Нужно ли подавать уведомление в Роскомнадзор, при обработке персональных данных работников для оформления трудового договора?

Содержание
  1. Кому не нужно уведомлять роскомнадзор об обработке персональных данных
  2. Разъяснения по вопросам уведомления об обработке персональных данных
  3. Уведомление в роскомнадзор: подавать или не подавать?
  4. Что нужно знать об уведомлении роскомнадзора об обработке персональных данных
  5. Необходимо ли уведомлять роскомнадзор о начале обработки персональных данных?
  6. Когда нужно уведомлять роскомнадзор об обработке персональных данных
  7. Уведомление Роскомнадзора об обработке персональных данных
  8. Об обработке персональных данных компании подают уведомления в бумажном или электронном виде
  9. К персональным данным сотрудников относятся сведения, по которым можно установить личность
  10. Хранить персональные данные нужно в РФ
  11. Роскомнадзор начал массово требовать уведомления об обработке персональных данных
  12. Штрафы
  13. Справочно. Понятие «оператор» и «обработка персональных данных»

Кому не нужно уведомлять роскомнадзор об обработке персональных данных

Нужно ли подавать уведомление в Роскомнадзор, при обработке персональных данных работников для оформления трудового договора?

Согласно указанного законодательного акта, обработка персональных данных, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Роскомнадзор рассматривает уведомление и в течении 30 дней вносит оператора в реестр. В сухом остатке Всем, кто сомневается, хочется порекомендовать всё-таки подать уведомление. Его наличие в любом случае не является нарушением и позволяет предостеречь от вопросов со стороны надзорного органа.

Вот несколько аргументов, почему это стоит сделать:

  • наличие уведомления не накладывает дополнительных негативных факторов на компанию;
  • в случае получения запроса от Роскомнадзора или включения компании в план проверок не придётся в срочном порядке подготавливать уведомление, которое требует достаточно комплексного представления об обработке персональных данных компанией;
  • в случае неуведомления компании грозит привлечение к административной ответственности.

Под конец стоит добавить только одно — кто предупрежден, тот вооружен.

Разъяснения по вопросам уведомления об обработке персональных данных

Внимание Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки — в поле «описание мер, предусмотренных статьями 18.

1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора. Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора.

Уведомление в роскомнадзор: подавать или не подавать?

  • Интернет и право
  • Здравствуйте! Разъясните, пожалуйста, ситуацию с Федеральным законом «О персональных данных». Есть сайт с базой зарегистрированных фрилансеров, которым выплачиваются гонорары по договору оферты. При регистрации собираются персональные данные фрилансеров (для выплаты денег): паспортные данные, ФИО, год рождения и т.д. Персональные данные в дальнейшем никуда не передаются (за исключением органов исполнительной власти, по официальному запросу), никак не распространяются и хранятся в зашифрованном виде в базе данных проекта. Необходимо ли в этом случае уведомить Роскомнадзор о начале обработки персональных данных и регистрировать проект как оператора персональных данных? персональные данные, роскомнадзор Ответы юристов (5)
  • Все услуги юристов в Москве Раздел совместно нажитого имущества Москва от 15000 руб.

Что нужно знать об уведомлении роскомнадзора об обработке персональных данных

В настоящее время, практически любой предприниматель, размещает на своем интернет-ресурсе интерактивную форму для обратной связи с пользователями сайта.

Обычно, такая форма, предполагает указание пользователями сведений о своем имени, фамилии, адресе электронной почты, номеров контактных телефонов. Указанные сведения о физическом лице, приравниваются к сведениям, содержащим персональные данные.

Согласно требований законодательства, оператор персональных данных, до начала обработки этих данных, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, далее — Роскомнадзор) о своем намерении осуществлять обработку персональных данных, за исключением ряда случаев.

Необходимо ли уведомлять роскомнадзор о начале обработки персональных данных?

Федеральный закон № 152 «О персональных данных» устанавливает требования к операторам уведомлять уполномоченный орган (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. После подачи уведомления заявитель включается в общедоступный реестр операторов персональных данных. По опыту с процедурой подачи уведомления всегда связана масса вопросов, как то:

  • Стоит ли вообще уведомлять Роскомнадзор?
  • Возрастёт ли интерес регулятора к компании в случае подачи уведомления?
  • Что грозит компании в случае неуведомления?

Давайте попытаемся ответить на эти вопросы и развеять существующие мифы.

А есть ли обязанность? Закон устанавливает 9 исключений из общего правила. Если цели и порядок обработки персональных данных подпадают под эти исключения, то оператор может не уведомлять регулятора. Важно В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа.

Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление. Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

Важно понимать — наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных! Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты.

В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации.

Порядокоформления уведомления об обработке (о намерении осуществлять обработку) персональных данных операторами, осуществляющими обработку персональных данных на территории Москвы и Московской области Для подачи уведомления об обработке (о намерении осуществлять обработку) персональных данных необходимо заполнить электронную форму, расположенную на Портале персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций: http://pd.rkn.gov.ru/operators-registry/notification/form/ Форма уведомления об обработке (о намерении осуществлять обработку) персональных данных является Приложением № 1 к методическим рекомендациям по уведомлению уполномоченного органа о начале обработки персональных данных и о внесени изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30 мая 2017 года №94.

