Реестр операторов персональных данных роскомнадзора

Разбираем подробно нюансы регистрации в Роскомнадзоре как оператор персональных данных

Согласно такому юридическому документу, как Федеральный закон «О персональных данных», если вы лично, ваше предприятие, учреждение или компания собрались работать с личной информацией клиентов, партнеров и прочих категорий граждан, то, скорее всего, обязаны зарегистрироваться в реестре Роскомнадзора в качестве оператора. Из данной статьи узнаете что это за процедура, а также как это сделать.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер. 

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 . Это быстро и !

Что это за процедура?

Регистрация – это добровольное предоставление сведений физическим или юридическим лицом, которое планирует заниматься обработкой персональных данных. Те компании и учреждения, что вели подобную деятельность до выхода соответствующего закона, регистрируются по факту.

Закон отводит Роскомнадзору до месяца на рассмотрение информации, представленной в уведомлении оператора. Права на отказ у ведомства нет, но оно имеет право запросить дополнительные данные, если указанные в уведомлении покажутся сотрудникам неполными или недостоверными.

Если у зарегистрированного оператора происходит изменение каких-либо данных, опубликованных в реестре (получение новой или лишение лицензии, внесение изменений в устав и прочее), он обязан уведомить надзорный орган в течение 10 рабочих дней.

Буква закона определяет «оператора» как любой орган власти, юридическое лицо любой формы собственности и даже физическое лицо, которые собирают и обрабатывают персональные данные граждан, имеют определенные цели этой деятельности и выбранный состав информации, необходимой для обработки.

Проще говоря, потенциальные операторы – это банки, бухгалтерские и адвокатские агентства, операторы связи и жилищно-коммунальные предприятия, банки, торговые сети, собирающие данные клиентов для предоставления программ скидок, Интернет-магазины и сайты, имеющие формы для регистрации, более сложные, чем пара «логин+пароль», и ряд других структур.

Исключения законодатель оставил для использования персональных данных в личных и семейных целей, архивной работы, информации о деятельности судов и работы с гостайной.

Кроме того, не подпадают под действие закона правовые отношения, наступающие в случаях, перечисленных в части 2 статьи 22 закона «О персональных данных».

Все остальные лица и структуры регистрироваться в Роскомнадзоре обязаны.

Как зарегистрироваться на сайте?

Подготовка

Прежде, чем переходить к заполнению электронной формы, следует выполнить внутренние мероприятия, прописанные в статьях 18 и 19 базового закона. Точного перечня нет и быть не может в связи с разнообразием потенциальных операторов. Вне зависимости от организационно-правовой формы, ориентироваться операторам следует на следующие пункты:

  1. Назначение должностного лица, ответственного за операции с персональными данными.
  2. Ознакомление работников, непосредственно задействованных в обработке, с законодательством, требованиями к защите информации и принятых в компании политикой в данной области и порядком доступа к собираемым данным.
  3. Внесение изменений в должностные инструкции указанных сотрудников.
  4. Разработка и утверждение внутренних документов, определяющих политику предприятия в области персональных данных, цели обработки и перечень конкретных данных и социальных групп, сведения о которых будут в сфере ваших интересов.
  5. Разработка и утверждение документов, регламентирующие обработку информации, меры по защите и допуск должностных лиц, реагирование на обращения субъектов персональных данных и государственных органов.
  6. Отведение помещений и определение мер по обеспечению безопасности хранения материальных носителей информации.
  7. Создание системы внутреннего контроля над операциями с персональными данными, их соответствием законодательству и внутренним документам компании.
  8. Определение и внедрение технических мер безопасности.
  9. Подготовка техдокументации на используемое оборудование и информационные системы, средства защиты и прочее.
  10. Оценка потенциального вреда, который может быть нанесен и его соотношение с мерами, предпринимаемыми компанией согласно обязанностям оператора, прописанным в главе 4 закона «О персональных данных».
  11. Подготовка бланков форм о согласии субъекта на обработку его персональных данных, обязательствах задействованных сотрудников и компании в целом о неразглашении, соглашения о конфиденциальности и прочие, согласно условиям и статусу предприятия.

Заполнение данных

Уведомление о включении в реестр операторов персональных данных подается в электронном виде на сайте Роскомнадзора (https://pd.rkn.gov.ru/operators-registry/notification/form/). Формулировки должны быть лаконичными, юридически и орфографически грамотными. Поля, выделенные красной звездочкой, заполнять обязательно.

