Согласно такому юридическому документу, как Федеральный закон «О персональных данных», если вы лично, ваше предприятие, учреждение или компания собрались работать с личной информацией клиентов, партнеров и прочих категорий граждан, то, скорее всего, обязаны зарегистрироваться в реестре Роскомнадзора в качестве оператора. Из данной статьи узнаете что это за процедура, а также как это сделать.
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67. Это быстро и бесплатно!
Скрыть содержание
Что это за процедура?
Закон отводит Роскомнадзору до месяца на рассмотрение информации, представленной в уведомлении оператора. Права на отказ у ведомства нет, но оно имеет право запросить дополнительные данные, если указанные в уведомлении покажутся сотрудникам неполными или недостоверными.
Если у зарегистрированного оператора происходит изменение каких-либо данных, опубликованных в реестре (получение новой или лишение лицензии, внесение изменений в устав и прочее), он обязан уведомить надзорный орган в течение 10 рабочих дней.
Кто имеет на нее право?
Буква закона определяет «оператора» как любой орган власти, юридическое лицо любой формы собственности и даже физическое лицо, которые собирают и обрабатывают персональные данные граждан, имеют определенные цели этой деятельности и выбранный состав информации, необходимой для обработки (подробнее о том, что такое персональные данные и кто является их оператором, читайте тут).
Проще говоря, потенциальные операторы – это банки, бухгалтерские и адвокатские агентства, операторы связи и жилищно-коммунальные предприятия, банки, торговые сети, собирающие данные клиентов для предоставления программ скидок, Интернет-магазины и сайты, имеющие формы для регистрации, более сложные, чем пара «логин+пароль», и ряд других структур.
Исключения законодатель оставил для использования персональных данных в личных и семейных целей, архивной работы, информации о деятельности судов и работы с гостайной.
Кроме того, не подпадают под действие закона правовые отношения, наступающие в случаях, перечисленных в части 2 статьи 22 закона «О персональных данных».
Все остальные лица и структуры регистрироваться в Роскомнадзоре обязаны.
Как зарегистрироваться на сайте?
Подготовка
Прежде, чем переходить к заполнению электронной формы, следует выполнить внутренние мероприятия, прописанные в статьях 18 и 19 базового закона. Точного перечня нет и быть не может в связи с разнообразием потенциальных операторов. Вне зависимости от организационно-правовой формы, ориентироваться операторам следует на следующие пункты:
- Назначение должностного лица, ответственного за операции с персональными данными.
- Ознакомление работников, непосредственно задействованных в обработке, с законодательством, требованиями к защите информации и принятых в компании политикой в данной области и порядком доступа к собираемым данным.
- Внесение изменений в должностные инструкции указанных сотрудников.
- Разработка и утверждение внутренних документов, определяющих политику предприятия в области персональных данных, цели обработки и перечень конкретных данных и социальных групп, сведения о которых будут в сфере ваших интересов.
- Разработка и утверждение документов, регламентирующие обработку информации, меры по защите и допуск должностных лиц, реагирование на обращения субъектов персональных данных и государственных органов.
- Отведение помещений и определение мер по обеспечению безопасности хранения материальных носителей информации.
- Создание системы внутреннего контроля над операциями с персональными данными, их соответствием законодательству и внутренним документам компании.
- Определение и внедрение технических мер безопасности.
- Подготовка техдокументации на используемое оборудование и информационные системы, средства защиты и прочее.
- Оценка потенциального вреда, который может быть нанесен и его соотношение с мерами, предпринимаемыми компанией согласно обязанностям оператора, прописанным в главе 4 закона «О персональных данных».
- Подготовка бланков форм о согласии субъекта на обработку его персональных данных, обязательствах задействованных сотрудников и компании в целом о неразглашении, соглашения о конфиденциальности и прочие, согласно условиям и статусу предприятия.
Заполнение данных
Уведомление о включении в реестр операторов персональных данных подается в электронном виде на сайте Роскомнадзора (https://pd.rkn.gov.ru/operators-registry/notification/form/). Формулировки должны быть лаконичными, юридически и орфографически грамотными. Поля, выделенные красной звездочкой, заполнять обязательно.
Форма состоит из четырех крупных блоков: информация об операторе, общие юридические сведения, сведения об информационной системе и контактные данные уполномоченного должностного лица.
- Информация об операторе. Используйте встроенные формы для выбора своего территориального органа Роскомнадзора, типа оператора и адреса.
