Уведомление об обработке персональных данных

Введение

Согласно ст. 22 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала такой обработки. На практике заполнение уведомления вызывает вопросы: от определения категорий субъектов и целей обработки до категорий обрабатываемых данных.

Кто должен подать уведомление об обработке персональных данных?

Cтатус оператора персональных данных имеют все, кто сами либо с помощью уполномоченных лиц обрабатывают персональные данные, предварительно установив их состав, цели и перечень выполняемых действий. Кроме того, компания будет оператором персональных данных даже если она просто организует обработку персональных данных, а фактически в интересах оператора обработку ведет иные лица.

Оператором могут быть:

• юридические лица (вне зависимости от организационно-правовой формы или численности);

• ИП;

• физические лица (в том числе имеющие статус самозанятого, не зарегистрированные в качестве ИП, а также иностранные лица);

• государственные и муниципальные органы.

На статус оператора персональных данных не влияет факт наличия или отсутствия в реестре операторов персональных данных.

Особенности уведомления операторов - физических лиц

По общему правилу уведомлять Роскомнадзор об обработке должны физические лица.

Например, в соответствии с письмом Роскомнадзора гражданин, как собственник квартиры в многоквартирном доме, перед организацией и проведением общего собрания собственников по различным вопросам, связанным с управлением общим имуществом данного многоквартирного дома, обязан направить в Роскомнадзор соответствующее уведомление.

В данном случае гражданин, как физическое лицо, будет выступать оператором персональных данных, так как проведение собрания предполагает обработку персональных данных иных лиц, а именно собственников помещений многоквартирного дома для целей составления реестра собственников, списка участников собрания и подготовки протокола.

Также, в другом письме Роскомнадзор отмечает, что обязанность по направлению уведомления возлагается на саморегулируемые организации и арбитражных управляющих, которые являются операторами персональных данных и осуществляют их обработку, в том числе в соответствии с Федеральным законом от 26 октября 2002 г. № 127-ФЗ «О несостоятельности (банкротстве)».

Однако нужно учитывать сферу применимости закона "О персональных данных". В соответствии с ч. 2 ст. 1 152-ФЗ его действие не распространяется на обработку персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных. В этом случае на физическое лицо и не распространяются требования по уведомлению Роскомнадзора.

Случаи, которые исключают уведомление Роскомнадзора

Ч. 2 ст. 22 152-ФЗ формально предусматривает 3 исключения, по которым оператор может не подавать уведомление о намерении осуществлять обработку персональных данных.

Для коммерческих компаний наиболее близкое исключение - полностью неавтоматизированная обработка персональных данных. Фактически сложно найти оператора персональных данных полностью не использующего средства автоматизации при работе с персональными данными.

Другие исключения имеют отношение к специализированным структурам:

• включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

• обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Однако, даже в относимых к данным исключениям компаниях будет обработка персональных данных, связанная, например, с кадровыми процессами в информационных системах. Соответственно, это потребует уведомления Роскомнадзора.

Примечания

• Необходимо учитывать позицию Роскомнадзора, согласно которой обработка персональных данных в системе программ «Excel» и «Word» признается осуществляемой с использованием средств автоматизации, как и обработка посредством программ для подачи государственной отчетности, КЭДО и иное.

• До 1 сентября 2022 г. без уведомления могли обрабатываться данные в соответствии с трудовым законодательством или данные, включающие в себя только фамилию, имя или отчество субъекта персональных данных, а также иные иные случаи.

Способы подачи уведомления

Согласно законодательным требованиям, уведомление должно быть направлено оператором до начала обработки персональных данных одним из следующих способов.

1. По доверенности

Например, после проведения аудита и подготовки для клиентов уведомления Lukash & Partners может направить уведомление в Роскомнадзор в качестве представителя по доверенности от оператора.

2. В бумажном виде через территориальный орган Роскомнадзора по месту регистрации юридического лица.

Для этого потребуется сформировать уведомление на сайте Роскомнадзора или взять форму, утвержденную приказом Роскомнадзора, распечатать и направить: лично, почтой (заказным письмом) или курьером по месту регистрации оператора.

