Теперь Роскомнадзор одобрил шаблоны сообщений. приказ от 28.10. 2022 № 180 зарегистрировано в Минюсте России 15.12.2022 № 71532):
-
Согласие на сбор и обработку личной информации.
-
О внесении изменений в сведения из уведомления о планах обработки персональных данных.
-
о прекращении такой обработки.
В первоначальном сообщении нужно будет отразить:
-
цель обработки
-
Типы субъектов персональных данных.
-
категории самих данных
-
основания для обработки
-
перечень действий с персданными
-
способы обработки
-
меры для защиты информации
-
Информация о пересечении границ с данными о человеке.
-
ряд другой информации.
Действующим остается приказ № 94 от 2017 года. Ранее упомянутую форму уведомления использовали ограниченные категории операторов. С первого сентября работодатели также могут применять эту форму как рекомендуемую.
Теперь при почти любой автоматизированной обработке персональных данных требуется уведомление соответствующего органа. Закон, вступивший в силу 1 сентября, внес поправки, существенно сократившие перечень оснований для обработки без уведомления. В том числе, работодатели, обрабатывающие сведения о работниках в соответствии с трудовым законодательством, получили новую обязанность — направлять уведомления в Роскомнадзор. Исключение составляют те, кто обрабатывает данные исключительно без использования средств автоматизации.
Обратите внимание
До этого существовала общеустановленная обязанность посылать уведомления в Роскомнадзор при обработке персональных данных, но множество исключений позволяло избегать ее выполнения. К таковым относилась обработка в соответствии с трудовым законодательством, освобождавшая работодателей от этой обязанности. Закон 266-ФЗ упразднил массу исключений, включая «кадровые» обработки персональных данных. Изменение вступило в силу 1 сентября.
Любые работодатели, начинающие обработку или уже обрабатывающие персональные данные, обязаны сообщать об этом Роскомнадзору. Закон требует (в буквальном смысле) уведомлять о предстоящей обработке до ее начала. Само ведомство считает, что должно получать сведения «о начале или осуществлении любой обработки персональных данных».
-
При обработке данных для обеспечения безопасности государства и общественного порядка, а также транспортной безопасности.
-
Когда оператор работает с данными вручную, без использования автоматизированных инструментов.
Пока данные не поступят в базу, уведомление не нужно.
Обратите внимание
Роскомнадзор не установил ограничений по сроку уведомления о обработке персональных данных.
Согласно законодательству, уведомление требуется подать до начала обработки данных.
Поскольку обязанность по уведомлению распространяется на тех, кто уже раньше обрабатывал данные, уведомления должны были быть направлены и тем, кто осуществлял обработку в течение длительного времени. Законом не установлен предельный срок подачи уведомления, можно указать любую дату начала обработки, разъяснял ранее Роскомнадзор.