Приказ роскомнадзора от 28.10.2022 n 180

Когда необходимо отправлять уведомления в Роскомнадзор

Уведомлять Роскомнадзор о планах обрабатывать личную информацию будет необходимо и в случаях, когда эти сведения (абз. 2 пп. “а” п. 14 ст. 1 Проекта Федерального закона N 101234-8):

• относятся к работникам;
• принадлежат контрагентам оператора, а он использует персональные данные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
• нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.

Уведомление можно отправить в виде бумажных документов по почте, либо в электронном виде. Инструкции для каждого варианта на сайте РКН.

После обработки уведомления Роскомнадзор включит оператора в свой реестр. Проверить наличие оператора персональных данных в реестре можно на сайте Роскомнадзора.

Сейчас в этих и некоторых других случаях извещать Роскомнадзор не нужно. Оператор должен будет до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту (пп. “б” п. 9 ст. 1 проекта ФЗ).

Трансграничная передача данных

Также с 1 марта 2023 года компании будут обязаны уведомлять РКН в случае, если они отправляют персональные данные из РФ за границу. При этом при определении трансграничной передачи будет учитываться не страна регистрации принимающей стороны, а расположение инфраструктуры. В отдельных случаях контролирующие органы могут ограничить передачу персональных данных за границу. Кроме того, вводится принцип экстерриториальности для российского законодательства о персональных данных. Таким образом, обработка персональных данных граждан РФ за границей также будет объектом регулирования соответствующих органов государственной власти РФ.

• 02.02.2023 C 1 марта 2023 года Роскомнадзор сможет запрещать операторам ПД передавать данные за границу
• 17.03.2023 Оформление передачи персональных данных за границу: условия, штрафы, алгоритм уведомления

Обязанность уведомления об инцидентах

Нужно будет работать с госсистемой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ. В частности, через нее придется сообщать об инцидентах, из-за которых произошла утечка личных сведений в течение 24 часов после происшествия, с указанием предполагаемых причин инцидентов и мерах по их устранению (абз. 2 п. 11 ст. 1 проекта ФЗ). 11.08.2022 На заседании Общественного совета при Роскомнадзоре необходимость этого изменения Роскомнадзор обосновал так: “Это необходимо, чтобы как можно быстрее снизить доступность таких баз персональных данных в интернете. Также обработка персональных данных станет возможна только в целях договора, в котором нет условий, ограничивающих человека в его праве контролировать свои персональные данные – получать информацию об обработке, требовать удаления или уничтожения данных, не соглашаться с передачей данных третьим лицам.”.

19.12.2022 Подать информацию об инцидентах и результатах их внутренних расследований можно по ссылкам с сайта РКН, пройдя идентификацию ЕСИА (Госуслуги).

Раннее такая обязанность возлагалась только на компании-операторов критической инфраструктуры. Все они с 2018 года были обязаны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), созданной на основании Указа Президента РФ №31с от 15.01.2013. Информация, собранная в указанной системе, обрабатывается Национальным координационном центре по компьютерным инцидентам (НКЦКИ) и все операторы, подлючённые к ГоСОПКА, имеют доступ к актуальной информации об утечках, критических уязвимостях и кибератаках на объекты критической инфраструктуры. Новый закон, по-видимому, распространит аналогичные практики на всех операторов персональных данных. Подключение к системе ГоСОПКА осуществляется с помощью компаний, настроивших безопасную передачу данных с этой системой и предоставляющих услуги по подключению новых компаний (чаще всего это операторы связи, либо компании, работающие в сфере кибербезопасности). С 1 марта 2023 года Роскомнадзор будет вести учёт инцидентов в специализированном реестре.

Когда можно использовать мультисогласие

Получения мультисогласия возможно только в случаях, когда обработка персональных данных не подпадает под обязательное требование получения письменной формы Согласия

Важно учесть, что согласие по закону должно быть конкретным, предметным, информированным, осознанным и однозначным. Поэтому, если в Согласии необходимо указать несколько целей обработки, рекомендуется руководствоваться принципом однородности в отношении включаемых целей и объёма обрабатываемых личных данных

Рассмотрим ситуацию на примере обработки персональных данных на сайте компании.

При получении информации через веб-ресурс возможно использование мультисогласия, так как:

• для данной ситуации не требуется оформление письменной формы;
• можно определить однородные цели, для которых объём обрабатываемых данных примерно одинаков. К этим целям можно, в частности, отнести: оказание информационно-консультационных и иных услуг в соответствии с деятельностью оператора; включение в члены сообщества; регистрация на мероприятия; осуществление обратной связи; осуществление заочных опросов с целью изучения мнения об оказанных услугах; сбор статистической информации о пользователях с использованием метрической программы Яндекс.Метрика; информационная рассылка.

Несмотря на то что объём обрабатываемых данных для каждой указанной цели будет примерно одинаков, в Согласии лучше указать категории данных по отношению к каждой цели – это увеличит соответствие Согласия принципам конкретности и однозначности.

Однако включить в мультисогласие на сайте цели, связанные с распространением персональных данных, не получится, поскольку:

• при использовании общедоступных источников информации (например, телефонных справочников или адресных книг) требуется получение письменного Согласия;
• при распространении персональных данных в сети Интернет на ресурсах, которые не являются адресными книгами или телефонными справочниками, необходимо соблюдать определённые условия. В частности, требуется получение специального Согласия от субъекта персональных данных на обработку информации, разрешённой для распространения. Это согласие должно быть оформлено отдельно от других видов согласий, и его состав регламентирован приказом Роскомнадзора от 24.02. 2021 № 18.

Ещё одним отличием в оформлении письменного Согласия от Согласия в свободной форме является требование указания лиц, как юридических, так и физических, которым предполагается передавать данные.

Ч. 4 ст. 9 152-ФЗ устанавливает требования для оформления письменного Согласия, включая указание наименования или фамилии, имени, отчества и адреса лица, которое будет осуществлять обработку персональных данных по поручению оператора, если обработка поручается указанному лицу.

Если передача данных происходит вне договора о поручении и осуществляется через оформление Согласия в свободной форме, то прямого требования указывать лиц, которым будут переданы данные, не существует. Тем не менее, рекомендуется включать подобную информацию в Согласие, чтобы сделать процесс обработки персональных данных в компании более прозрачным и понятным для субъектов. В таком случае возможны различные способы указания информации о лицах, которым будут переданы персональные данные.

Приведём несколько примеров для наглядности.

• При передаче информации большому числу лиц возможно предусмотреть в Согласии условие о том, что в определённых целях данные могут быть переданы третьим лицам, например, партнёрам компании, с перечнем которых субъект персональных данных может ознакомиться на сайте оператора или в другом указанном источнике.
• Если меняются получатели данных, но цели обработки и конкретная ситуация, связанная с передачей данных, не меняются (например, передача данных сотрудников для каждого электронного конкурса/аукциона, где необходимо предоставить их персональные данные для участия), то достаточно получить одно Согласие в целях участия в торгах, электронных конкурсах/аукционах на объём данных, необходимых для указанных целей и при подписании разъяснить (можно устно) сотруднику о необходимости обработки таких сведений с учётом его должностных обязанностей и требований законодательства о торгах. Аналогичная ситуация с передачей данных сотрудников в образовательные учреждения в целях повышения квалификации, переподготовки, обучения или получения дополнительного образования (возможно получение одного Согласия в указанных целях без указания конкретных образовательных учреждений).

Как отправить Уведомление в Роскомнадзор

Уведомление передайте в РКН любым из способов:

• отправьте письмом в адрес территориального отделения Роскомнадзора по месту регистрации компании или ИП (или привезите лично);
• в электронном виде через сайт РКН, используя УКЭП;
• через ЛК на портале Госуслуг с использованием средств аутентификации ЕСИА.

Кстати, Роскомнадзор планирует поменять форму уведомления и уже разработал три новых бланка:

• о намерении осуществлять обработку персональных данных;
• о внесении изменений в ранее представленные сведения;
• о прекращении обработки персональных данных.

Проект приказа об утверждении этих форм опубликован на федеральном портале НПА ().

Подписывайтесь на наши YouTube
и Telegram чтобы не
пропустить важные изменения 1С и законодательства

Дополнительные разъяснения Роскомнадзора

Мы направили в РКН два обращения с просьбой о дополнительном разъяснении обязанности инициатора общего собрания собственников уведомлять Роскомнадзор об обработке персональных данных.

Вот что написало ведомство в своих двух ответах от 07.11.2022 № 08 – 98470 и от 10.11.2022 № 08 – 99909.

• Обязанность по направлению уведомления об обработке персональных данных возлагается, в том числе на физическое лицо – инициатора общего собрания, независимо от формы проведения общего собрания (спрашивали про собрания в ГИС ЖКХ).
• Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Таким образом, обработка персональных данных в системе программ «Excel» и «Word» признаётся осуществляемой с использованием средств автоматизации (спрашивали про эти программы).
• Поручение оператора на обработку данных другому лицу не отменяет возложенную на оператора обязанность по уведомлению об обработке (спрашивали про подготовку документов с помощью сторонних юристов или сервисов).
• В случае прекращения обработки персональных данных оператору необходимо направить уведомление о прекращении обработки персональных данных (спрашивали про прекращение обработки).

Ответ РКН №08 – 99909Скачать

Ответ РКН №08 – 98470Скачать

Итак, РКН ничего обнадеживающего не написал, поэтому придется направлять два уведомления – о начале обработки и ее прекращении.

Согласие на обработку персональных данных без их распространения

С 1 марта 2021 года законодательство о защите персональных данных предусматривает необходимость получать у субъекта персональных данных разные согласия на их обработку в зависимости от того, планируется ли распространять такие данные среди неограниченного круга лиц или нет. Соответственно, субъект персональных данных может дать как простое согласие на обработку персональных данных, так и согласие на распространение персональных данных. Напомним, что под обработкой персональных данных подразумевается любое действие с ними, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

Ниже рассмотрим порядок оформления и требования к содержанию простого согласия на обработку персональных данных без их распространения.

Содержание согласия на обработку персональных данных

Согласие на обработку персональных данных без их последующего распространения среди неограниченного круга лиц должно содержать следующие сведения (ч. 4 ст. 9 Закона № 152-ФЗ):

• фамилию, имя, отчество субъекта персональных данных;
• адрес субъекта персональных данных;
• номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
• фамилию, имя, отчество, адрес представителя субъекта персональных данных;
• номер основного документа, удостоверяющего личность представителя субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
• наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись субъекта персональных данных.

Оформление согласия на обработку персональных данных

Действующее законодательство содержит перечень случаев, в которых согласие на обработку персональных данных обязательно должно быть оформлено в письменной форме. В частности, получить письменное согласие необходимо:

• при обработке биометрических персональных данных (ч. 1 ст. 11 Закона № 152-ФЗ);
• при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона № 152-ФЗ);
• при принятии решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы (ч. 2 ст. 16 Закона № 152-ФЗ);
• и т.д.

Если для конкретной ситуации законом предусмотрена необходимость оформления согласия на обработку персональных данных в письменной форме с личной подписью субъекта персональных данных, его следует оформить письменно. Кроме того, согласие может быть оформлено в виде электронного документа. В этом случае для его подписания понадобится электронная подпись (ч. 4 ст. 9 Закона № 152-ФЗ). Если письменная форма согласия законом не предусмотрена, оно может быть оформлено другими способами, например, путем проставления субъектом персональных данных отметки в соответствующем поле при заполнении данных на сайте. Заверять такое согласие электронной подписью не требуется.

Однако даже если закон не предусматривает обязательного письменного согласия на обработку персональных данных сотрудника, рекомендуется по возможности оформлять его письменно. В случае возникновения претензий со стороны работника такой документ может подтвердить право работодателя на обработку данных. Дело в том, что согласно ч. 3 ст. 9 Закона № 152-ФЗ доказывать наличие согласия должен именно оператор персональных данных, то есть работодатель. При отсутствии доказательств закон будет на стороне работника.

Что такое персональные данные

Обработка персональных данных регулируется законом № 152-ФЗ от 27 июля 2006 года. К сожалению, конкретики в отношении самого понятия персональных данных в этом документе нет.

В статье 3 закона № 152-ФЗ сказано следующее: «Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».

В Указе Президента РФ от 06.03.1997 № 188 персональными данными называются «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность».

Больше всего подробностей про состав персональных данных можно найти в п. 2.5 Методических рекомендаций, утвержденных приказом Роскомнадзора от 30.05.2017 № 94. Это следующие сведения:

• фамилия, имя, отчество;
• год, месяц, дата рождения;
• место рождения;
• адрес проживания;
• семейное положение;
• социальное и имущественное положение;
• образование и профессия;
• доходы.

Добавим сюда другие данные, по которым можно идентифицировать человека: номер телефона, адрес электронной почты, аккаунты в соцсетях и мессенджерах, паспортные данные, номер СНИЛС, биометрические данные.

Что касается номера ИНН, то с одной стороны, он полностью позволяет идентифицировать физлицо. С другой стороны, в письмах от 28.01.2020 № 03-01-11/4925 и от 12.02.2020 № 03-01-11/9505 Минфин сообщает, что ИНН не относится к персональным данным и используется только для учета налогоплательщиков.

Тем не менее, в отношении ИНН нельзя исключать спорных ситуаций, потому что мнения разных ведомств по одним и тем же вопросам часто расходятся. С учётом этого, стоит относить к персональным данным и идентификационный номер налогоплательщика.

Если вы не уверены, осуществляется ли в вашем случае обработка персональных данных, задайте вопрос в Роскомнадзор – письмом или через электронную форму на сайте ведомства.

Важно: обработка персональных данных с нарушением установленного порядка наказывается по статье 13.11 КоАП РФ. Сумма штрафа за разные правонарушения достигает 75 тысяч рублей

Если же данные российских граждан хранятся в базах, расположенных за пределами РФ, то штраф может составлять 6 и даже 18 млн рублей (при повторном нарушении). А за отсутствие уведомления о начале обработке персональных данных накажут штрафом до 5 000 рублей по статье ст. 19.7 КоАП РФ.

Отправка уведомлений об обработке персональных данных

Формы уведомлений: сейчас действуют утвержденные формы уведомлений (приказ РКН от 28.10.2022 № 180). 

Когда: до начала обработки данных.

Куда: уведомление направляется в территориальный орган Роскомнадзора (то есть в Управление РКН по вашему региону или федеральному округу).

Как: уведомление можно направить бумажным письмом или электронно, используя авторизацию через ЕСИА (проще всего). Также возможен вариант с электронной подписью.Для отправки нужно зайти на портал персональных данных, выбрать удобный способ и перейти к заполнению форм.Формы для бумажной и электронной отправки практически идентичны, поэтому дальше приводим универсальную инструкцию.

Кем заполняется и кто подает?

Прежде чем отправить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных, лицу следует разобраться, является ли оно оператором ПД.

Законом предусмотрен ряд исключений, когда уведомлять надзорный орган нет необходимости. Уведомление может быть составлено в форме электронного или бумажного документа. За составление документа отвечает лицо, уполномоченное осуществлять операции в сфере ПД в данной организации (п. 1-4 ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Это может быть сотрудник юридического отдела, отдела кадров или любой представитель администрации.

Если документ составляется в бумажной форме, подавать его можно как письмо, отправив по почте. Альтернативным способом подачи является электронное заполнение на сайте Роскомнадзора.

Заполненную на портале форму придется распечатать и так же отправить по почте, тем самым подтвердив сведения, поданные через онлайн-ресурс.

В обоих случаях бумажный носитель заверяется печатью, подписями генерального директора и уполномоченного за обработку ПД лица. Направлять уведомляющий документ следует в управление по тому субъекту Российской Федерации, где зарегистрировано лицо.

Уведомление в электронной форме можно отправить исключительно через Госуслуги. В этом случае распечатывать его и отправлять в Роскомнадзор нет необходимости.

Уведомление об утечке персональных данных

Уведомление об утечке персональных данных может быть двух видов: первичное или дополнительное.

• Первичное уведомление необходимо направить в течение 24 часов. В нём описывают произошедший инцидент,
  предполагаемые причины, нанесённый вред и меры устранения.
• Дополнительное уведомление отправляется в течение 72 часов с момента происшествия инцидента. В него требуется
  включить детали о результатах проведённого внутреннего расследования, включая информацию о лицах, которые были
  признаны виновными в инциденте, а также представить все связанные с ними данные.

Также в течение трёх дней оператор обязан представить все необходимые данные по запросу Роскомнадзора. Сделать это
нужно, если ведомство считает полученную информацию неполной или недостоверной.

Важно отметить, что Роскомнадзор сам может запросить уведомление, если самостоятельно заметит утечку у оператора.
Тогда оператору необходимо провести расследование и в случае отсутствия инцидента приложить соответствующий акт.

УВЕДОМЛЕНИЕ О ПРЕКРАЩЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

(фамилия, имя и отчество (при наличии) гражданина или индивидуального предпринимателя, его идентификационный номер налогоплательщика и (или) основной государственный регистрационный номер индивидуального предпринимателя, наименование юридического лица (полное и сокращенное (при наличии),

его идентификационный номер налогоплательщика и (или) основной государственный регистрационный номер, адрес оператора <1>)

(регистрационный номер записи в реестре операторов <2>)

Основание прекращения обработки персональных данных:

(ликвидация оператора, реорганизация оператора, прекращение деятельности по обработке персональных данных,

аннулирование лицензии, наступление срока или условия прекращения обработки персональных данных, указанного в уведомлении, вступившее в законную силу решение суда и иные основания)

Дата прекращения обработки персональных данных <3>:

(фамилия, имя, отчество (при наличии), должность (при наличии) оператора или иного уполномоченного лица оператора)		(подпись оператора или иного уполномоченного лица оператора)		(расшифровка подписи оператора или иного уполномоченного лица оператора)

«___» __________________ 20__ г.

<1> части 3 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных»),

<2> статьи 22 Федерального закона «О персональных данных».

<3> статьи 22 Федерального закона «О персональных данных».

Что нужно сделать с 1 сентября 2022 г.

1. Уведомить Роскомнадзор об обработке персональных по новым основаниям (ст.22 Закона о персональных данных в новой редакции).

Все работодатели должны направить уведомление в Роскомнадзор об обработке персональных данных своих работников (в бумажном виде или по электронной форме). Тогда данная организация включается в реестр операторов персональных данных. Ранее такая обязанность в Законе о персональных данных отсутствовала. Уведомление необходимо направить и тем операторам, которые стали обязанными информировать Роскомнадзор по другим новым основаниям.

Если организация уже включена в реестр операторов, она должна не позднее 15.09.2022 (п.7 ст. 22 Закона № 152-ФЗ в новой редакции) уведомить Роскомнадзор о новой цели обработки персональных данных. Например, «Обработка в рамках трудовых отношений» или «Обработка при получении данных о ФИО». Подробно об этом мы расскажем ниже.

В случае непредставления или несвоевременного представления уведомления организация может быть привлечена к административной ответственности по ст.19.7 КоАП РФ с взысканием штрафа в размере:

• от 3 000 руб. до 5 000 руб. — для организаций;
• от 300 руб. до 500 руб. — для должностных лиц.

Обращаем внимание! Рекомендуемая форма уведомления в настоящее время утверждена приказом Роскомнадзора от 30.05.2017 N 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения» (Приложение № 1). Организации вправе, пока Роскомнадзор не утвердит новые обязательные формы, использовать данную форму

Однако, с 1 сентября 2022 г. в ней дополнительно нужно будет указать:

Организации вправе, пока Роскомнадзор не утвердит новые обязательные формы, использовать данную форму. Однако, с 1 сентября 2022 г. в ней дополнительно нужно будет указать:

• категории персональных данных и субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными и способы обработки персональных данных отдельно для каждой цели обработки персональных данных (ч. 3.1 ст. 22 Закона N152-ФЗ в новой редакции);
• Ф.И.О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, которые содержатся в государственных и муниципальных информационных системах (п. 10.2 ч. 3 ст. 22 Закона N152-ФЗ в новой редакции).

Порядок направления уведомления содержится в Письме Роскомнадзора от 19.08.2022 N 08-75348.

2. Внести изменения и дополнения в политику персональных данных. В данном документе нужно (п.2 ч.1 ст.18.1. Закона о персональных данных в новой редакции):

• прописать категории и перечень персональных данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения для каждой цели обработки;
• исключить все положения, ограничивающие права субъектов персональных данных, а также полномочия и обязанности операторов, не предусмотренные законодательством РФ.

3. Опубликовать политику персональных данных на всех страницах сайта, на которых осуществляется сбор персональных данных (ч.2 ст.18.1. Закона о персональных данных в новой редакции).

4. Внести изменения и дополнения в форму согласия на обработку персональных данных 2022 (образец согласия — здесь >>) (ч.1 ст.9, ч.2 ст.18 Закона о персональных данных в новой редакции).

5. Внести изменения и дополнения в форму договора поручения на обработку персональных данных (образец договора — здесь >>) (ч.3 ст.6 Закона о персональных данных в новой редакции).

6. При сборе персональных данных разъяснять гражданам юридические последствия отказа предоставить персональные данные и/или дать согласие на их обработку (если в соответствии с законом их предоставление и/или согласие на их обработку обязательно) (ч.2 ст.18 Закона о персональных данных в новой редакции).

7. Если персональные данные получены оператором не от субъекта персональных данных, то дополнительно к информации, указанной в п.3 ст.18 Закона № 152-ФЗ, надо предоставлять также сам перечень полученных персональных данных (п.2.1. ч.3 ст.18 Закона о персональных данных в новой редакции).

8. Выполнять иные требования, предусмотренные Законом № 152-ФЗ, с учетом внесённых изменений в персональные данные в 2022 г.

Расскажем о нововведениях более детально.

Отправка уведомлений о прекращении обработки персональных данных

Когда собрание проведено, а протокол передан в управляющую организацию (ГЖИ), то инициатор должен уведомить РКН о прекращении обработки персональных данных.На это дается десять рабочих дней с даты прекращения обработки персональных данных.

Форма такого уведомления проще, но нужно приложить документы, подтверждающие прекращение обработки.И еще из минусов: на сайте нашлась только та форма, которую нужно заполнить электронно и продублировать бумагой.

Вот сама форма. Начало заполняется несложно – куда направляется (где находитесь) и от кого. Дальше нужно найти и указать номер записи в реестре уведомлений. Номер записи ищется в неудобном реестре уведомлений. В поле «организация» можно указать свою фамилию (фамилия и имя – уже не находит). 

Номер копируется в специальное поле. Осталось поставить отметку – «основание прекращения» и прикрепить подтверждающие документы:

Приложениями будут документы о передаче протокола, например, акт о передаче протокола в УК или сопроводительное письмо в ГЖИ, а также акт об уничтожении информационной системы персональных данных на компьютере.

Сопроводительное письмо к протоколу в ГЖИСкачать
Акт передачи протокола в управляющую организациюСкачать
Акт об уничтожении персональных данных собственниковСкачать

В акте об уничтожении данных в комиссию, помимо инициатора собрания, можно включить членов счетной комиссии, председателя или секретаря собрания.

После отправки уведомления в электронном виде надо продублировать то же самое на бумаге. 

РКН рассматривает уведомления (и об обработке, и о прекращении) в течение 30 дней с даты поступления уведомления (обычно быстрее) и включает / исключает соответствующие сведения из реестра уведомлений.

Где взять документ?

Документ должен обязательно содержать следующую информацию:

1. тип и название оператора;
2. адрес оператора с указанием местонахождения;
3. ИНН и ОГРН;
4. сведения о законах, которыми руководствуется оператор;
5. цели работы с ПД;
6. средства обеспечения защиты информации;
7. когда оператор начал обрабатывать ПД;
8. сроки окончания обработки или условия прекращения проведения операций;
9. данные об информационной системе и категории сведений;
10. категории субъектов ПД;
11. список действий и способов обработки ПД;
12. осуществляется ли передача сведений третьим лицам;
13. где находится база данных – страна и адрес;
14. кто отвечает за действия с ПД: физическое лицо (паспортные данные, контакты и должность) или юридическое лицо (наименование, адрес, контакты).

Почему могут запретить передавать персональные данные 2023 за границу

Роскомнадзор запретит или ограничит передачу личных сведений граждан в том случае, если указанная причина
отправки не соответствует заявленной. Также ведомство может отказать в отправке ПД, если объём и содержание
имеют расхождения с предусмотренными.

Принимающая сторона должна иметь должные технические средства для защиты получаемой информации. Получатель
обязан гарантировать защиту и должную обработку полученных сведений.

Если цель отправки и величина данных совпадают с указанной, а адресат обеспечивает должную обработку и защиту
прав субъекта ПД, то Роскомнадзор не будет устанавливать запрет на передачу.