений по вопросам, связанным с обработкой персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, для обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п. 9 ч. 2 ст. 22 Закона).

1.3. Лица, которые должны представлять уведомление, и орган, в который оно подается

Лица, которые должны представлять уведомление

Представлять уведомление об обработке персональных данных должен оператор (ч. 1 ст. 22 Закона).

Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Закона).

Дополнительная информация о том, должен ли оператор при поручении обработки персональных данных иному лицу подавать уведомление в уполномоченный орган

Оператор вправе поручить обработку персональных данных иному лицу на основании заключенного с ним договора (в то числе государственного или муниципального контракта) либо путем принятия соответствующего акта (если оператор - государственный или муниципальный орган). Для этого необходимо согласие субъекта персональных данных, если иное не установлено законодательством (ч. 3 ст. 6 Закона). Однако поручение обработки персональных данных иному лицу не освобождает оператора от обязанности подавать

W                                                                                                                                                                                          J

уведомление в уполномоченный орган, поскольку, как прямо установлено в ч. 1 ст. 22 Закона, уведомление об обработке персональных данных должно подаваться именно им.

Орган, в который подается уведомление

Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор (п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утв. Постановлением Правительства РФ от 16.03.2009 N 228).

Уведомление должно быть направлено в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту нахождения оператора (п. п. 2 и 4.1 Рекомендаций, п. 23 Регламента). Контактная информация территориальных органов (включая адреса их сайтов) приведена на сайте www.rsoc.ru. На сайтах самих территориальных органов может быть приведена информация о конкретном адресе, по которому следует направлять уведомление.

1.4. Последствия обработки персональных данных без подачи уведомления, а также в случаях его несвоевременной подачи либо подачи уведомления, содержащего неполные или недостоверные сведения

Непредставление в уполномоченный орган уведомления об обработке персональных данных, его несвоевременное представление (то есть уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ. Данная статья предусматривает ответственность за непредставление или несвоевременное представление в государственный орган сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. Ответственность по данной статье наступает также в случае предоставления сведений в неполном объеме или в искаженном виде.

Ответственность установлена в виде предупреждения или штрафа в размере:

-   для граждан - от 100 до 300 руб.;

Г                                                                                                                                                                                   w

-    для должностных лиц (в том числе индивидуальных предпринимателей - примечание к ст. 2.4 КоАП РФ) - от 300 до 500 руб. При этом согласно примечанию к ст. 2.4 КоАП РФ такими лицами являются руководители и иные работники организаций, выполняющие организационно-распорядительные или административно-хозяйственные функции. В п. 3 Постановления Пленума ВС РФ от 10.02.2000 N 6 "О судебной практике по делам о взяточничестве и коммерческом подкупе" отмечается, что организационно-распорядительные функции включают в себя, например, руководство коллективом, расстановку и подбор кадров, организацию труда или службы подчиненных, поддержание дисциплины, применение мер поощрения и наложение дисциплинарных взысканий. К административно-хозяйственным функциям могут быть, в частности, отнесены полномочия по управлению и распоряжению имуществом и денежными средствами, находящимися на балансе и банковских счетах организаций и учреждений, а также совершение иных действий: принятие решений о начислении заработной платы, премий, осуществление контроля за движением материальных ценностей, определение порядка их хранения и т.п.;

-   для юридических лиц - от 3000 до 5000 руб.

2. ПОРЯДОК ПРЕДСТАВЛЕНИЯ УВЕДОМЛЕНИЯ

2.1. Заполнение формы уведомления об обработке персональных данных

Уведомление об обработке (о намерении осуществлять обработку) персональных данных должно быть составлено на бланке оператора по форме, приведенной в приложении к Рекомендациям (п. 2 Рекомендаций). Уведомление может быть составлено и направлено в уполномоченный орган как на бумажном носителе, так и в электронной форме (ч. 3 ст. 22 Закона, п. 3 Рекомендаций). Об особенностях заполнения и представления уведомления в электронной форме см. в разделе материала о представлении уведомления в уполномоченный орган.