Форма состоит из четырех крупных блоков: информация об операторе, общие юридические сведения, сведения об информационной системе и контактные данные уполномоченного должностного лица.

  • Информация об операторе. Используйте встроенные формы для выбора своего территориального органа Роскомнадзора, типа оператора и адреса.
  • Общие юридические сведения, правовое обоснование – ссылайтесь на Конституцию РФ, Налоговый кодекс, Трудовой кодекс и другие федеральные законы, если они регламентируют вашу сферу деятельности, а также на устав предприятия и лицензированную деятельность.
  • Цель обработки данных – укажите те цели, которые вы зафиксировали приказом, распоряжением или иным внутренним актом. В соответствующем поле перечислите предпринятые компанией меры, из описанных выше требований статей 18 и 19.
  • Средства обеспечения безопасности – перечислите применяемые средства, технику и технологии (сейф или иное хранение материальных носителей, антивирусное ПО и прочее).
  • Сведения об обеспечении безопасности персональных данных – сообщите о наличии на предприятии внутренних документов о порядке обработки персональных данных и доступе к работе с ними, определении ответственных лиц и мест хранения материальных носителей, исключении опасности несанкционированного доступа к базам данных и в помещения хранения.
  • Дата начала обработки данных – указывайте дату запланированного старта работы, если таковая деятельность еще не ведется, или дату налоговой регистрации компании.
  • Срок окончания – вместо конкретной даты лучше описать условия прекращения работы с личной информацией – ликвидация компании, смена рода деятельности, форс-мажорные обстоятельства и прочие.
  • Сведения об информационной системе. Категории персональных данных и субъектов – отметьте галочками виды информации и социальные группы, соответствующие указанным вами целям обработки персональных данных.
  • Перечень действий с персональными данными – согласно уставу компании и лицензиям по видам деятельности. Выберите соответствующий способ обработки из предложенных вариантов, укажите наличие или отсутствие трансграничной передачи.
  • Местонахождение базы данных – адрес помещений компании, определенных как места хранения материальных носителей баз.Если ваша компания, к примеру, арендует серверные мощности для сайта, на котором регистрируются пользователи, физический адрес следует запросить у компании-подрядчика.
  • Контактные данные уполномоченного должностного лица – ФИО, рабочий адрес и контактный телефон и e-mail.

Удостоверьтесь, что верно изложили всю необходимую информацию. Помните, что вы несете ответственность за предоставление государственному надзорному органу недостоверных данных.

Если все в порядке, отметьте птичками пункты об ознакомлении с порядком подачи уведомления и согласии на передачу данных через Интернет, и жмите кнопу «Отправить электронное уведомление и подготовить форму к распечатке».

Авторизация

После отправки электронного уведомления вам будут предоставлены индивидуальный номер уведомления и ключ, введя которые в специальную форму (https://pd.rkn.gov.ru/operators-registry/notification_check/), вы можете проверить состояние уведомления.

Документ о политике компании или учреждения в отношении обработки персональных данных должен быть не только представлен сотрудникам, и надзорным органам, но и опубликован на официальном сайте и доступен для всех заинтересованных лиц.

Помимо электронного уведомления, следует подать бумажный вариант в территориальный орган Роскомнадзора. Можно воспользоваться предложением сайта ведомства и распечатать заполненную форму.

В таком случае ее заверяют печатью и подписью руководителя снизу. Но можно использовать и фирменный бланк компании с угловым штампом, куда следует достоверно перенести все данные, отправленные через сайт.

Регистрационный номер записи в реестре

По завершению рассмотрения уведомления, Роскомнадзор внесет ваше учреждение, предприятие или вас лично как физлицо, в реестр.

Каждому оператору присваивается регистрационный номер, по которому можно найти общедоступную часть указанных вами сведений.

До регистрации в Роскомнадзоре вы:

  1. по закону не имеете права заниматься обработкой персональных данных;
  2. подпадаете под действие положений Кодекса об административных правонарушениях;
  3. ваш сайт может быть заблокирован в любой момент по жалобе частного лица, в том числе, инспирированной конкурентами.

После регистрации компания:

  1. застрахована от претензий надзорного ведомства во время проверки;
  2. может предоставлять услуги сторонним организациям по сбору обработке и персональных данных (при наличии соответствующей лицензии);
  3. может использовать законопослушание и открытость в рекламных целях.

