Необходимость регистрации операторов персональных данных роскомнадзора. Оператор персональных данных

1. Настоящее Положение о ведении реестра операторов, осуществляющих обработку (далее - Положение), разработано в соответствии с Федеральным законом от 27.07.2006 N "О персональных данных" (далее - Закон) (Собрание законодательства Российской Федерации, 31.07.2006, N 31 (1 ч.), ст. 3451), для реализации полномочий по ведению реестра операторов, осуществляющих обработку персональных данных (далее - Оператор), возложенных на Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - Служба) в соответствии с Положением о Службе, утвержденным Постановлением Правительства Российской Федерации от 06.06.2007 года N 354 (Собрание законодательства Российской Федерации, 11.06.2007, N 24, ст. 2923; N 52, ст. 6462).

2. Настоящее Положение устанавливает порядок ведения реестра операторов, осуществляющих обработку персональных данных (далее - Реестр).

3. Понятия, используемые в настоящем Положении:

реестр - перечень, список операторов, осуществляющих обработку персональных данных;

ведение реестра операторов - деятельность Службы, включающая сбор, фиксацию, обработку, хранение и предоставление данных, составляющих систему ведения реестра операторов, осуществляющих обработку персональных данных;

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

II. Состав сведений, включаемых в реестр

4. Реестр содержит следующие сведения об Операторах:

а) регистрационный номер;

б) наименование (фамилия, имя, отчество), адрес оператора;

в) адреса филиалов (представительств) оператора, осуществляющих обработку персональных данных (при наличии);

г) дата направления уведомления;

д) цель обработки персональных данных;

з) правовое основание обработки персональных данных;

и) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

к) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

л) дата начала обработки персональных данных;

м) срок или условие прекращения обработки персональных данных;

н) дата и основания включения в реестр операторов;

о) дата и основание исключения из реестра операторов;

п) внесенные изменения.

III. Условия включения операторов в реестр

5. Операторы включаются в Реестр при выполнении следующих условий:

Направление в территориальное управление Службы уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее - Уведомление). Сведения, указанные в Уведомлении, должны соответствовать части 3 статьи 22 Закона;

Регистрация полученного Уведомления в территориальном управлении Службы, его обработка для принятия решения по утверждению или отклонению;

Подписание приказа руководителем Службы или заместителем руководителя о включении Оператора в Реестр.

6. Оригинал направленного Оператором Уведомления с приложением всех поступивших документов должен храниться в соответствующем территориальном управлении Службы.

IV. Порядок включения операторов в реестр

7. Служба по результатам анализа обработанных территориальными управлениями Службы Уведомлений вправе осуществлять проверку достоверности и полноты представленной Операторами информации, содержащейся в Уведомлении, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий. Также Служба вправе запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию, в том числе в случае необходимости уточнения или дополнения недостающих сведений.

8. По результатам проверки сведений, содержащихся в обработанном Уведомлении, Служба в течение тридцати дней с даты поступления Уведомления, принимает решение о включении Оператора в Реестр, которое оформляется в виде приказа руководителя Службы или заместителя руководителя Службы о включении Оператора в Реестр.

9. На основании изданного приказа в Реестр вносится запись об Операторе, которой присваивается регистрационный номер.

10. Датой внесения Оператора в Реестр считается дата подписания приказа.

11. Информация о внесении Оператора в Реестр должна быть опубликована на официальном сайте Службы в сети не позднее трех дней с даты подписания приказа.

V. Порядок ведения Реестра

12. Ведение Реестра осуществляется с применением единой информационной системы (далее - ЕИС) в электронном виде.

13. Ведение Реестра осуществляет Служба, которая при наличии условий, определенных настоящим Положением, включает Операторов в Реестр путем внесения в Реестр соответствующих записей, изменяет сведения, содержащиеся в указанных записях, исключает Операторов из Реестра путем дополнения ранее внесенных записей сведениями об исключении Операторов из Реестра.

14. В случае изменения сведений, содержащихся в Уведомлении после включения Оператора в Реестр, он обязан уведомить об изменениях Службу в течение десяти рабочих дней с даты возникновения таких изменений. Внесение указанных изменений в Реестр производится на основании приказа руководителя Службы или заместителя руководителя и не приводит к изменению регистрационного номера соответствующей записи в Реестре.

15. Сведения, содержащиеся в Реестре, за исключением подпункта "к" пункта 4 настоящего Положения, являются общедоступными.

