До начала обработки персональных данных оператор, за исключением отдельных случаев, обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 Закона о персональных данных). С 1 сентября 2022 года из Закона о персональных данных исключили большинство случаев, когда компаниям не нужно было уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные.
Форму уведомления об обработке персональных данных, а также порядок ее заполнения, утвердили Приказом Роскомнадзора от 30.05.2017 №94. Однако с 1 сентября в ней несколько уточнений.
Разберемся в порядке заполнения уведомления на примере электронной формы. Алгоритм поможет вам направить уведомление об обработке персональных данных с 1 сентября 2022 года через сайт Роскомнадзора.
1️⃣ Шаг 1. Зайдите на сайт РКН по адресу pd.rkn.gov.ru/operators-registry/ и в разделе «Реестр операторов» найдете подраздел «Электронные формы заявлений». Выберите «Перейти к заполнению формы электронного уведомления».
2️⃣ Шаг 2. Заполните данные о наименовании и адрес оператора. Тут укажите полное и сокращенное название организации, адрес местонахождения, ИНН, ОГРН, ОКВЭД (основной) обязательно, и дополнительные идентификационные коды (КПП, дополнительные ОКВЭД и др.). Выберите, в какой области РФ отчитываетесь. Укажите тип оператора — «юридическое лицо» или ИП.
3️⃣ Шаг 3. Укажите правовое основание обработки персональных данных: Конституция РФ; Глава 14 Трудового кодекса РФ; Гражданский кодекс РФ; Налоговый кодекс Российской Федерации; Устав ООО «__________» от _______; договор на оказание услуг, согласие на обработку персональных данных. Дополнительно укажите внутренние нормативные документы, которые регламентируют порядок обработки персональных данных (например, Положение об обработке персональных данных работников № такой-то от такого-то числа).
4️⃣ Шаг 4. Пропишите цель обработки персональных данных: например, ведение кадровой документации по персоналу; обеспечение соблюдения трудового законодательства и иных нормативно-правовых актов при содействии в трудоустройстве; обеспечения личной безопасности, текущей трудовой деятельности, контроля количества и качества выполняемой работы, оплаты труда; ведение договорной работы; ведение сайта Оператора (при наличии). Можно скопировать этот кусок из Положения об обработке персданных: там обычно есть полный перечень целей.
5️⃣ Шаг 5. Заполните графу «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств». Пропишите тут, что у вас есть ответственный за организацию обработки персданных, документы, которые описывают политику обработки и защиты данные, ЛНА, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Сюда же можно внести формулировку «Осуществляется внутренний контроль соответствия обработки персональных данных требованиям законодательства и принятым в соответствии с ним нормативными правовыми актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора».
6️⃣ Шаг 6. Заполните раздел «Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных». Пропишите, какие меры защиты применяете. Например, запрещаете фиксацию на одном материальном носителе персональных данных, цели обработки которых не совместимы. Скажите, что у вас есть система защиты, которая включает организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
7️⃣ Шаг 7. Укажите дату начала обработки персональных данных: это дата государственной регистрации в качестве юрлица в формате «День.Месяц.Год».
8️⃣ Шаг 8. Дальше выберите срок или условие прекращения обработки персональных данных. Тут надо отметить вкладку «по условию», потому что конкретной даты прекращения обработки, как правило, нет. Условие — прекращение деятельности юрлица.
⚡ Обратите внимание! Уведомление должно быть подписано уполномоченным лицом (ч. 3 ст. 22 Закона о персональных данных).
