21.09.2021
ГлавнаяЗаконодательствоРегистрация в реестре операторов персональных данных роскомнадзора

Регистрация в реестре операторов персональных данных роскомнадзора

Автор:  Законодательство  Нет комментариев

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Регистрация в реестре операторов персональных данных роскомнадзора». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Содержание
1. Регистрация в реестре операторов персональных данных Роскомнадзора
2. Объявляю вас оператором персональных данных
2.1. Про ответственность за обработку персональных данных без уведомления Роскомнадзора
3. Включение в реестр операторов персональных данных
4. Как начинающему бизнесу работать с персональными данными?
5. Ответы Роскомнадзора на вопросы о персональных данных
6. Уведомление о персональных данных РОСКОМНАДЗОР
7. Кому не нужно уведомлять Роскомнадзор об обработке персональных данных
7.1. Почему лучше работать именно с нами:

Закон содержит исчерпывающий перечень случаев, когда оператор персональных данных вправе осуществлять обработку персональных данных, не уведомляя об этом Роскомнадзор. К таким случаям относятся:

Если вы осуществляете обработку персональных данных, при этом ваша деятельность не подпадает под перечисленные выше случаи, вам необходимо до начала обработки персональных данных направить в Роскомнадзор уведомление.

Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.

В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.

Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

  • уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
  • уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
  • персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк. И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор.

Итак, первым делом перед специалистом, которому поручили подготовиться к грядущей проверке встает вопрос – а какие вообще документы нужны. Специалист обращается к законодательству и… Не находит практически ничего полезного. Ну не то чтобы прям совсем ничего. Да, наверное, специалист наткнется на постановление Правительства РФ от 21.02.2012 №211 и скажет: «Вот, вы были не правы, вот, есть же список документов!». Да, есть. Только специалиста здесь ждет своего рода ловушка. Если обзавестись только документами из этого списка, организация получит предписание по итогам проверки, потому что список не перекрывает и малой части требований законодательства. Плюс в списке встречаются такие несуразности как, например, необходимость отдельно утверждать перечень ИСПДн. Зачем для этого делать отдельный документ, когда можно перечислить ИСПДн в «Положении об обработке и защите ИСПДн» или в «Политике информационной безопасности» — непонятно. Ну и наконец, постановление №211 относится только к государственным и муниципальным органам, поэтому к большинству операторов ПДн – не применимо. И, кстати, в нашем наборе документов по постановлению 211 нет, так как большинство вопросов итак учтены в других документах.

Хорошо, давайте посмотрим, что там у нас есть еще в законодательстве.

В федеральном законе «О персональных данных» напрямую говорится только о необходимости разработки «Модели угроз безопасности» (хотя «напрямую» тоже не совсем верно сказано, в законе написано, что нужно определять угрозы безопасности ПДн) и о публикации «Политики в отношении обработки персональных данных».

О процессе разработки Модели угроз мы, возможно, также подробнее напишем в одной из последующих статей.

Все остальное описано неоднозначно, примерно в таком духе:

Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

Регистрация в реестре операторов персональных данных Роскомнадзора

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

  • обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.

    • Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

  • обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
  • использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

Срок хранения информации определяет человек, когда подписывает согласие на их обработку. Работодатель обязан уничтожить персональные данные, если:

  • достигнуты цели;
  • истек срок хранения, указанный в согласии;
  • сам субъект попросил уничтожить персональные данные;
  • данные обработали неправомерно, например с другими целями.
  • субъект персональных данных отозвал согласие на обработку персональных данных полностью или частично.

В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить документ, который защитит интересы компании перед Роскомнадзором, — акт. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.

Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях.

