Реестр операторов персональных данных Роскомнадзора (5 видео)

Содержание

Реестр операторов персональных данных
Кто такой оператор персональных данных
Ведение реестра Роскомнадзором
Как осуществляется включение в реестр операторов
Обязанности оператора, включенного в реестр операторов персональных данных
Меры ответственности, связанные со статусом участника реестра операторов персональных данных
Кто является оператором персональных данных
Реестр операторов персональных данных Роскомнадзора
Как уведомить Роскомнадзор
Поможем подать уведомление об обработке персональных данных — ООО
Камни преткновения
Что делать, если вы уже обрабатываете персональные данные?
Как зарегистрироваться в реестре Роскомнадзора?
Лайфхак по успешной регистрации в реестре Роскомнадзора
Регистрация в реестре Роскомнадзора: цена вопроса
Какие сведения указываются в уведомлении?
Что предлагаем мы?
Как стать оператором персональных данных в реестре Роскомнадзора 2021
Форма заявления об исключении из реестра
Кто относится к операторам персональных данных, что является персональными данными
Данные из социальных сетей
Когда уведомление не нужно
Проверка Роскомнадзора
Как стать оператором персональных данных в реестре Роскомнадзора
Обязанности оператора при обработке персональных данных
Регистрация в Роскомнадзоре в качестве оператора персональных данных
Ответственность за отказ регистрироваться в реестре
💡 Видео

Видео:15 января – крайний срок внесения сведений в Реестр операторов персональных данных!Скачать

Реестр операторов персональных данных

К вопросу безопасности персональных данных приковано внимание законодателей всего мира. Евросоюзом принят закон GDPR, который еще строже регламентирует их защиту.

В России действует национальное законодательство, определяющее основные правоотношения в этой сфере, и одним из его требований становится обязательное включение юридических лиц, осуществляющих обработку персональных данных, в реестр операторов персональных данных Роскомнадзора.

Кто такой оператор персональных данных

Закон под понятием оператора персональных данных понимает государственный орган или иное лицо, юридическое или физическое, которое:

собирает или получает персональные данные граждан;
определяет цели получения этой информации;
самостоятельно определяет ее состав;
вправе осуществлять с информацией какие-либо действия (обработку).

На практике к операторам относятся не только образовательные или медицинские учреждения, социальные сети, мобильные операторы, банки, которые получают персональные данные тысяч лиц, но иногда ими становятся и обычные компании, которые эти сведения получают в процессе заполнения анкеты для устройства на работу и копирования трудовой книжки. Закон ставит перед такими организациями задачу обеспечить сохранность этих сведений от утечек и иных угроз, возникающих в процессе обработки персональных данных.

При этом закон не уточняет, какие именно сведения относятся к персональным данным, предполагая, что это все категории информации, связанные с конкретным физическим лицом: от даты выдачи паспорта до номера автомобиля.

Попадая в руки злоумышленников, такие данные могут помочь им обнаружить имущество конкретного лица, причинить вред ему или его семье, поэтому сведения подлежат строгой охране.

При том, что на теневом рынке сбыта информации спрос на большие объемы персональных данных велик, степень их защиты и качество применяемых для этого информационных технологий должны быть максимально возможными для каждого конкретного оператора.

Ведение реестра Роскомнадзором

Государство регламентирует деятельность всех субъектов, связанных с обработкой персональных данных.

В полномочия государственного органа, осуществляющего контроль деятельности юридических лиц в сфере обработки персональных данных, Роскомнадзора, входят проверки соблюдения законодательства в сфере связи, коммуникаций и информационных технологий, а также ведение реестра операторов персональных данных.

Реестр формируется на основании заявлений самих юридических лиц и граждан, направляемых в государственный орган в установленном законом порядке. Каждый гражданин, намеревающийся передать свои данные юридическому лицу, вправе проверить, находится ли оно в реестре. Если да, то он может быть уверен, что его информация будет защищена должным образом и не станет добычей злоумышленников.

Перед тем, как приступить к обработке персональных данных, юридическое или физическое лицо вынуждено направить уведомление о желании быть включенным в реестр. Этот перечень имеет открытый характер, публикуется на официальном сайте ведомства.