- Общие юридические сведения, правовое обоснование – ссылайтесь на Конституцию РФ, Налоговый кодекс, Трудовой кодекс и другие федеральные законы, если они регламентируют вашу сферу деятельности, а также на устав предприятия и лицензированную деятельность.
- Цель обработки данных – укажите те цели, которые вы зафиксировали приказом, распоряжением или иным внутренним актом. В соответствующем поле перечислите предпринятые компанией меры, из описанных выше требований статей 18 и 19.
- Средства обеспечения безопасности – перечислите применяемые средства, технику и технологии (сейф или иное хранение материальных носителей, антивирусное ПО и прочее).
- Сведения об обеспечении безопасности персональных данных – сообщите о наличии на предприятии внутренних документов о порядке обработки персональных данных и доступе к работе с ними, определении ответственных лиц и мест хранения материальных носителей, исключении опасности несанкционированного доступа к базам данных и в помещения хранения.
- Дата начала обработки данных – указывайте дату запланированного старта работы, если таковая деятельность еще не ведется, или дату налоговой регистрации компании.
- Срок окончания – вместо конкретной даты лучше описать условия прекращения работы с личной информацией – ликвидация компании, смена рода деятельности, форс-мажорные обстоятельства и прочие.
- Сведения об информационной системе. Категории персональных данных и субъектов – отметьте галочками виды информации и социальные группы, соответствующие указанным вами целям обработки персональных данных.
- Перечень действий с персональными данными – согласно уставу компании и лицензиям по видам деятельности. Выберите соответствующий способ обработки из предложенных вариантов, укажите наличие или отсутствие трансграничной передачи.
- Местонахождение базы данных – адрес помещений компании, определенных как места хранения материальных носителей баз.Если ваша компания, к примеру, арендует серверные мощности для сайта, на котором регистрируются пользователи, физический адрес следует запросить у компании-подрядчика.
- Контактные данные уполномоченного должностного лица – ФИО, рабочий адрес и контактный телефон и e-mail.
Если все в порядке, отметьте птичками пункты об ознакомлении с порядком подачи уведомления и согласии на передачу данных через Интернет, и жмите кнопу «Отправить электронное уведомление и подготовить форму к распечатке».
Авторизация
После отправки электронного уведомления вам будут предоставлены индивидуальный номер уведомления и ключ, введя которые в специальную форму (https://pd.rkn.gov.ru/operators-registry/notification_check/), вы можете проверить состояние уведомления.
Документ о политике компании или учреждения в отношении обработки персональных данных должен быть не только представлен сотрудникам, и надзорным органам, но и опубликован на официальном сайте и доступен для всех заинтересованных лиц. Подробнее о политике оператора в отношении обработки персональных данных читайте тут.
Помимо электронного уведомления, следует подать бумажный вариант в территориальный орган Роскомнадзора. Можно воспользоваться предложением сайта ведомства и распечатать заполненную форму.
В таком случае ее заверяют печатью и подписью руководителя снизу. Но можно использовать и фирменный бланк компании с угловым штампом, куда следует достоверно перенести все данные, отправленные через сайт.
Регистрационный номер записи в реестре
По завершению рассмотрения уведомления, Роскомнадзор внесет ваше учреждение, предприятие или вас лично как физлицо, в реестр.
Каждому оператору присваивается регистрационный номер, по которому можно найти общедоступную часть указанных вами сведений.
Возможности до и после проведения
До регистрации в Роскомнадзоре вы:
- по закону не имеете права заниматься обработкой персональных данных;
- подпадаете под действие положений Кодекса об административных правонарушениях;
- ваш сайт может быть заблокирован в любой момент по жалобе частного лица, в том числе, инспирированной конкурентами.
После регистрации компания:
- застрахована от претензий надзорного ведомства во время проверки;
- может предоставлять услуги сторонним организациям по сбору обработке и персональных данных (при наличии соответствующей лицензии);
- может использовать законопослушание и открытость в рекламных целях.
Подтвердить или опровергнуть бытующее в профильных сообществах мнение о том, что подача уведомления о регистрации привлекает внимание и, соответственно, проверки Роскомнадзора, невозможно.
Однако, как утверждает ряд пользователей и экспертов, чем крупнее ваш бизнес или популярней Интернет-ресурс, тем выше вероятность, что ведомство само вами заинтересуется. А относительно невысокие штрафы за нарушение законодательства в сфере персональных данных легко компенсируются количеством нарушений, которые способна найти тщательная инспекция.
- Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:
- +7 (800) 350-22-67Это быстро и бесплатно!
Источник: https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka/operator/registratsiya-v-roskomnadzore.html
Кому не нужно уведомлять Роскомнадзор об обработке персональных данных
По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно.
Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.
Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.
При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:
- При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
- При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
- При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.
Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.
О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье «Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017».
Источник: https://buh.ru/articles/documents/59315/
Кто относится к операторам персональных данных, что является персональными данными
Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Но иногда компании думают, что лучше не привлекать внимание ведомства и не подавать уведомление. Они ведь и раньше собирали данные, а уведомление подают только сейчас. Точно придет проверка, и придется платить штраф.
Отсиживаться рискованнее, чем подать уведомление. Об этом рассказывает эксперт по персональным данным Максим Лагутин.
152-ФЗ: закон о персональных данных на сайте Консультанта
Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:
Збагойно: 152-ФЗ — в «Деле»
Персональные данные — это любые данные о человеке, по которым его можно определить. Например:
- электронная почта;
- телефон,
- имя и фамилия;
- дата рождения;
- адрес;
- ссылка на сайт.
Ник без других данных не считается персональными данными, по нему нельзя определить человека.
С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.
«МГТС» продавала данные своих клиентов другим компаниям:
- временные метки;
- деперсонализированный идентификатор useid;
- адреса страниц, к которым было обращение;
- адреса, с которых был переход;
- информацию о браузере и устройстве, с которого был запрос;
- IP-адрес.
По сути это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.
Суд с компанией не согласился и назначил штраф 30 000 рублей.
Судебное решение
Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например имя, телефон, электронную почту.
Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.
Данные из социальных сетей
152-ФЗ о персональных данных на сайте Консультанта
По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.
Источник: https://delo.modulbank.ru/all/data_operator
Оснований для проверки стало больше, сроки сократили
В правилах описаны плановые и внеплановые проверки: когда могут прийти, что попросят, сколько времени займут и чем это закончится. За одно нарушение закона о персональных данных можно получить штраф до 75 тысяч рублей. Если нарушений несколько, есть риск потерять сотни тысяч. И это касается всех, у кого есть даже небольшая рассылка или интернет-магазин.
Мы изучили правила, чтобы вам не пришлось читать 17 страниц постановления. Вот как это работает.
Вот примеры, которые попадают под действие этих документов:
- Владелец сайта просит подписаться на рассылку. Посетители оставляют имя, фамилию и электронную почту.
- Покупатели заказывают товары в интернет-магазине. Продавец получает от них имена, телефоны и домашние адреса для доставки.
- Обычный магазин пробивает покупателю чек и отправляет его на номер телефона.
- Самозанятый сдает квартиру и получает от арендатора адрес электронной почты и номер телефона для обязательной отправки чека из приложения.
- Инфобизнесмен создает форум о криптовалютах, где люди регистрируются, добавляют свои фото и общаются.
- Молодая мама создает сообщество для совместных закупок и обмена вещами. Там регистрируются такие же мамы, оставляют свои телефоны, профили в соцсетях и платежные данные.
- Медицинский центр берет анализы у пациента и оформляет его на прием к врачу.
- Компания нанимает работников по трудовым договорам, берет их паспортные данные, СНИЛС и домашние адреса.
- Школа принимает заявления от родителей на прием детей в первый класс.
- Бизнес-центр просит паспорт посетителя, чтобы оформить ему одноразовый пропуск.
Все эти владельцы сайтов, магазинов, бизнес-центров, форумов, рассылок и обычные работодатели — операторы персональных данных. Они должны соблюдать закон, оформлять документы и, когда положено, — уведомлять Роскомнадзор.
Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку и позволяет его идентифицировать.
Точного списка таких данных нет, но в методичке Роскомнадзора есть примеры:
- Фамилия, имя, отчество.
- Дата и место рождения.
- Адрес.
- Семейное и социальное положение.
- Имущество и доходы.
- Образование и профессия.
- Специальные данные: раса, национальность, религия, здоровье, политические взгляды. Эти данные нельзя обрабатывать.
- Биометрические данные: фотография, образец голоса, отпечатки пальцев.