В уведомлении указывается наименование уполномоченного органа, в который оно представляется, а также приводятся следующие сведения:

1. Наименование (ФИО), адрес оператора;

Операторы - юридические лица указывают в данной графе (п. 4.1 Рекомендаций):

-       полное наименование с указанием организационно-правовой формы, а также сокращенное наименование;

-     для юридических лиц с филиальной структурой - наименование филиалов (представительств), осуществляющих обработку персональных данных. Также необходимо указать список субъектов РФ (с указанием кода субъекта РФ согласно Справочнику "Коды регионов" - приложение N 6 к Приказу ФНС России от 17.11.2010 N ММВ-7-3/611@), на территории которых находятся такие филиалы (представительства) и (или) где оператор производит обработку персональных данных;

-      место нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию. Для организаций, имеющих филиалы (представительства), указываются также юридический и почтовый адреса филиалов и представительств, осуществляющих непосредственную обработку персональных данных. При этом необходимо уточнить, осуществляется ли обработка только самим юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами);

-    ИНН.

Операторы - физические лица указывают (п. 4.2 Рекомендаций):

-   ФИО;

-    место нахождения в соответствии со свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию;

-         данные документа, удостоверяющего личность, дату его выдачи, наименование органа, выдавшего документ;

-    ИНН.

Операторы - государственные и муниципальные органы указывают (п. 4.3 Рекомендаций):

-    полное и сокращенное наименование;

-         наименование территориальных органов, осуществляющих обработку персональных данных;

-        место нахождения в соответствии с учредительными документами и свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию;

-    ИНН.

В п. 4 Рекомендаций установлено, что при указании наименования (фамилии, имени, отчества) оператора, а также направления деятельности рекомендуется использовать также ссылки на коды классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).

  1. 2.   Правовое основание обработки персональных данных.

В данной графе необходимо указать федеральный закон, постановление Правительства РФ, иной нормативно-правовой акт, закрепляющий основание и порядок обработки персональных данных. При этом указываются не только соответствующие статьи Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных (например: ст. ст. 85 - 90 ТК РФ, ст. 85.1 Воздушного кодекса РФ, ст. 12 Федерального закона от 15.11.1997 N 143-ФЗ "Об актах гражданского состояния" и др.) (п. 8 Рекомендаций).

При осуществлении лицензируемого вида деятельности необходимо указать также номер, дату выдачи и наименование лицензии на осуществляемый вид деятельности. Также согласно п. 8 Рекомендаций должны быть приведены (при их наличии и распространении на лицензиата) лицензионные условия (конкретный их пункт), закрепляющие запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.

  1. 3.   Цель обработки персональных данных.

Согласно п. 5 Рекомендаций в данной графе необходимо указать как цели, обозначенные в учредительных документах оператора, так и цели фактически осуществляемой им деятельности по обработке персональных данных. Например:

-    "оказание услуг по...";

-    "выполнение работ по...";

-    "осуществление... деятельности".

  1. 4.   Категории персональных данных.

В данном поле указываются все категории персональных данных, подлежащих обработке (п. 6 Рекомендаций):

-      персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации относятся фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация, относящаяся к субъекту персональных данных (п. 6.1 Рекомендаций);

-     специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, состояние здоровья, интимной жизни) (п. 6.2 Рекомендаций). Перечень случаев, при которых допускается обработка специальных категорий персональных данных, установлен в ч. 2 ст. 10 Закона;

-          биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность) (п. 6.3 Рекомендаций). Данные сведения могут обрабатываться оператором только при наличии письменного согласия субъекта персональных данных (за исключением случаев, установленных в ч. 2 ст. 11 Закона) (ч. 1 ст. 11 Закона).

  1. 5.   Категории субъектов, персональные данные которых обрабатываются.

Указываются категории субъектов (физических лиц) и виды отношений с

ними, например (п. 7 Рекомендаций):

-    работники, состоящие в трудовых отношениях с юридическим лицом;

-      физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом.

  1. 6.          Перечень действий с персональными данными, общее описание используемых оператором способов их обработки.

Указывается способ обработки персональных данных (п. 9 Рекомендаций):

-    неавтоматизированная обработка персональных данных;

-       исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

-   смешанная обработка персональных данных.

При автоматизированной либо смешанной обработке персональных данных необходимо указать, передается полученная в ходе обработке информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников), с использованием сети Интернет либо вообще не передается (п. 9 Рекомендаций). На практике уполномоченный орган может потребовать четкого указания в уведомлении соответствующих вариантов:

-    "информация передается по внутренней сети юридического лица";

-    "информация не передается по внутренней сети юридического лица";

-    "информация доступна лишь для строго определенных сотрудников";

-    "информация передается с использованием сети общего доступа Интернет";

-    "без передачи полученной информации".

