21 февраля 2014 в 23:45

А может не уведомлять об обработке персональных данных?

• Информационная безопасность

Частью первой ст 22 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее в статье - Закон) предусмотрена обязанность оператора, осуществляющего обработку персональных данных, уведомить орган Роскомнадзора до начала обработки. Сразу же (во второй части статьи) Закон предлагает основания, по которым оператор имеет право об обработке не уведомлять. Случаи эти довольно распространены. Но поскольку Закон не запрещает уведомлять даже если есть такие случаи, ряд операторов выбирают пойти по пути уведомления. Возможно, стоит не направлять уведомление, или даже подумать, как попасть под «исключения». На это есть, как минимум, 3 причины.

Сложно ответит на вопрос «Почему?» за всех принявших решение отправить уведомление в орган Роскомнадзора если можно было этого не делать. Конечно, нельзя исключить маркетинговые походы (имидж, открытость). Все же, в ряде случаев уведомляют по незнанию или исходя из позизии «Лучше перебдеть». Хотелось бы обратить внимание на известное право операторов, осуществляющих обработку персональных данных, не уведомлять органы Роскомнадзора об обработке и вот для этого несколько причин.

1. Лицу, подавшему уведомление об обработке персональных данных, необходимо нести бремя по постоянной актуализации поданных сведений. Эта обязанность предусмотрена ч.7. ст. 22 Закона. Если оператор, осуществляющий обработку персональных данных, не подаст уведомление об изменении сведений (изменение адреса оператора, изменение категорий ПДн, которые обрабатываются, смена ответсвенного за обработку ПДн и его контактов и т.д.), то может быть привлечен к административной ответственности. Казалось бы, что сложного: поменялось что-то в организации, взял и отправил письмишко. Как показывает практика, в большинстве случаев об этом забывается. Например, те кто встал в Реестр (в Реестр включаются все, подавшие уведомление об обработке) операторов, осуществляющих обработку персональных данных до 1 июля 2011 года обязаны были до 1 января 2013 года дополнительно дослать сведения, предусмотренные пунктами 5, 7.1, 10 и 11 части 3 статьи 22 Закона (правовое основание обработки персональных данных, ФИО ответственного и т.д.). Как видно из реестра операторов персональных данных Роскомнадзора, больше половины операторов этого не сделали по настоящее время. Мысль о том, что у всех этих организаций никаких внутренних изменений, связанных с обработкой персональных данных, не происходило, тоже сомнительна. Предлагаю и Вам подумать, будете ли Вы своевременно отслеживать в долгосрочной перспективе актуальность записей в Реестре, если есть возможность этого не делать вообще?
2. Органы Роскомнадзора осуществляют планирование проверок операторов, осуществляющих обработку персональных данных, с использованием ведомственной единой информационной системы – ЕИС . Все операторы, подавшие уведомления уже находятся в ней, в связи с чем, вероятность попадания в план проверок многократно возрастает. Организации, проверяемые Роскомнадзором по другим направлениям (услуги связи, РЭС, СМИ, вещание) автоматически проверяются на предмет соблюдения законодательства в сфере персональных данных, если уведомили Роскомнадзор об обработке.
3. Если оператор персональных данных принял решение уведомить орган Роскомнадзора об обработке, хотя имел право этого не делать, то исключиться из Реестра по причине того, что мог вообще не уведомлять, не получиться. Такая возможность не предусмотрена ни Законом, ни соответствующим Административным Регламентом. Вернее, предусмотрена только по общим основаниям.

Если Вы собирались направлять уведомление, но вышеуказанное чем-то зацепило Вас, общие рекомендации просты.

1. Внимательно прочитать (осознать) ч.2 ст. 22 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
2. Посмотреть какие персональные данные и в связи с чем обрабатываются у Вас.
3. В некоторых случаях, возможно потребуется скорректировать Вашу работу с носителями персональных данных. Дам пример, что бы было понятно, что я имею ввиду.