Как вести бизнес по законуИ зарабатывать больше на своем деле. Подпишитесь на ежемесячную рассылку для предпринимателей и получайте важные статьи и новости о бизнесе
Чтобы операторы персональных данных не раздавали информацию о своих клиентах всем подряд, надежно ее хранили и удаляли по требованию, Роскомнадзор проводит проверки, находит нарушения, выносит предупреждения и штрафует.
Права представителей Роскомнадзора строго регламентированы, но их немало. Вот что они могут делать во время проверки операторов персональных данных:
- Запрашивать информацию и документы.
- Посещать и обследовать помещения, где работает оператор.
- Выдавать предписания об устранении нарушений.
- Использовать технику и оборудование для проверки и наблюдения.
- Получать доступ к программам и базам оператора, просматривать информацию, которая нужна именно для проверки условий хранения данных.
- Требовать прекращения обработки и удаления данных, если нарушены требования.
- Составлять протоколы об административном правонарушении.
- Обращаться в полицию и прокуратуру, если оператор не пускает в помещение и мешает проверке.
- Запрашивать устные и письменные пояснения в ходе проверки.
Эти права у проверяющих есть не только в ходе выездной проверки, но и при наблюдении за тем, как оператор персональных данных работает, что публикует и как собирает информацию. При этом оператор может об этом даже не знать. Дальше расскажем, что такое наблюдение и чем оно грозит операторам.
При проверке операторов персональных данных должностные лица из Роскомнадзора обязаны:
- Вовремя находить и пресекать нарушения.
- Проводить проверки только на основании приказа. Всегда требуйте этот документ.
- Проводить выездную проверку только при исполнении служебных обязанностей.
- Предъявлять удостоверение и копию приказа.
- Не мешать руководителю или уполномоченным сотрудникам компании присутствовать при проверке, отвечать на их вопросы.
- Рассказывать о результатах проверки.
- Принимать меры с учетом тяжести нарушений.
- Не ограничивать права и не нарушать интересы оператора без веских оснований.
- Соблюдать сроки проверки.
Любое нарушение — повод обжаловать результаты проверки, ее продление и даже сам факт проведения. Если что-то идет вразрез с правилами, фиксируйте детали и отправляйте жалобу руководству управления Роскомнадзора.
Плановая проверка — это когда Роскомнадзор заранее, на год вперед, составляет план проверок и размещает его в открытом доступе. Кто угодно может проверить, придут к нему в этом году или нет. В плане указана дата проверки, так что можно подготовиться.
Как предупредят. О плановой проверке предупредят за три рабочих дня любым доступным способом: отправят копию приказа по почте, пришлют электронное уведомление или как-то еще.
Когда могут прийти. Раньше было три основания для таких проверок, теперь только эти:
- Прошло три года с регистрации фирмы или ИП.
- Последнюю плановую проверку проводили три года назад.
График плановых проверок нужно искать в реестре Генпрокуратуры.
Как часто. Плановые проверки проводят раз в три года. Но теперь могут приходить и каждые два года. Это особые случаи: например, обработка биометрических данных или передача информации за границу.
Сколько длится. Плановые проверки проводят максимум 20 дней. Так было и раньше. Один раз проверку могут продлить.
Внеплановая проверка — это когда визита проверяющих нет в графике и за три дня об этом не сообщают. То есть проверка внезапная, повод может возникнуть в любое время, а причина заранее неизвестна.
Как предупредят. О внеплановой проверке предупредят за сутки.
Когда могут прийти. Для внеплановой проверки все равно нужны основания. Все они перечислены в постановлении правительства, но список теперь новый — не такой, как был в регламенте.
Вот эти основания:
- Оператору выдали предписание для устранения нарушений, а он его игнорирует.
- Кто-то из людей пожаловался и приложил доказательства, что оператор нарушает их права.
- Есть поручение президента или правительства.
- Потребовал прокурор.
- Руководителю принесли докладную записку по итогам наблюдения за оператором: мол, тут товарищи нарушают, надо бы их проверить. И глава управления Роскомнадзора согласился и решил: проверяйте. Раньше такой причины для проверок не было.
Последний пункт самый интересный. Смотрите: за вашим сайтом и бизнесом могут просто тихонько наблюдать. Вам при этом ничего не присылают, ничего не запрашивают.
Читают ваши пользовательские соглашения, проверяют галочки на формах подписки — эта процедура называется наблюдением, она предусмотрена правилами.
