Операторов персональных данных пугают штрафами: что ответить на запрос Роскомнадзора?

Вернуться в блог
Распечатать Отправить на почту

Кому подходит эта статья: всем компаниям и ИП.

В последнее время нашим клиентам стали приходить от Роскомнадзора письма запугивающего характера. В них говорится, что организация является оператором, обрабатывающим персональные данные, и, следовательно, обязана уведомлять об этом Роскомнадзор. Операторы персональных данных, которые проигнорируют такой запрос, будут наказаны штрафом.

Если подобный запрос прилетел в вашу компанию, не надо паниковать! Давайте разберемся, кто обязан отправлять уведомление о персональных данных, и что написать в ответ на запрос Роскомнадзора, чтобы избежать штрафа и других неприятностей.

Начнем с того, что, персональные данные в том или ином составе собирают и обрабатывают практически все компании и предприниматели. А значит, все они являются операторами персональных данных и обязаны исполнять требования законодательства о защите персональных данных.

В то же время уведомление Роскомнадзора об обработке персональных данных – требование не для всех!

Все зависит от того, какие именно данные получает и каким именно образом их обрабатывает оператор.

  • Необходимо направить уведомление – если компания на регулярной основе занимается обработкой персональных данных граждан (клиентов, заказчиков, сотрудников сторонних компаний). Образец такого уведомления можно заполнить и отправить непосредственно через сайт Роскомнадзора

Кому обязательно надо извещать Роскомнадзор:

  1. Большинство юридических фирм; компании, оказывающие услуги по аутсорсингу бухгалтерии и кадрового делопроизводства; банки; медучреждения; магазины, салоны и клубы с персональными клубными картами; образовательные организации; туроператоры и др.
  2. Компания использует CRM или аналогичные системы.
  3. На сайте компании возможна регистрация пользователей, даже с минимальным набором данных: имя пользователя и e-mail (форумы, социальные сети, интернет-магазины, сайты с частными объявлениями и др.).
  4. Сайт позволяет вносить в формы персональные данные пользователей, которые затем публикуются на сайте или отправляются по e-mail. Например, если на сайте есть возможность отправить быстрый заказ, подписаться на рассылку и т.п.
  5. Сайт уже содержит реальные персональные данные граждан.
  • Уведомление не требуется:
  1. Если компания получает и обрабатывает исключительно сведения своих сотрудников в рамках трудовых отношений.
  2. Когда персональные данные обрабатываются исключительно для исполнения договора.
  3. Если персональные данные обрабатываются без использования средств автоматизации (без компьютера, электронных баз данных, CRM).
  4. Если персональные данные включают в себя только ФИО граждан.
  5. При обработке персональных данных, включенных в федеральные информационные системы (например, данных из ЕГРЮЛ).
  6. Если данные используются исключительно для выдачи одноразового пропуска клиентам компании и другим лицам.
  7. Сам человек сделал свои личные данные общедоступными.
  8. Когда персональные данные о членах общественной организации обрабатываются самой этой организацией.
  9. Персональные данные обрабатываются в целях транспортной безопасности.

Компаниям и ИП, которые «вписываются» в названные ситуации, достаточно разработать один комплексный документ, определяющий политику компании в области обработки персональных данных (подробнее об этом читайте в публикации нашего блога: «Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года»

Большинство наших клиентов хоть и являются операторами персональных данных, не обязаны уведомлять Роскомнадзор, так как они попадают под вышеназванные исключения из общего правила (чаще всего – обрабатывают только данные своих работников по трудовым договорам и данные физлиц по гражданско-правовым договорам).

Но игнорировать запрос от Роскомнадзора не рекомендуется – помимо требования прислать уведомление, в письме перечислены сведения, которые ожидают получить защитники персональных данных от таких «льготников»:

  • перечень персональных данных;
  • категории лиц, чьи персональные данные обрабатывает компания;
  • цели обработки персональных данных;
  • способы обработки и т.д.

На первый взгляд может показаться, что сложностей с ответами на вопросы не возникнет. Однако это не так – за каждым из них кроется подвох, и, если неправильно ответить, Роскомнадзор отнесет вашу компанию не к «исключительной», а обычной категории операторов персональных данных со всеми вытекающим последствиями.

Как раз для таких случаев в помощь нашим клиентам мы подготовили универсальный ответ на требование Роскомнадзора, который подходит для всех компаний.

Если Вы еще не успели стать клиентом 1С- WiseAdvice, мы готовы также помочь с ответом на запрос Роскомнадзора и выслать шаблон ответа Вам на e-mail.

Нажимая на кнопку «Отправить», вы даете согласие на обработку своих персональных данных




Комментарии временно не доступны
false