Передача персональных данных аутсорсинговой организации

Организация должна направить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных

Любое юридическое лицо является оператором персональных данных.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (статья 3 Закона от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) «О персональных данных»).

При обработке персональных данных оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

Вне зависимости от целей обработки персональных данных, организация, выступая в качестве оператора персональных данных до начала обработки персональных данных, обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (ст.22 Закона от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) «О персональных данных»).

Напомним, что на основании статьи 3 Закона оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Уведомление направляется в Роскомнадзор.

Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер по обеспечению безопасности персональных данных при их обработке, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

8) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

9) дата начала обработки персональных данных;

10) срок или условие прекращения обработки персональных данных;

11) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

12) сведения об обеспечении безопасности персональных данных.

Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения об операторе в реестр операторов.

В реестр операторов вносятся следующие сведения:

а) регистрационный номер;

б) наименование (фамилия, имя, отчество), адрес оператора;

в) адреса филиалов (представительств) оператора (при наличии);

г) дата направления уведомления;

д) цель обработки персональных данных;

е) категории персональных данных;

ж) категории субъектов, персональные данные которых обрабатываются;

з) правовое основание обработки персональных данных;

и) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

к) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

л) дата начала обработки персональных данных;

м) срок или условие прекращения обработки персональных данных;

н) дата и основание внесения сведений об операторе в Реестр;

о) дата и основание внесения изменения в сведения об операторе в Реестр;

п) дата и основание исключения сведений об операторе из Реестра.