И если есть подозрения, что вы что-то нарушаете: не спрашиваете согласия, плохо защищаете данные или не предупреждаете об их сборе, — докладная на стол и встречайте внеплановую проверку. По правилам должны согласовать эту проверку с прокуратурой, но для вас будет сюрприз.
Как часто. У внеплановых проверок нет периодичности. К нарушителям могут приходить хоть каждый месяц.
Раньше внеплановая проверка могла быть документарной. Это когда просят документы. Больше документарных внеплановых проверок не будет. Значит, если вынесут решение о выездной проверке, нужно ждать гостей с удостоверениями: придут по месту регистрации или фактической работы.
Если проверка документарная, бумаги должны быть готовы в течение пяти рабочих дней. То есть и этот срок сократили в два раза. С оригиналов документов нужно сделать заверенные печатью и подписью копии и передать в Роскомнадзор. Можно отправить через интернет с усиленной подписью. Дата представления документов — это не дата отправки, а дата штампа о приемке Роскомнадзором.
Если в документах найдутся противоречия, Роскомнадзор запросит пояснения. Их придется представить в течение трех рабочих дней. Раньше для уточнения давали 10 дней.
Любой человек, которому кажется, что его данные неправильно обрабатывают, передают кому-то без разрешения или не удаляют по требованию, может написать обращение в Роскомнадзор. Каждое такое обращение обязаны рассмотреть и дать на него ответ.
Выездную проверку проводят по месту работы или регистрации бизнеса. Если оператор персональных данных — физлицо без регистрации ИП, выездной проверки у него быть не может.
Когда начинается выездная проверка, представитель Роскомнадзора показывает удостоверение и приказ с информацией о сроках, основаниях и целях проверки. Еще до того как начнут проверять, оператору вручат запрос о представлении документов. Раньше такого не было. На подготовку документов дадут минимум два дня.
Во время проверки нужно предоставить проверяющим доступ в помещения и к компьютерам. Если мешать проверке, составят акт и пригласят полицию.
Если проверка придет и никого не застанет по указанному адресу, сроки приостановят. Если и потом никто не объявится, с внеплановой проверкой смогут прийти в любое другое время вообще без предупреждения.
Для каждой проверки есть сроки ее проведения. Проверяющие не могут дольше изучать документы, осматривать компьютеры и опрашивать сотрудников. Но есть причины продлить проверку. Раньше была только одна и в исключительном случае: когда объем работы очень большой. Теперь причин для продления больше:
- В процессе проверки поступила информация о нарушении обработки персональных данных.
- Случился форс-мажор на месте проверки: офис затопило или что-то загорелось.
- Оператор персданных не представляет документы, которые у него просят.
- Выяснилось, что предстоит много работы: сложные процессы, большой объем документов, несколько видов деятельности.
Проверку могут продлить только на основании приказа. С ним обязательно знакомят оператора в течение трех дней после того, как приняли решение увеличить срок.
Когда проверка закончится, составят акт в двух экземплярах. В нем напишут, что нарушений нет или что их нашли. Представитель оператора должен подписать акт. Если отказаться, от штрафов это не спасет: в акте сделают пометку об отказе и пришлют его по почте.
Если оператор персональных данных что-то нарушил, ему выдадут предписание: устраните нарушения в такой-то срок. Максимальное время для устранения — 6 месяцев. Но конкретному оператору могут дать и меньше. Раньше этот период регламент не ограничивал.
Когда нарушение устранят, об этом нужно сообщить в Роскомнадзор. Если предписание не исполнено или не все нарушения устранили, может прийти внеплановая выездная проверка. А если в результате нарушаются права тех, чьи данные обрабатывают, Роскомнадзор может вообще запретить обработку, пока все не исправят. Для бизнеса это может означать приостановление деятельности.
За нарушения при обработке персональных данных могут вынести предупреждение, а могут оштрафовать: юрлицо — отдельно, директора — дополнительно.
Чтобы находить нарушения, Роскомнадзор проводит специальные мероприятия, в которых сами операторы никак не задействованы и о которых они вообще не знают. Это наблюдение двух видов:
- Как соблюдаются требования при размещении информации в СМИ и интернете.
- Какие данные и документы оператор представляет в Роскомнадзор.
Это не проверка, а просто наблюдение, о котором вы даже не подозреваете. Но его результаты могут стать основанием для внеплановой проверки.
