Кому необходимо подать уведомление в реестр операторов персональных данных. В 152-ФЗ широкое определение обработки. Практически любое действие с персональными данными (далее – ПДн) – обработка.
Если лицо собирает сведения о гражданине в заранее установленных целях, определяет состав сведений и действия с ними, то такое лицо становится оператором ПДн.
В процессе обработки может участвовать лицо, осуществляющее обработку персональных данных по поручению оператора (далее — Обработчик). Обработчик заключает с оператором Договор-поручение и действует только в интересах последнего. Обработчик не преследует свои цели.
Если оператор обрабатывает (собирает, обезличивает, уточняет, использует, хранит и пр.) ПДн с использованием сайта, веб-приложения или мобильного приложения и др.
, работающих в инфраструктуре облачного провайдера или стороннего ЦОДа, тогда в цепочке «субъект ПДн — оператор — провайдер облачных услуг/ЦОД» провайдеры и дата-центры выступают в качестве обработчиков.
Данные таким компаниям поступают не напрямую от субъекта.
Если возникает необходимость в услугах облачных сервисов, проверьте реализуемые меры защиты ПДн и правильно оформите договор-поручение. Как выбрать облачную инфраструктуру, соответствующую 152-ФЗ, можно узнать здесь.
Обязанность подать уведомление об обработке персональных данных
Операторы обязаны сообщить в РКН о своем намерении осуществлять обработку сведений о физических лицах (статья 22 Закона). Заполнить уведомление в Роскомнадзор и привести процессы обработки в соответствие с установленными требованиями рекомендуется до начала взаимодействия с ПДн.
В некоторых ситуациях разрешено не состоять в реестре:
- Компания обрабатывает информацию только о сотрудниках.
- Сведения нужны в рамках договорных отношений между оператором и субъектом ПДн (например, для того, чтобы клиент мог сделать заказ и получить его).
- Общественные объединения, религиозные организации обрабатывают информацию об участвующих в них лицах.
- В состав собираемых сведений входит только ФИО.
- Компания собирает ПДн субъекта для оформления разового прохода на территорию.
- ПДн хранятся в бумажном виде, и вы их не дублируете на электронные носители. При этом бумажные документы должны быть надежно защищены от посторонних лиц.
С 1 марта 2021 года в перечне появился новый пункт — уведомлять не нужно, если Гражданин разрешил распространять сведения о себе. Однако для правомерности таких действий оператор обязан получить отдельное согласие.
О чем нужно уведомлять роскомнадзор
Если вы уже являетесь оператором или только имеете намерение осуществлять обработку, то предоставьте следующую информацию в РКН:
- ФИО или название компании, адрес;
- цели, преследуемые при сборе данных;
- перечень собираемых ПДн;
- какие НПА, локальные акты и иные документы (с указанием конкретных статей и пунктов) закрепляют основания и порядок обработки;
- действия с ПДн, применяемые способы обработки;
- меры безопасности;
- кто выступает ответственным за обработку;
- когда вы начали или планируете начать обработку;
- в каких случаях вы планируете завершить обработку;
- передаются ли собранные данные за рубеж;
- где находятся базы данных;
- какой уровень защищенности установлен в вашей компании.
Образец заполнения и рекомендации
Форма уведомления об обработке персональных данных в Роскомнадзор расположена на официальном сайте. Ниже рассмотрен общий порядок заполнения.
Сначала выберите территориальный орган, в который направляется документ. Территориальный орган выбирается на основании местонахождения оператора:
Далее указываются общие сведения о лице, подающем уведомление. Обязательные поля помечены красной отметкой:
Укажите адреса филиалов компании при наличии. Компании часто забывают об этом и приводят сведения только о головной организации.
Далее следует раздел «Общие сведения»:
Под правовым основанием понимаются законы, локальные акты (здесь не забудьте указать внутреннее положение об обработке в компании) и иные документы, в соответствии с которыми вы действуете. Однако не рекомендуется указывать 152-ФЗ — это одна из ошибок, часто отмечаемая РКН в разъяснениях.
Нужно обязательно привести конкретные статьи и пункты. Пример заполнения поля:
Сведения о целях, для достижения которых вы ведете обработку, рекомендуется привести в отношении каждой категории субъектов отдельно. Для начала проверьте, есть ли у вас сведения о:
- работниках;
- заказчиках;
- посетителях сайта;
- соискателях.
Сведения о соискателях не могут быть использованы в тех же целях, что сведения о заказчиках, и наоборот. Если вы укажете цели для всех категорий одной строкой, это будет нарушением.
Вариант заполнения:
При описании предусмотренных Федеральным законом мер желательно перечислить полный список таких мер. Предварительно ознакомьтесь с содержанием соответствующих статей, поскольку важно не только заявлять декларативно о применении мер, но и действительно внедрять их в компании. В противном случае может грозить привлечение к ответственности.
Пример:
В графе о средствах безопасности укажите меры, которые позволяют вам следить за сохранностью ПДн — это могут быть меры как технического, так и организационного характера. В каждой организации в зависимости от вероятности утечек и иных факторов используются свои способы обеспечения информационной безопасности.
Для иллюстрации можно привести следующие:
Для правильного заполнения поля «Сведения об обеспечении безопасности» нужно установить, какие угрозы актуальны для вашей компании. Уровень защищенности можно определить, исходя из:
- типов угроз (1, 2 или 3 типа);
- категорий ПДн (специальные, биометрические, общедоступные, иные);
- количества субъектов ПДн (менее 100000, более 100000).
