Согласие на обработку персональных данных без их распространения
С 1 марта 2021 года законодательство о защите персональных данных предусматривает необходимость получать у субъекта персональных данных разные согласия на их обработку в зависимости от того, планируется ли распространять такие данные среди неограниченного круга лиц или нет. Соответственно, субъект персональных данных может дать как простое согласие на обработку персональных данных, так и согласие на распространение персональных данных. Напомним, что под обработкой персональных данных подразумевается любое действие с ними, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).
Ниже рассмотрим порядок оформления и требования к содержанию простого согласия на обработку персональных данных без их распространения.
Содержание согласия на обработку персональных данных
Согласие на обработку персональных данных без их последующего распространения среди неограниченного круга лиц должно содержать следующие сведения (ч. 4 ст. 9 Закона № 152-ФЗ):
- фамилию, имя, отчество субъекта персональных данных;
- адрес субъекта персональных данных;
- номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных;
- номер основного документа, удостоверяющего личность представителя субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Оформление согласия на обработку персональных данных
Действующее законодательство содержит перечень случаев, в которых согласие на обработку персональных данных обязательно должно быть оформлено в письменной форме. В частности, получить письменное согласие необходимо:
- при обработке биометрических персональных данных (ч. 1 ст. 11 Закона № 152-ФЗ);
- при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона № 152-ФЗ);
- при принятии решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы (ч. 2 ст. 16 Закона № 152-ФЗ);
- и т.д.
Если для конкретной ситуации законом предусмотрена необходимость оформления согласия на обработку персональных данных в письменной форме с личной подписью субъекта персональных данных, его следует оформить письменно. Кроме того, согласие может быть оформлено в виде электронного документа. В этом случае для его подписания понадобится электронная подпись (ч. 4 ст. 9 Закона № 152-ФЗ). Если письменная форма согласия законом не предусмотрена, оно может быть оформлено другими способами, например, путем проставления субъектом персональных данных отметки в соответствующем поле при заполнении данных на сайте. Заверять такое согласие электронной подписью не требуется.
Однако даже если закон не предусматривает обязательного письменного согласия на обработку персональных данных сотрудника, рекомендуется по возможности оформлять его письменно. В случае возникновения претензий со стороны работника такой документ может подтвердить право работодателя на обработку данных. Дело в том, что согласно ч. 3 ст. 9 Закона № 152-ФЗ доказывать наличие согласия должен именно оператор персональных данных, то есть работодатель. При отсутствии доказательств закон будет на стороне работника.
После 1 марта 2023 года
Вышеописанные процедуры по проверке защиты иностранного получателя оператору ПД необходимо делать каждый раз, когда
он хочет осуществить:
- запуск нового процесса, связанного с отправкой персональных данных за границу. Пример: заключение договора с
новым зарубежным партнёром; - изменения в текущем процессе передачи ПД. Пример: Компания использует иностранный облачный сервис для обработки
персональных данных. После 1 марта 2023 года она начала обрабатывать не только данные своих сотрудников, но и
данные клиентов.
Оператор ПД отправляет уведомление о трансграничной передаче персональных данных и может сразу приступать к их
обработке.
В течение 10 дней Роскомнадзор проводит собственную проверку иностранного получателя. После этого ведомство может
запретить или ограничить передачу ПД во внесудебном порядке.
Оператор может осуществлять трансграничную передачу ПД только по истечении 10 дней с момента получения уведомления
от Роскомнадзора. Однако ведомство может наложить запрет повторно.
Также Роскомнадзор может запретить всем операторам ПД отправлять персональные данные в конкретное государство. Или
во внесудебном порядке установить ограничения передачи к отдельному оператору ПД.
Данные меры приняты в целях защиты нравственности, здоровья, прав и законных интересов граждан. Решение можно
обжаловать в суде или у вышестоящего должностного лица Роскомнадзора.