Для наблюдения должно быть задание. А для задания нужны причины:
- поручение президента, правительства или руководителя Роскомнадзора;
- обращения госорганов, компаний, предпринимателей, обычных людей;
- публикации в СМИ и интернете о нарушении прав при обработке персданных.
Быть оператором персональных данных — это не значит обязательно регистрироваться в реестре и всегда запрашивать согласие. Если вы получаете и храните чьи-то данные, вы уже оператор. ИП и юрлиц могут проверить планово и внезапно, вам нужно оформлять документы и соблюдать закон.
При этом не все операторы должны регистрироваться в реестре Роскомнадзора. И не всегда нужно получать согласие: по закону обрабатывать данные можно и без согласия.
Например, если вы запрашиваете электронную почту для отправки чека, согласие не нужно. Если просите адрес для доставки пиццы, согласие тоже не нужно.
Так же и с уведомлением Роскомнадзора: если арендатор квартиры или покупатель торта передал вам данные для договора или доставки, это не повод регистрироваться в реестре.
Но при этом вы оператор персональных данных и должны соблюдать остальные требования закона. Вас могут проверять, штрафовать и блокировать.
Источник: https://journal.tinkoff.ru/news/proverka-persdannye-2019/
Поможем подать уведомление об обработке персональных данных — ООО "ЦБИС"
Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.
В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре.
Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации.
Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.
Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.
Камни преткновения
Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:
- Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов. В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
- Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
- Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.
Что делать, если вы уже обрабатываете персональные данные?
Если вы уже обрабатываете персональные данные и не знаете как сейчас поступить по поводу регистрации в реестре операторов персональных данных, то следуйте такому плану:
Как зарегистрироваться в реестре Роскомнадзора?
Зарегистрироваться в реестре можно двумя способами: в электронной или бумажной форме.
Для регистрации в бумажной форме нужно скачать и заполнить проект уведомления или заполнить форму на сайте Роскомнадзора: https://rkn.gov.ru/personal-data/register/
Затем документ нужно распечатать, утвердить руководителем организации и отправить заказным письмом с уведомлением в адрес Роскомнадзора: 109074, г.Москва, Китайгородский пр., д.7, стр.2.
Лайфхак по успешной регистрации в реестре Роскомнадзора
Если сроки горят, и нужно зарегистрироваться в реестре с первого раза, то необходимо следовать рекомендациям:
- Заполняйте уведомление максимально подробно и точно, ссылаясь на реальные и действующие нормы закона, а также внутренние организационно-распорядительные документы.
- Если у вас система защиты персональных данных еще не готова, то нужно писать так, как будто она реализована полностью, с указанием конкретных подсистем и средств защиты (антивирусная подсистема, подсистема обнаружения вторжений, подсистема криптографической защиты, подсистема анализа защищенности, подсистема защиты от несанкционированного доступа и др.).
- Если вы подаете уведомление с целью регистрации в реестре как оператор персональных данных «клиентов», то не забудьте указать, что вы обрабатываете и персональные данные сотрудников, так как они есть в любой организации. Это обязательно!
- При описании правового основания обработки персональных данных нельзя ссылаться только на 152-ФЗ, так как закон описывает требования к обработке и защите персональных данных, но не описывает правовые основания обработки для тех или иных типов организаций.
- При описании правового основания обработки не забудьте базовые документы, которые нужно указывать любому оператору: Конституция РФ, Трудовой кодекс РФ, Гражданский кодекс РФ.
Регистрация в реестре Роскомнадзора: цена вопроса
Госпошлина за внесение в реестр Роскомнадзора не взимается. Оператор может подать уведомление самостоятельно или обратиться за помощью к компетентной организации, которая не только подготовит уведомление, но и поможет выполнить подготовку по требованиям закона.
Помощь коммерческих организаций в регистрации в реестре стоит от 10 до 50 тысяч рублей, а с предоставлением базового набора организационно-распорядительной документации — от 50 до 150 тысяч рублей.
Скачать коммерческое предложение на Внесение в реестр Роскомнадзора
СКАЧАТЬ PDF
Какие сведения указываются в уведомлении?
В уведомлении указываются следующие сведения:
- наименование (фамилия, имя, отчество), адрес оператора;
- цель обработки персональных данных;
- категории персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание обработки;
- перечень действий с персональными данными, описание используемых способов обработки персональных данных;
- описание реализации мер, предусмотренных статьями 18.1 и 19 закона;
- фамилия, имя, отчество лица ответственного за организацию обработки персональных данных;
- дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных;
- сведения о месте нахождения базы данных;
- сведения об обеспечении безопасности персональных данных.
Что предлагаем мы?
Мы занесем вашу организацию в реестр операторов персональных данных и предоставим типовой набор организационно-распорядительной документации, необходимый для соответствия требованиям ФЗ-152 и прохождения проверки Роскомнадзора, за 45 тысяч рублей с гарантией по договору.
Источник: https://xn--90ao1ar.xn--p1ai/podgotovka-po-152-fz/reestr-roskomnadzor/
Реестр операторов персональных данных Роскомнадзора — в 2020 году, что это такое, инструкция, согласие на обработку сведений
Полная информация о персональных данных регламентируется Федеральным Законом Российской Федерации №152 от 27 июля 2006 года. Данный нормативный акт обязывает все организации, которые занимаются обработкой информации о гражданах, пройти регистрацию в специализированном реестре.
К непосредственным операторам могут относиться государственные органы, организации и физические лица, которые в самостоятельном порядке осуществляют сбор сведений и определяют цель соответствующих мероприятий.
Для понимания того, что представляет собой реестр операторов персональных данных Роскомнадзора, необходимо рассмотреть основные понятия, параметры, включаемые в данные документов, перечень операторов, условия подачи уведомлений, алгоритм регистрации, порядок получения прав на обработку сведений, а также ответственность за нарушения.
Что это такое
Многих граждан интересуются о том, что же такое – персональные данные.
Статья №3 Федерального Закона №152 дает следующее определение персональных данных – это любые сведения, которые прямо или опосредованно относятся к физическим лицам, являющимся субъектами этих персональных данных.
Если в ходе получения информации моно понять то, кто является непосредственным субъектом, то это с большой долей вероятности относится к персональным сведениям. В случае если понять нельзя, то информация не относится к конкретному человеку и, следовательно, не включается в специальный реестр.
Основные замечания
Что включено в данные документа
Стоит отметить, что исчерпывающий список информации персонального характера составить невозможно. Отношение данных к персональному формату определяется строго в индивидуальном порядке.
Практика показывает, что в данные документа включаются следующие параметры:
- ФИО;
- место фактического проживания;
- адрес личной электронной почты;
- контактный номер телефона;
- место и дата рождения;
- принадлежность к определенной религии;
- национальность;
- место постоянного трудоустройства и должность;
- показатели роста, веса и так далее.
Роскомнадзор на постоянной основе ведет реестр операторов постоянных данных, в качестве которых могут выступать организации, выполняющие требования актуального законодательства о персональной информации. Для попадания в единый реестр конкретная компания должна в обязательном порядке подать официальное уведомление о начале обработки рассматриваемых сведений.
Иногда непросто сделать. Трудности обуславливаются тем, что зачастую непонятно, когда следует подавать уведомления и как его нужно оформлять, чтобы полный набор информации дошел до уполномоченной инстанции.
В каждом конкретном случае уведомление передается в территориальное подразделение Роскомнадзора до начала обработки данных. В соответствии с действующим федеральным законодательством это важно сделать в течение первой недели после регистрации индивидуального предпринимателя или юридического лица.
Довольно часто решение о подаче уведомления принимается в тех случаях, когда компания уже осуществляет профессиональную деятельность в течение определенного времени. В таких случаях не стоит опасаться назначение штрафных санкций. Однако если компанией интересуются контролирующие органы, то это приводит к назначению штрафа, который придется выплатить в обязательном порядке.
Важный нюанс заключается в том, что в качестве даты начала обработки сведений нужно указать день государственной регистрации компании. Это присуще даже для тех случаев, когда уведомление подается с запозданием.
Уведомление можно подать как в печатном, так и в электронном виде. Во втором случае используются специализированные ресурсы сети интернет. Форма заполняется на официальном сайте Роскомнадзора.
Представителям заинтересованных бизнес-организаций придется указать в документе исчерпывающий набор информации, что на практике сделать довольно трудно, несмотря на наличие автоматизированной поддержки.
Важно быть готовым к формулированию перечня правовых оснований и целей обработки персональной информации граждан. Дополнительно описывается характер планируемых действий с полученными данными и порядок обеспечения безопасности.
Сформированную анкету нужно распечатать и подписать, после чего на ней проставляется официальная организационная печать. Готовая отчетность отправляется в территориальное подразделение Роскомнадзора. Это нужно для подтверждения сведений, поданных в режиме онлайн.