Для каждого уровня из четырех отдельные требования к безопасности Нужный уровень защищенности ПДн поможет определить калькулятор (см. раздел «определить уровень защищенности»).
Дата начала обработки чаще всего совпадает с датой регистрации компании. Маловероятно, что компания не обрабатывает данные граждан с самого начала своей деятельности. Обычно сразу появляется информация о клиентах, о представителях сторонних организаций (например, курьеров, ремонтных служб, служб доставки).
Дату окончания обработки определить затруднительно. Поэтому лучше укажите условия, при которых вы больше не будете обрабатывать сведения.
Вариант заполнения:
Заполняем категории персональных данных
Создайте отдельную ИСПДн для каждой категории субъектов. Это правило следует из законодательного принципа недопустимости объединения ПДн, которые обрабатываются в несовместимых между собой целях.
Перед заполнением уведомления:
- Установите категории физических лиц, сведения о которых вы собираете.
- Установите точный перечень ПДн, которые вы собираете в рамках отдельной категории.
- Определите цели использования ПДн по каждой категории.
- Установите, есть ли передача ПДн за границу применительно к отдельной категории.
В разделе уведомления «Сведения об информационных системах» каждую категорию физических лиц укажите отдельно. Например, сначала вы заполняете перечень действий, категории и иные сведения об обработке ПДн клиентов. Если вы также обрабатываете сведения о других субъектах, добавьте новую ИС и заполните раздел для новой категории субъектов ПДн.
В поле «Перечень действий» указываются действия, которые вы осуществляете с данными. Выберите все действия из перечня, закрепленного в законе:
Если ПДн хранятся только в электронной форме, то обработка является автоматизированной.
Смешанная обработка возможна, если данные хранятся как в бумажной форме, так и в электронных базах. Например, сведения о работниках, как правило, хранятся в карточке Т-2, трудовой книжке и одновременно в электронных базах (СКУД, 1С, SAP), следовательно, обработка смешанная.
Также обязательно указать, передаются ли ПДн внутри организации и с использованием сети интернет.
Вариант заполнения формы:
В графе «Категории персональных данных» нужно перечислить личные сведения о субъектах, которые вы обрабатываете. Если вы собираете данные, не перечисленные в форме уведомления, дополнительно сообщите об этом в соответствующем поле.
Вариант заполнения:
Особое внимание уделите при указании специальных категорий и биометрических ПДн. К обработке указанных категорий законодательство устанавливает повышенные требования, в том числе к основаниям сбора(требуется письменное согласие) и защите.
В поле «Категории субъектов» рекомендуется писать только одну категорию (например, работники). Как уже отмечено, каждая отдельная категория указывается при помощи добавления новой ИС путем нажатия кнопки:
Если компания передает данные в другие страны, нужно также уведомить об этом РКН.
Нередки случаи, когда информация передается в организацию, расположенную за рубежом: например, если сайт интернет-магазина имеет направленность на российских потребителей и принадлежит международной компании; компания имеет филиалы по всему миру и данные работников передаются в материнскую компанию; иные ситуации.
Также укажите СКЗИ, которые вы используете, и класс таких средств (если применимо). Если вы не применяете СКЗИ, укажите, что их нет. Вариант заполнения:
Указание адреса ЦОДа
Важно верно указать адреса ЦОДов, в которых размещены ИС со сведениями о субъектах. До передачи информации в ЦОД или облако необходимо заключить договор-поручение на обработку ПДн с ЦОДом или облачным провайдером. Данное требование было отдельно отмечено представителями РКН в ходе публичного семинара по итогам контрольно-надзорной деятельности ведомства за 9 месяцев 2020 года.
ПДн российских граждан должны первично обрабатываться на территории России соответственно. При этом дальнейшая трансграничная передача ПДн не запрещена. Если вы пользуетесь облачным провайдером, расположенным за границами Российской Федерации, то необходимо создавать первичную базу данных на территории России. Штрафы за несоблюдение могут доходить до 18 млн руб.
Перед трансграничной передачей разместите базы данных у российского провайдера. В уведомлении укажите первичный адрес базы данных. Адрес ЦОД обычно указан в договоре-поручении на обработку ПДн, заключаемом между оператором и облачным провайдером.
Ответственный за обработку персональных данных
В конце уведомления укажите сведения о назначенном лице (или компании), ответственном за обработку ПДн, в том числе ФИО (или название компании) и контакты. На практике назначается приказом сотрудник компании. Рекомендуется указывать достоверную контактную информацию, поскольку Роскомнадзор может связаться с представителем оператора для оперативного взаимодействия.
Частые ошибки
Типичные ошибки при заполнении уведомления:
- Неверно указано правовое основание обработки ПДн. Считается, что для обработки достаточно согласия субъекта. Этот подход неверный, согласие не «панацея» во всех случаях. Важно перечислить перечень законов и подзаконных актов, в соответствии с которыми осуществляется обработка.
- Неправильно определены цели обработки ПДн. Например, ошибочно указывать в качестве цели «хранение персональных данных». Хранение — это одно из действий по обработке. Кроме того, недопустимо собирать сведения о субъекте только для того, чтобы хранить в базах данных. В 2019 году РКН составил 111 протоколов по данному нарушению.