В шпаргалке собрана полезная информация из статьи:

  • Перечень НПА для оператора персданных 630.2 КБ

  • Правила поведения за компьютером 624.3 КБ

  • О компании
  • 10 причин купить у нас
  • Лицензия
  • Оператор персональных данных
  • Товарный знак TARGETSMS
  • Способы оплаты
  • Реквизиты организации
  • Сделать заказ
  • Блог
  • Карта сайта
  • СМС рассылка
  • Рассылка Вайбер
  • Вайбер+SMS (каскадная рассылка)
  • Партнерская программа
  • Поздравления с праздниками и днями рождения

Объявляю вас оператором персональных данных

  • Термины и определения
  • Шаблоны документов
  • Правовая база
  • Правила оказания услуг
  • Требования к согласию на рассылку
  • Требования к тексту СМС
  • Требования к подписям отправителей
  • Инструкции
  • FAQ
  • Политика конфиденциальности
  • Антиспам политика
  • База знаний

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Независимо от наличия записи в реестре, в том случае, если компания обрабатывает персональные данные (а любой бизнес их обрабатывает), то она является оператором обработки персональных данных. Т.е. теоретически реестр операторов должен совпадать с ЕГРЮЛом и даже быть немного больше, т.к. и физлицо может являться оператором. Но в реестре находится чуть более 400 000 записей, что явно меньше количества зарегистрированных юридических лиц и индивидуальных предпринимателей.

Конечно же существует возможность не уведомлять Роскомнадзор об обработке персональных данных. Ряд исключений предусмотрены ст. 22 ФЗ “О персональных данных”, но с ними не все так однозначно как кажется на первый взгляд, о чем напишу позже. Важно понять другое — независимо от наличия вашей компании в Реестре требования законодательства о персональных данных на вас также распространяются и их необходимо неукоснительно соблюдать.

Если у вас меняются какие-либо сведения, включенные ранее в реестр, то требуется внести изменения в течение 10 дней со момента их возникновения (часть 7 статьи 22 ФЗ “О персональных данных”). За несвоевременное направление или не направление этих сведений — опять административный штраф по ст. 19.7 КоАП.

Про ответственность за обработку персональных данных без уведомления Роскомнадзора

Закон “О персональных данных” требует направить уведомление в РКН до начала обработки персональных данных. На практике это момент регистрации компании или ИП, то есть фактически дата начала обработки ПД совпадает с датой регистрации в ЕГРЮЛ.

Следовательно, если фирма в этот момент уведомление в РКН не направит, то уже совершит административное правонарушение, ответственность за которую предусмотрена ст. 13.11 КоАП РФ.

А срок давности привлечения к административке по этой статье составляет 3 месяца с момента совершения правонарушения. Такое нарушение не является длящимся, поэтому, если речь не идет о неисполнении предписания, то РКН никого к ответственности и не привлекает.

Включение в реестр операторов персональных данных

Что это такое уведомление в Роскомнадзор для регистрации в реестре персональных данных, не все операторы четко себе представляют, поэтому в первый раз испытывают сложности с заполнением. Но ошибка или неточность чреваты серьезными проблемами, вплоть штрафных санкций при проверках, поэтому нужно четко понимать, что и где вписывать. Все поля со звездочкой в форме регистрации обязательны для заполнения — если их пропустить, то онлайн-обращение не будет отправлено, а письменную форму не будут рассматривать.

Чтобы регистрация прошла успешно, в документе предстоит указать:

  • территориальное управление РКН и тип оператора;
  • наименование согласно официальным документам (или Ф.И.О. для предпринимателей);
  • фактический и юридический адрес, а также регионы, на территории которых ведется коммерческая или некоммерческая деятельность, подразумевающая обработку ПДн;
  • сведения о филиалах (если имеются);
  • ИНН и ОГРН — в форме есть и другие поля для кодов организации, но они не являются обязательными для заполнения;
  • правовое обоснование — тут должно быть указано правовое обоснование для обработки персональных данных, для работодателей обязательно упоминание Трудового Кодекса;
  • цель совершения операций — основной пункт, над которым необходимо серьезно задуматься, чтобы в дальнейшем не возникли противоречия с ФЗ-152 и подзаконными актами;
  • категории субъектов, чьи данные собираются и используются, а также список видов ПДн, с которыми вы будете иметь дело;
  • принятые меры для обеспечения информационной безопасности в ИСПДн — здесь требуется ввести все применяемые организационные и технические средства защиты;
  • условия окончания процесса обработки либо конкретные сроки;
  • перечень совершаемых операций;
  • способ обработки сведений;
  • наличие или отсутствие трансграничной передачи ПДн;
  • информация о центре обработки данных — указываются отдельно для каждой ИС;
  • ответственное за организацию обработки персональных данных лицо и исполнитель.

