Операторов персональных данных пугают штрафами: что ответить на запрос Роскомнадзора?
Кому подходит эта статья: всем компаниям и ИП.
В последнее время нашим клиентам стали приходить от Роскомнадзора письма запугивающего характера. В них говорится, что организация является оператором, обрабатывающим персональные данные, и, следовательно, обязана уведомлять об этом Роскомнадзор. Операторы персональных данных, которые проигнорируют такой запрос, будут наказаны штрафом.
Если подобный запрос прилетел в вашу компанию, не надо паниковать! Давайте разберемся, кто обязан отправлять уведомление о персональных данных, и что написать в ответ на запрос Роскомнадзора, чтобы избежать штрафа и других неприятностей.
Начнем с того, что, персональные данные в том или ином составе собирают и обрабатывают практически все компании и предприниматели. А значит, все они являются операторами персональных данных и обязаны исполнять требования законодательства о защите персональных данных.
В то же время уведомление Роскомнадзора об обработке персональных данных – требование не для всех!
Все зависит от того, какие именно данные получает и каким именно образом их обрабатывает оператор.
- Необходимо направить уведомление – если компания на регулярной основе занимается обработкой персональных данных граждан (клиентов, заказчиков, сотрудников сторонних компаний). Образец такого уведомления можно заполнить и отправить непосредственно через сайт Роскомнадзора
Кому обязательно надо извещать Роскомнадзор:
- Большинство юридических фирм; компании, оказывающие услуги по аутсорсингу бухгалтерии и кадрового делопроизводства; банки; медучреждения; магазины, салоны и клубы с персональными клубными картами; образовательные организации; туроператоры и др.
- Компания использует CRM или аналогичные системы.
- На сайте компании возможна регистрация пользователей, даже с минимальным набором данных: имя пользователя и e-mail (форумы, социальные сети, интернет-магазины, сайты с частными объявлениями и др.).
- Сайт позволяет вносить в формы персональные данные пользователей, которые затем публикуются на сайте или отправляются по e-mail. Например, если на сайте есть возможность отправить быстрый заказ, подписаться на рассылку и т.п.
- Сайт уже содержит реальные персональные данные граждан.
- Уведомление не требуется:
- Если компания получает и обрабатывает исключительно сведения своих сотрудников в рамках трудовых отношений.
- Когда персональные данные обрабатываются исключительно для исполнения договора.
- Если персональные данные обрабатываются без использования средств автоматизации (без компьютера, электронных баз данных, CRM).
- Если персональные данные включают в себя только ФИО граждан.
- При обработке персональных данных, включенных в федеральные информационные системы (например, данных из ЕГРЮЛ).
- Если данные используются исключительно для выдачи одноразового пропуска клиентам компании и другим лицам.
- Сам человек сделал свои личные данные общедоступными.
- Когда персональные данные о членах общественной организации обрабатываются самой этой организацией.
- Персональные данные обрабатываются в целях транспортной безопасности.
Компаниям и ИП, которые «вписываются» в названные ситуации, достаточно разработать один комплексный документ, определяющий политику компании в области обработки персональных данных.
Большинство наших клиентов хоть и являются операторами персональных данных, не обязаны уведомлять Роскомнадзор, так как они попадают под вышеназванные исключения из общего правила (чаще всего – обрабатывают только данные своих работников по трудовым договорам и данные физлиц по гражданско-правовым договорам).
Но игнорировать запрос от Роскомнадзора не рекомендуется – помимо требования прислать уведомление, в письме перечислены сведения, которые ожидают получить защитники персональных данных от таких «льготников»:
- перечень персональных данных;
- категории лиц, чьи персональные данные обрабатывает компания;
- цели обработки персональных данных;
- способы обработки и т.д.
На первый взгляд может показаться, что сложностей с ответами на вопросы не возникнет. Однако это не так – за каждым из них кроется подвох, и, если неправильно ответить, Роскомнадзор отнесет вашу компанию не к «исключительной», а обычной категории операторов персональных данных со всеми вытекающим последствиями.
Как раз для таких случаев в помощь нашим клиентам мы подготовили универсальный ответ на требование Роскомнадзора, который подходит для всех компаний.
Если Вы еще не успели стать клиентом 1С- WiseAdvice, мы готовы также помочь с ответом на запрос Роскомнадзора и выслать шаблон ответа Вам на e-mail.Подпишитесь на обновления блога
-
Субсидиарная ответственность учредителя и директора ООО по долгам в 2021 году
15 октября 2019
-
Налоговая нагрузка:
что это такое и как правильно рассчитать02 июля 2019 -
Кто несет ответственность при бухгалтерском аутсорсинге
22 июля 2019
-
Восстановление кадрового учета: пошаговая инструкция
14 мая 2019