При личной подаче уведомления рекомендуем сделать его копию, на которой сотрудником Роскомнадзора будет проставлена отметка с датой подачи уведомления, что будет являться доказательством своевременности такой подачи.

3. В электронном виде с использованием УКЭП.

Потребуется сформировать уведомление через сайт Роскомнадзора, а также установить и настроить плагин КриптоПро ЭЦП Browser plug-in.

4. В электронном виде с использованием средств аутентификации ЕСИА.

При переходе по ссылке на сайте Роскомнадзора сервис предложит пройти аутентификацию на портале «Госуслуги», понадобится подтвержденная учетная запись, привязанная к юридическому лицу или ИП.  

При выборе способа формирования и подачи уведомления нужно учитывать, что объем информации в форме, подаваемой исключительно в бумажном виде, и в форме, формируемой на сайте Роскомнадзора, отличается. Во втором случае потребуется дополнительно указать сведения об используемых адресах баз обработки персональных данных.

Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов, осуществляющих обработку персональных данных. Если отправлялось бумажное, а не электронное письмо с УКЭП, дата будет отсчитываться с момента его получения Роскомнадзором.

В случае неполного или некорректного заполнения уведомления Роскомназдор вправе вернуть его на доработку с указанием замечаний. Срок рассмотрения при этом начинается заново с момента повторной подачи.

Чтобы проверить нахождение организации в реестре операторов необходимо зайти на сайт Роскомнадзора и осуществить поиск по названию организации, ее ИНН или ОГРН.

Как подготовиться к подаче уведомления

Главное понимать, что все сведения из уведомления, направленные в Роскомнадзор, должны быть закреплены в локальных нормативных актах организации и отражать реальные процессы обработки персональных данных. В противном случае, несоответствие действительности может обернуться нежелательными последствиями (подробнее см. в разделе «Типовые ошибки при заполнении уведомления»).

До подачи уведомления следует заранее позаботиться о следующих важных моментах:

Аудит процессов обработки персональных данных

Все процессы обработки персональных данных должны быть выявлены, нарушения законодательства о персональных данных должны быть устранены или должен быть понятный план устранения нарушений. Уведомление о намерении осуществлять обработку персональных данных на основе процессов с неправомерной обработки может стать дополнительным доказательством нарушения. Подробнее с методикой нашего аудита вы можете ознакомиться на странице «Аудит обработки персональных данных».

Реестр процессов обработки персональных данных

Реестр процессов обработки персональных данных (RoPA) является лучшей практикой управления потоками обработки персональных данных и содержит перечень сведений, предусмотренных ст. 18.1 152-ФЗ: цели обработки персональных данных, категории субъектов, перечень данных и действий с ними, сроки обработки и хранения данных и другие сведения. По нашей методологии RoPA предварительно подготавливается на этапе аудита.

Информация, содержащаяся в RoPA затем будет переносится в уведомление.

Разработать локальные нормативные акты

Прежде всего необходимо разработать и утвердить Политику в области обработки персональных данных и сведения о реализуемых требованиях к их защите. Их содержанию которой в дальнейшем должно соответствовать уведомление. Рекомендуем также эти документы опубликовать в сети интернет, хотя этот вопрос заслуживает отдельного внимания.

Назначить ответственного за организацию обработки персональных данных

Ответственным может быть работник, стороннее физическое лицо или юридическое лицо. Например, ответственным можно назначить Lukash & Partners, которое имея компетенцию оказывает соответствующие услуги.

Собрать информацию по всем информационным системам, в которых находятся базы данных оператора персональных данных.

Это могут быть системы учета клиентов, облачные хранилища, почтовые сервисы, сервисы рассылок и иное. Для классификации баз персональных данных оператора нужно использовать определение базы данных, приведенное в ст. 1260 ГК РФ.

Пошаговое заполнение уведомления об обработке: пример Lukash & Partners

Общие сведения об операторе

В самом начале необходимо выбрать регион регистрации - субъект Российской Федерации, который соответствует адресу регистрации юридического лица или ИП.