Подтвердить или опровергнуть бытующее в профильных сообществах мнение о том, что подача уведомления о регистрации привлекает внимание и, соответственно, проверки Роскомнадзора, невозможно.

Однако, как утверждает ряд пользователей и экспертов, чем крупнее ваш бизнес или популярней Интернет-ресурс, тем выше вероятность, что ведомство само вами заинтересуется. А относительно невысокие штрафы за нарушение законодательства в сфере персональных данных легко компенсируются количеством нарушений, которые способна найти тщательная инспекция.

Источник: https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka/operator/registratsiya-v-roskomnadzore.html

Кому не нужно уведомлять Роскомнадзор об обработке персональных данных

По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно.

 

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ. 

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

https://www.youtube.com/watch?v=SHJ7UttWWnI

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

  • При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
  • При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
  • При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.
Читайте также:  Книга доходов и расходов для ип в 2018 году, кудир

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

Источник: https://buh.ru/articles/documents/59315/

Реестр операторов персональных данных Роскомнадзора

Закон о персональных данных № 152-ФЗ от 27.07.2006 обязует пройти регистрацию в специальном реестре всех, кто занимается обработкой персональных данных. Что это за реестр, для кого включение в него является обязательным, и как происходит процедура регистрации – об этом наша статья.

К операторам закон № 152-ФЗ относит госорганы, организации и физлиц, которые собирают персональные данные, а также самостоятельно определяют цели сбора, состав сведений, и совершаемые с ними действия (ст. 3 закона № 152-ФЗ).

Проще говоря, оператор персональных данных, это тот, кто использует личные данные граждан для трудовых и прочих отношений. Их главной задачей является сохранение конфиденциальности полученных персональных данных, т.е. запрет передавать данные третьим лицам и распространять их без согласия самого физлица, если только эти данные не обезличены.

Прежде, чем начать обработку персональных данных, оператор обязан уведомить об этом госорган, уполномоченный вести реестр операторов персональных данных — Роскомнадзор (ч 1 ст. 22 закона № 152-ФЗ).

Эта федеральная служба осуществляет надзор за сферой связи, массовых коммуникаций и информационных технологий. Госконтроль за обработкой персональных данных операторами, в соответствии с законом, тоже осуществляет Роскомнадзор.

В этих целях он проводит проверки операторов персональных данных, согласно регламенту, утвержденному приказом Минкомсвязи РФ от 14.11.2011 № 312.

Ознакомиться с реестром операторов обработки персональных данных можно на официальном сайте Роскомнадзора, его сведения являются общедоступными.

Уведомление достаточно подать единожды за весь период работы оператора. В то же время, закон содержит перечень исключений, когда работать с личными данными можно без включения в реестр операторов персональных данных (ч. 2 ст. 22 закона № 152-ФЗ):

  • когда операторы-работодатели обрабатывают только данные, полученные в соответствии с трудовым законодательством;
  • если оператор получил данные от контрагента в связи с заключением договора и не использует их в иных целях, кроме исполнения договора;
  • когда оператор персональных данных — религиозная или общественная организация, которая обрабатывает личные данные своих участников для целей, предусмотренных ее уставом;
  • если гражданин сам сделал общедоступными свои персональные данные;
  • если персональные данные не включают ничего, кроме Ф.И.О.;
  • когда данные получают для оформления разового пропуска;
  • при обработке персональных данных государственными автоматизированными инфосистемами;
  • если личные данные обрабатываются «на бумаге», т.е. без применения автоматизации;
  • когда данные используются для обеспечения безопасности транспортных систем.

Все, кто не указан в данном списке, уведомление для включения в реестр операторов персональных данных Роскомнадзора подать обязаны.

Многие ИП и организации игнорируют данное требование либо узнают о нем слишком поздно.

Но подать уведомление для включения в реестр можно и позже, указав в нем реальную дату начала обработки персональных данных, при этом никаких штрафных санкций за опоздание не последует.

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

  • сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
  • правовое основание и цели обработки данных согласно уставу;
  • описание мер и средств защиты личных данных;
  • фактическую дату начала обработки персональных данных оператором;
  • условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
  • категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
  • действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
  • данные лица, ответственного за обработку персональных данных.

После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью.

К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.