- Ошибочно установлен уровень защищенности ПДн. Как следствие, не указаны необходимые меры безопасности. Для правильного определения уровня рекомендуется привлекать специалистов по информационной безопасности.
- Данные всех категорий субъектов заполнены в рамках одной ИС. Напомним, что сведения о каждой группе физических лиц (сотрудники, посетители сайта и т.п.) в уведомлении лучше выделить отдельно, поскольку недопустимо объединение баз ПДн, обрабатываемых в разных целях.
- Указаны не все категории субъектов ПДн. Без проведения аудита обработки сложно выявить все группы субъектов. Например, компании забывают про обработку сведений о соискателях.
- Отсутствуют сведения о первичной базе данных в России.Это прямой повод для проведения проверки Роскомнадзором, по итогам которой компанию могут оштрафовать за отсутствие локализации.
Непредоставление полной информации по данным отчета РКН за 2019 год составляет 17% от общего числа нарушений.
Сроки и порядок отправки уведомления
Подайте уведомление до начала обработки в бумажном или в электронном виде. Роскомнадзор включает в реестр по истечении 30 дней с момента регистрации уведомления. Для проверки статуса уведомления и факта включения в реестр достаточно в поисковой строке указать ИНН.
Форма уведомления: бумажный носитель или электронный документ.
Есть три способа подачи уведомления:
- в бумажном варианте;
- в электронном виде с применением усиленной электронной подписи;
- электронно с использованием портала Госуслуг.
Для подачи на бумажном носителе можно заполнить форму на сайте Роскомнадзора. После заполнения автоматически сформируется документ с уникальным номером и ключом. Заполненный бланк нужно распечатать и направить по адресу выбранного органа.
Появилась возможность электронной подачи. Однако потребуется усиленная квалифицированная ЭП или подтвержденная учетная запись на портале Госуслуг.
Подпись, оформление и отправка уведомления
Если уведомление подается в бумажном виде, его необходимо оформить на бланке организации (но если бланка нет, то можно без него). Затем подпишите и поставьте печать.
Подписать может либо генеральный директор, либо лицо по доверенности — в таком случае должна быть приложена Доверенность. Оформленное уведомление направьте по адресу территориального органа заказным письмом.
Это позволит в дальнейшем отследить получение.
Последствия неуведомления
Даже если оператор уже давно обрабатывает данные и не состоит в реестре, целесообразно подать уведомление (на практике операторов не привлекали к ответственности, если уведомление подано позже начала обработки). Существует ошибочное мнение, что в поле зрения уполномоченного органа только компании в реестре. Роскомнадзор вправе направить запрос о подаче уведомления в любую организацию.
За несообщение предусмотрен Штраф (статья 19.7. КоАП РФ):
для граждан | 100-300 рублей |
для должностных лиц | 300-500 рублей |
для юридических лиц | 3000-5000 рублей |
Штрафовать могут неоднократно. В 2019 году РКН составил 5191 протокол по статье 19.7. и наложил штрафы в размере 4 231 430 рублей.
Необходимость внесения изменений в реестр операторов
При изменении процессов обработки или общих сведений оператор должен уведомить об этом. Например, если компания:
- стала получать информацию о новой группе субъектов ПДн;
- переехала в другое место или изменила название;
- назначила новое ответственное лицо.
Помимо уведомления Роскомнадзора не забудьте внести изменения в поручения на обработку ЦОДам или провайдерам облачных сервисов.
Сведения об изменениях сообщаются путем отправки информационного письма:
- форма письма размещена на сайте РКН, совпадает с уведомлением;
- заполнить нужно только те разделы, в которые вносятся изменения;
- порядок оформления и отправки аналогичен действиям с уведомлением.
Реестр операторов персональных данных
В реестр операторов, осуществляющих обработку персональных данных, который находится в ведении Роскомнадзора, можно попасть двумя способами: добровольно и принудительно-добровольно.
Технически они не отличаются друг от друга. Но главный вопрос: “Зачем нам очередной реестр? Нормально же все было…”.
Среди самых популярных ответов встречаются:
- Все побежали и я побежал.
- Этого требует контрагент, условия тендера/конкурса.
- Прочитал, что иначе будет большой штраф.
- Мы — банк.
- До сих пор не понятно.
Кстати, уведомить Роскомнадзор о начале обработки персональных данных и попасть в реестр операторов —это одно и тоже. Сам реестр размещен на сайте РКНа https://rkn.gov.ru/personal-data/register/
Скриншот с сайта Роскомнадзора
Я — оператор
Независимо от наличия записи в реестре, в том случае, если компания обрабатывает персональные данные (а любой бизнес их обрабатывает), то она является оператором обработки персональных данных. Т.е.
теоретически реестр операторов должен совпадать с ЕГРЮЛом и даже быть немного больше, т.к. и физлицо может являться оператором.
Но в реестре находится чуть более 400 000 записей, что явно меньше количества зарегистрированных юридических лиц и индивидуальных предпринимателей.
Конечно же существует возможность не уведомлять Роскомнадзор об обработке персональных данных. Ряд исключений предусмотрены ст.
22 ФЗ “О персональных данных”, но с ними не все так однозначно как кажется на первый взгляд, о чем напишу позже.