Когда нужно уведомлять роскомнадзор об обработке персональных данных

По поводу включения в план проверок известны ограничивающие факторы — истечение 3 лет со дня:

  • регистрации юридического лица;
  • окончания проведения последней плановой проверки компании.

Процесс подачи уведомления в Роскомнадзор Заполнить уведомление можно непосредственно на сайте Роскомнадзора через электронную форму.

Для корректного заполнения формы необходимо сообщить достаточно широкий перечень сведений, что в свою очередь требует от заявителя глубокого понимания особенностей обработки персональных данных оператором.

К данным, которые необходимо указать, относятся: основания и цель обработки, меры, применяемые для защиты данных, категории обрабатываемых данных, категории субъектов обрабатываемых данных, перечень действий, совершаемых с данными и т.
д. После отправки электронной формы появляется возможность скачать бланк уведомления.

Источник: http://redtailer.ru/komu-ne-nuzhno-uvedomlyat-roskomnadzor-ob-obrabotke-personalnyh-dannyh/

Уведомление Роскомнадзора об обработке персональных данных

Нужно ли подавать уведомление в Роскомнадзор, при обработке персональных данных работников для оформления трудового договора?

Руководство фирмы работает с персональными данными персонала, а также клиентов и контрагентов. Читайте в статье, когда нужно известить Роскомнадзор об обработке персональных данных и что указать в уведомлении.

Фирма получает данные от сотрудников, клиентов, бизнес-партнеров. Об обработке персональных данных в Роскомнадзор подают уведомление, образец документа пригодится при подготовке. Если руководитель фирмы забыл известить ведомство, компанию привлекут к ответственности.

При сборе и обработке сведений о сотрудниках и других лицах компания обязана сообщать о таких операциях в контролирующий орган (ч. 1 ст. 22 закона о персональных данных). После того, как ведомство известят, оно внесет информацию в специальный реестр в течение 30 дней с даты получения документа. За внесение сведений платить не нужно.

Об обработке персональных данных компании подают уведомления в бумажном или электронном виде

При подготовке уведомления об обработке персональных данных у кадровиков появляются вопросы:

  • кто именно должен подавать документ в Роскомнадзор, и есть ли исключения;
  • как подать документ.

Компания становится оператором данных, когда ее работники или клиенты сообщают свои ФИО, информацию о проживании и т. д. Однако отправлять уведомление о начале обработки нужно не всегда. В законе присутствует список исключений (ч. 2 ст. 22 закона о персональных данных). Уведомлять не нужно, если:

  • работодатель имеет дело только с данными персонала;
  • сведения о контрагентах используют только при подготовке договоров;
  • компания не пользуется при обработке данных средствами автоматизации (постановление Правительства РФ от 15.09.08 № 687).

Во всех остальных случаях ведомство нужно известить.

Форма уведомления, в котором нужно известить Роскомнадзор об обработке персональных данных клиентов и сотрудников, включает несколько основных пунктов:

  • страна, где находится база охраняемых данных;
  • адрес базы;
  • наименование базы.

Ведомство рекомендует форму в приложении № 1 к Методическим рекомендациям, утв. приказом Роскомнадзора от 30.05.2017 № 94.

В течение 3 месяцев ведомство вправе привлечь организацию к ответственности за неуведомление (ст. 19.7 КоАП РФ).

Но если организация долго не уведомляла Роскомнадзор, а затем ее юристы решили по собственной инициативе исправить ситуацию, при истечении срока давности компанию к ответственности не привлекут.

Перед тем как уведомить Роскомнадзор, проверьте, чтобы в документе об обработке персональных данных были указаны все категории данных, с которыми работает компания. Например, сюда относятся сведения о здоровье сотрудников.

Также проверьте, чтобы были верно отражены категории субъектов, чьими данными компания оперирует. Если категории поменяются, руководство фирмы направляет об этом в ведомство информационное письмо. Вместе с изменениями нужно перечислить заново ранее переданные сведения. Если их не указать, Роскомнадзор внесет в реестр изменения, а сведения без корректив удалит.

Работодатель должен указать адрес базы данных. Для этого следует определить наименование системы по учету персонала.

Форму можно подать в бумажном виде. Кроме того, на портале Роскомнадзора в разделе pd.rrkn.gov.ru компания вправе заполнить электронное уведомление об обработке персональных данных. Это делают на специальной странице.

К персональным данным сотрудников относятся сведения, по которым можно установить личность

Персональные данные – это сведения, по которым можно установить личность работника. Это основные идентификационные данные, семейное положение лица, его образование и т. д. (п. 1 ст. 3 закона о персональных данных, подп. «а» ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, Страсбург, 28.01.1981).

