Утверждена форма уведомления об обработке персональных данных
Приказом Роскомнадзора от 19 августа 2011 г. N 706 утверждены рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (ПД). Они разработаны для установления единых правил заполнения таких уведомлений.
Напомним, что согласно ст. 22 Федерального закона "О персональных данных" оператор до начала обработки ПД обязан уведомить уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку ПД. Такое уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. В ст. 22 также определено, какие сведения должно содержать уведомление.
Поясним, что обязанность уведомлять касается многих - это работодатели, большинство перевозчиков, все госорганы, имеющие дело с персональными данными. Так согласно действующему законодательству оператором ПД является госорган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.
Согласно приказу Роскомнадзора уведомление необходимо оформить на бланке оператора, осуществляющего обработку ПД, по форме, прилагаемой к данному приказу. После чего уведомление направляется в территориальный орган Роскомнадзора.
Также данный приказ содержит рекомендации по заполнению конкретных полей уведомления. В частности, сведения, которые необходимо указать в графе "наименование (фамилия, имя, отчество), адрес Оператора" различны для юрлиц, физлиц, государственных и муниципальных органов. Так, юрлицам-операторам ПД необходимо указать полное наименование с указанием организационно-правовой формы и сокращенное наименование, наименование своих филиалов, представительств, осуществляющих обработку ПД, адрес оператора и ИНН.
В поле "цель обработки ПД" указываются цели обработки ПД, а также их соответствие полномочиям оператора. Причем под целью обработки ПД понимаются, как цели, указанные в учредительных документах оператора, так и цели фактически осуществляемой оператором деятельности по обработке ПД.
В поле "категории ПД" указываются все категории ПД, подлежащих обработке - персональные, биометрические, специальные категории ПД (расовая принадлежность, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояния здоровья, интимной жизни). В рекомендациях раскрыто каждое из понятий.
В поле "категории субъектов, ПД которых обрабатываются" указываются категории субъектов (физлиц) и виды отношений с субъектами (физлицами), ПД которых обрабатываются (например, работники (субъекты), состоящие в трудовых отношениях с юрлицом (оператором)).
В поле "правовое основание обработки ПД" указываются не только соответствующие статьи Федерального закона "О персональных данных", но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки ПД (например, ст. 85-90 Трудового кодекса РФ, ст. 85.1 Воздушного кодекса РФ, ст. 12 Федерального закона "Об актах гражданского состояния" и др.).
В поле "перечень действий с ПД, общее описание используемых Оператором способов обработки ПД" указываются действия, совершаемые оператором с ПД, а также используемые способы обработки. Под последними понимаются: неавтоматизированная обработка ПД, исключительно автоматизированная обработка ПД с передачей полученной информации по сети или без таковой, смешанная обработка ПД. При автоматизированной обработке ПД либо смешанной обработке необходимо указать, передается ли полученная в ходе обработки информация по внутренней сети юрлица (информация доступна лишь для строго определенных сотрудников юрлица) либо информация передается с использованием сети общего пользования Интернет либо без передачи полученной информации.
В поле "дата начала обработки ПД" указывается конкретная дата (число, месяц, год) начала любого действия (операции) или совокупность действий (операций), совершаемых с ПД. В эти действия включается сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД (фактическая дата начала обработки ПД).