В самом конце от того, кто заполняет форму, требуется поставить отметки о согласии на использование полученных сведений, ввести проверочный код и подтвердить отправку. Далее в обязательном порядке требуется распечатать документ, поставить печать и переслать в территориальное подразделение РКН нарочным способом или почтой.

Регистрация – это добровольное предоставление сведений физическим или юридическим лицом, которое планирует заниматься обработкой персональных данных. Те компании и учреждения, что вели подобную деятельность до выхода соответствующего закона, регистрируются по факту.

Закон отводит Роскомнадзору до месяца на рассмотрение информации, представленной в уведомлении оператора. Права на отказ у ведомства нет, но оно имеет право запросить дополнительные данные, если указанные в уведомлении покажутся сотрудникам неполными или недостоверными.

Удостоверьтесь, что верно изложили всю необходимую информацию. Помните, что вы несете ответственность за предоставление государственному надзорному органу недостоверных данных.

Если все в порядке, отметьте птичками пункты об ознакомлении с порядком подачи уведомления и согласии на передачу данных через Интернет, и жмите кнопу «Отправить электронное уведомление и подготовить форму к распечатке».

До регистрации в Роскомнадзоре вы:

  1. по закону не имеете права заниматься обработкой персональных данных;
  2. подпадаете под действие положений Кодекса об административных правонарушениях;
  3. ваш сайт может быть заблокирован в любой момент по жалобе частного лица, в том числе, инспирированной конкурентами.

После регистрации компания:

  1. застрахована от претензий надзорного ведомства во время проверки;
  2. может предоставлять услуги сторонним организациям по сбору обработке и персональных данных (при наличии соответствующей лицензии);
  3. может использовать законопослушание и открытость в рекламных целях.

Подтвердить или опровергнуть бытующее в профильных сообществах мнение о том, что подача уведомления о регистрации привлекает внимание и, соответственно, проверки Роскомнадзора, невозможно.

Однако, как утверждает ряд пользователей и экспертов, чем крупнее ваш бизнес или популярней Интернет-ресурс, тем выше вероятность, что ведомство само вами заинтересуется. А относительно невысокие штрафы за нарушение законодательства в сфере персональных данных легко компенсируются количеством нарушений, которые способна найти тщательная инспекция.

Как начинающему бизнесу работать с персональными данными?

Если вы уже являетесь оператором или только имеете намерение осуществлять обработку, то предоставьте следующую информацию в РКН:

  • ФИО или название компании, адрес;
  • цели, преследуемые при сборе данных;
  • перечень собираемых ПДн;
  • какие НПА, локальные акты и иные документы (с указанием конкретных статей и пунктов) закрепляют основания и порядок обработки;
  • действия с ПДн, применяемые способы обработки;
  • меры безопасности;
  • кто выступает ответственным за обработку;
  • когда вы начали или планируете начать обработку;
  • в каких случаях вы планируете завершить обработку;
  • передаются ли собранные данные за рубеж;
  • где находятся базы данных;
  • какой уровень защищенности установлен в вашей компании.

Создайте отдельную ИСПДн для каждой категории субъектов. Это правило следует из законодательного принципа недопустимости объединения ПДн, которые обрабатываются в несовместимых между собой целях.

Перед заполнением уведомления:

  1. Установите категории физических лиц, сведения о которых вы собираете.
  2. Установите точный перечень ПДн, которые вы собираете в рамках отдельной категории.
  3. Определите цели использования ПДн по каждой категории.
  4. Установите, есть ли передача ПДн за границу применительно к отдельной категории.

В разделе уведомления «Сведения об информационных системах» каждую категорию физических лиц укажите отдельно. Например, сначала вы заполняете перечень действий, категории и иные сведения об обработке ПДн клиентов. Если вы также обрабатываете сведения о других субъектах, добавьте новую ИС и заполните раздел для новой категории субъектов ПДн.