Новые штрафы за неуведомление Роскомнадзора
В настоящее время нет отдельной нормы, предусматривающей самостоятельные штрафы за непредставление уведомлений в Роскомнадзор. Нарушителей штрафуют по общей ст.19.7 КоАП РФ, устанавливающей штрафы за непредставление сведений и информации в контролирующие государственные органы.
В соответствии с данной нормой несдача в Роскомнадзор обязательных уведомлений грозит должностным лицам организаций и ИП штрафом в размере от 300 до 500 рублей, а организациям – от 3 000 до 5 000 рублей. Штрафы в подобных размерах не останавливают недобросовестных операторов персональных данных от несдачи уведомлений.
Уже принятый в первом чтении законопроект № 502104-8 вводит специальные штрафы за несдачу уведомлений в Роскомнадзор в повышенном размере. В этих целях законопроект дополняет действующую ст.13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных) новыми частями.
Согласно ч.10 ст.13.11 КоАП РФ неуведомление или несвоевременное уведомление Роскомнадзора о намерении начать обработку персональных данных будет грозить следующими штрафами:
- от 30 000 до 50 000 рублей – для должностных лиц организаций;
- от 100 000 до 300 000 рублей – для индивидуальных предпринимателей;
- от 100 000 до 300 000 рублей – для организаций.
По новой ч.11 ст.13.11 КоАП РФ для компаний будут введены штрафы за неуведомление Роскомнадзора об утечке персональных данных. Данное нарушение повлечет наложение штрафов в размере:
- от 400 000 до 800 000 рублей – для должностных лиц организаций;
- от 1 млн до 3 млн рублей – для индивидуальных предпринимателей;
- от 1 млн до 3 млн рублей – для организаций.
Планируется, что эти штрафы будут введены в действие уже в 2024 году. Срок начала их применения, намеченный законопроектом, – по истечении 30 дней после дня официального опубликования закона.
Ответственность, предусмотренная за обработку персональных данных без получения согласия
Административная ответственность за совершённое правонарушение при работе с персональными данными, в том числе за сбор и обработку персональных данных без получения согласия, а также за получение согласия по неверно составленной форме, предусмотрена частью 2 статьи 13.11 Кодекса об административных правонарушениях.
Роскомнадзор должен отреагировать на поступившее обращение (жалобу) в течение 30 дней. Срок проведения проверки сотрудниками ведомства может быть продлен ещё на 30 дней. За это время сотрудниками Роскомнадзора направляется в организацию, на которую составлена жалоба, официальный запрос с целью выяснения обстоятельств дела. В случае отсутствия ответа от компании, регулятор может назначить внеплановую проверку по выявленному случаю.
Кроме того, Роскомнадзор проводит и плановые проверки компаний, в период которых сотрудники ведомства проверяют наличие, корректность составления, а также хранение в компании согласий на обработку персональных данных.
По данной теме также необходимо отметить, что согласно Постановлению Правительства РФ от 10.03.2022 №336 до конца 2022 года действует мораторий на проведение плановых проверок.
В таблице ниже описаны возможные нарушения и ответственность за них:
| Нарушение | Ответственность |
| Обработка персональных данных без согласия либо согласие оформлено некорректно | Штраф по ч. 2 ст. 13.11 КоАП:
Штрафы за повторное нарушение в два раза больше. |
| Нарушение порядка передачи персональных данных как внутри организации, так и за её пределами | Штраф по ч. 1 ст. 13.11 КоАП:
|
| Несоблюдение порядка хранения и уничтожения персональных данных | Штраф по ч. 6 ст. 13.11 КоАП:
|
| Организация не уведомляет Роскомнадзор о начале обработки персональных данных при постановке на учёт | Предупреждение или штраф по ст. 19.7 КоАП:
|
| Нет локальных нормативных актов, которые регулируют обработку персональных данных в организации | Штраф по ч. 1 ст. 13.11 КоАП:
|
| В организации не назначили лицо, которое несёт ответственность за обработку персональных данных в компании | Штраф по ч. 1 ст. 13.11 КоАП:
|
| Не определён порядок доступа для лиц, которые обрабатывают персональные данные | Штраф по ч. 1 ст. 13.11 КоАП:
|
| Не разработана политика оператора в отношении обработки персональных данных, она не размещена в открытом доступе | Штраф по ч. 3 ст. 13.11 КоАП:
|
Образец уведомления, как заполнить
Электронного формата нет, поэтому по ТКС в т.ч. через 1С-Отченость не отправить.