Далее указывается тип оператора (юридическое лицо, физическое лицо или иное), его наименование и адрес.

Если ИП или физическое лицо направляет уведомление, дополнительно предлагается заполнить паспортные данные, но это не является обязательным, в отличие от паспортных данных иностранного гражданина.

Также указывается адрес оператора, включающий в себя адрес местонахождения и почтовый адрес, который в случае совпадения с первым не дублируется.

Каждый оператор должен указать адрес электронной почты и регион обработки персональных данных. Юридическое лицо также в обязательном порядке указывает ИНН и ОГРН, а ИП – ИНН и ОГРНИП.

При заполнении сведений о регионах обработки стоит учитывать все субъекты Российской Федерации, в которых обрабатываются персональные данные, а также на территорию которых данные передаются (в форме есть возможность отметить галочкой «все субъекты Российской Федерации»).

Цели обработки персональных данных

Целью обработки является то, для чего персональные данные обрабатываются оператором. Цели в уведомлении должны соответствовать фактической деятельности, а также учредительным документам, что отдельно проверяется Роскомнадзором при подаче уведомления.

В форме уведомления на сайте Роскомнадзора при заполнении данного поля предлагается выбрать цели из сформированного списка, которые заранее можно проверить на соответствие сформированному в организации реестру процессов обработки персональных данных (RoPA). В случае, если в процессе аудита была выявлена цель, отсутствующая в указанном списке, то в поле, посвященном цели обработки, необходимо выбрать «иная» и указать свою цель.

Целей может быть несколько и все они должны быть отражены в уведомлении. При этом также не должно быть двух одинаковых, дублирующих друг друга целей.

Важно!

Под каждую цель оператор должен указать:

• категории персональных данных (какие именно персональные данные подлежат обработке);

• категории субъектов, персональные данные которых обрабатываются (физические лица и виды отношений с ними);

• правовые основания обработки (согласие, договор или иное);

• перечень действий, которые будут осуществляться
  с персональными данными (сбор, запись, хранение или иное);

• способ обработки персональных данных (с использованием средств автоматизации, без использования таких средств или смешанная обработка).

Категории персональных данных

Далее необходимо выбрать категории персональных данных, которые обрабатываются во исполнение указанной цели.

Категории персональных данных важны в уведомлении, так как в соответствии с ними Роскомнадзор может оценить предположительные последствия их «утечек» и применяемые меры по их безопасности.

Категории субъектов

Выбираем категории субъектов, данные которых обрабатываются для вышеуказанной цели.

Категории субъектов, персональные данные которых обрабатываются, позволяют увидеть, на кого именно распространяется обработка данных, и кто может пострадать в случае, если произойдет неправомерный доступ к таким данным.

Правовые основания обработки

В перечне правовых оснований обработки указываются те основания, которые применены для конкретной цели, для одной цели может быть выделено несколько оснований.

Перечень действий по обработке

В процессе обработки с персональными данными совершаются определенные действия, например, сбор данных лиц при их трудоустройстве или передача отдельных данных подрядной организации. Все подобные действия должны быть указаны в форме уведомления.

Способы обработки

Среди способов обработки помимо критерия автоматизации также необходимо отметить передаются ли данные по внутренней сети или по сети «Интернет». Внутренняя сеть в данном случае означает обмен данными по корпоративной сети, а сеть «Интернет» – использование каких-либо внешних сервисов.  

Описание мер, применяемых в соответствии со ст. 18.1 и ст. 19 152-ФЗ

Уведомление предусматривает описание реально применимых в организации мер, направленных на защиту персональных данных от несанкционированного доступа, поэтому подробно нужно описать, где хранятся данные, кто имеет к ним доступ, как организованно резервное копирование данных, их шифрование и прочее.

Среди таких мер можно указать:

• назначение ответственного за организацию обработки персональных данных;

• разработка локальных нормативных актов, определение угроз безопасности персональных данных;

• принимаемые меры внутреннего контроля и аудита и иное.