Важно понять другое — независимо от наличия вашей компании в Реестре требования законодательства о персональных данных на вас также распространяются и их необходимо неукоснительно соблюдать.
“Письмо счастья” от Роскомнадзора
Поскольку большинство компаний не стремились и не стремятся направлять уведомления, Роскомнадзор в свое время начал активно пополнять реестр операторов путем направления таких вот писем.
Пример уведомления Роскомнадзора о необходимости включения в реестр операторов персональных данных
В чем смысл таких действий в целом понятен из текста. Выборка компаний делается по ОКВЭДам, и та деятельность, которая потенциально связана с обработкой персданных физических лиц, является поводом для направления письма.
РКН вроде как и не заставляет включаться в реестр, но в противном случае просит предоставить пояснение с указанием правовых оснований обработки ПД без направления уведомления. Для принятия решения предоставляется 30 дней.
Оставить без внимания такое письмо нельзя: нужно включиться в реестр или написать, что деятельность компании попадает под исключения, предусмотренные статьей 22 Закона “О персональных данных”.
В случае игнорирования может последовать привлечение к административной ответственности по статье 19.7 КоАП “Непредставление сведений (информации)”. Штраф, конечно, невелик (до 5 000 руб. на юрлицо), но потенциально игнор — это повод для последующего проведения внеплановой проверки* и вынесения предписания об устранении нарушения законодательства.
*Справка: поводы, основания, сроки и т.п. моменты, связанные с проведением проверок в сфере персональных данных, установлены Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных (утв. Постановлением Правительства РФ от 13 февраля 2019 г. № 146).
За неисполнение предписания уже последует административка по статье 19.5 КоАП “Невыполнение в срок законного предписания…”.
Вот я в реестре, а дальше что?
Да ничего особенного. В текущей деятельности нет вообще никаких изменений. Ну можете присоединиться к Кодексу добросовестных практик.
Дополнительным фактором для назначения проверки наличие или отсутствие компании в реестре не является, хотя если в ходе проверки будет установлено, что деятельность оператора не попадает под исключения, то может быть наложен более высокий штраф уже по ст. 13.11 КоАП.
Своевременно вносите изменения
Если у вас меняются какие-либо сведения, включенные ранее в реестр, то требуется внести изменения в течение 10 дней со момента их возникновения (часть 7 статьи 22 ФЗ “О персональных данных”). За несвоевременное направление или не направление этих сведений — опять административный штраф по ст. 19.7 КоАП.
Про ответственность за обработку персональных данных без уведомления Роскомнадзора
Закон “О персональных данных” требует направить уведомление в РКН до начала обработки персональных данных. На практике это момент регистрации компании или ИП, то есть фактически дата начала обработки ПД совпадает с датой регистрации в ЕГРЮЛ.
Следовательно, если фирма в этот момент уведомление в РКН не направит, то уже совершит административное Правонарушение, ответственность за которую предусмотрена ст. 13.11 КоАП РФ.
А срок давности привлечения к административке по этой статье составляет 3 месяца с момента совершения правонарушения. Такое нарушение не является длящимся, поэтому, если речь не идет о неисполнении предписания, то РКН никого к ответственности и не привлекает.
Вывод
Без лишней необходимости направлять в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных не нужно, но и сопротивляться и уклоняться от этого никакого смысла нет. Безусловно, каждая ситуация индивидуальна и эта статья написана мной исключительно для помощи в принятии самостоятельного решения, правильного конкретно для вас.
Обязательно прочитайте материал о том, как Роскомнадзор будет применять законодательство о персональных данных в 2021 году
Подпишитесь на Телеграм-канал!
Для чего нужен реестр операторов персональных данных Роскомнадзора? Как попасть в список?
Законодательная база России в сфере защиты персональных данных функционирует и совершенствуется с 2006 года, когда вступил в силу закон «О персональных данных». Роскомнадзор создает единый реестр операторов персональных данных. Контроль над учреждениями, предприятиями и лицами, которые, собирают, обрабатывают и хранят подобную информацию о гражданах, осуществляет Роскомнадзор, в ведение которого находится Реестр операторов персональных данных.
Скрыть содержание
Кто может осуществлять сбор, обработку информации?
- Реестр операторов персональных данных – это общая федеральная база, куда Роскомнадзор вносит сведения о юридических и физических лиц, осуществляющих сбор и обработку подобной информации.
- Так называемыми «операторами» могут быть как органы власти: федеральной, субъектов федерации или муниципальной, так и коммерческие структуры, банки, торговые сети, выдающие карты клиентов, и прочие.
- В последних правках, внесенных в 2017 году, законодатели уделили особое внимание Интернет-ресурсам, имеющим формы для регистрации пользователей.
- Регистрация в Роскомнадзоре обязательна для всех физических и юридических лиц, которые намерены заниматься сбором и обработкой персональных данных, кроме исключений, указанных в части 2 статьи 1 и части 2 статьи 22.
Цель создания по закону
Закон декларирует свою цель как обеспечение защиты прав и свобод человека, неприкосновенности личной жизни и семейной тайны. Реестр предоставляет всем заинтересованным сторонам информацию о том, кто, в каких целях и какие данные граждан собирает, обрабатывает и хранит. Это позволяет более эффективно бороться с правонарушениями в данной области.