  1. 7.   Описание мер, предусмотренных статьями 18.1 и 19 Закона.

В данной графе оператор должен указать (п. 10 Рекомендаций):

а) описание мер, предусмотренных ст. ст. 18.1 и 19 Закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.

В ст. 18.1 Закона установлен перечень мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Законом. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения данных обязанностей (если иное не предусмотрено

Законом или иными федеральными законами). К таким мерам могут относиться, в частности (ч. 1 ст. 18.1 Закона):

-    назначение оператором-организацией лица, ответственного за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1 Закона);

-    издание оператором-организацией документов, определяющих его политику в отношении обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1 Закона);

-    применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона (п. 3 ч. 1 ст. 18.1 Закона);

-         осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативно-правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора (п. 4 ч. 1 ст. 18.1 Закона);

-      оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение его с принимаемыми оператором мерами (п. 5 ч. 1 ст. 18.1 Закона);

-       ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите таких данных, документами, определяющими политику оператора в отношении их обработки, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников (п. 6 ч. 1 ст. 18.1 Закона).

В уведомлении следует перечислить конкретные меры, которые будут приниматься оператором в соответствии со ст. 18.1 Закона.

В ст. 19 Закона предусмотрены возможные меры по обеспечению безопасности персональных данных при их обработке. Оператор должен принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий (ч. 1 ст. 19 Закона).

Примерный перечень таких мер приведен в ч. 2 ст. 19 Закона, к ним, в частности, относятся:

-    определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных (п. 1 ч. 2 ст. 19 Закона);

-        организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных (п. 2 ч. 2 ст. 19 Закона);

-      применение прошедших процедуру оценки соответствия средств защиты информации (п. 3 ч. 2 ст. 19 Закона);

-      оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (п. 4 ч. 2 ст. 19 Закона);

-   учет машинных носителей персональных данных (п. 5 ч. 2 ст. 19 Закона);

-        обнаружение фактов несанкционированного доступа к персональным данным и принятие мер (п. 6 ч. 2 ст. 19 Закона);

-              восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (п. 7 ч. 2 ст. 19 Закона);

-    установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных (п. 8 ч. 2 ст. 19 Закона);

-          контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем (п. 9 ч. 2 ст. 19 Закона).

В уведомлении следует перечислить конкретные меры, которые будут приниматься оператором в соответствии со ст. 19 Закона. Необходимо отметить, что на практике уполномоченный орган особое внимание обращает на наличие в уведомлении конкретного перечня организационных и технических мер. К

организационным мерам, в частности, можно отнести принятие организацией локальных нормативных актов (внутренних документов - приказов, положений, регламентов). К техническим мерам, например, относятся:

-       защита от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах);

-   защита паролем компьютеров с персональными данными;

-    использование системы паролей при работе в сети (на портале);

-    ограничение доступа к компьютерной технике для определенных категорий работников.

При смешанной обработке персональных данных уполномоченный орган может потребовать, чтобы перечень мер по обеспечению безопасности персональных данных был приведен отдельно для персональных данных на бумажных носителях и на электронных носителях.

В случае использования оператором шифровальных (криптографических) средств в уведомлении также указываются следующие сведения (п. 10 Рекомендаций):

-      наименование, регистрационные номера и производители используемых средств;

-   уровень криптографической защиты персональных данных;

-    уровень специальной защиты от утечки по каналам побочных излучений и наводок;

-   уровень защиты от несанкционированного доступа.

Данная информация предоставляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утв. руководством 8 Центра ФСБ России от 21.02.2008 по делу N 149/5-144;

б)  фамилию, имя, отчество физического лица или сотрудника юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты.

Оператор-организация должен назначить лицо, ответственное за организацию обработки персональных данных (ч. 1 ст. 22.1 Закона). Данное лицо должно получать указания непосредственно от исполнительного органа оператора и подотчетно ему (ч. 2 ст. 22.1 Закона). Обязанности лица, ответственного за обработку персональных данных, установлены в ч. 4 ст. 22.1 Закона;

в) класс информационной системы персональных данных оператора.