Также необходимо отразить информацию о средствах обеспечения безопасности информации (например, антивирусные программы или иные специальные программы защиты) и средства криптографической защиты информации (СКЗИ) (с учетом положений приказа ФСБ России).

Сведения о лице, ответственном за организацию обработки

Указывается фамилия, имя и отчество физического лица или наименование сторонней организации, которые являются ответственными за организацию обработки, а также их контактные телефоны, почтовые адреса и адреса электронной почты (позиция экспертов Lukash & Partners "Об ответственности за неназначение лица, ответственного за организацию обработки персональных данных").

При этом, в соответствии с письмом Роскомнадзора, так как сведения, указываемые в уведомлении, являются общедоступными, то в данных полях достаточно будет указать рабочий адрес или только населенный пункт, а также рабочий телефон и рабочий адрес электронной почты (вместо личных контактных данных).

Для ИП, физического лица и иностранного лица заполнение данных полей не предусматривается.

В случае, если через какое-то время после подачи уведомления за обработку персональных данных в организации стало отвечать другое лицо/сторонняя организация, необходимо оперативно направить в Роскомнадзор соответствующее уведомление об изменении сведений.

Сроки обработки персональных данных и наличие трансграничной передачи

В качестве даты начала обработки персональных данных необходимо указывать фактическую дату начала обработки персональных данных, а для юридических лиц и ИП – дату государственной регистрации.

Вместе с датой начала обработки также указывается дата прекращения обработки или конкретное условие. К такому условию можно отнести, например, прекращение обработки персональных данный или ликвидацию организации.

В случае, если планируется осуществлять трансграничную передачу персональных данных, а именно передавать данные за пределы Российской Федерации, это также должно быть отражено в уведомлении. Важно отметить, что такая передача потребует подачу отдельного уведомления в Роскомнадзор о трансграничной передаче персональных данных.

Сведения о местонахождении баз данных

В ответе на одно из обращений Роскомнадзор поясняет, что в уведомлении подлежат указанию сведения о месте нахождения собственных или арендуемых оператором у третьих лиц технических средств (серверных мощностей), с использованием которых оператором осуществляется хранение персональных данных.

При этом если у оператора нет собственных баз данных, то в поле «Собственный ЦОД» необходимо отметить «нет» и указать сведения о владельце ЦОД.

Исходя из практики нужно учитывать, что для полного и спокойного privacy-комплаенса необходимо исследовать все системы, где базы данных под вашим контролем, а не исходить из принадлежности серверных мощностей.

При этом нельзя забывать о соблюдении требования Федерального закона № 152-ФЗ в части локализации баз данных российских граждан на территории Российской Федерации.

Пример заполнения сведений по одной из баз данных:

Сведения о лицах, имеющих доступ к государственным и муниципальным информационным системам

Согласно позиции Роскомнадзора в данном случае предполагается, что оператору необходимо указывать в уведомлении сведения о третьих лицах (физических или юридических), которые имеют доступ к обработке персональных данных в государственных и муниципальных информационных системах оператора (например, если оператором выступает государственный орган). В случае отсутствия указанных систем поле не является обязательным для заполнения и для корректной отправки уведомления его необходимо удалить.

Сведения об обеспечении безопасности персональных данных

Указывается перечень мер, реализуемых оператором, в целях соблюдения требований, установленных постановлением Правительства Российской Федерации, а именно организационных и технических мер по обеспечению безопасности персональных данных (например, разработка системы защиты, назначение ответственных за обработку и прочее).

Сведения об исполнителе

В уведомлении указываются фамилия, имя и отчество (при наличии) исполнителя (лица, сформировавшего уведомление), его должность, а также контактная информация (адрес электронной почты и номер телефона).

Если уведомление подается лицом, имеющим право действовать без доверенности от имени оператора (например, руководитель юридического лица или ИП), то указанное поле заполнять не требуется.

Во всех остальных случаях нужно также загрузить машиночитаемую доверенность, подтверждающую право подписи уведомления, полученную в установленном порядке.