16. Информация о Реестре публикуется на официальном сайте Службы.

17. Операторы, включенные в Реестр, вправе получить выписку из Реестра по письменному обращению в Службу в срок не позднее тридцати дней.

VI. Порядок исключения операторов из Реестра

18. Вопрос об исключении Оператора из Реестра рассматривается в следующих случаях:

Поступление в Службу или ее территориальные управления письменного заявления (обращения) от Оператора, включенного в Реестр, об исключении с приложением обоснований;

Принятие Службой или ее территориальными управлениями мер по приостановлению или прекращению Оператором обработки персональных данных, осуществляемой с нарушением требований Закона.

19. Операторы исключаются из Реестра при наступлении одного из следующих условий:

Ликвидация Оператора;

Прекращение деятельности Оператора в результате его реорганизации, за исключением реорганизации в форме преобразования;

Аннулирование лицензии на осуществление лицензируемой деятельности Оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

Наступление срока или условия прекращения обработки персональных данных, указанных в Уведомлении;

Решение суда о прекращении оператором деятельности по обработке персональных данных;

Иные, установленные законодательством Российской Федерации в области персональных данных.

20. Решение об исключении Оператора из Реестра оформляется приказом руководителя Службы или заместителя руководителя Службы.

На основании изданного приказа в Реестр вносятся сведения об исключении Оператора из Реестра. После исключения Оператора из Реестра регистрационный номер соответствующей записи в дальнейшем не используется.

21. Информация об исключении Оператора из Реестра должна быть опубликована на официальном сайте Службы в сети Интернет не позднее трех дней с даты подписания приказа.

На сайте Консультанта

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Збагойно: 152-ФЗ — в «Деле»

Персональные данные — это любые данные о человеке, по которым его можно определить. Например:

• электронная почта;
• телефон,
• имя и фамилия;
• дата рождения;
• адрес;
• ссылка на сайт.

Ник без других данных не считается персональными данными, по нему нельзя определить человека.

С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Данные из социальных сетей

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями Вконтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными Вконтакте можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы Вконтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

• обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.

Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

• обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
• использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

Проверка Роскомнадзора

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

Реестр операторов персональных данных на сайте Роскомнадзора

В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:

Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

• устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
• карт лояльности;
• рекламных рассылок;
• оказания услуг;
• регистрации на сайтах;
• звонков потенциальным клиентам.

Штрафы за нарушение закона о персональных данных в КоАП РФ на сайте Консультанта

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.

Которая оказалась наиболее важной и в бухгалтерском учете, и при рассмотрении заявок на кредит и т.п.

Но что это такое и кто все-таки имеет право обрабатывать подобные сведения, а кто нет, об этом упоминается редко, даже с неохотой.

В результате иногда сложно понять, кто является оператором персональных данных.

– это информация о человеке, которая характеризует его как определенную личность, не является обобщенной, ее нельзя применить к группе лиц. В большинстве случаев речь идет о фамилии, имени, отчестве, дате рождения, адресе, где человек зарегистрирован и проживает, семейном положении и т.п.

Понятие персональных данных введено в деловой оборот после принятия в 2006 году «О персональных данных». Там же было введено разграничение информации на ряд категорий, которые позволяют определять уровни разрешения обработки для различных ситуаций.

1. Информация о расе и национальности, религиозных убеждениях, состояние здоровья и подробности интимной жизни гражданина.
2. Сведения, которые позволяют помимо идентификации гражданина, еще и получить про него разные сведения, например, номер телефона, место проживания и т.п.
3. Информация, благодаря которой один человек выделяется среди других – фамилия, имя и полная дата рождения.
4. Общедоступные сведения, как правило, они обезличены, но иногда и те, которые обязаны быть публичными по законодательству, например, доходы представителей органов власти. Отдельной категорией идут те данные, на предоставление которых сам гражданин дал согласие, например, адрес и номер телефона в справочной службе 09.

В целом закон «О персональных данных» призван обеспечивать право каждого гражданина на неприкосновенность личной жизни и защиту в случае наличия нарушений. Исходя из выше приведенной классификации, предъявляются разнообразные требования по обеспечению сохранности сведений. Для первой категории требования жестче, чем ко всем остальным.

Кто является оператором персональных данных

Оператор персональных данных – юридическое лицо, которое в силу своей деятельности занимается информации о действующих и потенциальных клиентов и сотрудниках. Размеры организации при этом никакого значения не имеют, как и форма ее собственности.

