О чем и как нужно уведомлять Роскомнадзор с 01.09.2022

Сергей Д.

Активист
31 Авг 2009
14,847
7,774
г. Чехов М.О.
в Клерке опубликована вот такая статья:

О чем и как нужно уведомлять Роскомнадзор с 01.09.2022 или какие персональные данные есть у вас​

С 01.09.2022 вступают в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных», которые обяжут всех операторов отправлять данные в Роскомнадзор. Какую именно информацию и как должно представлять юридическое лицо или физическое лицо после вступления в силу закона расскажем в публикации.
В настоящее время не нужно становится на учет в Роскомнадзор и уведомлять об обработке персональных данных, обрабатываемых в соответствии с трудовым законодательством и полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

С 01 сентября 2022 г. при обработке персональных данных в перечисленных случаях нужно будет сообщать в Роскомнадзор в общем порядке до начала обработки оператором персональных данных. Речь идет о федеральном законе от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».

Представлять уведомление об обработке персональных данных должен оператор (ч. 1 ст. 22 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных», далее по тексту – «Закон»).
Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Закона).
Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор.

Уведомление рекомендуется наваляется в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе (абз. 2 п. 3.1.13 Рекомендаций).

Срок рассмотрения уведомления исчисляется со дня его регистрации в Роскомнадзоре (ТО Роскомнадзора). Сведения об операторе вносятся в реестр не позднее 30 дней с даты регистрации уведомления (п. 3.2 Рекомендаций).
В самом уведомлении с 1 сентября 2022 года следующие сведения нужно будет указывать для каждой цели обработки персональных данных (ч. 3 ст. 22 Закона № 152-ФЗ):

  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.
При этом в уведомлении нужно будет указывать:

  • Ф. И. О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.
Форма уведомления утвержде6на приказом Роскомнадзора от 30.05.2017 № 94 (ред. от 30.10.2018) «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
Порядок заполнения уведомления описывается в Рекомендациях. Хотя они носят рекомендательный (необязательный) характер, чтобы избежать возникновения конфликтных ситуаций с уполномоченным органом, следует учитывать содержащиеся в них разъяснения.

Уведомление рекомендуется оформлять на бланке оператора (п. 3.1.13 Рекомендаций). Оно может быть составлено и направлено в уполномоченный орган как на бумажном носителе, так и в электронной форме (ч. 3 ст. 22 Закона, п. 3.2 Рекомендаций). Об особенностях заполнения и представления уведомления в электронной форме см. в разделе о представлении уведомления в уполномоченный орган.

В уведомлении указываются следующие сведения

1. Наименование (Ф.И.О.), адрес оператора.

2. Правовое основание обработки персональных данных.

В этой графе рекомендуется указать весь перечень нормативных правовых актов, которые закрепляют основания и порядок обработки оператором персональных данных и соответствуют его полномочиям. Не рекомендуется указывать в качестве правового основания ч. 1 ст. 6 Закона № 152-ФЗ.

3. Цель обработки персональных данных.

Согласно п. 3.1.2 Рекомендаций в этой графе следует указать цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.
4. Категории персональных данных.

К ним могут быть отнесены (п. п. 2.5 - 2.7 Рекомендаций):

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных): фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация;

- специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни). Случаи, когда допускается обработка специальных категорий персональных данных, установлены ч. 2, ч. 2.1 ст. 10 Закона;
- биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных). К ним относятся физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, голос и др.), а также иные физиологические или биологические характеристики человека, в том числе его изображения (фотография и видеозапись) (Письма Минцифры России от 17.07.2020 № ОП-П24-070-19433, Роскомнадзора от 10.02.2020 № 08АП-6782). Биометрические персональные данные могут обрабатываться оператором только при наличии письменного согласия субъекта персональных данных (за исключением случаев, установленных в ч. 2 ст. 11 Закона) (ч. 1 ст. 11 Закона).

5. Категории субъектов, персональные данные которых обрабатываются.

Согласно п. 3.1.4 Рекомендаций в этой графе указываются категории субъектов и виды отношений с ними (физическими лицами), например:

- работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором);

- физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором).

6. Перечень действий с персональными данными, общее описание используемых оператором способов их обработки.
В этой графе указываются действия оператора и описания используемых способов обработки персональных данных (п. 3.1.6 Рекомендаций):

- неавтоматизированная обработка персональных данных;

- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

- смешанная обработка персональных данных.

7. Описание мер, предусмотренных ст. ст. 18.1 и 19 Закона.

