Организация должна направить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных
Любое юридическое лицо является оператором персональных данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (статья 3 Закона от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) «О персональных данных»).
При обработке персональных данных оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
Вне зависимости от целей обработки персональных данных, организация, выступая в качестве оператора персональных данных до начала обработки персональных данных, обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (ст.22 Закона от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) «О персональных данных»).
Напомним, что на основании статьи 3 Закона оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Уведомление направляется в Роскомнадзор.
Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер по обеспечению безопасности персональных данных при их обработке, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
8) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
9) дата начала обработки персональных данных;
10) срок или условие прекращения обработки персональных данных;
11) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
12) сведения об обеспечении безопасности персональных данных.
Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения об операторе в реестр операторов.
В реестр операторов вносятся следующие сведения:
а) регистрационный номер;
б) наименование (фамилия, имя, отчество), адрес оператора;
в) адреса филиалов (представительств) оператора (при наличии);
г) дата направления уведомления;
д) цель обработки персональных данных;
е) категории персональных данных;
ж) категории субъектов, персональные данные которых обрабатываются;
з) правовое основание обработки персональных данных;
и) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
к) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
л) дата начала обработки персональных данных;
м) срок или условие прекращения обработки персональных данных;
н) дата и основание внесения сведений об операторе в Реестр;
о) дата и основание внесения изменения в сведения об операторе в Реестр;
п) дата и основание исключения сведений об операторе из Реестра.