Важно верно указать адреса ЦОДов, в которых размещены ИС со сведениями о субъектах. До передачи информации в ЦОД или облако необходимо заключить договор-поручение на обработку ПДн с ЦОДом или облачным провайдером. Данное требование было отдельно отмечено представителями РКН в ходе публичного семинара по итогам контрольно-надзорной деятельности ведомства за 9 месяцев 2020 года.

ПДн российских граждан должны первично обрабатываться на территории России соответственно. При этом дальнейшая трансграничная передача ПДн не запрещена. Если вы пользуетесь облачным провайдером, расположенным за границами Российской Федерации, то необходимо создавать первичную базу данных на территории России. Штрафы за несоблюдение могут доходить до 18 млн руб.

Перед трансграничной передачей разместите базы данных у российского провайдера. В уведомлении укажите первичный адрес базы данных. Адрес ЦОД обычно указан в договоре-поручении на обработку ПДн, заключаемом между оператором и облачным провайдером.

Типичные ошибки при заполнении уведомления:

  1. Неверно указано правовое основание обработки ПДн. Считается, что для обработки достаточно согласия субъекта. Этот подход неверный, согласие не «панацея» во всех случаях. Важно перечислить перечень законов и подзаконных актов, в соответствии с которыми осуществляется обработка.
  2. Неправильно определены цели обработки ПДн. Например, ошибочно указывать в качестве цели «хранение персональных данных». Хранение — это одно из действий по обработке. Кроме того, недопустимо собирать сведения о субъекте только для того, чтобы хранить в базах данных. В 2019 году РКН составил 111 протоколов по данному нарушению.
  3. Ошибочно установлен уровень защищенности ПДн. Как следствие, не указаны необходимые меры безопасности. Для правильного определения уровня рекомендуется привлекать специалистов по информационной безопасности.
  4. Данные всех категорий субъектов заполнены в рамках одной ИС. Напомним, что сведения о каждой группе физических лиц (сотрудники, посетители сайта и т.п.) в уведомлении лучше выделить отдельно, поскольку недопустимо объединение баз ПДн, обрабатываемых в разных целях.
  5. Указаны не все категории субъектов ПДн. Без проведения аудита обработки сложно выявить все группы субъектов. Например, компании забывают про обработку сведений о соискателях.
  6. Отсутствуют сведения о первичной базе данных в России.Это прямой повод для проведения проверки Роскомнадзором, по итогам которой компанию могут оштрафовать за отсутствие локализации.

Непредоставление полной информации по данным отчета РКН за 2019 год составляет 17% от общего числа нарушений.

Подайте уведомление до начала обработки в бумажном или в электронном виде. Роскомнадзор включает в реестр по истечении 30 дней с момента регистрации уведомления. Для проверки статуса уведомления и факта включения в реестр достаточно в поисковой строке указать ИНН.

Форма уведомления: бумажный носитель или электронный документ.

Есть три способа подачи уведомления:

  • в бумажном варианте;
  • в электронном виде с применением усиленной электронной подписи;
  • электронно с использованием портала Госуслуг.

Для подачи на бумажном носителе можно заполнить форму на сайте Роскомнадзора. После заполнения автоматически сформируется документ с уникальным номером и ключом. Заполненный бланк нужно распечатать и направить по адресу выбранного органа.

Появилась возможность электронной подачи. Однако потребуется усиленная квалифицированная ЭП или подтвержденная учетная запись на портале Госуслуг.

Ответы Роскомнадзора на вопросы о персональных данных

Если уведомление подается в бумажном виде, его необходимо оформить на бланке организации (но если бланка нет, то можно без него). Затем подпишите и поставьте печать. Подписать может либо генеральный директор, либо лицо по доверенности — в таком случае должна быть приложена доверенность. Оформленное уведомление направьте по адресу территориального органа заказным письмом. Это позволит в дальнейшем отследить получение.