Разрешается заполнение аналогичной анкеты через официальный портал государственных и муниципальных услуг, однако такой способ не особо удобен. Не рекомендуется обращаться к сторонним порталам – через предустановленные сервисы могут действовать мошенники.
Алгоритм регистрации
Внесение сведений об операторе в единый реестр осуществляется на основании норм актуального законодательства.
Инструкция следующая:
- Предварительное изучение порядка подачи заявления.
- Указание личной информации о заявителе.
- Обоснование правовых оснований для начала обработки персональной информации.
- Описание процедурных целей.
- Описание побочных целей, предусмотренных статьями №18 и №19 Федерального Закона №152.
- Предоставление доказательной базы о качестве планируемых средств защиты гражданской информации.
- Указание предполагаемой даты обработки сведений и условий прекращения процедур.
- Указание конкретных наименований планируемых к использованию криптографических систем.
- Указание данных об информационных системах.
- Указание информации о том, где базируется база данных, которая используется для хранения сведений о гражданах Российской Федерации.
- Указание сведений о компании, которая ответственна за хранение персональной информации.
В подавляющем большинстве случаев при соблюдении вышеуказанного алгоритма уполномоченные представители Роскомндазора идут на включение компании в единый реестр. В ситуации, когда в представленных данных обнаруживаются несоответствия, процедура регистрации автоматически завершается, а на провинившуюся сторону может быть наложен штраф.
Получение прав на обработку
Для обеспечения сохранности и безопасности передачи персональной информации о гражданах предусматривается специализированная процедура аттестации и получения лицензии для организации хранения подобных сведений. Для оформления разрешительной документации компаниям приходится заниматься не только переобучением сотрудников, но и покупкой специальных технических средств защиты.
Процедура получения прав на обработку данных состоит из нескольких этапов.
Необходимо выделить наиболее важные из них:
- Уведомление контролирующих организаций о намерении обработки персональных сведений с учетом использования автоматизированных систем.
- Прохождение начального обследования имеющихся информационных систем.
- Проектирование защитных мер с учетом имеющейся компьютерной инфраструктуры и прочих автоматизированных средств.
- Покупка инновационных средств защиты.
- Организация всех помещений компании в соответствии с установленными требованиями по электропитанию, противопожарной безопасности и так далее.
- Проведение мероприятий по повышению квалификации сотрудников в области защиты гражданской информации – в обязательном порядке проводится аттестация каждого работника.
- Предоставление гарантий о факте наличия эффективной системы защиты персональных данных в условиях их постоянной циркуляции по коммуникационным линиям.
Важно: вышеуказанный перечень мероприятий может применяться только в том случае, когда планируется обработка информации в электронном формате. Это в теории является небезопасным для передаваемых массивов данных.
Ответственность за нарушения
В 2020 году уполномоченные представители территориальных подразделений Роскомнадзора проводят проверки среди компаний, которые были ранее внесены в реестр организаций, занимающихся обработкой персональных данных. В некоторых случаях аналогичные мероприятия могут проводиться в организациях, которых нет в реестре. Это актуально только тогда, когда они потенциально могут заниматься обработкой сведений о гражданах РФ.
Список запланированных проверок находится в свободном доступе. Заинтересованным лицам для ознакомления нужно перейти на официальный сайт контролирующего органа.
Помимо прочего, проверочные мероприятия могут быть инициированы по факту поступления жалобы, чем иногда пользуются бывшие сотрудники компаний или недобросовестные конкуренты.
Если в ходе проверки будут обнаружены несоответствия или нарушения, то компании и их руководители могут столкнуться с назначением административной ответственности. В большинстве случаев в процессе проверки может быть выявлен целый ряд нарушений. Штрафные санкции определяются отдельно для каждого из них. Общая сумма взысканий может достигать 100 000 рублей.
Ряд требований, касающихся обработки персональной информации, прописываются в действующем трудовом законодательстве.
Роскомнадзор имеет полномочия по блокировке официальных сайтов тех компаний, которые нарушают законодательство по обработке персональных данных. Жалобы от физических лиц являются основанием для начала процесса блокировки. Внесение изменений в соответствующий реестр проводится на основании специального постановления.
Внимание!
- В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
- Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.
Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!
ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.
Источник: https://jurjur24.ru/reestr-operatorov-personalnyh-dannyh-roskomnadzora/