Одна из возможностей не уведомлять об обработке персональных данных предусмотренная п. 2 ч. 2 ст. 22 Закона звучит так

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных

Так вот, Вы заключили договор , с физическим лицом на какую-то услугу. Взяли у человека номер мобильного телефона, что бы сообщить о готовности услуги. В большинстве случаев номер мобильного телефона не нужен для целей исполнения договора. Если берется у клиента номер мобильного телефона, нужно дополнительно его согласие на обработку персональных данных. Однако, в этом случае, Вы не попадаете под исключение в Законе, которое позволяет не уведомлять об обработке персональных данных.
Если в договоре с этим физлицом прописать необходимость наличия номера мобильного телефона для целей исполнения договора, то уже претендуете на право попасть под исключение.
Обыграть необходимость наличия номера мобильного телефона для целей исполнения договора можно примерно так «Организация обязуется уведомить клиента по телефону № х… х о готовности...».

Роскомнадзор ведёт реестр операторов - компаний, выполняющих требования закона «О персональных данных». Чтобы попасть в реестр, компания подаёт уведомление об обработке персональных данных. Это может быть непросто сделать: непонятно, когда подавать уведомление, как его заполнить и как убедиться, что информация дошла до Роскомнадзора.

Можно ли не подавать уведомление?

Закон «О персональных данных» требует, чтобы каждая компания подала уведомление.

В законе есть несколько исключений, позволяющих ряду компаний избежать этого. В этом случае нужно быть готовым юридически грамотно доказать контролирующему органу, что исключения на компанию распространяются. Сделать это не так-то просто: отсутствие уведомления - одно из самых частых нарушений, выявляемых в ходе проверок Роскомнадзора.

Самый лучший вариант - подать уведомление и обезопасить компанию от вопросов контролирующего органа, почему это не было сделано.

Иногда компании опасаются, что подача уведомления привлечёт излишнее внимание Роскомнадзора, и он придёт с проверкой. На практике этого не происходит.

Когда отправить уведомление?

Уведомление подаётся до начала обработки персональных данных. Исходя из буквы закона, это нужно сделать в первые дни после государственной регистрации юридического лица или ИП.

Часто решение подать уведомление принимается тогда, когда компания работает уже несколько месяцев или несколько лет. Не стоит опасаться штрафа или других санкций за «опоздание» с подачей уведомления. А вот если компанией заинтересуется Роскомнадзор (придёт с проверкой или пришлёт «письмо счастья», где потребует подать уведомление), тогда штрафа будет не избежать.

Важный нюанс: даже если уведомление подаётся с «опозданием», в качестве «даты начала обработки персональных данных» лучше указать дату государственной регистрации компании.

Как заполнить уведомление?

Уведомление нужно подать через интернет (в электронном виде) и направить по почте (в печатном виде).

Электронная форма уведомления заполняется на сайте Роскомнадзора. Требуется указать достаточно много информации, и это не так-то просто сделать, несмотря на наличие подсказок. Нужно быть готовым сформулировать правовые основания и цели обработки персональных данных, описать совершаемые с ними действия и указать, каким образом обеспечивается их безопасность.

После отправки электронной формы сайт Роскомнадзора предложит скачать уже заполненную печатную форму. Её нужно будет распечатать, подписать и удостоверить печатью компании, после чего отправить по почте в территориальный орган Роскомнадзора. Это необходимо, чтобы подтвердить сведения, поданные через интернет.

Ещё можно заполнить уведомление в электронном виде на Портале государственных услуг, однако это менее удобный способ.

Как узнать, что уведомление принято?

После заполнения уведомления на сайте Роскомнадзора компания получит номер уведомления и секретный ключ. С их помощью на специальной странице можно уточнить статус уведомления и узнать, когда его сведения попадут в реестр операторов.

Вся информация в реестре операторов общедоступна, кроме сведений об обеспечении безопасности персональных данных. Можно найти уведомление любого оператора.

Сколько раз нужно подавать уведомление?

Уведомление подаётся только один раз.