Закон отводит Роскомнадзору до месяца на рассмотрение информации, представленной в уведомлении оператора. Права на отказ у ведомства нет, но оно имеет право запросить дополнительные данные, если указанные в уведомлении покажутся сотрудникам неполными или недостоверными.

Если у зарегистрированного оператора происходит изменение каких-либо данных, опубликованных в реестре (получение новой или лишение лицензии, внесение изменений в устав и прочее), он обязан уведомить надзорный орган в течение 10 рабочих дней.

Прежде, чем переходить к заполнению электронной формы, следует выполнить внутренние мероприятия, прописанные в статьях 18 и 19 базового закона. Точного перечня нет и быть не может в связи с разнообразием потенциальных операторов. Вне зависимости от организационно-правовой формы, ориентироваться операторам следует на следующие пункты:

  1. Назначение должностного лица, ответственного за операции с персональными данными.
  2. Ознакомление работников, непосредственно задействованных в обработке, с законодательством, требованиями к защите информации и принятых в компании политикой в данной области и порядком доступа к собираемым данным.
  3. Внесение изменений в должностные инструкции указанных сотрудников.
  4. Разработка и утверждение внутренних документов, определяющих политику предприятия в области персональных данных, цели обработки и перечень конкретных данных и социальных групп, сведения о которых будут в сфере ваших интересов.
  5. Разработка и утверждение документов, регламентирующие обработку информации, меры по защите и допуск должностных лиц, реагирование на обращения субъектов персональных данных и государственных органов.
  6. Отведение помещений и определение мер по обеспечению безопасности хранения материальных носителей информации.
  7. Создание системы внутреннего контроля над операциями с персональными данными, их соответствием законодательству и внутренним документам компании.
  8. Определение и внедрение технических мер безопасности.
  9. Подготовка техдокументации на используемое оборудование и информационные системы, средства защиты и прочее.
  10. Оценка потенциального вреда, который может быть нанесен и его соотношение с мерами, предпринимаемыми компанией согласно обязанностям оператора, прописанным в главе 4 закона «О персональных данных».
  11. Подготовка бланков форм о согласии субъекта на обработку его персональных данных, обязательствах задействованных сотрудников и компании в целом о неразглашении, соглашения о конфиденциальности и прочие, согласно условиям и статусу предприятия.

Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Но иногда компании думают, что лучше не привлекать внимание ведомства и не подавать уведомление. Они ведь и раньше собирали данные, а уведомление подают только сейчас. Точно придет проверка, и придется платить штраф.

Отсиживаться рискованнее, чем подать уведомление. Об этом рассказывает эксперт по персональным данным Максим Лагутин.

Уведомление о персональных данных РОСКОМНАДЗОР

Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.

В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре.

Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации.

Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.

Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

  1. Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов. В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
  2. Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
  3. Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Если сроки горят, и нужно зарегистрироваться в реестре с первого раза, то необходимо следовать рекомендациям:

  1. Заполняйте уведомление максимально подробно и точно, ссылаясь на реальные и действующие нормы закона, а также внутренние организационно-распорядительные документы.
  2. Если у вас система защиты персональных данных еще не готова, то нужно писать так, как будто она реализована полностью, с указанием конкретных подсистем и средств защиты (антивирусная подсистема, подсистема обнаружения вторжений, подсистема криптографической защиты, подсистема анализа защищенности, подсистема защиты от несанкционированного доступа и др.).
  3. Если вы подаете уведомление с целью регистрации в реестре как оператор персональных данных «клиентов», то не забудьте указать, что вы обрабатываете и персональные данные сотрудников, так как они есть в любой организации. Это обязательно!
  4. При описании правового основания обработки персональных данных нельзя ссылаться только на 152-ФЗ, так как закон описывает требования к обработке и защите персональных данных, но не описывает правовые основания обработки для тех или иных типов организаций.
  5. При описании правового основания обработки не забудьте базовые документы, которые нужно указывать любому оператору: Конституция РФ, Трудовой кодекс РФ, Гражданский кодекс РФ.
  • Консультация;
  • Подготовка необходимых документов;
  • Подача документов в Роскомнадзор;
  • Получение подтверждения о регистрации в качестве оператора,
    осуществляющего сбор и обработку персональных данных.

