Бланки уведомлений об обработке персональных данных наконец утверждены. Приказ Роскомнадзора от 28.10.2022 № 180 опубликован. Почему «наконец»? Да просто изменения в закон «О персональных данных» вступили в силу еще 1 сентября, и обязанность уведомлять Роскомнадзор о работе с персданными как бы тоже существовала с этой даты. До сего момента сделать это было можно по старой форме (утверждена Приказом от 30.05.2017 № 94), которая за неимением иной именовалась рекомендованной.
Приказом утверждены следующие формы уведомлений:
- о намерении осуществлять обработку персональных данных,
- об изменении сведений, содержащихся в уведомлении о намерении вести обработку персональных данных (путано, но из приказа слов не выкинешь),
- о прекращении обработки персданных.
В уведомлении о намерении начать обработку персданных надо указать:
- кто берет на себя ответственность за сбор персональных данных (ИП, юрлицо, ФИО)
- цель обработки
- чьи данные и какие именно данные будут обрабатываться
- правовые основания для обработки данных
- перечень действий с персданными и способы их обработки
- описание мер для защиты персональных сведений
- лица, ответственные за обработку персданных
- дата начала обработки
- срок или условие прекращения обработки
- сведения о наличии или об отсутствии трансграничной передачи персональных данных
- сведения об обеспечении безопасности персданных.
В уведомлении об изменении сведений надо будет указать дату изменения сведений, содержащихся в уведомлении о намерении вести обработку персональных сданных. В остальном это практически брат-близнец первой формы.
Уведомление о прекращении обработки персданных самое лаконичное. Помимо своих данных надо будет указать дату прекращения обработки данных и указать причину (ликвидация оператора, аннулирование лицензии и др.), по которой вы «завязываете» с обработкой персональных данных.
По закону «Теперь операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением случаев, (…) если оператор обрабатывает данные исключительно без средств автоматизации». Кто является оператором? Да практически любое юрлицо, ИП и даже самозанятые, если заключают договоры с физическими лицами. А уж любая компания, где есть сотрудники, данные которых обрабатываются в соответствии с трудовым законодательством, 100% является оператором персональных данных.