Однако есть важный нюанс: закон «О персональных данных» требует оповещать Роскомнадзор об изменении сведений, указанных в уведомлении, в течение 10 дней после таких изменений. Уведомление содержит много сведений о компании, и изменения могут случаться довольно часто. Увы, следить за ними и вовремя реагировать бывает непросто.

Лучше всего подать уведомление как можно раньше и аккуратно следить за тем, чтобы сведения о компании в реестре операторов были актуальны. Это очень просто сделать с помощью нашего сервиса.

Как стать оператором персональных данных в реестре Роскомнадзора

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее - ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных - это государственный или муниципальный орган, юридическое или физическое лицо, которое:

самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;

определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД - повсюду, в любой сфере!

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;

компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;

общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;

организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;

любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;

системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;

граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687 ;

организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

Роскомнадзор рекомендует подавать уведомление на бланке организации, на бумаге либо в электронном варианте. Бумажный вариант надо будет заполнить, подписать и отправить в территориальный орган Роскомнадзора (по почте или отнести лично). Электронный документ можно оформить прямо на сайте ведомства - в разделе «Электронные формы заявлений».

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;

цели обработки, заявленные в учредительных документах либо фактически осуществляемые;

категории ПД, которые будут обрабатываться;

субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;

основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;

описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;

сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;

информация о шифровальных (криптографических) средствах;

дата начала, а также условия и сроки прекращения обработки ПД;

сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;

сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП - от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим - от 3000 до 5000 рублей.

Ведение реестра операторов, осуществляющих обработку персональных данных

Внесение сведений об операторе в реестр операторов, осуществляющих обработку персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций)

Общая информация

Результаты услуги

Кто может получить услугу

• Имеет статус предпринимателя
• Физические лица
• Юридические лица

Как можно подать документы

• Почтой
• Через законного представителя

Как можно получить результаты оказания услуги

• Лично

Основания для отказа в оказании услуги

• Основанием для приостановления сроков внесения сведений об Операторе в Реестр (внесения изменений и исключения сведений об Операторе из Реестра) является предоставление оператором неполных или недостоверных сведений. (Основанием для приостановления сроков внесения сведений об Операторе в Реестр (внесения изменений и исключения сведений об Операторе из Реестра) является предоставление Оператором неполных или недостоверных сведений.)

Срок оказания услуги

Срок выполнения услуги: Предоставление государственной услуги осуществляется без непосредственного взаимодействия с заявителем.
Внесение сведений об Операторе в реестр осуществляется в течение 15 дней с даты поступления уведомления по результатам проверки сведений, содержащихся в Уведомлении. Датой внесения сведений об Операторе в Реестр считается дата подписания приказа.
Заявление о предоставлении государственной услуги регистрируется в срок, не позднее дня, следующего за днем его поступления в Роскомнадзор (территориальный орган Роскомнадзора).
Информация о внесении сведений об Операторе в Реестр размещается на официальном сайте Роскомнадзора в срок, не позднее 3 дней с даты подписания приказа.

Основанием для рассмотрения вопроса о внесении сведений об Операторе в Реестр является направление Оператором Уведомления непосредственно в Роскомнадзор (территориальный орган Роскомнадзора) или поступление Уведомления в ЕИС с Единого портала с присвоением ему входящего номера.
Уведомление должно содержать следующие сведения:

1. Наименование (фамилия, имя, отчество), адрес Оператора.
2. Цель обработки персональных данных.
3. Категории персональных данных.
4. Категории субъектов, персональные данные которых обрабатываются.
5. Правовое основание обработки персональных данных.
6. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.
7. Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.
9. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
10. Сведения об обеспечении безопасности персонал

www.gosuslugi71.ru

Статьи по теме

Оператор персональных данных – это любое лицо, собирающее сведения о сотрудниках и клиентах. Узнайте, как подать в Роскомнадзор заявку об обработке персональных данных, каковы обязанности оператора, что может привести к штрафу

Читайте в нашей статье:

Кто включен в реестр операторов персональных данных Роскомнадзора

Оператор персональных данных – это любое лицо, собирающее сведения о сотрудниках и клиентах (ст. 3 Закона № 152-ФЗ «О персональных данных»).