Сохранение черновика и направление уведомления

После заполнения всех обязательных полей предлагается сохранить черновик или подписать и отправить электронное уведомление, предварительно поставив в отдельных полях формы отметки об ознакомлении с выбранным порядком подачи уведомления и о подтверждении согласия на передачу информации по открытым каналам связи.

При успешной отправке система автоматически присваивает уведомлению номер (идентификатор) и ключ, позволяющие отслеживать его статус в личном кабинете или через специальные сервисы.

Указанные данные необходимо сохранить в случае появления необходимости внесения изменений в переданные сведения и для дальнейшего отслеживания уведомления на предмет его рассмотрения Роскомнадзором в установленные сроки.

Типовые ошибки при заполнении уведомления об обработке персональных данных

Несмотря на то, что требования к заполнению уведомления установлены, на практике при оформлении уведомления возникают проблемные вопросы и ошибки, что приводит к его отклонению, вот основные из них.

1. Объединение разнородных целей в одну, использование повторяющихся целей для разных категорий субъектов.

В отношении каждой категории субъектов должна быть выбрана собственная цель, перечень данных, действий с ними, способы обработки. Так, например, деятельность в рамках оформления полиса добровольного медицинского страхования не является деятельностью, осуществляемой в целях обеспечения соблюдения трудового законодательства, она должна выделяться в отдельную цель обработки.

Важно учитывать соотношение целей, указанных в уставе организации, с целями, указанными в уведомлении, что соответствует ранее приведенной позиции Роскомнадзора.

2. Неполная информация относительно категорий персональных данных или категорий субъектов для одной или нескольких целей обработки, правовых оснований обработки или действий, совершаемых в процессе обработки.

Следует отразить все необходимые элементы в каждом блоке предоставляемой информации, так как отсутствие хотя бы одного элемента, даже если он кажется несущественным, может быть признано нарушением требований к содержанию уведомления.

3. Основания обработки персональных данных не соотносятся с реестром процессов обработки персональных данных.

4. Неполные сведения об адресах баз данных.

В уведомлении должна быть указана полная информация об адресах баз данных, а также о лицах и организациях, ответственных за хранение баз данных.

Для получения такой информации оператор должен также обращаться к сторонним сервисам, где обрабатываются персональные данные. В случае, если контрагент отказывает в предоставлении информации, в уведомлении указывается юридический адрес организации, которая предоставляет серверные мощности. Также необходимо сохранить переписку и иные доказательства выяснения информации об адресах баз данных у контрагентов.

5. Некорректно указана дата начала обработки персональных данных.

Вопрос о выборе верной даты начала обработки персональных данных является дискуссионным. Например, парадоксом может выступать тот факт, что в момент регистрации юридического лица обработка персональных данных (директора, учредителей) уже осуществляется, но так как юридическое лицо еще не создано, то фактически заявить о начале обработки данных не представляется возможным.

Согласно позиции Роскомнадзора в случае, если организация зарегистрирована до 1 сентября 2022 г., датой начала обработки персональных данных будет считаться дата ее государственной регистрации. При этом, согласно позиции Роскомнадзора «подача уведомления с указанием даты начала обработки персональных данных, не совпадающей с датой государственной регистрации оператора, а также началом осуществления любого действия, совершаемого с персональными данными, не будет противоречить законодательству о персональных данных».

С учетом указанного, в уведомлении в качестве даты начала обработки персональных данных нужно указывать дату государственной регистрации юридического лица или ИП.

При этом исходя из судебной практики усматривается противоречие, в соответствии с которым в качестве даты начала обработки персональных данных при заполнении уведомления предлагается указывать ту дату, в которую оператор планирует фактически приступить к обработке персональных данных, причем данная дата не должна предшествовать дню направления уведомления. Учитывая то обстоятельство, что спрогнозировать реальную дату начала обработки практически невозможно, мы полагаем целесообразным согласиться с позицией Роскомнадзора и в уведомлении указывать в качестве даты начала обработки персональных данных дату государственной регистрации организации.

6. Несоответствие содержания уведомления локальным нормативным актам и фактической деятельности.

