Система документооборота (СДО) – это эффективный инструмент для управления документами и информацией в организации. Она позволяет автоматизировать процессы обработки документов, ускоряет работу с информацией и повышает продуктивность сотрудников. Однако, использование СДО связано с обработкой персональных данных, что требует соблюдения законодательства в области защиты персональных данных.
Пользователи СДО, которые осуществляют обработку персональных данных, обязаны уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) об обработке персональных данных. Уведомление должно быть подано до начала обработки или изменения цели обработки данных.
В уведомлении необходимо указать следующую информацию:
- Цель обработки персональных данных. Необходимо указать основную цель обработки и причины, по которым персональные данные обрабатываются.
- Способы обработки персональных данных. Описать способы, которыми осуществляется сбор, хранение, использование и передача персональных данных.
- Сроки обработки персональных данных. Указать сроки, на которые осуществляется обработка персональных данных. Если сроки обработки не ограничены, необходимо указать, что обработка осуществляется до даты отзыва согласия субъектом персональных данных.
- Права субъектов персональных данных. Информировать субъектов персональных данных о их правах, включая право на доступ к своим данным, на их исправление, удаление или блокирование.
- Особые категории персональных данных. Если обрабатываются данные, относящиеся к особым категориям (биометрические, генетические, данные о политических или религиозных убеждениях и т. д.), то необходимо указать это в уведомлении.
В случае изменения цели обработки персональных данных или иного изменения, требующего уведомления, пользователи СДО обязаны обновить уведомление в соответствии с внесенными изменениями.
Когда необходимо подать уведомление об обработке персональных данных СДО
Уведомление об обработке персональных данных СДО должно быть подано в следующих случаях:
- Если СДО осуществляет сбор и обработку персональных данных;
- Если СДО осуществляет передачу персональных данных третьим лицам;
- Если СДО осуществляет обработку особых категорий персональных данных (данные, касающиеся расовой или этнической принадлежности, политических убеждений, религиозных или философских убеждений, членства в профсоюзах, генетические данные, биометрические данные и другие);
- Если СДО осуществляет массовую обработку персональных данных (объем обрабатываемых персональных данных превышает 5 тысяч записей в день).
Подача уведомления об обработке персональных данных СДО должна осуществляться до начала сбора и обработки данных или до начала передачи данных третьим лицам. В случае массовой обработки персональных данных уведомление должно быть подано не позднее чем за 30 дней до начала обработки данных.
Уведомление об обработке персональных данных СДО должно содержать следующую информацию:
- Наименование СДО;
- Цель обработки персональных данных;
- Категории обрабатываемых персональных данных;
- Способы обработки персональных данных;
- Сроки обработки персональных данных;
- Основания для обработки персональных данных;
- Способы защиты персональных данных;
- Сведения о передаче персональных данных третьим лицам;
- Сведения о перечне мер по обеспечению безопасности персональных данных;
- Сведения о правах субъекта персональных данных;
- Сведения о лицах, имеющих доступ к персональным данным;
- Фамилия, имя и отчество ответственного за обработку персональных данных СДО.
Сроки подачи уведомления об обработке персональных данных СДО
Согласно Федеральному закону от 27 июля 2006 года № 152-ФЗ «О персональных данных», операторы СДО (систем дистанционного обучения) обязаны предоставлять информацию о своих действиях по обработке персональных данных уполномоченному органу по защите прав субъектов персональных данных. Для этого необходимо подать уведомление об обработке персональных данных СДО.
Сроки подачи уведомления об обработке персональных данных СДО устанавливаются законодательством Российской Федерации. Согласно статье 22 Федерального закона № 152-ФЗ, оператор СДО обязан представить уведомление о начале обработки персональных данных не позднее, чем за 30 дней до начала обработки.
При этом, если оператор СДО планирует осуществлять обработку персональных данных в рамках государственных задач или на основании закона, но без согласия субъекта персональных данных, уведомление должно быть подано не позднее, чем за 10 дней до начала обработки.
Таким образом, операторы СДО должны заблаговременно подавать уведомления об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных, обеспечивая соблюдение законодательных требований и защиту прав и интересов субъектов персональных данных.
Что должно быть указано в уведомлении об обработке персональных данных СДО
Уведомление должно содержать следующую обязательную информацию:
- Наименование организации-оператора и ее контактные данные – указывается полное наименование организации-оператора, а также юридический адрес, номера телефонов и адрес электронной почты для связи с организацией. Эта информация позволяет Субъекту данных обратиться к организации-оператору для получения дополнительной информации или для осуществления своих прав.
- Цели обработки персональных данных – описание целей, для которых организация-оператор будет обрабатывать персональные данные. Цели должны быть конкретно и ясно сформулированы, например, с целью осуществления работы с пользовательскими аккаунтами, предоставления доступа к образовательным материалам и т.д.
- Основания для обработки персональных данных – указывается законное основание для обработки персональных данных, например, согласие Субъекта данных, исполнение договора, исполнение обязанностей по законодательству и т.д.
- Лица, которым могут быть переданы персональные данные – указываются категории третьих лиц, которым могут быть переданы персональные данные. Также указываются условия доступа указанных лиц к персональным данным и обязательства этих лиц по обеспечению их конфиденциальности и безопасности.
Важно: Уведомление должно быть предоставлено Субъекту данных в письменной или ином фиксированном формате, который позволяет убедиться в достаточности информации и сохранить доказательство предоставления Уведомления.
Содержание уведомления об обработке персональных данных СДО
1. Наименование оператора: ООО «СДО»
2. Юридический адрес оператора: г. Москва, ул. Пушкина, д. 10
3. Контактные данные оператора: телефон: 8-800-123-45-67, электронная почта: info@sdo.ru
4. Цели обработки персональных данных: оказание услуг СДО, включая авторизацию пользователей, предоставление доступа к материалам, учет и статистический анализ активности пользователей.
5. Объем персональных данных: фамилия, имя, отчество, дата рождения, адрес электронной почты, телефонный номер.
6. Способы обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, блокирование, удаление, уничтожение.
7. Правовые основания обработки персональных данных: договор с пользователем СДО, согласие пользователя на обработку его персональных данных.
8. Сроки обработки персональных данных: до окончания срока действия договора, а также в течение срока хранения персональных данных в соответствии с действующим законодательством.
9. Права субъекта персональных данных: доступ к своим персональным данным, включая запрос на их изменение или удаление, ограничение обработки персональных данных, получение информации об обработке персональных данных, отзыв согласия на обработку персональных данных.
10. Прочие условия: оператор обязуется принять все необходимые организационно-технические меры для защиты персональных данных от неправомерного доступа, утраты, испорченности или разглашения.
В случае изменений в содержании уведомления, оператор СДО обязуется уведомить пользователей путем размещения обновленной версии уведомления на официальном сайте.