В этой графе оператор приводит (п. 3.1.7 Рекомендаций) описание мер, предусмотренных ст. ст. 18.1 и 19 Закона, предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
8. Дата начала обработки персональных данных.

В этой графе рекомендуется указывать конкретную дату (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными (как правило, это дата начала осуществления оператором деятельности, закрепленной в уставных документах) (п. 3.1.9 Рекомендаций).

9. Срок или условие прекращения обработки персональных данных.

10. Сведения о наличии или отсутствии трансграничной передачи персональных данных.

11. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ.

12. Сведения об обеспечении безопасности персональных данных.

Способы передачи уведомления и внесение сведений в реестр

Роскомнадзор объявил о приостановке очных форматов взаимодействия из-за угрозы распространения коронавируса. Для организации взаимодействия рекомендуется обращаться в Роскомнадзор:

  1. в электронной форме через электронную почту (rsoc_in@rkn.gov.ru);
  2. официальный сайт (www.rkn.gov.ru);
  3. портал госуслуг (www.gosuslugi.ru);
  4. портал операторов связи, расположенный на сайте Роскомнадзора;
  5. в письменной форме через Почту России.
Контактная информация территориальных органов уполномоченного органа приведена на сайте Роскомнадзора http://rkn.gov.ru и на портале персональных данных http://pd.rkn.gov.ru

В соответствии с ч. 3 ст. 22 Закона оператор вправе составить и направить в уполномоченный орган уведомление в форме электронного документа, подписанного уполномоченным лицом. Для этого может быть использован официальный сайт Роскомнадзора (www.rkn.gov.ru), а именно портал персональных данных (www.pd.rkn.gov.ru) (п. п. 2.2, 2.3 Рекомендаций).
Согласно п. 3.2 Рекомендаций электронная форма уведомления и порядок ее заполнения размещены на указанном портале персональных данных.

В течение 30 дней с даты поступления уведомления уполномоченный орган вносит содержащиеся в нем сведения (а также сведения о дате направления уведомления) в реестр операторов, осуществляющих обработку персональных данных (ч. 4 ст. 22 Закона).

Информация о внесении сведений об операторе в реестр размещается на официальном сайте и портале персональных данных (п. 3.5 Рекомендаций).

Сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора. Ни Законом, ни Рекомендациями не предусмотрена обязательная выдача оператору какого-либо документа, подтверждающего подачу уведомления и факт внесения в реестр соответствующих сведений. В то же время любое заинтересованное лицо может по собственной инициативе получить выписку из реестра. Для этого в Роскомнадзор (его территориальный орган по месту регистрации оператора в налоговом органе) необходимо направить заявление. Его форма определенна в Приложении 4 к Рекомендациям (п. п. 6.1, 6.2 Рекомендаций).

Что ещё можно до 01.09.2022 и потом станет нельзя без уведомления

Согласно ч. 1 ст. 22 Закона № 152-ФЗ до начала обработки персональных данных оператор должен уведомить о своем намерении Роскомнадзор. Часть 2 этой же статьи предусматривает ряд случаев, когда уведомлять необязательно. С 1 сентября 2022 года этот список исключений станет меньше, из него уберут случаи обработки персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;
  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующим общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
    • разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 Закона № 152-ФЗ;
    • включающих в себя только фамилии, имена и отчества субъектов персональных данных;
    • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
    • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем.
  • Кто по-прежнему после 01.09.2022 не должен подавать уведомление о включении в реестр?

    Обязанность включаться в реестр по-прежнему не возникает у тех, кто осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (то есть без использования компьютера, на только лишь бумаге), лиц, которые являются операторами государственных информационных систем в области безопасности, а также лиц, обрабатывающих данные в соответствии с законодательством о транспортной безопасности (пп. 7-9 ч. 2 ст. 22 Закона в будущей редакции).
  • Т.е. если вы будете у себя, например, в салоне или в магазине будете вести записи исключительно в тетрадке или блокноте на бумаге и никуда их не передавать и не вводить персональные данные в компьютер, то у вас не возникнет обязанности уведомлять Роскомнадзор и включаться в реестр операторов персональных данных

    Ответственность​

    Неисполнение обязанности уведомить Роскомнадзор о намерении осуществлять обработку персональных данных может повлечь наложение административного штрафа от 100 до 300 руб. - на физических лиц; на должностных лиц от 300 до 500 руб.; от 3 до 5 тыс. руб. – на юридических лиц (ст. 19.7 КоАП РФ ), также Роскомнадзор может просто вынести предупреждение оператору.

    Пока размер штрафа не является значительным и сам по себе он может не мотивировать исполнять обязанность по уведомлению. Кроме того, зачастую Роскомнадзор предварительно направляет операторам требование о включении в реестр или предоставлении пояснений об отсутствии обязанности включиться в реестр.

    Тем не менее, судя по тренду изменений в законодательство РФ в области защиты персональных данных, ответственность будет увелич
    Особенно это актуально для тех, кто обрабатывает большое количество данных о людях (сотни, тысячи, десятки тысяч и т.д.). В этом случае нужно иметь в виду, что оператор должен задуматься о системах криптозащиты и безопасности, чего нельзя сделать без соответствующих специалистов, обучения и без нового оборудования и/или организационных мероприятий (изменение документооборота, внедрение новых систем автоматизации и управления и т.п.)

    Вывод и обращение к читателям клерка​

    Видно, что к 01.09.2022 нужно подготовиться, т.к. многие операторы уже обрабатывают персональные данные, а уведомление нужно отправить до начала обработки, т.е. до 01 сентября 2022 г.

    Прошу уважаемых читателей, кто уже посылал уведомление в Роскомнадзор рассказать в комментариях о своём опыте, которые может быть полезен не только нам, но и другим читателем нашего сайта.
    https://www.klerk.ru/tribune/aleksandr42/533286/
Насколько я понял, теперь эта обязанность возлагается на каждого руководителя после регистрации первички...
 
  • Мне нравится
Реакции: Юрий Н

Юрий Н

Местный
29 Сен 2021
155
66
г. Москва
Т.е. к примеру есть сайт-подраздел оставить заявку на консультацию, где указывается телефон клиента и имя, с 01 сентября нужно уведомлять Роскомнадзор об этом?
 

ilja_m

Местный
4 Сен 2009
933
262
Москва
Т.е. теперь получается любое юрлицо под это подпадает, если набирает сотрудников в штат..
Ну только если эти сотрудники не пишут свои П.Д. от руки в договор и анкету (
без использования средств автоматизации)?
И надо ли подавать сейчас именно, если набор сотрудников пока не планируется?
 

ilja_m

Местный
4 Сен 2009
933
262
Москва
https://www.garant.ru/hotlaw/federal/1563419/



Информация Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 августа 2022 г. "Электронные формы заявлений"

С 1 сентября 2022 года вступают в силу изменения в закон "О

персональных данных". Теперь операторы должны уведомлять Роскомнадзор о

начале или осуществлении любой обработки персональных данных за

исключением случаев, когда данные обрабатываются в целях защиты

безопасности государства и общественного порядка, транспортной

безопасности, или если оператор обрабатывает данные исключительно без

средств автоматизации.

Формы уведомлений будут утверждены приказом Роскомнадзора. До этого

оператор вправе заполнить форму уведомления об обработке персональных

данных на Портале персональных данных Роскомнадзора или направить такое

уведомление в адрес территориального управления ведомства по месту

регистрации оператора на бумажном носителе по форме, утвержденной

Приказом от 30.05.2017 N 94.

На портале Роскомнадзора оператору предоставлена возможность

сформировать и отправить уведомление в территориальный орган

Роскомнадзора одним из следующих способов:

1. в бумажном виде;

2. в электронном виде с использованием усиленной квалифицированной

электронной подписи;

3. в электронном виде с использованием средств аутентификации ЕСИА.

После вступления в силу приказа Роскомнадзора, устанавливающего

новую форму уведомления, оператор может направить уведомление о внесении

изменений в ранее представленные сведения в Реестр операторов,

осуществляющих обработку персональных данных.

Предельный срок уведомления Роскомнадзора об обработке персональных

данных не определен.


Таким образом, 1 сентября 2022 не является крайним

сроком подачи уведомления об обработке персональных данных.

Также закон внес изменения в правила трансграничной передачи

персональных данных. Новый порядок будет применяться с 1 марта 2023 года,

но операторов, которые уже сейчас передают данные за границу, закон

обязал направить в Роскомнадзор уведомление о трансграничной передаче до

этой даты через Портал персональных данных Роскомнадзора или в письменном

виде.
 
  • Мне нравится
Реакции: РОЗИ

Сергей Д.

Активист
31 Авг 2009
14,847
7,774
г. Чехов М.О.
у нас вчера устроили гонки по вертикали - всех задержали после работы - отправляли эти писульки((( вообще бессмысленное занятие, т.к. сообщение никакой новой информации не содержит, все есть в ресурсе налоговой...
 