Кроме того, наличие ответственности за манипуляции со сбором персональных данных стимулирует операторов тщательно подходить к вопросам информационной безопасности.
В 2015 году законодатель потребовал хранить данные только на серверах, размещенных на территории России, что, очевидно, было реакцией на ухудшение международной обстановки.
Хранение данных на серверах направлено на усиление защиты персональной информации россиян от внешних посягательств.
Кто вносит изменения в перечень?
Изменения в реестр вносит Роскомнадзор на основании уведомления операторов. На рассмотрение представленной информации ведомству отводится 30 дней.
Сведения об операторах общедоступны, за исключением описания средств и мер безопасности, которые оператор применяет для защиты своих баз.
Как попасть в список зарегистрированных?
Уведомление о начале работы подается в электронном и печатном виде:
Этапы заполнения уведомления на сайте
Электронные формы уведомления на сайте Роскомнадзора несколько отличаются для физлиц и юридических лиц разной формы собственности. Рассмотрим основные этапы заполнения уведомления для юридического лица.
- Выберите территориальный орган Роскомнадзора согласно юридическому адресу компании.
- Тип оператора – юридическое лицо.
- Наименование оператора – организационно-правовая форма и полное название вашего предприятия (учреждения).
- С помощью встроенной формы выберите юридический адрес компании.
- Укажите ИНН и ОГРН.
-
Правовое основание обработки персональных данных – ссылайтесь на:
- Цели пишем указанные в Уставе предприятия и преследуемые в повседневной деятельности.
- В пункте «Описание мер, предусмотренных статьями 11 и 19 Федерального закона «О персональных данных» следует перечислить все выполненные в компанией подготовительные мероприятия:
- назначение ответственного сотрудника, выпуск внутренней документации о политике, вопросах обработки персональных данных и процедурах по предотвращению нарушений законодательства и устранению последствий таковых;
- ознакомление персонала с соответствующими приказами и распоряжениями; готовности предпринимать правовых, организационных и технических мер обеспечения безопасности;
- ведение контроля над обработкой данных;
- проведение оценки потенциального вреда.
Согласно статье 19, укажите, что определили потенциальные угрозы и применяете организационные и технических меры и соответствующие средства защиты информации, занимаетесь оценкой эффективности принимаемых мер и ведете учет машинных носителей персональных данных.
Отметьте готовность принимать меры и ликвидировать последствия в случае несанкционированного доступа к персональным данным, установление в вашей организации правил доступа к ним и учета всех совершаемых действий.
- В подпункте «Средства обеспечения безопасности» укажите применяемые средства: разграничение доступа, пароли и прочее.
- Пункт: «Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных…» во многом дублирует вышеуказанные требования статей закона.
Укажите, что определили должностное лицо, ответственное за безопасность данных, и перечень работников, имеющих к ним доступ, обеспечили безопасность носителей и соответствующий режим безопасности помещения, где они находятся. Должны быть определены угрозы безопасности и установлен уровень защищенности персональных данных при обработке.
- В качестве даты начала указывайте или запланированный день начала работы компании, если речь идет о новом предприятии, или дату государственной регистрации. Если обработка персональных данных не является локальным проектом, имеющим конечные сроки, в следующей графе указываются только обстоятельства, при которых она может быть прекращена.
- Во второй части формы укажите, с какой именно информацией вы планируете работать (ФИО, возраст, семейное и социальное положение и так далее), интересующие вас категории субъектов (пассажиры, абоненты, заемщики) и форму взаимоотношений с ними.
Также потребуются сведения о способе обработки информации (автоматизированный, не автоматизированный, с передачей через Интернет или без), наличие или отсутствие трансграничной передачи персональных данных и криптографических средств, физический адрес местонахождения базы данных (если вы арендуете серверные мощности у сторонней компании, запросите адрес и прочее у поставщика Услуги).
- На последнем этапе укажите ФИО и контакты конкретного должностного лица, ответственного за безопасность обработки персональных данных (подробнее о том, что такое персональные данные и кто такие операторы, читайте тут).
После отправки электронного уведомления, сайт предложит вам распечатать копию для предоставления в территориальный орган Роскомнадзора на бумажном носителе.
Вы также получите номер, присвоенный вашему уведомлению, и код для проверки его состояния на сайте ведомства.
Подача уведомления
Уведомление в Роскомнадзор подается один раз перед тем, как приступать к работе с персональными данными. Если зарегистрированный оператор меняет какие-либо из данных, предоставленных в реестр, он обязан уведомить надзорный орган в течение 10 дней.
Причины отказа
Роскомнадзор не имеет права отказать в регистрации, но может потребовать уточнить предоставленные в уведомлении данные оператора, если сочтет их недостоверными или недостаточными.
Как найти информацию об организации?
Получить сведения о любом зарегистрированном операторе персональных данных можно на специальной странице сайта Роскомнадзора https://pd.rkn.gov.ru/operators-registry/operators-list/. Заполните форму, указав название и ИНН интересующей вас компании.
Поиск будет корректней, если вы располагаете дополнительной информацией, например, о дате внесения в реестр. Распространенных определений: государственный, муниципальный и подобных, напротив, стоит избегать.
Регистрация в реестре Роскомнадзора нередко рассматривается как добровольная опция, так как ведомство физически не имеет ресурсов для контроля над каждым предприятием или Интернет-сайтом, подпадающим под действие закона «О персональных данных». Между тем, нарушения требований к защите этой информации подпадает под санкции Кодекса об административных правонарушениях, и влечет за собой штраф до 75 000 рублей.