Все лица, включенные в реестр операторов персональных данных, должны быть готовы пройти проверку, насколько успешно им удается обеспечивать их защиту. Но если бы все компании и индивидуальные предприниматели, принимающие граждан на работу, стали участниками реестра, он потерял бы свою актуальность.

Поэтому закон содержит перечень исключений, освобождая от обязанности подачи уведомлений следующие категории лиц:

имеющих дело с обработкой только тех персональных данных, которые были получены в связи с заключением трудовых договоров;
обрабатывающих только ту персональную информацию, которая стала доступна им из заключенных гражданско-правовых договоров, без намерения ее использования в иных целях или передачи третьим лицам;
если оператором является общественная или религиозная организация, и персональные данные своих членов она получает только в связи с целями, определенными ее уставом;
если данные получены для оформления разового посещения какого-либо учреждения;
если обработка персональных данных происходит в государственных информационных системах;
если информация обрабатывается только на бумажных носителях.

Часто возникают ситуации, когда компания или предприниматель не знают о том, что они не попадают в перечень исключений, и вовремя не направляют уведомление о включении в реестр операторов персональных данных. Но закон разрешает сделать это и позже, только в обращении нужно проставить фактическую дату начала обработки персональных данных. Ответственности за такое опоздание закон не предусматривает.

Как осуществляется включение в реестр операторов

Каждый год система взаимоотношений бизнеса и государства упрощается, поэтому и подача уведомления о включении в реестр операторов не составит практически никаких сложностей. На сайте федеральной службы выложена электронная форма для заполнения юридическими и физическими лицами для включения в реестр операторов персональных данных. Она содержит следующие поля:

данные и реквизиты оператора (они обычные, всегда содержатся в карточке юридического лица, направляемой контрагентам для заключения договоров);
цель обработки персональных данных и наличие на это разрешения закона, указание на то, соответствует ли такая деятельность уставу;
описание средств и мер защиты, которые лицо намеревается использовать для охраны доверенной ему информации (программные продукты и их сертификация, наличие разработанных внутренних методик и положений, опосредующих защиту информации);
реальную дату начала обработки;
предполагаемую дату завершения обработки персональных данных (дату завершения действия лицензии или дату прекращения занятия определенной деятельностью) или же условия, при которых эта деятельность завершится;
категории обрабатываемых персональных данных (от паспортных до биометрических);
планируемые действия с информацией, их автоматизация, предполагается ли передача массивов сведений по сети Интернет и иным каналам связи;
сведения о конкретном специалисте, на которого возложена ответственность за работу с персональными данными.

После того, как форма заполнена, ее нужно направить в Роскомнадзор, при этом один экземпляр распечатать, прошить, заверить подписью и печатью.

Его придется направить в региональное подразделение службы по почте с приложениями, определенными законом.

Это такие документы, как внутренние положения, формат бланка согласия третьего лица на обработку персональных данных, приказ о назначении ответственного специалиста.

https://www.youtube.com/watch?v=6ER0opPsZ3c

Ведомство будет рассматривать документы 30 дней, после этого наименование нового оператора появится в реестре операторов персональных данных. Но если предоставленные сведения окажутся недостаточными, неполными, у будущего оператора могут потребовать их уточнить. Такие дополнения нужно будет направить в течение 10 дней.

Необходимо учитывать, что при изучении заявления компания будет проверена на взаимоотношение с иностранными юридическими лицами, если планируется осуществление трансграничной передачи данных, ее цели должны быть четко определены.

В ряде случаев наличие заинтересованного иностранного акционера может повлечь за собой отказ в регистрации.

Можно осуществлять такие действия не самостоятельно, а по доверенности. Это будет актуально для тех лиц, у которых еще нет собственной электронной подписи для направления уведомления.