  • Мне нравится
Реакции: Малыш

Малыш

Активист
27 Фев 2008
4,136
3,830
живу в Балашихе
у нас вчера устроили гонки по вертикали - всех задержали после работы - отправляли эти писульки((( вообще бессмысленное занятие, т.к. сообщение никакой новой информации не содержит, все есть в ресурсе налоговой...
ага мы тоже с бухгалтерией этим занимались)) Форма тупая конечно, например ряд городов в Московской области не находит.
 

Perdolshik

Местный
21 Сен 2015
908
296
Так и не понял,вопрос о том что это на всех юрлиц распространяется как решился? Это же бред если на всех!
 

Малыш

Активист
27 Фев 2008
4,136
3,830
живу в Балашихе
Если они не ведут учёт ТОЛЬКО НА БУМАГЕ ?
как я понял сейчас все работодатели обязаны направлять эти уведомления в Роскомнадзор.
Из закона исключили ряд случаев, когда компаниям не требовалось уведомлять Роскомнадзор о планах обработки персданных (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Теперь отчитаться перед ведомством придется, если начинаете обрабатывать личные данные, которые принадлежат: работникам; клиентам компании, когда их персданные нужны для исполнения договора; лицам, которые разрешили передавать персданные третьим лицам; лицу, которое нужно однократно пропустить на территорию компании; лицу, которое предоставляет о себе данные только о фамилии, имени и отчестве.
Источник: https://www.glavbukh.ru/art/387739-...2022-ob-obrabotke-personalnyh-dannyh-obrazets
 

crossMSK

Новичок
9 Июн 2017
8
1
Коллеги, добрый вечер! Решились все-таки подать данное уведомление. Подскажите пож-та как лучше обозначить дату начала обработки данных? Датой регистрации ООО или текущей датой уведомления? Насколько это будет критичным для РКН?
Сейчас с бухгалтерией ломаем голову по заполнению этой формы. Не знаем также, что писать в описание мер. Если подскажете или поделитесь своим примером заполнения, то буду очень признателен
 

Сергей Д.

Активист
31 Авг 2009
14,847
7,774
г. Чехов М.О.
Коллеги, добрый вечер! Решились все-таки подать данное уведомление. Подскажите пож-та как лучше обозначить дату начала обработки данных? Датой регистрации ООО или текущей датой уведомления? Насколько это будет критичным для РКН?
Сейчас с бухгалтерией ломаем голову по заполнению этой формы. Не знаем также, что писать в описание мер. Если подскажете или поделитесь своим примером заполнения, то буду очень признателен
мы указывали дату регистрации - окончание предполагаемая дата ликвидации
 
  • Мне нравится
Реакции: Малыш

crossMSK

Новичок
9 Июн 2017
8
1
мы указывали дату регистрации - окончание предполагаемая дата ликвидации
Спасибо за обратную связь. Как считаете, не смогут расценить, что несвоевременно уведомили, если дату начала обработки данных укажем датой регистрации ООО?
 

Сергей Д.

Активист
31 Авг 2009
14,847
7,774
г. Чехов М.О.
Спасибо за обратную связь. Как считаете, не смогут расценить, что несвоевременно уведомили, если дату начала обработки данных укажем датой регистрации ООО?
так это началось недавно, а не до того как вы зарегистрировались. Создали какой то нездоровый ажиотаж из ничего (ведь никакой новой информации мы не сообщаем - все это есть в ЕГРЮЛ), бессмысленная компанейщина
 
  • Мне нравится
Реакции: Малыш

Ната_лья

Местный
5 Мар 2012
161
11
Доброго всем дня, какие есть новости по этой теме? сроки подачи уведомлений и другое
 

Ната_лья

Местный
5 Мар 2012
161
11
волна прошла и все затихло...
то есть подавать можно не торопится.....где то попадалось разъяснение, что это не уведомление до 01.09.22 надо подать а что закон вступает с этой даты в силу...и вопрос какой срок для его подачи так лично мне и не понятен:(
 

Сергей Д.

Активист
31 Авг 2009
14,847
7,774
г. Чехов М.О.
то есть подавать можно не торопится.....где то попадалось разъяснение, что это не уведомление до 01.09.22 надо подать а что закон вступает с этой даты в силу...и вопрос какой срок для его подачи так лично мне и не понятен:(
да какой то ажиотаж создали и все ломанулись срочно все сдать! сдали-подали и забыли и никакой реакции от государства.
 
  • Мне нравится
Реакции: zaprosto и Малыш

Малыш

Активист
27 Фев 2008
4,136
3,830
живу в Балашихе
да какой то ажиотаж создали и все ломанулись срочно все сдать! сдали-подали и забыли и никакой реакции от государства.
Согласен, абсолютно глупый ажиотаж создали и в итоге на выходе ничего.