Кому не нужно уведомлять Роскомнадзор об обработке персональных данных

Но на этом обязанности компании не заканчиваются. Закон «О персональных данных» требует уведомлять Роскомнадзор об изменении информации, указанной в уведомлении, на протяжении десяти суток после соответствующего изменения. К сожалению, отслеживать их и вовремя уведомлять Роскомнадзор довольно непросто. Воспользуйтесь юридическим обслуживанием и передайте решение этой задачи в руки компетентных специалистов.

Наши юристы всегда готовы прийти на помощь и сделать вашу жизнь проще, а бизнес успешнее! Регистрация в Роскомнадзоре – всего лишь формальность, с которой легко справиться, заказав нашу юридическую поддержку. Оставьте заявку и мы с вами свяжемся!

Одновременно с изменениями законодательства по персональным данным ужесточатся и меры ответственности операторов за его нарушение.

Напомним, что с 27.03.2021 г. за любые правонарушения, установленные ст. 13.11 КоАП РФ, нарушителю сразу выписывают штраф, предупреждение больше не назначают.

Санкции за обработку персональных данных без согласия в письменной форме следующие:

  • для граждан штраф в размере от шести тысяч до десяти тысяч рублей;
  • для должностных лиц — от двадцати до сорока тысяч рублей;
  • для юридических лиц — от тридцати до ста пятидесяти тысяч рублей.

За повторное нарушение штрафы намного больше. Срок давности привлечения к административной ответственности за нарушения в области персональных данных увеличился до одного года.

Роскомнадзор решил облегчить бизнесу адаптацию к изменениям: в ведомстве разработали специальный сервис — конструктор для формирования шаблона формы согласия, он уже функционирует. В дальнейшем оператор может использовать проверенную Роскомнадзором форму согласия в своей работе. Это исключает возможность ошибки — документ будет соответствовать всем необходимым требованиям.

Конструктор создавали с учетом правоприменительной практики. На сайте Роскомнадзора можно заполнить поля шаблона, после чего его рассматривают эксперты ведомства. При необходимости они дадут свои рекомендации по доработке документа. Результаты проверки отправляются на электронный адрес, указанный в форме.

Организация, являющаяся оператором персональных данных должна иметь внутренние локальные документы, регламентирующие порядок обработки персональных данных, в том числе Политику в отношении персональных данных, которую необходимо разместить в открытом доступе в интернете (на сайте организации).

Также должен быть назначен ответственный за организацию обработки персональных данных сотрудник.

При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе, получить согласие работников на передачу их персональных данных.

Соблюдение законодательства о персональных данных несомненно является частью общей политики соответствия, то есть комплаенса, поэтому я советую поручать контроль за этим направлением работы только профессионалам, имеющим специальные знания и квалификацию.

  • Постановка в Пробирной палате
  • Постановка в Росфинмониторинге (ФСФМ, КФМ)
  • Внесение в реестр туроператоров
  • Внесение в реестр микрофинансовых организаций
  • Внесение в реестр операторов персональных данных

Акции

  • СКИДКА 30% на новое ООО при заказе официальной ликвидации.

  • СКИДКА 20% на регистрацию НКО или боле двух коммерческих (ООО, АО) организаций

  • СКИДКА 15% при заказе более 2-х срочных выписок из ЕГРЮЛ

  • СКИДКА 10% при заказе более 2-х дубликатов учредительных документов

  • СКИДКА 5% при заказе одновременно двух услуг в нашей компании

    1. Страховые компании;
    2. Аудиторские и юридические компании;
    3. Банки, кредитные организации;
    4. Туроператоры и туристические агенства;
    5. Агенства недвижимости;
    6. Другие организации, которые работают с физическими лицами.
    1. Для того, чтобы получить статус оператора персональных данных;
    2. Соблюдения обязанностей, предусмотренных законодательством, о внесении в реестр операторов персональных данных.