Новая ответственность за нарушения в персданных. За что и на сколько теперь будут штрафовать>>>

Оператором (ОПД) может стать государственная или муниципальная компания, юрлицо, бизнесмен и даже обычный человек, если будет собирать сведения о других людях и самостоятельно определять, какие именно данные запрашивать, как их обрабатывать и что потом делать с собранной информацией.

Закон определяет персональные данные как любую информацию, которая относится к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Конечно, в большинстве случаев запрашиваемая информация ограничивается только фамилией, именем, отчеством, паспортными данными и номером сотового телефона, но иногда для идентификации лица нужно выяснить номер его автомобиля, реквизиты водительского удостоверения или СНИЛС и другие сведения.

Исчерпывающего перечня в законе нет, так что к персональным данным можно отнести абсолютно любую информацию, нужную для идентификации.

Получается, что любой, кто запрашивает и использует такие сведения, и подал соответствующую заявку, включен в реестр операторов персональных данных Роскомнадзора. Уже сейчас там содержится больше 400 000 позиций, и постоянно появляются новые лица. Среди них банки, страховые компании, туристические агентства, салоны красоты, магазины, ТСЖ, детские садики, поликлиники и многие другие.

Если на каком-либо сайте предусмотрена форма обратной связи, подписка или личный кабинет, в котором посетители будут оставлять данные, то владельцам сайта тоже следует зарегистрироваться в реестре.

Оператор не может обрабатывать полученные сведения без согласия того, кому они принадлежат.

Но есть и исключения. Если каким-либо законом предусмотрена такая работа с информацией (с определением цели и содержания обработки), то согласие получать не обязательно.

Например, по закону «Об образовании» для допуска к ЕГЭ предусмотрены передача, обработка и предоставление личных данных учеников без их подписи на согласии на работу со сведениями.

Как подать заявку об обработке персональных данных

Уведомление можно подать на сайте Роскомнадзора и отправить почтой.

Заполняя электронную форму уведомления, надо будет указать:

• ИНН, ОГРН и прочие данные заявителя;
• цели и правовое обоснование для обработки данных;
• указать, какие именно данные будут обрабатываться и как это будет происходить;
• реквизиты лицензий (если деятельность заявителя лицензируется);
• меры, предпринимаемые для сохранности полученных данных;
• дату начала обработки многое другое (ст. 22 Закона № 152-ФЗ).

После того, как электронная форма будет заполнена, ее можно будет скачать с сайта Роскомнадзора, распечатать, подписать и отправить почтой в территориальный орган. Тем самым будут подтверждены сведения, отправленные через сайт.



Есть вариант заполнить заявку через Портал госуслуг, но это менее удобный способ, нежели общение с Роскомнадзором через его собственный сайт.

Если все будет сделано правильно, то компания будет вписана Роскомнадзором в реестр операторов, осуществляющих обработку персональных данных.

Законом предусмотрены исключения, когда не требуется подобная регистрация.

Могут не подавать заявку на включение в реестр:

• работодатели, собирающие информацию о своих сотрудниках;
• те, кто обрабатывают только ФИО людей;
• те, кто берет сведения, чтобы один раз пропустить человека на свою территорию и т.д.

Полный перечень исключений расписан в ч. 2 ст. 22 Закона № 152-ФЗ «О персональных данных ». Компании, полагающей, что она входит в этот заветный список, придется аргументированно обосновать, что это действительно так.

В приватном разговоре с инспекторами мы узнали, где они будут «копать», когда компанию нужно оштрафовать, а явного повода нет. Готовьтесь к тому, что искать будут, – планы по штрафам планируют повысить.

Исходя из положений права, заявку об обработке персональных данных надо подать в первые дни после создания юрлица или ИП – то есть, до начала работы с информацией.