Обязанности оператора, включенного в реестр операторов персональных данных

После того, как в открытый перечень включается новое лицо, у этого лица появляется определенный набор обязанностей, среди которых:

объяснение гражданам, для каких целей они передают свои данные;
подписание у них согласия по форме, проверенной Роскомнадзором на соответствие законодательству, на обработку персональных данных;
разработка политики своих действий в отношении персональных данных и ее публикация. Чаще всего операторы делают это на своей странице в сети Интернет;
уведомление Роскомнадзора обо всех действиях, которые они предполагают совершать в отношении персональных данных, за исключением тех, которые указаны в специальном перечне;
обеспечение организации комплекса технических, программных и административных мер, которые полностью исключат несанкционированный доступ к персональным данным, их утечку, разглашение, изменение или копирование;
уничтожение конкретных записей, если будет доказано, что они поступили в распоряжение оператора незаконным путем, а также не являются необходимыми. Такое уничтожение происходит на основании заявления, подаваемого в Роскомнадзор заинтересованным лицом. Образец обращения, разработанный специалистами ведомства, можно найти на его сайте;
блокирование данных на основании требования уполномоченного органа или владельца персональных данных. Блокировка означает отсутствие возможности доступа и обработки персональных данных.

Организации, осуществляющей обработку персональных данных, необходимо быть готовой выполнять эти требования и нести ответственность за их несоблюдение. Но есть и преимущества подачи заявления на внесение в реестр. Не все компании знают, что именно они получают с точки зрения осуществления своей деятельности, находясь в реестре.

Но помимо таких неудобств, как проверки и необходимость сертифицировать и обновлять программное обеспечение, у статуса оператора есть преимущества. Прежде всего, для него станет доступной более широкая клиентская база.

Многие граждане крайне бережно относятся к своим персональным данным и будут готовы заключить договор с поставщиком услуг, только убедившись, что информация не станет доступной третьим лицам в результате непреднамеренной ошибки оператора или действий злоумышленников.

Так, даже выбор управляющей компании многоквартирного дома будет сделан жильцами с учетом ее нахождения в реестре операторов персональных данных, это будет гарантией того, что информация об их квартирах, лицевых счетах, установленном оборудовании не будет передана третьим лицам.

Меры ответственности, связанные со статусом участника реестра операторов персональных данных

Государство старается защитить интересы граждан, поэтому компании, не выполняющие свои обязанности, могут быть привлечены к ответственности. За некоторые из нарушений юридическое лицо с 2021 года может быть оштрафовано в соответствии со статьей 13.11 КоАП на сумму до 750 тысяч рублей.

Просто за отказ подавать уведомление ответственность не предусмотрена, но при наличии конфликта с ведомством это действие может быть расценено как отказ предоставлять информацию, и по статье 19.

7 КоАП будет наказано конкретное должностное лицо, руководитель компании, на него будет возложен штраф в размере до 5 тысяч рублей.

https://www.youtube.com/watch?v=nxslwLm5H5Q

Статус участника реестра влечет за собой и обязанности, и ответственность, и преимущества. При том, что регулирование сферы защиты персональных данных будет усиливаться, операторы обязаны серьезнее заботиться о качестве своих программных средств и о своевременном уведомлении Роскомнадзора о тех шагах, которые требуют согласования.

Кто является оператором персональных данных

К операторам закон № 152-ФЗ относит госорганы, организации и физлиц, которые собирают персональные данные, а также самостоятельно определяют цели сбора, состав сведений, и совершаемые с ними действия (ст. 3 закона № 152-ФЗ).

Проще говоря, оператор персональных данных, это тот, кто использует личные данные граждан для трудовых и прочих отношений. Их главной задачей является сохранение конфиденциальности полученных персональных данных, т.е. запрет передавать данные третьим лицам и распространять их без согласия самого физлица, если только эти данные не обезличены.

Реестр операторов персональных данных Роскомнадзора

Прежде, чем начать обработку персональных данных, оператор обязан уведомить об этом госорган, уполномоченный вести реестр операторов персональных данных — Роскомнадзор (ч 1 ст. 22 закона № 152-ФЗ).

Эта федеральная служба осуществляет надзор за сферой связи, массовых коммуникаций и информационных технологий. Госконтроль за обработкой персональных данных операторами, в соответствии с законом, тоже осуществляет Роскомнадзор.

В этих целях он проводит проверки операторов персональных данных, согласно регламенту, утвержденному приказом Минкомсвязи РФ от 14.11.2011 № 312.

Ознакомиться с реестром операторов обработки персональных данных можно на официальном сайте Роскомнадзора, его сведения являются общедоступными.

Уведомление достаточно подать единожды за весь период работы оператора. В то же время, закон содержит перечень исключений, когда работать с личными данными можно без включения в реестр операторов персональных данных (ч. 2 ст. 22 закона № 152-ФЗ):

когда операторы-работодатели обрабатывают только данные, полученные в соответствии с трудовым законодательством;
если оператор получил данные от контрагента в связи с заключением договора и не использует их в иных целях, кроме исполнения договора;
когда оператор персональных данных — религиозная или общественная организация, которая обрабатывает личные данные своих участников для целей, предусмотренных ее уставом;
если гражданин сам сделал общедоступными свои персональные данные;
если персональные данные не включают ничего, кроме Ф.И.О.;
когда данные получают для оформления разового пропуска;
при обработке персональных данных государственными автоматизированными инфосистемами;
если личные данные обрабатываются «на бумаге», т.е. без применения автоматизации;
когда данные используются для обеспечения безопасности транспортных систем.

Все, кто не указан в данном списке, уведомление для включения в реестр операторов персональных данных Роскомнадзора подать обязаны.

Многие ИП и организации игнорируют данное требование либо узнают о нем слишком поздно.

Но подать уведомление для включения в реестр можно и позже, указав в нем реальную дату начала обработки персональных данных, при этом никаких штрафных санкций за опоздание не последует.

Как уведомить Роскомнадзор

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
правовое основание и цели обработки данных согласно уставу;
описание мер и средств защиты личных данных;
фактическую дату начала обработки персональных данных оператором;
условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
данные лица, ответственного за обработку персональных данных.

После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью.

К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.

) и отправить в территориальное отделение Роскомнадзора по почте.

https://www.youtube.com/watch?v=A8odGkvAhE0

На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.

Видео:Как зарегистрироваться в реестре операторов обработки персональных данных РоскомнадзораСкачать

Поможем подать уведомление об обработке персональных данных — ООО

Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.

В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре.

Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации.

Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.

Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.

Камни преткновения

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов.
В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Что делать, если вы уже обрабатываете персональные данные?

Если вы уже обрабатываете персональные данные и не знаете как сейчас поступить по поводу регистрации в реестре операторов персональных данных, то следуйте такому плану:

Как зарегистрироваться в реестре Роскомнадзора?

Зарегистрироваться в реестре можно двумя способами: в электронной или бумажной форме.

Для регистрации в бумажной форме нужно скачать и заполнить проект уведомления или заполнить форму на сайте Роскомнадзора: https://rkn.gov.ru/personal-data/register/

Затем документ нужно распечатать, утвердить руководителем организации и отправить заказным письмом с уведомлением в адрес Роскомнадзора: 109074, г.Москва, Китайгородский пр., д.7, стр.2.

Лайфхак по успешной регистрации в реестре Роскомнадзора

Если сроки горят, и нужно зарегистрироваться в реестре с первого раза, то необходимо следовать рекомендациям:

Заполняйте уведомление максимально подробно и точно, ссылаясь на реальные и действующие нормы закона, а также внутренние организационно-распорядительные документы.
Если у вас система защиты персональных данных еще не готова, то нужно писать так, как будто она реализована полностью, с указанием конкретных подсистем и средств защиты (антивирусная подсистема, подсистема обнаружения вторжений, подсистема криптографической защиты, подсистема анализа защищенности, подсистема защиты от несанкционированного доступа и др.).
Если вы подаете уведомление с целью регистрации в реестре как оператор персональных данных «клиентов», то не забудьте указать, что вы обрабатываете и персональные данные сотрудников, так как они есть в любой организации. Это обязательно!
При описании правового основания обработки персональных данных нельзя ссылаться только на 152-ФЗ, так как закон описывает требования к обработке и защите персональных данных, но не описывает правовые основания обработки для тех или иных типов организаций.
При описании правового основания обработки не забудьте базовые документы, которые нужно указывать любому оператору: Конституция РФ, Трудовой кодекс РФ, Гражданский кодекс РФ.