Работодатель собирает и обрабатывает сведения о сотруднике при заключении трудового договора (ст.ст. 57, 64 ТК РФ). В дальнейшем компания продолжает сбор сведений о своих работниках. Например, руководитель принимает решение об увольнении сотрудницы-одинокой матери. Работодатель принимает решение на основе анализа персональных данных (ч. 2 ст. 179, ч. 4 ст. 261 ТК РФ).

Хранить персональные данные нужно в РФ

В 2015 году законодатель установил, что базы персональных данных должны находиться на территории РФ. Систематизация такой информации может осуществляться в электронном (позиция Минкомсвязи) или в печатном виде (Роскомнадзор). Единой практики по данному вопросу не имеется.

Когда компания обрабатывает и хранит персональные данные, следует избегать нарушений требований закона. Роскомнадзор или другие уполномоченные органы штрафуют работодателя за следующие нарушения:

  1. Работодатель не предпринял необходимые меры для защиты персональных данных (постановление Волгоградского областного суда от 15.04.2011 № 7а-392/11). Компания обязана при обработке персональных данных сотрудников защищать данную информацию. Если документы с персональными данными потеряют, третьи лица могут неправомерно воспользоваться материалами на работников.
  2. Работник не дал работодателю официального согласия на обработку персональных данных при составлении анкет, опросников и так далее.
  3. Работодатель продолжает хранить персональные данные после того, как они стали не нужны. Например, работодатель искал сотрудника и получил от соискателей множество резюме. Руководитель нашел работника, однако резюме других соискателей не уничтожил. Роскомнадзор считает, что этот факт является нарушением.

Источник: https://www.tspor.ru/article/2230-qqe-17-m5-17-05-2017-uvedomlenie-ob-obrabotke-personalnyh-dannyh

Роскомнадзор начал массово требовать уведомления об обработке персональных данных

Нужно ли подавать уведомление в Роскомнадзор, при обработке персональных данных работников для оформления трудового договора?
19 Июля, 2018

Елена Рыбникова

руководитель отдела контроля качества услуг и методологии

Причина активности Роскомнадзора — сверка баз зарегистрированных налогоплательщиков в ФНС с базой операторов персональных данных Роскомнадзора.

Напомним, что уведомление о том, что компания является оператором персональных данных, обязаны подавать все, кто обрабатывает персональные данные физических лиц. Уведомление заполняется на сайте Роскомнадзора.

Согласно ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Если вы хотя бы один раз запросили у физлица персональные данные и передали их третьим лицам, то ДА, вы являетесь оператором: купили билет работнику в командировку, оформили зарплатную или корпоративную карту, сделали постоянный пропуск на территорию бизнес-центра у сторонней службы охраны, взяли резюме у соискателя и т.п.

Штрафы

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при работе с персональными данными (см. таблицу).

Нарушение

Штрафные санкции

Должностное лицо

Юридическое лицо

ИП

Обработка персональных данных в случаях, не предусмотренных законодательством РФ

5 000 – 10 000 руб.

30 000 – 50 000 руб.

5 000 – 10 000 руб.

Обработка персональных данных, несовместимая с целями сбора персональных данных

5 000 – 10 000 руб.

30 000 – 50 000 руб.

5 000 – 10 000 руб.

 Обработка персональных данных без согласия в письменной форме 10 000 – 20 000 руб. 15 000 – 75 000 руб. 10 000 – 20 000 руб.

Невыполнение условий, обеспечивающих сохранность персональных данных

4 000 – 10 000 руб.

25 000 – 50 000 руб.

10 000 – 20 000 руб.

Невыполнение обязанностей оператора в части политику оператора в отношении обработки персональных данных

3 000 – 6 000 руб.

15 000 – 30 000 руб.

5 000 – 10 000 руб.

Невыполнение оператором обязанности по информированию субъекта об обработке его персональных данных

4 000 – 6 000 руб.

20 000 – 40 000 руб.

10 000 – 15 000 руб.

Невыполнение оператором требования субъекта об уничтожении его персональных данных

4 000 – 10 000 руб.

25 000 – 45 000 руб.

10 000 – 20 000 руб.   

На данный момент нет комментариев что делать, если компания уже давно работает с персональными данными, но уведомления не подавала. Штрафных санкций тоже пока не применяли (за первый раз — предупреждение, далее — максимум 75 000 руб. за каждое нарушение для юридических лиц и 20 000 руб. для ИП). Однако, Интеркомп рекомендует обезопасить себя и подать уведомление.

Справочно. Понятие «оператор» и «обработка персональных данных»

Приложение к приказу Роскомнадзора от 30.05.2017 N 94:

П. 2.1.

Оператор — федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, иные государственные органы (далее — государственные органы), органы местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.

П. 2.4.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Источник: https://sber-solutions.ru/press-center/blog/roskomnadzor-nachal-massovo-trebovat-uvedomleniya-ob-obrabotke-personalnykh-dannykh/

Адвокат Насибулин
Добавить комментарий