Обработка персональных данных в бюро переводов: обязанности по уведомлению регулирующего органа
Анализ ситуации
Бюро переводов в процессе своей деятельности осуществляет различные операции с персональными данными как сотрудников, так и клиентов. Это включает хранение данных сотрудников в базе, работу с персональными данными клиентов при переводе документов (паспортные данные, адреса и др.), а также передачу файлов между отделами.
Что считается обработкой персональных данных
"Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных" (Источник: Федеральный закон "О персональных данных", статья 3)
Все перечисленные в вопросе действия бюро переводов подпадают под определение обработки персональных данных:
- Хранение данных сотрудников в базе
- Работа с персональными данными клиентов при переводе документов
- Пересылка файлов между отделами
Обязанность по уведомлению регулирующего органа
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон "О персональных данных", статья 22)
Исключения из обязанности уведомления:
"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон "О персональных данных", статья 22)
Поскольку бюро переводов использует базы данных и передает файлы между отделами с использованием компьютерной техники, обработка является автоматизированной и не подпадает под исключения. Следовательно, уведомление Роскомнадзора обязательно.
Содержание уведомления
Уведомление должно содержать следующие сведения:
-
"наименование (фамилия, имя, отчество), адрес оператора" (Источник: Федеральный закон "О персональных данных", статья 22)
-
"цель обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 22)
-
"описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств" (Источник: Федеральный закон "О персональных данных", статья 22)
-
"фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты" (Источник: Федеральный закон "О персональных данных", статья 22)
-
"дата начала обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 22)
-
"срок или условие прекращения обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 22)
-
"сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки" (Источник: Федеральный закон "О персональных данных", статья 22)
-
"сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации" (Источник: Федеральный закон "О персональных данных", статья 22)
-
"сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации" (Источник: Федеральный закон "О персональных данных", статья 22)
Дополнительно требуется указать для каждой цели обработки:
"категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 22)
Последствия неуведомления
"Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность" (Источник: Федеральный закон "О персональных данных", статья 24)
"Непредставление или несвоевременное представление в государственный орган (должностному лицу) ... сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности ... - влечет предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей" (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 19.7)
Выводы и рекомендации
-
Бюро переводов является оператором персональных данных и обязано уведомить Роскомнадзор до начала обработки.
-
Обязательно указывать в уведомлении:
- Наименование и адрес бюро переводов
- Цели обработки (кадровый учет, оказание переводческих услуг)
- Категории данных (паспортные данные, адреса, контактная информация)
- Категории субъектов (сотрудники, клиенты)
- Способы обработки (автоматизированная)
- Сроки хранения данных
- Меры защиты персональных данных
-
При изменении сведений об обработке необходимо уведомить регулятора в течение 15 дней следующего месяца.
-
Рекомендуется обратиться к адвокату для подготовки точного уведомления с учетом специфики деятельности бюро переводов и разработки необходимых локальных актов по защите персональных данных.
-
Неуведомление или неправильное оформление уведомления может повлечь административную ответственность и штрафы.