Проверка компании в реестре операторов персональных данных Роскомнадзора
У каждого гражданина есть персональные данные, которые идентифицируют его среди миллионов россиян. Благодаря личным сведениям, государство ведет оптимизированный учет населения в сферах налогообложения, здравоохранения, трудоустройства и других.
Кроме органов власти, информацией о нас владеют коммерческие и финансовые организации. Все эти пользователи должны быть внесены Роскомнадзором в реестр операторов персональных данных.
Иначе хранение и использование личных сведений о гражданах подпадает под незаконное деяние, предусматривающее административную ответственность.
Кто такие операторы персональных данных, и чем они занимаются
Персональные данные (ПД) — это личностные сведения, принадлежащие физическому лицу. Они могут быть прямыми и косвенными, а их объем (перечень) зависит от возраста человека. Например, у ребенка дошкольного возраста ПД совсем мало, а у пожилого человека, владеющего движимым и недвижимым имуществом — много. Вот перечень основных, общедоступных и специальных, персональных данных:
- ФИО;
- место/дата рождения;
- серия/номер паспорта;
- страховой номер СНИЛС;
- регистрация места жительства постоянная/временная;
- информация о судимостях (действующие/погашенные);
- биометрия (биологические и физиологические характеристики);
- фото или видео различного характера, любой давности;
- сведения о детях, родственниках, семейном положении;
- информация о величине зарплаты, оценка качеств и навыков;
- номер телефона, e-mail, аккаунты в социальных сетях или мессенджерах;
- специальные ПД (расовая принадлежность, национальность, политические или религиозные взгляды, философские убеждения, состояние здоровья, интимная жизнь).
Оператор — это управляющий чем-либо. В случае использования личных сведений гражданина, оператором ПД становится любое должностное, юридическое или физическое лицо. Например, ГИБДД, ФССП, ИФНС, банки, ТСЖ, интернет-магазин, салон-парикмахерская, ваши родственники и друзья, но только в случае обработки информации или ее передачи третьим лицам (ч. 2 ст. 3 № 152-ФЗ «О персональных данных»).
Однако писать заявление в реестр операторов персональных данных и становиться его резидентом из-за передачи номера телефона или адреса электронной почты своего друга знакомому не стоит. База существует для тех, кто ведет обработку, автоматизацию, распространение, блокирование и уничтожение личных сведений граждан.
Обязанности оператора при обработке персональных данных
Субъектам государственного и частного сектора, в чьи обязанности входит систематизация и оптимизация личностных сведений физических лиц, надлежит руководствоваться Федеральным законом № 152-ФЗ. Согласно ему, операторы обязаны:
- Вести разъяснительные беседы с гражданами и доходчиво им объяснять, для чего ПД будут использованы.
- Получать от физических лиц письменное согласие на обработку и использование личностных сведений.
- Опубликовывать правила использования и обработки ПД отдельно взятым оператором.
- Защищать личные сведения граждан от посягательств третьих лиц, а также запрещать использование и распространение информации другими субъектами.
- Уничтожать ПД по заявлению владельца, если они были обработаны с нарушениями, по мнению гражданина.
Это лишь краткий перечень обязанностей тех, кто входит в реестр операторов, осуществляющих обработку персональных данных.
Регистрация в Роскомнадзоре в качестве оператора персональных данных
Перед формированием клиентской базы будущий оператор обязан оповестить уполномоченный орган о намерении использовать ПД физических лиц в определенных целях. Но не все должны уведомлять Роскомнадзор. Существует категория субъектов, которые не обязаны писать заявление в РКН о включении в реестр операторов персональных данных. К ним относятся:
- Работодатели.
- Исполнители или заказчики договорных отношений.
- Пользователи общедоступными персональными сведениями.
- Охранные предприятия, оформляющие однократные пропуска.
- Организации, хранящие сведения на бумажном носителе (не имеющие электронных баз данных).
Всем остальным, не вошедшим в перечень, надлежит в обязательном порядке пополнить список операторов персональных данных Роскомнадзора. За уклонение или нарушение ФЗ-152 предусмотрена административная ответственность по ст. 13.11 КоАП РФ:
- обработка ПД без цели сбора: до 3000 руб. гражданам, до 10 000 руб. — должностным лицам, до 50 000 руб. — организациям.
- обработка личностных данных без письменного согласия: до 5000 руб. гражданам, до 20 000 руб. — должностным лицам, до 75 000 руб. организациям.
- отсутствие публикации с правилами оператора обработки ПД: гражданам — до 1000 руб., должностным лицам — до 6000 руб., ИП — до 10 000 руб., юрлицам — до 30 000 руб. По статистике Роскомнадзора, на март 2021 г. зарегистрировано 420 774 операторов персональных данных. У некоторых из них гарантированно есть сведения о вас.
Как получить информацию, является ли организация оператором, осуществляющим обработку персональных данных
Вы можете проверить любую организацию на предмет ее наличия в списке операторов РКН. Это можно сделать на сайте ведомства Роскомнадзор или прямо здесь. Для этого введите ИНН компании и ее название.
