Если организация использует персональные данные работников только в целях исполнения трудовых договоров, а данные клиентов только в рамках договоров продажи, то уведомление в Роскомнадзор не подается.
Об этом на интернет-конференции «Как бухгалтеру выполнить требования Закона “О персональных данных”», которая проходит на форуме Клерк.Ру, рассказал Максим Лагутин, эксперт по информационной безопасности, топ-эксперт ИРИ в кластере «Информационная безопасность» и директор Сервиса выполнения закона о персональных данных Б-152.
Эксперт пояснил: «Если в рамках взаимодействия с сотрудниками им не оформляется ДМС, они не посещают курсы повышения квалификации, а данные физических лиц обрабатываются только в целях исполнения договора, без дальнейшей рекламы, то уведомление подавать не требуется. В иных случаях уведомление подать потребуется».
Все исключения, когда подача уведомления не требуется, перечислены в статье 22 Федерального закона №152-ФЗ «О персональных данных».
«Но по нашему опыту лучше подать уведомление, чем его не подавать. Подача уведомления не несет никаких рисков, компании проверяются на соответствие требованиям закона независимо от того, подано уведомление или нет, т.к. критерии прихода проверок совершенно иные. А вот неподача уведомления может нести риски, если Роскомнадзор пришлет письмо с просьбой обосновать неподачу уведомления, или, что еще хуже, спросит это во время плановой или внеплановой проверки», - отметил также Максим Лагутин.
Напомним, интернет-конференция продолжается, и задать свой вопрос можно, создав новую тему в разделе конференции!
Начать дискуссию