Обработка персональных данных в бюро переводов и уведомление Роскомнадзора
Анализ ситуации
Деятельность бюро переводов, связанная с обработкой персональных данных сотрудников (кадровый учет) и клиентов (работа с документами, содержащими личную информацию), является обработкой персональных данных в соответствии с законодательством РФ.
Правовое регулирование
Что признается обработкой персональных данных
"обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 3)
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 3)
"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 3)
Обязанность уведомления Роскомнадзора
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 22)
"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 22)
Содержание уведомления
"Уведомление должно содержать следующие сведения: 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; ... 7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных; 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации; 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 22)
"При предоставлении сведений, предусмотренных частью 3 настоящей статьи, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 22)
Ответственность за нарушение
"Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на юридических лиц в размере от ста тысяч до трехсот тысяч рублей" (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11)
Выводы и рекомендации
1. Обязанность уведомления
Бюро переводов ОБЯЗАНО направить уведомление в Роскомнадзор, поскольку:
- Обработка персональных данных сотрудников и клиентов осуществляется с использованием средств автоматизации (компьютеры, базы данных)
- Деятельность не подпадает под исключения, предусмотренные законом
2. Содержание уведомления
В уведомлении необходимо указать:
Для каждой цели обработки отдельно:
- Цели обработки: "Выполнение договоров с клиентами", "Кадровый учет сотрудников"
- Категории данных:
- Для клиентов: паспортные данные, контактная информация, данные из договоров
- Для сотрудников: персональные данные, необходимые для трудовых отношений
- Категории субъектов: "Клиенты", "Сотрудники"
- Правовые основания: "Договор", "Трудовой договор"
- Перечень действий: сбор, запись, хранение, использование, передача, уничтожение
- Способы обработки: автоматизированные, смешанные
Общие сведения:
- Полное наименование и адрес бюро переводов
- Данные ответственного за обработку персональных данных
- Дата начала обработки
- Срок или условие прекращения обработки
- Сведения об отсутствии трансграничной передачи
- Место нахождения базы данных
- Описание мер защиты персональных данных
3. Ключевые рекомендации
- Описывайте ВСЕ случаи обработки персональных данных в уведомлении
- Для каждой цели обработки указывайте полный перечень требуемых сведений
- Используйте установленные Роскомнадзором формы уведомлений
- Назначьте ответственного за организацию обработки персональных данных
- Разработайте и опубликуйте политику в отношении обработки персональных данных
Важно: При изменении сведений, указанных в уведомлении, необходимо уведомить Роскомнадзор обо всех изменениях не позднее 15-го числа следующего месяца.
Рекомендую обратиться к адвокату, специализирующемуся на защите персональных данных, для подготовки полного пакета документов и минимизации рисков административной ответственности.