Роскомнадзор ведет реестр операторов персональных данных, формируемый из государственных органов власти, коммерческих компаний, индивидуальных предпринимателей и даже физических лиц. Сбор и обработка личных сведений регулируется Федеральным законом № 152-ФЗ.
За его нарушение операторы несут административную ответственность в виде штрафа. Вы можете проверить прямо здесь или на сайте РКН, состоит ли интересующее вас ведомство или организация в списке хранителей личных сведений, с правом их использования (оборота).
Реестр операторов персональных данных Роскомнадзора — регистрация операторов, осуществляющих обработку ПД в РКН
В списке обязанностей операторов персональных данных согласно ФЗ-152 одним из первых пунктов указана необходимость регистрации в Реестре Роскомнадзора.
При этом есть исключения, когда подавать уведомление про обработку ПДн не нужно, — из-за этого многие предприниматели и руководители компаний не понимают, нужно им регистрироваться или нет, а если да, то что требуется делать.
Некоторые вообще предпочитают игнорировать федеральный закон и в итоге вынуждены нести административную ответственность в виде штрафа, накладываемого Роскомнадзором.
Если вы заинтересованы в том, чтобы бизнес был успешным, а проверки не выявляли нарушений, то нужно как можно раньше урегулировать взаимоотношения с Федеральной службой по надзору в сфере связи, массовых коммуникаций и информационных технологий.
Именно этот государственный орган формирует перечень операторов ПДн, вносит в него изменения и удаляет сведения из реестра.
Цель создания единой базы — обеспечение доступа всем заинтересованным лицам к информации об операторах, осуществляющих обработку персональных данных.
Направляя в ведомство уведомление о запланированных операциях с ПДн, организация попадает в реестр персональных данных, что позволяет обосновать свои действия с полученными от человека сведениями при появлении у него вопросов относительно их использования.
Регистрация оператора персональных данных на сайте Роскомнадзора
Даже при небольшом объеме обрабатываемых ПДн компания или ИП обязана сообщить о намерении осуществить те или иные операции с ПДн. Действующее российское законодательство предусматривает подачу уведомления в компетентный орган заблаговременно. То есть если в списке фирма отсутствует, то в некоторых случаях законно использовать ПДн она не может.
Предусмотрено два варианта, как зарегистрироваться оператору персональных данных в реестре РКН:
- Воспользоваться онлайн-формой на официальном сайте госструктуры — pd.rkn.gov.ru.
- Самостоятельно составить и подписать документ в письменном виде и отправить в территориальный департамент ведомства.
Большинство организаций подает обращение в контролирующий орган на сайте, что экономит время и избавляет от возможных ошибок и уточнений со стороны Роскомнадзора.
Со дня регистрации уведомления как правило проходит 2 недели, однако максимальный срок для включения оператора в реестр может составить до 30 дней с момент получения уведомления Роскомнадзором.
В случае подачи неполных сведений, отправитель получает сообщение о необходимости их уточнения — на это дается 1 месяц.
Организации, нарушившие требование об информировании РКН, попадают в отдельный список, и в дальнейшем находятся под особенно пристальным вниманием проверяющих, не говоря уже о том, что за нарушения им придется платить штраф в сумме до пяти тысяч рублей.
Обойтись без подачи письменного или электронного уведомления можно, если речь идет об использовании сведений работодателем, обработке общедоступных ПД и оформлении пропусков для однократного входа на предприятие.
Полный список исключений указан в ФЗ № 152, но чтобы окончательно убедиться в необходимости (или её отсутствии) выполнения регистрационных действий, есть смысл проконсультироваться у специалистов нашего центра.
Как убедиться, что вы зарегистрировались и представлены в реестре операторов персональных данных Роскомнадзора?
После отправки заполненного документа в РКН нужно ожидать, пока информация не будет внесена в единую электронную базу. Удостовериться в успешности процесса несложно — достаточно открыть сайт федеральной службы, перейти в реестр и совершить поиск:
- по ИНН либо регистрационному номеру;
- по наименованию компании.
После нажатия кнопки «Найти» на страничке появится запись о типе оператора, основании включения в список, дате поступления уведомления и начале совершения операций с ПДн, а также других общедоступных сведениях.
Особенности заполнения уведомления
Что это такое уведомление в Роскомнадзор для регистрации в реестре персональных данных, не все операторы четко себе представляют, поэтому в первый раз испытывают сложности с заполнением.
Но ошибка или неточность чреваты серьезными проблемами, вплоть штрафных санкций при проверках, поэтому нужно четко понимать, что и где вписывать.
Все поля со звездочкой в форме регистрации обязательны для заполнения — если их пропустить, то онлайн-обращение не будет отправлено, а письменную форму не будут рассматривать.