Федеральным законом № 152-ФЗ предусмотрены определенные меры, которые направлены на выполнение оператором своих обязанностей. Одной из таких мер является обязательное издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, а также локальных нормативных актов по вопросам обработки персональных данных, которые в дальнейшем выступают объектом федерального государственного контроля (надзора), осуществляемого Роскомнадзором и его территориальными органами.

В связи с изменениями, вступившими в силу 18 ноября 2023 г., перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) дополнен таким индикатором, как обнаружение Роскомнадзором минимум трех несоответствий между информацией из уведомлений об обработке персональных данных или осуществлении их трансграничной передачи и данными, опубликованными на принадлежащем оператору сайте, которые он обязан публиковать.

Напомним, если Роскомнадзор выявил индикаторы риска, он может по согласованию с органами прокуратуры внепланово провести ряд контрольно-надзорных мероприятий.

Также в рамках федерального государственного контроля (надзора) осуществляется ряд профилактических мероприятий, в частности в ряде случаев обязательный профилактический визит, результатом которого может стать выдача предписания об устранении выявленных нарушений в сфере обработки персональных данных.

Lukash & Partners оказывает помощь в прохождении профилактического визита Роскомнадзора по работе с персональными данными в соответствии с Федеральным законом № 152-ФЗ.

7. Неверно указаны сведения о третьих лицах (физических/ юридических), которые имеют доступ к обработке персональных данных в государственных и муниципальных информационных системах оператора.

8. Не назначено лицо, ответственное за организацию обработки персональных данных, или указано неверно.

В силу требований Федерального закона № 152-ФЗ оператор обязан назначить лицо, ответственное за организацию обработки персональных данных, которым может выступать только один сотрудник. Внутри организации можно распределить обязанности между несколькими работниками, но ответственность перед Роскомнадзором будет нести только человек, указанный в соответствующем приказе организации.

Если для целей обработки данных привлекается иная организация, то указывается наименование юридического лица. ИП может как сам отвечать за этот процесс, так и назначить ответственного из лица сотрудников.

Важно помнить, что для ответственного лица необходимо указывать исключительно рабочие телефоны и электронные адреса, поскольку эти данные будут общедоступными. 

Если лицо, ответственное за организацию обработки персональных данных, не назначено, ответственность будет нести лично руководитель организации.

В каких случаях дополнительно уведомляется Роскомнадзор?

При изменении сведений, содержащихся в уведомлении об обработке

В таком случае, подается уведомление об изменении сведений. При изменении любых указанных в уведомлении сведений необходимо уведомлять Роскомнадзор не позднее 15 числа месяца, следующего за месяцем, в котором произошли изменения.

При прекращении обработки

Подается уведомление о прекращении обработки персональных данных. Если принято решение о прекращении деятельности или прекращении работы с персональными данными, также следует уведомлять Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных. При этом в качестве окончания обработки персональных данных можно выбирать не дату, а событие, такую как ликвидация юридического лица или окончание регистрации ИП.

В дальнейшем Роскомнадзор в течение 30 дней с даты поступления соответствующего уведомления исключает сведения об операторе из реестра операторов, осуществляющих обработку персональных данных.

Перед осуществлением трансграничной передачи

Осуществление трансграничной передачи персональных данных, то есть передача персональных данных за пределы Российской Федерации, потребует подачу отдельного уведомления в Роскомнадзор о трансграничной передаче персональных данных.

Ответственность оператора

С 30 мая 2025 г. вступила в силу новая норма КоАП РФ, устанавливающая за невыполнение или несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных административную ответственность в виде штрафа:

• от 5000 до 10 000 рублей — для физических лиц;

• от 30 000 до 50 000 рублей — для должностных лиц (применяется только к должностным лицам государственных и муниципальных органов и учреждений);

• от 100 000 до 300 000 рублей — для юридических лиц и ИП.

Помимо штрафов отсутствие уведомления повышает риск попадания под внеплановую проверку Роскомнадзора, которая может выявить и иные нарушения, а при игнорировании предписаний официальный сайт организации может быть подвергнут блокировке в судебном порядке.