Но на практике оператор уже вовсю работает несколько месяцев, а то и лет, когда руководству приходит в голову мысль зарегистрироваться. Если эта идея посетит руководство до прихода Роскомнадзора, хорошо – можно будет избежать штрафа или других санкций.

А в случае прихода проверяющих до подачи уведомления, придется заплатить за нерасторопность.

Обязанности оператора при обработке персональных данных

После того, как фирмой или бизнесменом пройдена регистрация в Роскомнадзоре как оператора персональных данных, придется выполнять обязанности, прописанные в главе 4 Закона № 152-ФЗ. В частности, ОПД должны:

• объяснять субъекту, от которого получают информацию, что именно они берут и для чего;
• пояснять, какие последствия повлечет отказ сообщить сведения;
• обеспечить запись, систематизацию, накопление, хранение, уточнение и прочее полученной информации;
• предоставить сведения об обработке данных субъекту, если они были получены не от него;
• принимать меры для защиты от неправомерного (случайного) доступа к сведениям, уничтожения, изменения, блокирования или копирования;
• назначить ответственное лицо.

Операторы должны получить предварительное согласие человека на обработку личной информации. Оно запрашивается в письменной форме – субъект подписывает бумагу, где сообщается, что данные собираются в соответствии с законом № 152-ФЗ, после получения они будут надлежащим образом храниться, использоваться, а потом уничтожаться. Специальный бланк, предложенный Роскомнадзором, можно скачать на его сайте.

Ответственность за отказ регистрироваться в реестре

Если потенциальный оператор не подал заявку на включение в реестр персональных данных Роскомнадзора, ему грозит административная ответственность. Отказ регистрироваться в реестре расценивается как непредставление информации в контролирующий орган. Такое правонарушение карается по статье 19.7 КоАП РФ. По этому составу на человека может быть наложен штраф в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей.

Если нет желания нести ответственность за отказ регистрироваться в реестре и платить штрафы (пусть и не такие большие, как по другим составам), лучше соблюдать требования закона и вовремя подать заявку.

www.pro-personal.ru

Реестр операторов персональных данных

1. Настоящее Положение о ведении реестра операторов, осуществляющих обработку (далее - Положение), разработано в соответствии с Федеральным законом от 27.07.2006 N "О персональных данных" (далее - Закон) (Собрание законодательства Российской Федерации, 31.07.2006, N 31 (1 ч.), ст. 3451), для реализации полномочий по ведению реестра операторов, осуществляющих обработку персональных данных (далее - Оператор), возложенных на Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - Служба) в соответствии с Положением о Службе, утвержденным Постановлением Правительства Российской Федерации от 06.06.2007 года N 354 (Собрание законодательства Российской Федерации, 11.06.2007, N 24, ст. 2923; N 52, ст. 6462).

2. Настоящее Положение устанавливает порядок ведения реестра операторов, осуществляющих обработку персональных данных (далее - Реестр).

3. Понятия, используемые в настоящем Положении:

реестр - перечень, список операторов, осуществляющих обработку персональных данных;

ведение реестра операторов - деятельность Службы, включающая сбор, фиксацию, обработку, хранение и предоставление данных, составляющих систему ведения реестра операторов, осуществляющих обработку персональных данных;

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

II. Состав сведений, включаемых в реестр

4. Реестр содержит следующие сведения об Операторах:

а) регистрационный номер;

б) наименование (фамилия, имя, отчество), адрес оператора;

в) адреса филиалов (представительств) оператора, осуществляющих обработку персональных данных (при наличии);

г) дата направления уведомления;

д) цель обработки персональных данных;

з) правовое основание обработки персональных данных;

и) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

к) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

л) дата начала обработки персональных данных;

м) срок или условие прекращения обработки персональных данных;

н) дата и основания включения в реестр операторов;

о) дата и основание исключения из реестра операторов;

п) внесенные изменения.

III. Условия включения операторов в реестр

5. Операторы включаются в Реестр при выполнении следующих условий:

Направление в территориальное управление Службы уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее - Уведомление). Сведения, указанные в Уведомлении, должны соответствовать части 3 статьи 22 Закона;

Регистрация полученного Уведомления в территориальном управлении Службы, его обработка для принятия решения по утверждению или отклонению;

Подписание приказа руководителем Службы или заместителем руководителя о включении Оператора в Реестр.

6. Оригинал направленного Оператором Уведомления с приложением всех поступивших документов должен храниться в соответствующем территориальном управлении Службы.

IV. Порядок включения операторов в реестр

7. Служба по результатам анализа обработанных территориальными управлениями Службы Уведомлений вправе осуществлять проверку достоверности и полноты представленной Операторами информации, содержащейся в Уведомлении, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий. Также Служба вправе запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию, в том числе в случае необходимости уточнения или дополнения недостающих сведений.

8. По результатам проверки сведений, содержащихся в обработанном Уведомлении, Служба в течение тридцати дней с даты поступления Уведомления, принимает решение о включении Оператора в Реестр, которое оформляется в виде приказа руководителя Службы или заместителя руководителя Службы о включении Оператора в Реестр.

9. На основании изданного приказа в Реестр вносится запись об Операторе, которой присваивается регистрационный номер.

10. Датой внесения Оператора в Реестр считается дата подписания приказа.

11. Информация о внесении Оператора в Реестр должна быть опубликована на официальном сайте Службы в сети не позднее трех дней с даты подписания приказа.

V. Порядок ведения Реестра

12. Ведение Реестра осуществляется с применением единой информационной системы (далее - ЕИС) в электронном виде.

13. Ведение Реестра осуществляет Служба, которая при наличии условий, определенных настоящим Положением, включает Операторов в Реестр путем внесения в Реестр соответствующих записей, изменяет сведения, содержащиеся в указанных записях, исключает Операторов из Реестра путем дополнения ранее внесенных записей сведениями об исключении Операторов из Реестра.

14. В случае изменения сведений, содержащихся в Уведомлении после включения Оператора в Реестр, он обязан уведомить об изменениях Службу в течение десяти рабочих дней с даты возникновения таких изменений. Внесение указанных изменений в Реестр производится на основании приказа руководителя Службы или заместителя руководителя и не приводит к изменению регистрационного номера соответствующей записи в Реестре.

15. Сведения, содержащиеся в Реестре, за исключением подпункта "к" пункта 4 настоящего Положения, являются общедоступными.

16. Информация о Реестре публикуется на официальном сайте Службы.

17. Операторы, включенные в Реестр, вправе получить выписку из Реестра по письменному обращению в Службу в срок не позднее тридцати дней.

VI. Порядок исключения операторов из Реестра

18. Вопрос об исключении Оператора из Реестра рассматривается в следующих случаях:

Поступление в Службу или ее территориальные управления письменного заявления (обращения) от Оператора, включенного в Реестр, об исключении с приложением обоснований;

Принятие Службой или ее территориальными управлениями мер по приостановлению или прекращению Оператором обработки персональных данных, осуществляемой с нарушением требований Закона.

19. Операторы исключаются из Реестра при наступлении одного из следующих условий:

Ликвидация Оператора;

Прекращение деятельности Оператора в результате его реорганизации, за исключением реорганизации в форме преобразования;

Аннулирование лицензии на осуществление лицензируемой деятельности Оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

Наступление срока или условия прекращения обработки персональных данных, указанных в Уведомлении;

Решение суда о прекращении оператором деятельности по обработке персональных данных;

Иные, установленные законодательством Российской Федерации в области персональных данных.

20. Решение об исключении Оператора из Реестра оформляется приказом руководителя Службы или заместителя руководителя Службы.

На основании изданного приказа в Реестр вносятся сведения об исключении Оператора из Реестра. После исключения Оператора из Реестра регистрационный номер соответствующей записи в дальнейшем не используется.

21. Информация об исключении Оператора из Реестра должна быть опубликована на официальном сайте Службы в сети Интернет не позднее трех дней с даты подписания приказа.

Данный портал создавался, чтобы предоставлять гражданам сведения относительно деятельности Роскомнадзора в разных направлениях. Кроме того, через этот сайт легко получить доступ к любому другому оператору, занимающемуся обработкой данных.

Что это такое

Портал персональных данных Роскомнадзора – инструмент, позволяющий вести тщательный контроль, как обычных граждан, так и индивидуальных предпринимателей, коммерческих организаций . Любая компания, обрабатывающая личные данные, должна сначала зарегистрироваться у Роскомнадзора, и только после этого приступать к соответствующей деятельности.

Для чего нужен

Персональной считается любая информация, которую можно использовать для идентификации конкретного человека . Портал нужен, чтобы пользователям было легче взаимодействовать с операторами, обрабатывающими любые данные, осуществляющими различные действия для этого.

Так же можно сообщать самой контролирующей организации, если выявлены какие-либо нарушения. В этом случае, применяются соответствующие наказания.

Кто может пользоваться

Специализированный портал функционирует в открытом доступе . Так что воспользоваться его возможностями и размещённой информацией могут любые граждане. Достаточно ввести наименование интересующего оператора либо использовать его ИНН. Результатом поиска станут сведения, касающиеся того или иного участника рынка.

Реестр операторов

К персональным сведениям можно относить большое количество явлений, включая :

1. Адрес электронной почты.
2. Точное описание текущего места проживания.
3. Номера мобильных телефонов.
4. Сведения из удостоверений.
5. ФИО гражданина.

Персональной может быть признана любая информация, относящаяся к тому или иному конкретному лицу. В некоторых случаях, для идентификации хватает ФИО и номера автомобиля. При других обстоятельствах необходим регистрационный адрес, сведения о водительском удостоверении.

1. Самостоятельно обрабатывают персональные данные, либо объединяются для этого с другими лицами.
2. Сами определяют операции с данными, их состав, цели работы.

Оператором будут считать любого, кто пользуется личными данными, отправляет соответствующие запросы. Такие компании работают во всех сферах. Именно данные о них заносятся в реестр. Клиенты могут сами изучать ИНН, разрешительную документацию и так далее.

Видео, на котором рассказывается, как зарегистрироваться в реестре операторов обработки персональных данных Роскомнадзора.

Регистрация на сайте

Регистрация на портале не требуется , вся информация находится в открытом доступе, дополнительных действий осуществлять не нужно. То же касается различных документов, посвящённых защите информации посетителей.

Интерфейс, использование

Здесь нет ничего сложного. Кнопка с поиском по реестру располагается в самой верхней части главной странице портала. В этой строчке вводятся любые данные, известные по той или иной компании. Чуть ниже располагается ссылка с расширенным поиском. То есть, можно вбивать не только наименование, но и ИНН, регистрационный номер при его наличии.

Нормативная регламентация

Регламентирует деятельность Роскомнадзора, связанную с контролем выполнения законодательства по личным данным граждан. Но в самом тексте статьи отсутствует точное наименование органа, наделённого соответствующими полномочиями. Потому в качестве опоры разрешается ещё использовать Постановление Правительства РФ №228 «О реестре лиц, уволенных в связи с утратой доверия» , выпущенное в 2009 году. Именно в этом тексте полномочия закрепляются конкретно за Роскомнадзором.

Согласно законодательству, представители данного учреждения имеют следующие полномочия и права :

1. Самостоятельное привлечение к административной ответственности при выявлении нарушений, связанных с персональными данными.
2. Обращение к правоохранительным органам и судебным инстанциям с целью защиты интересов граждан. То же можно делать, если обнаруживаются какие-либо нарушения.
3. Ограничение доступа к информации при наличии нарушений со стороны оператора. Либо выставление требований с просьбами заблокировать, уничтожить или уточнить те или иные сведения.
4. Запрос по получению информации, связанной с обработкой персональных данных.

