28 октября Министерство цифрового развития, связи и массовых коммуникаций РФ выпустило новый приказ, касающийся операторов ПДн. Он утвердил форму уведомлений о намерении производить обработку личных данных, об изменении информации, находящейся в этом уведомлении, а также о приостановлении обработки ПДн. Рассказываем, кого это касается и как правильно заполнить форму.
Кого касается закон
Закон касается операторов персональных данных. Оператором, в свою очередь, может считаться любой (гос орган, юридическое, физическое лицо), кто занимается сбором, обработкой и передачей персональных данных. На самом деле, почти любое действие, совершаемое с ПДн, уже считается обработкой. Физическое или юридическое лицо не обязательно должно быть включено в реестр операторов, который ведётся надзорными службами, оно всё равно им является.
Если у вас, к примеру, есть свой сайт в интернете, где нужно регистрироваться с указанием имени и почты, или пользователям нужно вводить личные данные в ваше мобильное приложение, то вы автоматически становитесь оператором.
Нужно ли состоять в реестре операторов
Не каждый оператор обязан состоять в реестре, формируемом надзорными службами. Это не является обязательным, если:
- организация занимается обработкой данных только своих работников,
- информация требуется для реализации договорных отношений между оператором и субъектом персональных данных,
- речь об общественных и религиозных организациях, которые используют сведения об участниках,
- Если в ПДн фигурируют только ФИО,
- Данные находятся только в бумажном варианте и хранятся в надёжном месте.
- сам объект разрешил, чтобы его данные распространялись (нововведение с 2021 года).
Что необходимо сообщить Роскомнадзору
Чтобы соответствовать изменениям законодательства, следует предоставить надзорным органам следующие данные:
- ФИО физического лица или название организации, а также адрес;
- Цели, для которых ведётся сбор информации;
- Список ПДн, которые собираются;
- Перечень нормативно-правовых актов и прочих документов, которые являются основанием для обработки;
- Какие действия совершаются с ПДн;
- Какими способами выполняется защита данных;
- кто отвечает за обработку;
- сроки начала работы с данными;
- условия завершения обработки;
- выходит ли информация за пределы страны;
- расположение баз данных;
- уровень защищенности данных в организации.
Как подать уведомление
Уведомление об обработке персональных данных можно направить любым из 3-х доступных способов:
1. Заполнить форму на странице сайта, распечатать её в бумажном виде, после чего направить в территориальный орган надзора.
2. Заполнить форму на странице сайта, после чего отправить в электронном виде. При отправке используется усиленная квалифицированная электронная подпись. После подачи формы в электронном виде, подавать её в бумажном не требуется. Для того, чтобы подать уведомление этим методом, у пользователя должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и выполнены все настройки для начала работы.
3. Заполнить форму на Госуслугах и подать в электронном виде. Для отправки применяются средства аутентификации ЕСИА. То есть вам нужна будет подтверждённая учётная запись на Госуслугах. Вы логинитесь на портале, заполняете форму там, и отсылаете ее в электронном виде. Как и в предыдущем случае, подавать бумажную версию не нужно. Если вы подаете уведомление от имени компании, учетная запись на Госуслугах должна быть привязана к данной организации.