На практике оператором является любая организация, в которой есть наемный труд. Ведь трудоустройство невозможно без заполнения анкеты с довольно подробным перечнем сведений о себе, а также подачи личных документов, причем со всех снимаются копии, информация вносится в бухгалтерские программы и т.д.

Главное требование законодательства РФ, предъявляемое к операторам, это обеспечение сохранности тех данных, которые получила организация в процессе деятельности.

Нормы, согласно которым обеспечивается охрана, установлены в упомянутом законе, также могут уточняться нормативными актами, так называемых регуляторов

Существует определенный порядок, который регламентирует случаи, когда организация получает право работать с персональными данными без уведомления в :

• если предприятие обрабатывает только те сведения, которые нужны для трудовых отношений;
• когда обработке подвергаются данные общедоступного характера;
• если обрабатываются только фамилия, имя, отчество;
• когда они используются один раз, например, для выписки пропуска;
• если для обработки не применяется компьютерная техника.

Все остальные организации обязаны становиться на учет, в результате чего они получают уникальный регистрационный номер, под которым вносятся в специальный реестр.

Например, часто такие вопросы возникают в отношении кредитных организаций, операторов сотовой связи и т.п.

Поэтому принято называть «оператором обработки персональных данных» организации, которые в силу профессиональной деятельности собирают и обрабатывают не только общедоступные сведения, но и такие как серия, номер паспорта, адрес проживания и т.д.

Получение права на обработку персональных данных

Для обеспечения безопасности хранения и передачи персональных данных предусмотрена процедура аттестации и получения лицензии для организаций занимающихся сбором и хранением такой информации.

Чтобы получить лицензию предприятию приходится не только обучать сотрудников, но и приобретать технические средства защиты.

Процедура состоит из нескольких этапов, из которых можно выделить наиболее важные.

• уведомить соответствующие органы о намерении обрабатывать данные с помощью средств (компьютеры);
• пройти предварительное обследование имеющихся информационных систем;
• спроектировать систему защиты с учетом инфраструктуры компьютерной техники и других средств автоматизации;
• приобрести и внедрить средства защиты;
• привести все помещения в соответствие требованиям по пожарной безопасности, охране, электропитанию и т.д.
• провести повышение квалификации сотрудников в области защиты персональных данных и их аттестация.

В результате можно гарантировать наличие действующей системы защиты сведений при их и передаче через коммуникационные линии.

Стоит отметить, что все действия, описанные выше, могут быть применены только к обработке персональных данных в электронном виде, что является потенциально небезопасным для хранящейся или передаваемой информации.

Проверка деятельности операторов персональных данных

Работа всех операторов персональных данных не только регулируется законодательными актами, но еще и подвергается регулярным проверкам, как плановым, так и выборочным, например, по заявлению пострадавшего от их деятельности граждан.

Контролем над соблюдением закона о защите персональных данных должны заниматся многие надзорные и силовые ведомства, но в силу специфики работы выделяются лишь три из них (их и называют регуляторами):

• Роскомнадзор – в его функции входит проверка соблюдения любых нормативных требований законодательства, а также проведение проверок;
• ФСТЭК (Федеральная служба по техническому и экспортному контролю) – в ее задачи входит в первую очередь защита данных находящихся в компьютерах самой организации, так и каналов их передачи, когда они хранятся и передаются без шифрования;
• ФСБ (Федеральная служба безопасности) – контролирует применение шифрующих средств обработки и передачи персональных информации, в том числе разработку и их распространение.

Проверить отношение конкретной организации к операторам персональных сведений можно и самостоятельно.

На сайте Роскомнадзора имеется доступ к реестру операторов, осуществляющих обработку персональных данных, он доступен по этой ссылке.

Для просмотра информации достаточно внести в соответствующее поле наименование или регистрационный номер интересующего предприятия, либо его идентификационный номер налогоплательщика (ИНН).

Так можно выяснить, законно запрашивались данные или нет. Если организации в списке нет, то возможно этим надо заняться Роскомнадзору и либо включить ее в реестр, либо запретить незаконный сбор информации о гражданах.

Проверка операторов персональных данных осуществляется либо по заявлениям граждан, либо по инициативе, например, прокуратуры, которая может обратиться в Роскомнадзор в рамках проверки деятельности организации.

За нарушения в обработке сведений граждан предусмотрена ответственность. В зависимости от степени тяжести совершенных поступков может быть административное, дисциплинарное или уголовное наказание.