Но можно с помощью ЭЦП это сделать или через Госуслуги, как показано ниже.
Автоматизацию в 1С можно отслеживать здесь.
Далее:
Если выбрали через ЕСИА, то далее так:
Примерный образец заполнения ниже. Можно менять, дополнять по своей ситуации. Если что-то будет недозаполнено, то при отправке всплывет сообщение, и проблемное поле подсветится красным цветом.
Текст для заполнения:
– Трудовым кодексом РФ, Гражданским кодексом РФ, Федеральным законом № 152-ФЗ от 27.07.2006.
– ведение кадрового и бухгалтерского учета, оформления трудовых и гражданско-правовых отношений, обработки персональных данных в соответствии с трудовым и гражданским законодательством
Текст для заполнения:
– назначение лица, ответственного за обработку и хранение персональных данных, которым является …, …, тел. +7 …, …, …;
– разработка и утверждение локальных нормативных актов, регламентирующих работу с персональными данными (Положение о работе с персональными данными, Политика обработки персональных данных и др.);
– осуществление внутреннего контроля и аудита соответствия обработки персональных данных законодательству РФ;
– оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;
– ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями к их защите, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
– применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных;
– применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
– оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
– учет машинных носителей персональных данных;
– обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;
– контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем и другие меры в соответствии с законодательством.
– реализация разрешительной системы допуска пользователей, регистрация действий пользователей;
– учет и хранение съемных носителей информации;
– использование средств защиты информации, использование защищенных каналов связи;
– организация физической защиты помещений.
Текст для заполнения:
сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (распространения, предоставления, доступа), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники, смешанной обработки персональных данных, информация передается с использованием сети связи общего пользования (Интернет)
Текст для заполнения:
– профессия, гражданство, должность, изображение (фотография), контакты (номера телефонов, электронной почты), ИНН, данные паспорта, военного билета, медицинского полиса, СНИЛС, сведения о близких родственниках работников
– работникам (субъектам), состоящим в трудовых отношениях с … (Оператором), исполнителям по гражданско-правовым договорам, соискателям, близким родственникам работников
Отправка уведомлений об обработке персональных данных
Формы уведомлений: сейчас действуют утвержденные формы уведомлений (приказ РКН от 28.10.2022 № 180).
Когда: до начала обработки данных.
Куда: уведомление направляется в территориальный орган Роскомнадзора (то есть в Управление РКН по вашему региону или федеральному округу).
Как: уведомление можно направить бумажным письмом или электронно, используя авторизацию через ЕСИА (проще всего). Также возможен вариант с электронной подписью.Для отправки нужно зайти на портал персональных данных, выбрать удобный способ и перейти к заполнению форм.Формы для бумажной и электронной отправки практически идентичны, поэтому дальше приводим универсальную инструкцию.
Стоит ли инициатору собрания направлять уведомления в Роскомнадзор
Инициатор собрания (или другое лицо, которое участвует в обработке персональных данных) сам решает, соблюдать ли ему требования закона о персональных данных.
По мнению автора материала, уведомить РКН стоит, особенно если в доме есть оппозиция или соседи, чрезмерно озабоченные защитой своих персональных данных.
А вообще, ответственность за неуведомление РКН достаточно смешная.Она предусмотрена статьей 19.7 КоАП РФ – «Непредставление сведений (информации)». Наказание для граждан – предупреждение или административный штраф от 100 до 300 рублей.
Чтобы максимально упростить эту бюрократическую процедуру для тех, кто на нее решится, и был подготовлен этот материал.
Средняя
Средняя степень вреда присваивается, если:
- ПД распространяются на сайте оператора или неограниченному кругу лиц;
- цель обработки ПД отличается от первоначальной;
- используются базы персональных данных других операторов с целью продвижения своих товаров, работ, услуг;
- получено согласие на обработку ПД на сайте оператора, который не предусматривает дальнейшую идентификацию и
аутентификацию субъекта персональных данных; - осуществляется обработка персональных данных с получением согласия на передачу права их обработки третьими
лицам в целях, которые несовместимы с целями сбора таких данных.
Подтверждение уничтожения персональных данных: зачем это нужно
Подтверждение уничтожения персональных данных — это процесс, который гарантирует, что ПД были уничтожены согласно
законодательству. Акт об уничтожении подтверждает то, что личная информация была действительно стёрта и не подлежит
восстановлению. Содержание документа регулируется Приказом Роскомнадзора от 28.10.2022 № 179. Сам акт составляется в
свободной форме.
Уничтожение персональных данных является одним из аспектов защиты цифровой информации, поэтому подтверждение ПД
закрепили на законодательном уровне. Этот процесс должен быть интегрирован с другими мерами, такими как ограничение
доступа к данным и обеспечение их конфиденциальности.
Дополнительные разъяснения Роскомнадзора
Мы направили в РКН два обращения с просьбой о дополнительном разъяснении обязанности инициатора общего собрания собственников уведомлять Роскомнадзор об обработке персональных данных.
Вот что написало ведомство в своих двух ответах от 07.11.2022 № 08 – 98470 и от 10.11.2022 № 08 – 99909.
- Обязанность по направлению уведомления об обработке персональных данных возлагается, в том числе на физическое лицо – инициатора общего собрания, независимо от формы проведения общего собрания (спрашивали про собрания в ГИС ЖКХ).
- Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Таким образом, обработка персональных данных в системе программ «Excel» и «Word» признаётся осуществляемой с использованием средств автоматизации (спрашивали про эти программы).
- Поручение оператора на обработку данных другому лицу не отменяет возложенную на оператора обязанность по уведомлению об обработке (спрашивали про подготовку документов с помощью сторонних юристов или сервисов).
- В случае прекращения обработки персональных данных оператору необходимо направить уведомление о прекращении обработки персональных данных (спрашивали про прекращение обработки).
Ответ РКН №08 – 99909Скачать
Ответ РКН №08 – 98470Скачать
Итак, РКН ничего обнадеживающего не написал, поэтому придется направлять два уведомления – о начале обработки и ее прекращении.
Что содержит документ и образец согласия на обработку персональных данных в 2024 году
В документе перечисляется личная информация, на использование которой согласно физическое лицо. Форма кроме ПД содержит:
Документ заполняется в произвольной форме или по шаблону, который разработан и действует в компании. В согласии должна присутствовать информация:
В основной части документа указывается:
Отказ работника от подписания документа
Несогласие сотрудника подписывать согласие практически не имеет значения для предприятия. Согласно 5 пункту первой части шестой статьи № 152-ФЗ работодатель, который использует личные сведения персонала, не обязан получать согласительный документ.
Документ не нужен, если объем информации, который применяет ОПД, не выходит за рамки установленного перечня и не противоречит целям использования, предусмотренными Трудовым кодексом РФ. Пример: предприятие может использовать ПД в ситуациях, предусмотренных коллективными контрактами, соглашениями, приказами компании согласно 372 статье ТК РФ.
Отзыв согласия на обработку персональных данных
СПД – физическое лицо, которое официально трудоустроено в компании, – вправе отозвать согласие согласно 9 статьи № 152-ФЗ. Необходимо понимать, что после отзыва работодатель может продолжать использовать личные сведения.
Обязательно ли получение согласия на обработку персональных данных
Согласие на обработку персональных данных физического лица не требуется в случаях, приведенных в п. п. 2 — 11 ч. 1 ст. 6 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Например, оно не нужно, если обработка необходима для:
В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Например, придется получить письменное согласие, если компания собирает данные граждан для маркетингового исследования или уступает требование к должнику — физическому лицу.