Порядок проведения классификации информационных систем персональных

данных (далее - Порядок классификации) утвержден Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20. Согласно п. 10 Рекомендаций класс информационной системы указывается в заявлении в соответствии с п. 14 Порядка классификации:

-     класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

-     класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

-     класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

-     класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Классификация информационных систем должна проводиться оператором (п. 2 Порядка классификации). Необходимая для этого последовательность действий подробно изложена в Порядке классификации.

  1. 8.          Сведения о наличии или отсутствии трансграничной передачи персональных данных.

В данной графе указываются сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки. При трансграничной передаче персональные данные передаются на территорию иностранного государства его органу власти, иностранному физическому или юридическому лицу (п. 11 ст. 3 Закона). Если такая передача осуществляется, необходимо привести перечень иностранных государств, на территорию которых передаются персональные данные (п. 11 Рекомендаций).

Условия, при которых допускается трансграничная передача персональных данных, установлены в ст. 12 Закона.

  1. 9.   Сведения об обеспечении безопасности персональных данных.

Необходимо указать сведения об обеспечении безопасности персональных

данных в соответствии с требованиями к их защите, установленными

Правительством РФ (п. 12 Рекомендаций). Такие требования утверждены, в частности:

-      Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства РФ от 17.11.2007 N 781);

-            Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства РФ от 15.09.2008 N 687), в разд. III которого приведены меры по обеспечению безопасности персональных данных при такой обработке.

  1. 10.  Дата начала обработки персональных данных.

В данной графе указывается фактическая дата начала обработки персональных данных. Такой датой признается конкретная дата (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с персональными данными с использованием или без использования средств автоматизации. В частности, к таким действиям относятся запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 13 Рекомендаций).

  1. 11.   Срок или условие прекращения обработки персональных данных.

Указывается конкретная дата (число, месяц, год) или основание (условие),

наступление которого влечет прекращение обработки персональных данных (п. 14 Рекомендаций).

Такими основаниями могут являться, например, ликвидация юридического лица, аннулирование лицензии на осуществление соответствующего вида деятельности, прекращение осуществления той деятельности, в рамках которой обрабатывались персональные данные.

Уведомление должно быть подписано уполномоченным лицом (ч. 3 ст. 22 Закона, п. 3 Рекомендаций). Ни в Законе, ни в Рекомендациях не конкретизируется, какое именно лицо должно подписать уведомление. О возможном варианте (руководитель организации, лицо, наделенное данными полномочиями по доверенности) рекомендуем узнать в уполномоченном органе.

На оператора не могут возлагаться расходы, связанные с рассмотрением уведомления уполномоченным органом, а также с внесением сведений в реестр операторов (ч. 5 ст. 22 Закона). Следовательно, процедура подачи уведомления об обработке персональных данных является для оператора бесплатной, и никакие документы об оплате госпошлины с уведомлением представляться не должны.

2.2. Представление уведомления в уполномоченный орган

Уведомление направляется оператором в уполномоченный орган на бумажном носителе или в электронной форме (ч. 3 ст. 22 Закона, п. 3 Рекомендаций). Если уведомление составлено на бумажном носителе, оно может быть отправлено в уполномоченный орган по почте. На практике некоторые уполномоченные органы допускают возможность непосредственной подачи уведомления. Адреса для направления уведомления по почте и его непосредственного представления приведены на сайтах уполномоченных органов (их перечень указан на сайте Роскомнадзора www.rsoc.ru).

Особенности оформления и представления уведомления в электронной форме

Согласно ч. 3 ст. 22 Закона и п. 3 Рекомендаций оператор вправе составить и направить уведомление в уполномоченный орган в электронной форме. В то же время в п. 25 Регламента предусмотрено, что после заполнения данного уведомления в электронной форме оно все равно должно быть распечатано и направлено в уполномоченный орган на бумажном носителе.

Заполнить заявление в электронной форме оператор может:

-    на сайте Роскомнадзора (www.rsoc.ru/personal-data/forms/);

-        на интернет-портале персональных данных (www.pd.rsoc.ru/operators- registry/notification);

-      на сайте уполномоченного органа (на некоторых сайтах предусмотрена возможность заполнить данное уведомление непосредственно на самом сайте, на других предусмотрена ссылка на соответствующий раздел интернет-портала персональных данных).

