До начала обработки персональных данных нужно уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ). Существует только несколько случаев, когда можно не отправлять такое уведомление:
-
если компания обрабатывает персональные данные сотрудников;
-
если персональные данные получены в связи с заключением договора, стороной которого является субъект персональных данных, но компания не распространяет, а также не предоставляет их третьим лицам без согласия субъектов персональных данных и использует их исключительно для исполнения и заключения договоров с субъектами персональных данных;
-
при обработке персональных данных, относящихся к членам (участникам) общественного объединения или религиозной организации, если они не распространяются третьим лицам без согласия субъектов персональных данных в письменной форме;
-
если субъект персональных данных разрешил распространять персональные данные при условии соблюдения оператором запретов и условий;
-
если персональные данные включают в себя только фамилии, имена и отчества;
-
в целях однократного пропуска на территорию, на которой находится оператор, или в иных аналогичных целях;
-
если персональные данные включены в информационные системы персональных данных, имеющие статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
-
если персональные данные обрабатываются без использования средств автоматизации, то есть обработка осуществляется при непосредственном участии человека;
-
если персональные данные обрабатываются в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (ч. 1 ст. 22 Закона № 152-ФЗ).
Таким образом, описанная в вопросе ситуация не подпадает под данные исключения.
Уведомление можно подать на сайте Роскомнадзора следующими способами (ч. 3 ст. 22 Закона № 152-ФЗ):
1. Можно заполнить форму уведомления в разделе «Электронные формы заявлений», затем распечатать ее и отправить в бумажном виде по почте.
2. Можно оформить уведомление в электронном виде и подписать его усиленной квалифицированной электронной подписью через сервис на сайте Роскомнадзора. В этом случае отправлять бумажный вариант не нужно.
3. Можно заполнить уведомление и направить в электронном виде через портал «Госуслуги». Для этого нужна учетная запись компании на портале «Госуслуги».
В уведомлении об обработке персональных данных нужно указать:
-
наименование (фамилию, имя, отчество), адрес;
-
цель обработки персональных данных. Например, это могут быть подготовка, заключение, исполнение и прекращение договоров с контрагентами, заключение трудовых договоров с работниками, проведение маркетинговых акций и т.д.;
-
категории персональных данных (фамилия, имя, отчество, год рождения, адрес, состояние здоровья, биометрические данные и т.д.);
-
категории субъектов персональных данных. Например, работники, физические лица (абонент, пассажир, заемщик), с которыми заключены договоры;
-
правовое основание обработки персональных данных. Это могут быть учредительные документы, нормативные акты (ТК РФ, ГК РФ и т.д.);
-
перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных (автоматизированная, неавтоматизированная, смешанная обработка);
-
описание мер, предусмотренных ст. 18.1 и 19 Закона № 152-ФЗ, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств. Например, одной из таких мер может быть назначение ответственного лица за организацию обработки персональных данных;
-
фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
-
дату начала обработки персональных данных;
-
срок или условие прекращения обработки персональных данных;
-
сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
-
сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.
При заполнении уведомления можно руководствоваться положениями приказа Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
Роскомнадзор должен в течение 30 дней с даты поступления уведомления об обработке персональных данных внести сведения в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными (ч. 4 ст. 22 Закона № 152-ФЗ).
В случае предоставления неполных или недостоверных сведений Роскомнадзор вправе потребовать уточнения предоставленных сведений до их внесения в реестр операторов (ч. 6 ст. 22 Закона № 152-ФЗ).
Уведомление нужно отправить один раз, но в случае внесения изменений придется внести изменения в течение 10 дней (ч. 7 ст. 22 Закона № 152-ФЗ).
В случае неотправления в Роскомнадзор уведомления об обработке персональных данных компании может грозить штраф, хотя и небольшой. Так, административная ответственность предусмотрена в ст. 19.7 КоАП РФ. В ней предусмотрен штраф за непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом, либо предоставление таких сведений в неполном объеме или в искаженном виде. В частности, для компаний предусмотрен штраф от 3 тыс. до 5 тыс. руб.