Регистрация в реестре Роскомнадзора: цена вопроса

Госпошлина за внесение в реестр Роскомнадзора не взимается. Оператор может подать уведомление самостоятельно или обратиться за помощью к компетентной организации, которая не только подготовит уведомление, но и поможет выполнить подготовку по требованиям закона.

https://www.youtube.com/watch?v=Wv-wNSCs0pc

Помощь коммерческих организаций в регистрации в реестре стоит от 10 до 50 тысяч рублей, а с предоставлением базового набора организационно-распорядительной документации — от 50 до 150 тысяч рублей.

Скачать коммерческое предложение на Внесение в реестр Роскомнадзора

СКАЧАТЬ PDF

Какие сведения указываются в уведомлении?

В уведомлении указываются следующие сведения:

наименование (фамилия, имя, отчество), адрес оператора;
цель обработки персональных данных;
категории персональных данных;
категории субъектов, персональные данные которых обрабатываются;
правовое основание обработки;
перечень действий с персональными данными, описание используемых способов обработки персональных данных;
описание реализации мер, предусмотренных статьями 18.1 и 19 закона;
фамилия, имя, отчество лица ответственного за организацию обработки персональных данных;
дата начала обработки персональных данных;
срок или условие прекращения обработки персональных данных;
сведения о наличии или об отсутствии трансграничной передачи персональных данных;
сведения о месте нахождения базы данных;
сведения об обеспечении безопасности персональных данных.

Что предлагаем мы?

Мы занесем вашу организацию в реестр операторов персональных данных и предоставим типовой набор организационно-распорядительной документации, необходимый для соответствия требованиям ФЗ-152 и прохождения проверки Роскомнадзора, за 45 тысяч рублей с гарантией по договору.

Видео:Реестр операторовСкачать

Как стать оператором персональных данных в реестре Роскомнадзора 2021

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail.

Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.

2006 № 152-ФЗ:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работает с ПД и несет ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД.

Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

проводить разъяснительную работу с субъектом ПД, а также получать его предварительное согласие на обработку личной информации;
публично представлять политику в отношении обработки ПД;
обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения;
уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели;
блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя).

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются организации и частные лица, которые имеют дело с информацией, которая:

собирается и хранится в соответствии с трудовым законодательством;
получена исключительно для оказания услуг связи по заключенному договору, она не распространяется и не предоставляется третьим лицам без согласия субъекта ПД;
относится к членам (участникам) общественного объединения или религиозной организации для достижения целей, предусмотренных их учредительными документами;
сделана субъектом ПД общедоступной;
включает в себя только фамилии, имена и отчества субъектов ПД;
необходима для оформления однократного пропуска на территорию организации;
включена в системы со статусом государственных автоматизированных информсистем, а также в государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
обрабатывается без использования средств автоматизации (компьютера);
обрабатывается для обеспечения безопасного функционирования транспортного комплекса.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

То есть работодатели, компании, оказывающие услуги связи, религиозные организации, лица, получающие ПД только для исполнения договоров, и многие другие уведомлять о сборе и обработке ПД не должны.

Те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

https://www.youtube.com/watch?v=4Ut8znmQqpc

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346. Бесплатно скачать нужный документ можно и в конце этой статьи.

Роскомнадзор рекомендует подавать уведомление на бланке организации на бумаге либо в электронном варианте. В нем обязательно указать:

полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
категории ПД, которые будут обрабатываться;
субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
информация о шифровальных (криптографических) средствах;
дата начала, а также условия и сроки прекращения обработки ПД;
сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119.

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок.

Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления.

Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатные.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2021 № 13-ФЗ, который начал действовать с 1 июля 2021 года, в статье 13.

11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных.

В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 до 75 тысяч рублей, а для ИП — от 5 до 20 тысяч рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Форма заявления об исключении из реестра

СКАЧАТЬ

Видео:Закон 152-ФЗ "О персональных данных": как подготовить документы и сайты к проверке Роскомнадзора.Скачать

Кто относится к операторам персональных данных, что является персональными данными

Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Но иногда компании думают, что лучше не привлекать внимание ведомства и не подавать уведомление. Они ведь и раньше собирали данные, а уведомление подают только сейчас. Точно придет проверка, и придется платить штраф.

Отсиживаться рискованнее, чем подать уведомление. Об этом рассказывает эксперт по персональным данным Максим Лагутин.