На сайте Роскомнадзора и интернет-портале персональных данных в соответствующих разделах также содержатся разъяснения Роскомнадзора, подтверждающие, что на настоящий момент после заполнения уведомления в электронном виде его необходимо распечатать и направить в уполномоченный орган на бумажном носителе.

При заполнении уведомления в электронной форме в нем указываются те же сведения и в том же порядке, что и в форме уведомления, приведенной в Приложении к Рекомендациям.

При поступлении уведомления в уполномоченный орган оно регистрируется сотрудником данного органа (п. 26 Регламента).

Последствия представления уведомления, содержащего неполные или недостоверные сведения

В случае представления уведомления, содержащего неполные или недостоверные сведения, уполномоченный орган вправе потребовать их уточнения до внесения данных сведений в реестр операторов (ч. 6 ст. 22 Закона). В таком случае уполномоченный орган направляет оператору письмо с уведомлением о его вручении, в котором содержится запрос об уточнении предоставленных сведений (п. 29 Регламента).

Оператор обязан сообщить уточненные сведения в течение 7 рабочих дней с даты получения запроса (п. 30 Регламента). Если в течение 30 дней с даты регистрации уведомления уточненные сведения не поступят, ранее представленное уведомление возвращается оператору без внесения сведений о нем в реестр (п. 31 Регламента).

Внесение сведений об операторе в реестр

В течение 30 дней с даты поступления уведомления уполномоченный орган вносит сведения, содержащиеся в уведомлении (а также сведения о дате направления уведомления), в реестр операторов, осуществляющих обработку персональных данных (ч. 4 ст. 22 Закона). Необходимо отметить, что Регламентом предусмотрен меньший срок для осуществления данной процедуры - 15 дней (п. 18 Регламента). В течение этого срока руководитель Роскомнадзора должен издать приказ о внесении сведений об операторе в реестр (п. 35 Регламента). Эти положения не противоречат требованиям ч. 4 ст. 22 Закона, где установлен лишь максимальный срок на внесение сведений в реестр. Так как данный срок установлен в Регламенте, можно предположить, что действия по внесению сведений об операторе в реестр должны быть совершены в течение 15 дней.

На основании приказа руководителя Роскомнадзора в реестр вносится запись об операторе. Указанной записи присваивается регистрационный номер (п. 35 Регламента). В срок не позднее 3 дней с даты подписания приказа информация о внесении сведений об операторе в реестр размещается на официальном сайте Роскомнадзора (www.rsoc.ru) (п. п. 21 и 36 Регламента).

Дополнительная информация о возможных действиях оператора при отказе в приеме уведомления или во внесении сведений о нем в реестр, либо при невнесении данных сведений в установленный срок

Если уполномоченный орган отказал оператору в приеме уведомления или внесении сведений о нем в реестр, либо если данные сведения не были внесены в установленный срок, соответствующее решение либо действия (бездействие) уполномоченного органа можно обжаловать в арбитражном суде в порядке, предусмотренном гл. 24 АПК РФ. Обжаловать действие (бездействие) можно в течение 3 месяцев со дня, когда организации или индивидуальному предпринимателю стало известно о нарушении их прав и законных интересов (п. 4 ст. 198 АПК РФ).

Возможен и административный порядок обжалования, установленный в гл. 2.1 Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (далее - Закон N 210-ФЗ). В ст. 11.1 Закона N 210-ФЗ приведен примерный перечень тех нарушений порядка предоставления госуслуг, которые могут обжаловаться в досудебном (внесудебном) порядке. К ним относятся, в частности, нарушение срока предоставления госуслуги (п. 2 ст. 11.1 Закона N 210-ФЗ), отказ в ее предоставлении по основаниям, не установленным нормативно-правовыми актами (п. 5 ст. 11.1 Закона N 210-ФЗ), требование у заявителя документов, не предусмотренных нормативно-правовыми актами (п. 3 ст. 11.1 Закона N 210-ФЗ), или отказ в приеме документов (п. 4 ст. 11.1 Закона N 210-ФЗ).

Общие требования к порядку подачи и рассмотрения жалобы установлены в ст. 11.2 Закона N 210-ФЗ. Жалоба подается непосредственно в тот орган, который предоставляет госуслугу (то есть в управление Роскомнадзора по субъекту РФ), а в случае, если обжалуется решение руководителя этого органа, - в вышестоящий орган (ч. 1 ст. 11.2 Закона N 210-ФЗ). Вышестоящим органом в данном случае будет являться Роскомнадзор.

Требования к содержанию жалобы указаны в ч. 5 ст. 11.2 Закона N 210-ФЗ.

Нарушение сроков предоставления госуслуги либо ее непредоставление влечет за собой для должностного лица федерального органа исполнительной власти административную ответственность по ч. 1 ст. 5.63 КоАП РФ (штраф в размере от 3000 до 5000 руб.), а требование им в ходе предоставления госуслуги от заявителя документов или платы, не предусмотренных законодательством, - административную ответственность по ч. 2 ст. 5.63 КоАП РФ (штраф в размере от 5000 до 10 000 руб.).

Ни Законом, ни Рекомендациями, ни Регламентом не предусмотрена обязательная выдача оператору какого-либо документа, подтверждающего подачу уведомления и факт внесения в реестр соответствующих сведений. В то же время оператор может по собственной инициативе получить выписку из реестра.

3. ДОПОЛНИТЕЛЬНЫЕ ПРОЦЕДУРЫ, ОСУЩЕСТВЛЯЕМЫЕ ПОСЛЕ ПРЕДСТАВЛЕНИЯ УВЕДОМЛЕНИЯ

3.1. Получение выписки из реестра операторов, осуществляющих обработку персональных данных

Сведения, содержащиеся в реестре операторов, осуществляющих обработку персональных данных (за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке), являются общедоступными (ч. 4 ст. 22 Закона).

Оператор, а также любое заинтересованное лицо вправе получить выписку из реестра, направив запрос в уполномоченный орган (п. п. 6, 56 Регламента). В п. 57 Регламента установлено, что в таком запросе должны содержаться следующие данные заявителя:

-    наименование юридического лица либо ФИО физического лица;

-    почтовый адрес.

Иных требований к содержанию запроса о получении выписки в Регламенте не предусмотрено, в то же время очевидно, что запрос должен содержать сведения о наименовании (либо фамилии, имени, отчестве) оператора, в отношении которого запрашивается выписка.

Обязательная форма запроса для получения выписки не установлена, следовательно, составить его можно в произвольном виде. Вместе с тем на сайте Роскомнадзора (www.rsoc.ru/personal-data/forms/) предусмотрена возможность заполнить в электронной форме заявление о предоставлении выписки из реестра. Рекомендуем либо воспользоваться ею (при этом, согласно приведенным на сайте разъяснениям, заполненное в электронном виде заявление следует распечатать и направить в уполномоченный орган в бумажном виде), либо составить запрос в произвольном виде, отразив в нем те сведения, которые предусмотрены в электронной форме заявления.

Сотрудник уполномоченного органа в срок, не превышающий 5 дней с даты поступления запроса, готовит выписку из реестра (п. п. 20, 59 Регламента). Данная выписка, подписанная руководителем или заместителем руководителя уполномоченного органа, высылается заявителю по почте с уведомлением о вручении (п. 59 Регламента). Возможность получить выписку из реестра непосредственно на руки рекомендуем уточнить в уполномоченном органе.

При отсутствии в запросе данных о наименовании (ФИО) либо почтовом адресе заявителя в предоставлении выписки из реестра будет отказано (п. 22 Регламента). В таком случае сотрудник уполномоченного органа должен выслать заявителю по почте с уведомлением о вручении письмо с указанием причины отказа (п. 59 Регламента). Очевидно, что данное письмо будет выслано только в случае, если в запросе указан почтовый адрес заявителя.

О возможных действиях заявителя при отказе в выдаче выписки либо в случае, если она не направлена в установленный срок, см. в разделе материала о представлении уведомления в уполномоченный орган.

3.2.    Представление информационного письма о внесении изменений в сведения, содержащиеся в реестре

В случае изменения сведений, содержащихся в ранее поданном уведомлении, оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней (ч. 7 ст. 22 Закона). Для этого он должен направить в уполномоченный орган информационное письмо с указанием основания изменения сведений (п. 37 Регламента).

