Как уведомить Роскомнадзор
Конкретный срок направления уведомления законодательством не установлен.
Уведомить Роскомнадзор необходимо до начала обработки персональных данных.
Уведомление представляется по форме, утвержденным приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- наименование компании (ФИО ИП) и ее адрес;
- цель обработки персональных данных (например, заключение трудовых договоров);
- категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
- категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
- сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
- ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
- предполагаемая дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
- сведения об обеспечении безопасности персональных данных.
Направить уведомление можно следующими способами:
- в бумажном виде;
- в электронном виде с использованием усиленной квалифицированной электронной подписи;
- в электронном виде с использованием средств аутентификации ЕСИА.
🟢 Самый удобный способ - заполнить форму на сайте Роскомнадзора, потому что по каждой графе там есть всплывающие подсказки.
Получив от Оператора уведомление, Роскомнадзор в течение 30 дней внесет ее в специальный реестр операторов персональных данных, с помощью которого любой желающий сможет проверить, законно ли та или иная компания осуществляет сбор и обработку его сведений или нет.
При этом Оператору не нужно ждать разрешения от Роскомнадзора, чтобы работать с персональными данными. Главное - убедиться, что ведомство получило уведомление. В электронном виде датой оповещения будет считаться дата отправки письма на сайте, а при уведомлении в бумажном виде - дата получения письма территориальным управлением.
❗ ВАЖНО! До 01 сентября компании заполняют старую форму, а после утверждения нового бланка нужно ещё отправить информационное письмо о внесении изменений в реестр. Такой порядок действий рекомендует Роскомнадзор в письме от 19.08.2022 № 08-75348.
При этом требования к содержанию уведомления будут скорректированы. Если данные будут обрабатываться оператором в разных целях, то для каждой из них понадобится указать (ч. 3.1 ст. 22 Закона № 152-ФЗ):
- категорию данных и их субъектов;
- правовое основание обработки;
- перечень действий с данными и способы их обработки.
🟢 Обратите внимание, сохранено положение о том, что в случае изменения сведений оператор обязан уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты возникновения таких изменений (ч. 7 ст. 22 Закона № 152-ФЗ). Если ваша организация уже включена в реестр, то рекомендуем проверить направленные сведения и скорректировать их в соответствии с требованиями законодательства. Например, в уведомлении указана цель обработки, связанная с осуществлением деятельности в соответствии с уставом и не указана цель – соблюдение требований трудового законодательства. Ранее эту цель можно было не указывать, так она попадала под исключения, но после 01 сентября 2022 г. информацию в уведомлении необходимо скорректировать.