152-ФЗ: закон о персональных данных на сайте Консультанта

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Збагойно: 152-ФЗ — в «Деле»

Персональные данные — это любые данные о человеке, по которым его можно определить. Например:

электронная почта;
телефон,
имя и фамилия;
дата рождения;
адрес;
ссылка на сайт.

Ник без других данных не считается персональными данными, по нему нельзя определить человека.

https://www.youtube.com/watch?v=uh7vIiyEnCY

С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2021—2021 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

«МГТС» продавала данные своих клиентов другим компаниям:

временные метки;
деперсонализированный идентификатор useid;
адреса страниц, к которым было обращение;
адреса, с которых был переход;
информацию о браузере и устройстве, с которого был запрос;
IP-адрес.

По сути это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.

Суд с компанией не согласился и назначил штраф 30 000 рублей.

Судебное решение

Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например имя, телефон, электронную почту.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Данные из социальных сетей

152-ФЗ о персональных данных на сайте Консультанта

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.

Оферта с пользователями

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями есть пункт о том, что данные могут быть доступны другим пользователям интернета:

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2021 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Социальная сеть просила взыскать с компаний по одному рублю. «» выиграл суд.

Судебное дело

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы : имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.

Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

Проверка Роскомнадзора

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

https://www.youtube.com/watch?v=WvkQgNkcu9Q

Реестр операторов персональных данных на сайте Роскомнадзора

В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:

Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
карт лояльности;
рекламных рассылок;
оказания услуг;
регистрации на сайтах;
звонков потенциальным клиентам.

Штрафы за нарушение закона о персональных данных в КоАП РФ на сайте Консультанта

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.

Видео:Новая обязанность всех ООО и ИП: внесение в реестр Роскомнадзора!Скачать

Как стать оператором персональных данных в реестре Роскомнадзора

КонсультантПлюс ПОПРОБУЙТЕ БЕСПЛАТНО

Получить доступ

2006 № 152-ФЗ:

самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД.

Обязанности оператора при обработке персональных данных

разъяснять субъекту ПД, какие данные и для чего собирают, а также получать его предварительное согласие на обработку личной информации. Такое согласие запрашивают в письменной форме: человеку предлагают подписать специальную бумагу, где уточняется, что сбор информации производится по правилам закона № 152-ФЗ и она будет соответствующим образом храниться, использоваться, а позже — уничтожаться. Хотя чаще всего согласие «прячется» в самом конце подписываемого соглашения и выглядит как галочка, рядом с которой надо поставить свою подпись, существует и специальная форма такого согласия. Вот бланк, которым предлагает пользоваться Роскомнадзор (скачать форму можно в конце статьи):
разработать и публично представлять политику в отношении обработки ПД. Обнародовать такой документ можно любым удобным для компании способом, но чаще всего это делается с помощью интернета — на странице организации просто публикуют политику без сокращений;
обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения. Как правило, речь идет о технических и организационных мерах — установление паролей и специальных программ, гарантирующих сохранность информации, оперативное устранение последствий хакерских атак, иные мероприятия по обеспечению безопасности;
уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели. Согласно статье 21 закона N152-ФЗ, уничтожается информация только после обращения лица, чьи данные обрабатывались с нарушениями, либо его представителя. Запрос обязательно подается в письменной форме, и отреагировать на него оператор должен в сроки, прописанные в законе. Рекомендованный образец такого обращения доступен на сайте Роскомнадзора;
блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя). Это не значит, что оператор полностью удаляет имеющуюся информацию, но он не может ею пользоваться.

Регистрация в Роскомнадзоре в качестве оператора персональных данных

работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;
компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;
системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687;
организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

https://www.youtube.com/watch?v=4Ut8znmQqpc

Роскомнадзор рекомендует подавать уведомление на бланке организации, на бумаге либо в электронном варианте. Бумажный вариант надо будет заполнить, подписать и отправить в территориальный орган Роскомнадзора (по почте или отнести лично). Электронный документ можно оформить прямо на сайте ведомства — в разделе «Электронные формы заявлений».

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
категории ПД, которые будут обрабатываться;
субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
информация о шифровальных (криптографических) средствах;
дата начала, а также условия и сроки прекращения обработки ПД;
сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Ответственность за отказ регистрироваться в реестре

В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.