Чтобы регистрация прошла успешно, в документе предстоит указать:
- территориальное управление РКН и тип оператора;
- наименование согласно официальным документам (или Ф.И.О. для предпринимателей);
- фактический и юридический адрес, а также регионы, на территории которых ведется коммерческая или некоммерческая деятельность, подразумевающая обработку ПДн;
- сведения о филиалах (если имеются);
- ИНН и ОГРН — в форме есть и другие поля для кодов организации, но они не являются обязательными для заполнения;
- правовое обоснование — тут должно быть указано правовое обоснование для обработки персональных данных, для работодателей обязательно упоминание Трудового Кодекса;
- цель совершения операций — основной пункт, над которым необходимо серьезно задуматься, чтобы в дальнейшем не возникли противоречия с ФЗ-152 и подзаконными актами;
- категории субъектов, чьи данные собираются и используются, а также список видов ПДн, с которыми вы будете иметь дело;
- принятые меры для обеспечения информационной безопасности в ИСПДн — здесь требуется ввести все применяемые организационные и технические средства защиты;
- условия окончания процесса обработки либо конкретные сроки;
- перечень совершаемых операций;
- способ обработки сведений;
- наличие или отсутствие трансграничной передачи ПДн;
- информация о центре обработки данных — указываются отдельно для каждой ИС;
- ответственное за организацию обработки персональных данных лицо и Исполнитель.
В самом конце от того, кто заполняет форму, требуется поставить отметки о согласии на использование полученных сведений, ввести проверочный код и подтвердить отправку. Далее в обязательном порядке требуется распечатать документ, поставить печать и переслать в территориальное подразделение РКН нарочным способом или почтой.
Внесение изменений и удаление сведений из Реестра операторов персональных данных (ПД) Роскомнадзора
Через какое-то время после отправки уведомления у предприятия или ИП может возникнуть необходимость откорректировать информацию или удалить компанию из списка. Чаще всего изменения вносятся в:
- название организации, адрес местонахождения или регистрации;
- методы обработки ПДн;
- категории субъектов ПДн;
- цели использования;
- меры по обеспечению безопасности ИСПДн;
- наличие/количество филиалов;
- сведения, с которыми осуществляются операции, и виды действий;
- условия прекращения обработки;
- графу, где указан ответственный сотрудник, если он изменился;
- сервера, на которых хранятся данные.
Максимальный срок сообщения об изменения — 10 дней с момента их возникновения. Аналогическое время дается на подачу обращения с просьбой исключить из реестра РКН после того, как вступили в силу обстоятельства, предусматривающие условия прекращения обработки ПДн.
Персональные данные и требования Роскомнадзора. Что нужно знать, чтобы зарегистрироваться в реестре операторов — Право на vc.ru
{«id»:279591,»gtm»:null}
Сегодня буквально каждый из нас заполняет в любых учреждениях разрешение на обработку персональных данных. Эта обязанность введена 152 Законом Об обработке персональных данных (далее — ПД). И если владельцы сайтов прекрасно осведомлены об особенностях, то и обычным людям будет полезно понимать, почему им бесконечно навязывают везде и всюду заполнение этих надоевших бумажек.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. К ней относят имя, фамилию и все те данные, которые позволяют идентифицировать человека.
Например, как знают владельцы сайтов, по ID в Метрике невозможно установить личность человека. А вот отсутствие политики обработки ПД или политики конфиденциальности под формой обратной связи может повлечь штраф до 75 000 руб.
и выше.
За неверную обработку ПД и тем более их утечку, что случается довольно часто, КоАП предусматривает до 18 000 000 руб. штрафа – ст. 13.11.
И оператор, то есть любое лицо, в том числе и физическое, которое владеет ПД, обязано пройти регистрацию в Реестре операторов персональных данных еще до начала сбора этих данных. За отсутствие регистрации штраф относительно небольшой. Для физлиц – от 100 руб. до 300 руб.
Для юрлиц – от 3000 руб. до 5000 руб. – ст. 19.7 КоАП. Регистрацией занимается Роскомнадзор. Он проверяет все документы и принимает решение о внесении в реестр.
Когда не требуется предварительное уведомление Роскомнадзора
· Если речь идет о трудоустройстве. И в этом случае работодатель обязан уведомить нового работника под роспись о порядке обработки его ПД, а также получить его согласие
· Если данные нигде не распространяются и не передаются третьим лицам (договоры ГПХ и пр.)
· Религиозные организации также могут не регистрироваться в РКН
· Если человек разрешил их распространение или сам их разместил для ознакомления неопределенному кругу лиц
· Если данные включают только ФИО
· Если заполняются данные только для прохода на объект (оформление стандартного пропуска)
· Если речь идет о системах хранения данных, созданных в целях госбезопасности
· Если обработка данных осуществляется без использования средств автоматизации (например, для разового посещения библиотеки или архива)
· Если речь идет о персональных данных пассажиров в транспортной сфере.
Роскомнадзор разработал методические рекомендации для операторов, которые намереваются пройти регистрацию.
Уведомление должно включать следующие сведения:
· Правоустанавливающие данные для юрлиц или госорганов: ИНН, ОГРН, адрес, наименование филиалов, лицензии и пр. Физлицам необходимо предоставить адрес оператора, ИНН и паспорт
· Необходимо указать цели обработки ПД, категории и субъектов (лиц, чьи ПД будут собираться)
· Правовое обоснование обработки (для чего собираются)
· Вид обработки (автоматизированная или неавтоматизированная, с передачей по сети или нет)
· Описание мер защиты (хранение паролей или документов)
· Указание должностных лиц, ответственных за хранение и обработку, с указанием их ФИО, телефонов и адресов
· Сведения о месте нахождения базы данных
· Сведения о трансграничности передачи, если таковая имеется
Будьте внимательны и избегайте штрафов. С уважением к людям и законам, ваш Юрист24.
{«contentId»:279591,»count»:0,»isReposted»:false,»gtm»:null}
{«id»:279591,»gtm»:null}