В целом, прежде чем давать разрешение на обработку персональных данных в кредитной или иной организации, запрашивающей такое право, лучше сначала убедиться в том, что она зарегистрирована в качестве оператора, а значит, имеет все для их безопасного хранения.

Особенно это может относиться к небольшим предприятиям, например, предоставляющим мелкие займы.

Конечно, без предоставления такого согласия подобные организации обычно отказывают в услугах, но в этом ничего страшного нет, т.к. конкуренция достаточно высока, и всегда можно найти другой подходящий вариант.

А может не уведомлять об обработке персональных данных?

• Информационная безопасность

Частью первой ст 22 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее в статье - Закон) предусмотрена обязанность оператора, осуществляющего обработку персональных данных, уведомить орган Роскомнадзора до начала обработки. Сразу же (во второй части статьи) Закон предлагает основания, по которым оператор имеет право об обработке не уведомлять. Случаи эти довольно распространены. Но поскольку Закон не запрещает уведомлять даже если есть такие случаи, ряд операторов выбирают пойти по пути уведомления. Возможно, стоит не направлять уведомление, или даже подумать, как попасть под «исключения». На это есть, как минимум, 3 причины.

Сложно ответит на вопрос «Почему?» за всех принявших решение отправить уведомление в орган Роскомнадзора если можно было этого не делать. Конечно, нельзя исключить маркетинговые походы (имидж, открытость). Все же, в ряде случаев уведомляют по незнанию или исходя из позизии «Лучше перебдеть». Хотелось бы обратить внимание на известное право операторов, осуществляющих обработку персональных данных, не уведомлять органы Роскомнадзора об обработке и вот для этого несколько причин.

1. Лицу, подавшему уведомление об обработке персональных данных, необходимо нести бремя по постоянной актуализации поданных сведений. Эта обязанность предусмотрена ч.7. ст. 22 Закона. Если оператор, осуществляющий обработку персональных данных, не подаст уведомление об изменении сведений (изменение адреса оператора, изменение категорий ПДн, которые обрабатываются, смена ответсвенного за обработку ПДн и его контактов и т.д.), то может быть привлечен к административной ответственности. Казалось бы, что сложного: поменялось что-то в организации, взял и отправил письмишко. Как показывает практика, в большинстве случаев об этом забывается. Например, те кто встал в Реестр (в Реестр включаются все, подавшие уведомление об обработке) операторов, осуществляющих обработку персональных данных до 1 июля 2011 года обязаны были до 1 января 2013 года дополнительно дослать сведения, предусмотренные пунктами 5, 7.1, 10 и 11 части 3 статьи 22 Закона (правовое основание обработки персональных данных, ФИО ответственного и т.д.). Как видно из реестра операторов персональных данных Роскомнадзора, больше половины операторов этого не сделали по настоящее время. Мысль о том, что у всех этих организаций никаких внутренних изменений, связанных с обработкой персональных данных, не происходило, тоже сомнительна. Предлагаю и Вам подумать, будете ли Вы своевременно отслеживать в долгосрочной перспективе актуальность записей в Реестре, если есть возможность этого не делать вообще?
2. Органы Роскомнадзора осуществляют планирование проверок операторов, осуществляющих обработку персональных данных, с использованием ведомственной единой информационной системы – ЕИС . Все операторы, подавшие уведомления уже находятся в ней, в связи с чем, вероятность попадания в план проверок многократно возрастает. Организации, проверяемые Роскомнадзором по другим направлениям (услуги связи, РЭС, СМИ, вещание) автоматически проверяются на предмет соблюдения законодательства в сфере персональных данных, если уведомили Роскомнадзор об обработке.
3. Если оператор персональных данных принял решение уведомить орган Роскомнадзора об обработке, хотя имел право этого не делать, то исключиться из Реестра по причине того, что мог вообще не уведомлять, не получиться. Такая возможность не предусмотрена ни Законом, ни соответствующим Административным Регламентом. Вернее, предусмотрена только по общим основаниям.

1. Внимательно прочитать (осознать) ч.2 ст. 22 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
2. Посмотреть какие персональные данные и в связи с чем обрабатываются у Вас.
3. В некоторых случаях, возможно потребуется скорректировать Вашу работу с носителями персональных данных. Дам пример, что бы было понятно, что я имею ввиду.

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных

По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно.

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства . В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

• При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
• При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
• При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье