Обязанность компании по уведомлению Роскомнадзора об обработке персональных данных
Анализ вашей ситуации
Ваша компания осуществляет обработку персональных данных двух категорий субъектов:
- сотрудников (10 человек)
- контрагентов (как временных, так и постоянных)
Ключевой вопрос — подпадаете ли вы под исключения, когда уведомление не требуется.
Применимые правовые нормы
Согласно Федеральному закону "О персональных данных", оператор до начала обработки персональных данных обязан уведомить уполномоченный орган о своем намерении осуществлять обработку.
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 1)
Важное исключение, которое может относиться к вашей ситуации:
"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: [...] в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 2, пункт 8)
Ответы на ваши вопросы
1. Обязана ли компания направлять уведомление?
Да, обязана, если вы обрабатываете персональные данные с использованием средств автоматизации (компьютеров, программного обеспечения, баз данных). Исключение применяется только если обработка ведется полностью врубезную, без использования каких-либо технических средств.
2. Сроки подачи уведомления
Уведомление должно быть направлено до начала обработки персональных данных. Поскольку ваша компания уже осуществляет такую обработку, уведомление следует подать немедленно.
"Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на юридических лиц - от ста тысяч до трехсот тысяч рублей." (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11, часть 10)
3. Где найти бланк и разъяснения?
Формы уведомлений устанавливаются уполномоченным органом — Роскомнадзором.
"Формы уведомлений, предусмотренных частями 1, 4.1 и 7 настоящей статьи, устанавливаются уполномоченным органом по защите прав субъектов персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 8)
Актуальные формы и разъяснения можно найти на официальном сайте Роскомнадзора.
Выводы и рекомендации
-
Ваша компания обязана подать уведомление в Роскомнадзор, поскольку обработка персональных данных сотрудников и контрагентов, скорее всего, осуществляется с использованием средств автоматизации.
-
Сделайте это как можно скорее, чтобы минимизировать риски административной ответственности.
-
Подготовьте уведомление по установленной форме, содержащее все необходимые сведения, включая:
- Наименование и адрес оператора
- Цели обработки персональных данных
- Описание мер защиты
- Сведения о ответственных лицах
- Дату начала обработки
-
Учитывая, что нарушение уже имеет место, рекомендую обратиться к адвокату, специализирующемуся в области защиты персональных данных, для корректного оформления документов и минимизации правовых рисков.
Штраф за неподачу уведомления для юридических лиц составляет от 100 000 до 300 000 рублей, поэтому своевременное выполнение этой обязанности имеет важное финансовое значение для вашей компании.