WiseAdvice WiseAdvice
собственнику hr-директору 5 минут на прочтение
Проверено на актуальность

Операторов персональных данных пугают штрафами: что ответить на запрос Роскомнадзора?

Елизавета Баушева

Автор: Елизавета Баушева ведущий юрист 1C-WiseAdvice

Кому подходит эта статья: всем компаниям и ИП.

В последнее время нашим клиентам стали приходить от Роскомнадзора письма запугивающего характера. В них говорится, что организация является оператором, обрабатывающим персональные данные, и, следовательно, обязана уведомлять об этом Роскомнадзор. Операторы персональных данных, которые проигнорируют такой запрос, будут наказаны штрафом.

Если подобный запрос прилетел в вашу компанию, не надо паниковать! Давайте разберемся, кто обязан отправлять уведомление о персональных данных, и что написать в ответ на запрос Роскомнадзора, чтобы избежать штрафа и других неприятностей.

Начнем с того, что, персональные данные в том или ином составе собирают и обрабатывают практически все компании и предприниматели. А значит, все они являются операторами персональных данных и обязаны исполнять требования законодательства о защите персональных данных.

В то же время уведомление Роскомнадзора об обработке персональных данных – требование не для всех!

Все зависит от того, какие именно данные получает и каким именно образом их обрабатывает оператор.

  • Необходимо направить уведомление – если компания на регулярной основе занимается обработкой персональных данных граждан (клиентов, заказчиков, сотрудников сторонних компаний). Образец такого уведомления можно заполнить и отправить непосредственно через сайт Роскомнадзора

Кому обязательно надо извещать Роскомнадзор:

  1. Большинство юридических фирм; компании, оказывающие услуги по аутсорсингу бухгалтерии и кадрового делопроизводства; банки; медучреждения; магазины, салоны и клубы с персональными клубными картами; образовательные организации; туроператоры и др.
  2. Компания использует CRM или аналогичные системы.
  3. На сайте компании возможна регистрация пользователей, даже с минимальным набором данных: имя пользователя и e-mail (форумы, социальные сети, интернет-магазины, сайты с частными объявлениями и др.).
  4. Сайт позволяет вносить в формы персональные данные пользователей, которые затем публикуются на сайте или отправляются по e-mail. Например, если на сайте есть возможность отправить быстрый заказ, подписаться на рассылку и т.п.
  5. Сайт уже содержит реальные персональные данные граждан.
  • Уведомление не требуется:
  1. Если компания получает и обрабатывает исключительно сведения своих сотрудников в рамках трудовых отношений.
  2. Когда персональные данные обрабатываются исключительно для исполнения договора.
  3. Если персональные данные обрабатываются без использования средств автоматизации (без компьютера, электронных баз данных, CRM).
  4. Если персональные данные включают в себя только ФИО граждан.
  5. При обработке персональных данных, включенных в федеральные информационные системы (например, данных из ЕГРЮЛ).
  6. Если данные используются исключительно для выдачи одноразового пропуска клиентам компании и другим лицам.
  7. Сам человек сделал свои личные данные общедоступными.
  8. Когда персональные данные о членах общественной организации обрабатываются самой этой организацией.
  9. Персональные данные обрабатываются в целях транспортной безопасности.

Компаниям и ИП, которые «вписываются» в названные ситуации, достаточно разработать один комплексный документ, определяющий политику компании в области обработки персональных данных.

Большинство наших клиентов хоть и являются операторами персональных данных, не обязаны уведомлять Роскомнадзор, так как они попадают под вышеназванные исключения из общего правила (чаще всего – обрабатывают только данные своих работников по трудовым договорам и данные физлиц по гражданско-правовым договорам).

Но игнорировать запрос от Роскомнадзора не рекомендуется – помимо требования прислать уведомление, в письме перечислены сведения, которые ожидают получить защитники персональных данных от таких «льготников»:

  • перечень персональных данных;
  • категории лиц, чьи персональные данные обрабатывает компания;
  • цели обработки персональных данных;
  • способы обработки и т.д.

На первый взгляд может показаться, что сложностей с ответами на вопросы не возникнет. Однако это не так – за каждым из них кроется подвох, и, если неправильно ответить, Роскомнадзор отнесет вашу компанию не к «исключительной», а обычной категории операторов персональных данных со всеми вытекающим последствиями.

Как раз для таких случаев в помощь нашим клиентам мы подготовили универсальный ответ на требование Роскомнадзора, который подходит для всех компаний.

Переходите на аутсорсинг кадрового делопроизводства

Если Вы еще не успели стать клиентом 1С- WiseAdvice, мы готовы также помочь с ответом на запрос Роскомнадзора и выслать шаблон ответа Вам на e-mail.

Нажимая на кнопку «Отправить», вы даете согласие на обработку своих персональных данных





Темы
собственнику консалтинг аутсорсинг зарплата и кадры hr-директору
Заказ обратного звонка

Нажимая на кнопку «Отправить», вы даете согласие на обработку своих персональных данных

false