    Без соблюдения процесса внесения в реестр запрещается осуществлять деятельность оператора персональных данных. Подобные правонарушения влекут за собой административную ответственность.

    • Стоимость услуги:3 000 рублей
    • Срок выполнения:3-4 недели

    Цены являются окончательными,
    дополнительных платежей нетОтправить заявку

    1. Основываясь на предложенных документах, учредительного типа, специалистами нашей компании будут подготовлены все документы, которые являются обязательными для внесения в реестр персональных данных. После этого все документы будут переданы на подпись заказчику.

    2. После подписания всех документов, они будут переданы в Минэкономсвзяь на следующий день. Специалисты нашей компании осуществят полный контроль процесса рассмотрения документации сотрудником Роскомнадзора.

    3. После того, как Роскомнадзор вынесет положительное решение о внесении в реестр, бланк уведомления будет передан специалистам нашей компании, мы же передадим его клиенту.

    • Сведения о почтовых и фактических адресах организации;
    • Копия выписки из ЕГРИП/ЕГРЮЛ.

    Почему лучше работать именно с нами:

    1. Осуществляем профессиональную юридическую деятельность с 2004 года;
    2. Нашей компанией осуществляется полный юридических услуг спектр как для физических, так и для юридических лиц: начиная от процесса регистрации, выдачи разрешительной документации и заканчивая оформлением недвижимости и оптимизацией бизнеса за пределами РФ;
    3. Способны решить даже самые нестандартные и сложные задачи;
    4. Предоставляем гибкую систему скидок для постоянных клиентов.

    Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

    • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
    • Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
    • В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

    На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2021 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

    В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

    Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

    • организующие и (или) осуществляющие обработку ПД;
    • определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

    Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

    В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

    • ФИО
    • дата рождения
    • адрес
    • телефон
    • электронный адрес
    • фотография
    • ссылка на персональный сайт
    • ссылка на профиль в социальных сетях

    Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

    В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

    Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

    Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

    • сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
    • правовое основание и цели обработки данных согласно уставу;
    • описание мер и средств защиты личных данных;
    • фактическую дату начала обработки персональных данных оператором;
    • условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
    • категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
    • действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
    • данные лица, ответственного за обработку персональных данных.

    После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.

    На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

    Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.

    Уведомлять Роскомнадзор не нужно, если ПД:

    • относятся к субъектам, которых связывают с оператором трудовые отношения;

    Персональные данные сотрудника: как с ними работать

    • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
    • являются общедоступными;
    • включают только ФИО субъектов ПД;
    • нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
    • включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
    • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

    Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

    В целом уведомление РКН о проводимой обработке персональных данных и их сборе, не отличается сложным форматом, но должно содержать информацию о том, какие именно сведения собираются, с какой целью, и что используется как для сбора, так и обработки данных.

    Таким образом, при подаче соответствующего уведомления, следует указать следующую информацию:

    Название того отделения ведомства РКН По которому находится компания
    Разновидность оператора Это юридическое лицо, или другой тип организации деятельности
    Название фирмы Подающей документ
    Адрес нахождения компании По которому ее можно найти и идентифицировать
    Идентификационный код и ОГРН юридического лица
    Основания На которых производится обработка данных, и цель, которая преследуется в ее итоге
    Меры Которые принимаются для обеспечения безопасности и сохранения информации в тайне от третьих лиц
    Дату начала обработки Срок, в который это завершится, вместо последнего можно прописать условия, которые могут повлечь за собой прекращение работы с персональными данными
    Категории субъектов права Сведения о которых будет обрабатывать фирма
    Список операций Осуществляемых с данными, в том числе и способы обработки получаемой информации
    Будет ли производиться Трансграничная передача получаемых данных
    Адрес По которому находится база, где сведения хранятся физически и их можно будет достать
    Лицо Которое несет полную ответственность за работу с данными, либо перечисление всех таких людей, если их несколько

    Прочая информация в уведомлении о проведении обработки личных данных оговариваться в обязательном порядке не должна. Но если компания желает, или имеет основания для добавления, то она может это сделать.


    Похожие записи:

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *