Работодатель установил видеокамеры, нужно ли уведомить Роскомнадзор?
Оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (за исключением отдельных случаев) (ч. 1 ст. 22 Закона о персональных данных).
Уведомление о намерении осуществлять обработку персональных данных нужно подать в Роскомнадзор до начала их обработки (ч. 1 ст. 22 Закона о персональных данных).
Если вы вносите в ЛНА положения о введении видеонаблюдения, обозначая его цели, о которых не было ранее заявлено в Роскомнадзор, то направьте туда уведомление. Например, можно указать, что устанавливаете видеонаблюдение, чтобы контролировать рабочий процесс, предотвращать причинение материального ущерба имуществу работодателя или работников, обеспечивать безопасность, а впоследствии при необходимости использовать видео при проведении служебного расследования.
По поводу проверок и контролю рекомендуем материал:
Обоснование
Составьте уведомление по форме, приведенной в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180. В нем укажите, в частности (ч. 3, 3.1 ст. 22 Закона о персональных данных):
свое наименование (фамилию, имя, отчество), адрес;
цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных;
дату начала обработки персональных данных;
срок или условие прекращения обработки персональных данных;
сведения об обеспечении безопасности персональных данных в соответствии с установленными требованиями к защите таких данных.
Что указывать в качестве средств обеспечения безопасности персональных данных при заполнении уведомления об обработке персональных данных
Оператор при обработке персональных данных обязан принимать или обеспечивать принятие необходимых мер для защиты персональных данных. В том числе безопасность персональных данных достигается путем применения соответствующих организационных и технических мер при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных (ч. 1, п. 2 ч. 2 ст. 19 Закона о персональных данных).
Требования к защите персональных данных при их обработке в информационных системах персональных данных утверждены Постановлением Правительства РФ от 01.11.2012 N 1119. Требования о защите информации, содержащейся в государственных информационных системах, утверждены Приказом ФСБ России от 24.10.2022 N 524.
Выбор средств защиты информации для системы защиты персональных данных осуществляет оператор в соответствии с нормативными правовыми актами, принятыми во исполнение ч. 4 ст. 19 Закона о персональных данных, в том числе (п. 4 Требований, утвержденных Постановлением Правительства РФ от 01.11.2012 N 1119):
Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными Приказом ФСТЭК России от 18.02.2013 N 21;
Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденными Приказом ФСБ России от 10.07.2014 N 378.
Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, предусмотрены п. п. 13 - 15 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687.