Проведение проверок Роскомнадзором

Для проведения таких мероприятий существует специальный регламент. Он утверждён соответствующим Приказом Министерства связи №312 от 2011 года . Пункт 32 данного регламента посвящён ситуациям, когда должны проводиться плановые проверки по отношению к операторам:

1. Когда компания только начинает заниматься обработкой персональных данных.
2. После того, как прошло 3 года после предыдущей проверки. Или с момента начала деятельности.

О предстоящей проверке надо обязательно уведомить организацию, минимум за 3 дня до непосредственной организации мероприятия.

У Роскомнадзора имеется право по проведению и внеплановых проверок . Например, если имеются обращения от граждан и других организаций по вопросам нарушения прав. Или когда появляется угроза жизни, здоровью. В данном случае, уведомление должно поступить за 24 часа до проведения .

По результатам проверки специалисты оформляют соответствующий акт . При наличии нарушений последние подробно описываются в сопроводительном документе. Обязательно указываются лица, ставшие виновными в тех или иных нарушениях. Приводится описание правовых оснований, позволяющих привлечь к ответственности граждан или компании.

Когда требуется согласие на обработку данных

Обработка информации может проводиться только в том случае, если прежний владелец даёт своё согласие либо когда имеются другие законные основания. Каждый отдельный случай рассматривается индивидуально :

1. В сфере ЖКХ согласия жильцов не требуется, когда управляющие компании привлекают платёжных агентов для расчёта за пользование услугами.
2. Некоторые ситуации требуют получения разрешения в письменной форме. Особенно это касается специальных категорий персональных данных. К примеру, когда речь идёт о биометрической информации.

Ответственность за нарушения

– основной документ, который до недавнего времени устанавливал наказания за нарушения в данной сфере. Юридические лица могли столкнуться с наложением штрафов в размере 5 000 — 10 000 рублей либо предупреждением, вынесенным компетентными органами.

Для выявления нарушений проводились контрольные мероприятия в виде проверок . По поводу нарушений отправлялись специальные сообщения представителям прокуратуры. В случае одобрения заявления, организовалось судебное делопроизводство.

Но с недавнего времени ситуация изменилась. Теперь законы стали более детально описывать соответствующие процедуры. Изменения касаются следующих направлений :

1. Увеличения штрафов.
2. Появления полномочий составлять протоколы и возбуждать дела, не обращаясь в прокуратуру.

О регистрации в качестве оператора

Данное мероприятие не обязательно для следующих категорий населения и участников рынка :

1. Компании, запрашивающие данные, к примеру, для покупки билетов. Это касается любых перевозчиков, работающих в режиме онлайн.
2. Те, кто обрабатывает данные без использования компьютерной техники.
3. Системы, получившие статус государственных автоматизированных инфосистем. Или организации, созданные для защиты общества, порядка.
4. Любые компании с действующей системой пропусков. Не нужно регистрироваться, если информация гражданина считывается только один раз, для получения пропуска.
5. Компании и частные лица, пользующиеся сведениями, раскрытыми самими гражданами.
6. Те, кто используют информацию для достижения целей, описанных в учредительной документации.
7. Компании из сферы сотовой связи, которым данные нужны исключительно для осуществления услуг.
8. Руководители предприятий.

Потому многие компании могут не попасть в реестр, располагающийся на официальном сайте Роскомнадзора. Для завершения процедуры регистрации достаточно подать заявление, следуя установленным требованиям. Рекомендуется подавать заявления в электронной форме либо с использованием фирменных бланков.

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ :

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

• самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
• определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

• работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;
• компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
• общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
• организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
• любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;
• системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
• граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687 ;
• организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

• полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
• цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
• категории ПД, которые будут обрабатываться;
• субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
• основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
• описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
• сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
• информация о шифровальных (криптографических) средствах;
• дата начала, а также условия и сроки прекращения обработки ПД;
• сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
• сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям сайт доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.