Обязательная форма такого письма не установлена, следовательно, составить его можно в произвольном виде. Вместе с тем на сайте Роскомнадзора (www.rsoc.ru/personal-data/forms/), а также на интернет-портале персональных данных (www.pd.rsoc.ru/operators-registry/notification) приведена форма информационного письма для его заполнения в электронном виде. Рекомендуем либо воспользоваться данной возможностью (при этом, согласно приведенным на сайте разъяснениям, заполненное в электронном виде письмо следует распечатать и направить в уполномоченный орган в бумажном виде), либо составить письмо в произвольной форме, отразив в нем те же сведения.

Форма информационного письма, приведенная на указанных сайтах, практически аналогична форме уведомления, при этом в нем дополнительно указывается номер регистрационной записи в реестре и основание внесения изменений. Заполняются только те поля, в которых изменяются сведения.

При поступлении информационного письма с измененными сведениями в уполномоченный орган оно регистрируется сотрудником этого органа (п. 38 Регламента). В течение 15 дней с момента поступления информационного письма руководителем Роскомнадзора издается приказ о внесении изменений в сведения об операторе в реестр. На основании данного приказа в реестр вносится запись о внесении изменений, ранее присвоенный регистрационный номер записи об операторе при этом не изменяется (п. 39 Регламента).

В срок не позднее 3 дней с даты подписания приказа информация об изменениях размещается на официальном сайте Роскомнадзора (www.rsoc.ru) (п. п. 21 и 43 Регламента).

Неисполнение оператором обязанности по уведомлению уполномоченного органа об изменении сведений, содержащихся в ранее поданном уведомлении, будет влечь за собой такую же ответственность, как и в случае неподачи уведомления.

3.3.           Представление заявления об исключении сведений об операторе из реестра

В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней (ч. 7 ст. 22 Закона). Для этого в уполномоченный орган подается соответствующее заявление с приложением обоснований (п. 44.1 Регламента).

Обязательная форма данного заявления не установлена, следовательно, составить его можно в произвольном виде. Вместе с тем на сайте Роскомнадзора (www.rsoc.ru/personal-data/forms/) приведена форма данного заявления для заполнения его в электронном виде. Рекомендуем либо воспользоваться данной возможностью (при этом, согласно приведенным на сайте разъяснениям, заполненное в электронном виде заявление следует распечатать и направить в уполномоченный орган в бумажном виде), либо составить заявление в произвольной форме, отразив в нем те же сведения.

То, какие именно документы, подтверждающие необходимость исключения оператора из реестра в связи с прекращением обработки персональных данных, необходимо приложить к заявлению, рекомендуем уточнить в уполномоченном органе.

При поступлении заявления в уполномоченный орган оно регистрируется сотрудником данного органа (п. 46 Регламента).

В случае выявления несоответствий обращения прилагаемым документам, подтверждающим необходимость исключения оператора из реестра, ему направляется письмо с уведомлением о вручении, содержащее запрос об уточнении предоставленных сведений (п. 49 Регламента). Оператор в таком случае в соответствии с ч. 4 ст. 20 Закона обязан предоставить уполномоченному органу уточненную информацию. Согласно ч. 4 ст. 20 Закона сделать это необходимо в течение 30 дней с даты получения запроса. Необходимо отметить, что в Регламенте указан срок в 7 рабочих дней, однако поскольку он не соответствует Закону, привлечь оператора к ответственности за его несоблюдение уполномоченный орган не сможет.

В течение 15 дней руководитель Роскомнадзора издает приказ об исключении сведений об операторе из реестра (п. п. 19, 53 Регламента). Момент, с которого должен исчисляться данный срок, в Регламенте не уточняется, однако можно предположить, что срок должен отсчитываться с момента получения уполномоченным органом заявления. На основании приказа в реестр вносится запись об исключении сведений об операторе из реестра (п. 53 Регламента). Информация об этом в срок не позднее 3 дней с даты подписания приказа размещается на официальном сайте Роскомнадзора (www.rsoc.ru) (п. 55 Регламента).

Неисполнение оператором обязанности по уведомлению уполномоченного органа о прекращении обработки персональных данных будет влечь за собой такую же ответственность, как и в случае неподачи уведомления.

Авторские права: ООО "Информзащита-Софт" г. Смоленск 2012-2018