Согласие на обработку персональных данных с сентября 2022 года должно быть предметными и однозначными, а не просто сознательными, конкретными и информированными (Федеральный закон от 14.07.2022 № 266-ФЗ, далее – Закон № 266-ФЗ). Согласие на обработку персональных данных (бланк) закон по-прежнему не предусматривает, однако устанавливает его содержание, правила заполнения и условия обработки.
Нужно ли согласие на обработку персональных данных
Согласие на обработку персональных данных – обязательный документ при работе с персональными данными (кратко – ПД): работников, соискателей, контрагентов по договорам ГПХ и иных лиц. Его нужно получить в письменной форме от субъекта ПД или доверенного лица (ст. ст. 6 и 9 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ).
Решение о предоставлении ПД принимает их субъект: свободно, по своей воле и в своем интересе. При недееспособности согласие на обработку персональных данных дает законный представитель субъекта. В случае смерти субъекта согласие на обработку ПД дают его наследники, если оно не дано им при жизни (ч. 6 и 7 ст. 9 Закона № 152-ФЗ).
Оператор (работодатель) может поручать обработку ПД другому лицу. Для этого нужно:
Поручитель не обязан получать согласие субъекта ПД на их обработку. При этом на него перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ).
Иностранные лица с 1 сентября 2022 года также вправе обрабатывать ПД на основании согласия гражданина России (ч. 1.1 ст. 1 Закона № 152-ФЗ). Если обработка ПД поручается иностранному лицу, то ответственность перед их субъектом – солидарная. Следовательно, за нарушения, допущенные иностранным физическим или юридическим лицом, отвечает и оператор (ч. 6 ст. 6 Закона № 152-ФЗ).
Когда возможна обработка персональных данных без согласия
Существуют случаи, когда возможна обработка персональных данных без согласия субъекта (п. 2–11 ч. 1 ст. 6 Закона № 152-ФЗ). В частности, если личные сведения работника обрабатывают во исполнение закона (в силу нормативных требований). К примеру, трудовой договор нельзя заключить без паспортных данных, номера СНИЛС сотрудника и других его сведений (ст. 65 ТК РФ). В этом случае согласие лица на обработку персональных данных не нужно (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ).
По этой же причине не получают отдельного согласия от работника при ведении обязательного кадрового и воинского учета, а также при использовании ПД в целях обеспечения безопасности и обеспечения учета в случае чрезвычайных ситуаций (п. 9 ч. 1 ст. 6 Закона № 152-ФЗ).
Стоит ли инициатору собрания направлять уведомления в Роскомнадзор
Инициатор собрания (или другое лицо, которое участвует в обработке персональных данных) сам решает, соблюдать ли ему требования закона о персональных данных.
По мнению автора материала, уведомить РКН стоит, особенно если в доме есть оппозиция или соседи, чрезмерно озабоченные защитой своих персональных данных.
А вообще, ответственность за неуведомление РКН достаточно смешная.Она предусмотрена статьей 19.7 КоАП РФ – «Непредставление сведений (информации)». Наказание для граждан – предупреждение или административный штраф от 100 до 300 рублей.
Чтобы максимально упростить эту бюрократическую процедуру для тех, кто на нее решится, и был подготовлен этот материал.
Автор материала благодарит подписчика Андрея за помощь в подготовке этой статьи.
Дополнительные разъяснения Роскомнадзора
Мы направили в РКН два обращения с просьбой о дополнительном разъяснении обязанности инициатора общего собрания собственников уведомлять Роскомнадзор об обработке персональных данных.
Вот что написало ведомство в своих двух ответах от 07.11.2022 № 08 – 98470 и от 10.11.2022 № 08 – 99909.
- Обязанность по направлению уведомления об обработке персональных данных возлагается, в том числе на физическое лицо – инициатора общего собрания, независимо от формы проведения общего собрания (спрашивали про собрания в ГИС ЖКХ).
- Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Таким образом, обработка персональных данных в системе программ «Excel» и «Word» признаётся осуществляемой с использованием средств автоматизации (спрашивали про эти программы).
- Поручение оператора на обработку данных другому лицу не отменяет возложенную на оператора обязанность по уведомлению об обработке (спрашивали про подготовку документов с помощью сторонних юристов или сервисов).
- В случае прекращения обработки персональных данных оператору необходимо направить уведомление о прекращении обработки персональных данных (спрашивали про прекращение обработки).
Ответ РКН №08 – 99909Скачать
Ответ РКН №08 – 98470Скачать
Итак, РКН ничего обнадеживающего не написал, поэтому придется направлять два уведомления – о начале обработки и ее прекращении.
Уведомление об обработке персональных данных в 2024 году
Все организации и ИП, которые планируют начать обработку персональных данных, в 2024 году должны уведомить об этом Роскомнадзор.
Уведомление нужно подать до начала обработки персональных данных по форме, утвержденной приказом Роскомнадзора от 28.10.2022 № 180. Согласно ч.3 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в уведомление должны быть включены следующие данные:
- наименование организации или ФИО предпринимателя, которые планируют осуществлять обработку персональных сведений физлиц, и их адрес;
- цель обработки персональных данных;
- сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
- ФИО работников, ответственных за обработку персональных данных, и их контактные данные (телефон, почтовый индекс, электронная почта);
- дата начала обработки персональных данных;
- срок прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;
- сведения об обеспечении безопасности персональных данных.
Конкретных сроков представления этих сведений в составе уведомления законодательство не содержит. При этом уведомить Роскомнадзор требуется до начала осуществления обработки персональных данных.
О любых изменениях сведений (например, при изменении целей или сроков обработки персональных данных) компания должна уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
Уведомить Роскомнадзор о прекращении обработки персональных данных требуется в течение 10 рабочих дней с даты прекращения их обработки (ч.7 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ).
Изменения по персональным данным
- Как обрабатывать персональные данные: новые рекомендации Роскомнадзора
- Сбор персональных данных: новые требования для компаний
- Как компаниям уничтожать персональные данные
- Штрафы за неправомерную обработку персональных данных с 23 декабря 2023 года
О чем речь
ФИО и адрес собственников – это персональные данные. При проведении собрания и оформлении протокола осуществляется обработка этих данных.
Лица, которые обрабатывают персональные данные, называются операторами.Чаще всего роль оператора играют инициаторы собрания, но также это могут быть председатель, секретарь, члены счетной комиссии.
У оператора есть обязанности, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Например, он должен уведомлять РКН об обработке персональных данных и прекращении этой обработки (статья 22).
Раньше закон предусматривал множество исключений из этой обязанности, поэтому инициатор собрания мог никого ни о чем не уведомлять.
Однако с 1 сентября 2022 года перечень исключений сильно сократился. Теперь в большинстве случаев операторы должны направить уведомления в РКН.
Одно из оставшихся исключений – обработка данных без использования средств автоматизации. Однако инициатор работает как с бумагами, так и с файлами на компьютере. Последнее считается автоматизированной обработкой персональных данных.
Теоретически возможен сценарий, когда инициатор получает полнейший реестр собственников от управляющей компании, на компьютере печатает неименные бюллетени, а также остальные части и приложения протокола без персональных данных, а потом все они заполняются ручкой, при этом подсчет голосов происходит тоже на бумаге, и дальше инициатор игнорирует свою обязанность по загрузке протокола в ГИС ЖКХ. В таком случае обработку можно было бы считать неавтоматизированной и не уведомлять РКН. Но такой вариант маловероятен, поэтому разбираемся с уведомлениями дальше.
Уведомление об изменении персональных данных: новый срок
Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в
Роскомнадзор уведомление о сборе ПД и уведомление об изменении представленной информации.
Новое в персональных данных в 2023 году — это сроки подачи уведомлений. Ранее отправлять уведомление об изменении
представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта
2023 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в
Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. При представлении
используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.
Пример заполнения формы из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180