) и отправить в территориальное отделение Роскомнадзора по почте.

На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.

Кадровое делопроизводство | 15:02 23 января 2017

13:28 26 июля 2011

Законодательство | 11:38 2 ноября 2017

Кадровое делопроизводство | 10:16 7 июля 2015

Кадровое делопроизводство | 9:37 16 февраля 2016

Кадровое делопроизводство | 10:46 19 сентября 2017

Источник: http://mari-a.ru/v-pomoshh-predprinimatelyu/reestr-operatorov-personalnyx-dannyx-roskomnadzora-2

Реестр операторов персональных данных Роскомнадзора | регистрация, заявка

Оператор персональных данных – это любое лицо, собирающее сведения о сотрудниках и клиентах. Узнайте, как подать в Роскомнадзор заявку об обработке персональных данных, каковы обязанности оператора, что может привести к штрафу

Кто включен в реестр операторов персональных данных Роскомнадзора

Оператор персональных данных – это любое лицо, собирающее сведения о сотрудниках и клиентах (ст. 3 Закона № 152-ФЗ «О персональных данных»).

Оператором (ОПД) может стать государственная или муниципальная компания, юрлицо, бизнесмен и даже обычный человек, если будет собирать сведения о других людях и самостоятельно определять, какие именно данные запрашивать, как их обрабатывать и что потом делать с собранной информацией.

Закон определяет персональные данные как любую информацию, которая относится к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

  • Персональные данные… кандидатов на работу

Конечно, в большинстве случаев запрашиваемая информация ограничивается только фамилией, именем, отчеством, паспортными данными и номером сотового телефона, но иногда для идентификации лица нужно выяснить номер его автомобиля, реквизиты водительского удостоверения или СНИЛС и другие сведения.

Исчерпывающего перечня в законе нет, так что к персональным данным можно отнести абсолютно любую информацию, нужную для идентификации.

Получается, что любой, кто запрашивает и использует такие сведения, и подал соответствующую заявку, включен в реестр операторов персональных данных Роскомнадзора. Уже сейчас там содержится больше 400 000 позиций, и постоянно появляются новые лица. Среди них банки, страховые компании, туристические агентства, салоны красоты, магазины, ТСЖ, детские садики, поликлиники и многие другие.

Если на каком-либо сайте предусмотрена форма обратной связи, подписка или личный кабинет, в котором посетители будут оставлять данные, то владельцам сайта тоже следует зарегистрироваться в реестре.

Оператор не может обрабатывать полученные сведения без согласия того, кому они принадлежат.

Но есть и исключения. Если каким-либо законом предусмотрена такая работа с информацией (с определением цели и содержания обработки), то согласие получать не обязательно.

  • Как получить и передать персональные данные и не нарушить закон

Например, по закону «Об образовании» для допуска к ЕГЭ предусмотрены передача, обработка и предоставление личных данных учеников без их подписи на согласии на работу со сведениями.

Как подать заявку об обработке персональных данных

Уведомление можно подать на сайте Роскомнадзора и отправить почтой.

Заполняя электронную форму уведомления, надо будет указать:

  • ИНН, ОГРН и прочие данные заявителя;
  • цели и правовое обоснование для обработки данных;
  • указать, какие именно данные будут обрабатываться и как это будет происходить;
  • реквизиты лицензий (если деятельность заявителя лицензируется);
  • меры, предпринимаемые для сохранности полученных данных;
  • дату начала обработки многое другое (ст. 22 Закона № 152-ФЗ).

После того, как электронная форма будет заполнена, ее можно будет скачать с сайта Роскомнадзора, распечатать, подписать и отправить почтой в территориальный орган. Тем самым будут подтверждены сведения, отправленные через сайт.

Справочник кадровика в подарок!

Скачать журнал в PDF

Есть вариант заполнить заявку через Портал госуслуг, но это менее удобный способ, нежели общение с Роскомнадзором через его собственный сайт.

Если все будет сделано правильно, то компания будет вписана Роскомнадзором в реестр операторов, осуществляющих обработку персональных данных.

Законом предусмотрены исключения, когда не требуется подобная регистрация.

  • работодатели, собирающие информацию о своих сотрудниках;
  • те, кто обрабатывают только ФИО людей;
  • те, кто берет сведения, чтобы один раз пропустить человека на свою территорию и т.д.

Полный перечень исключений расписан в ч. 2 ст. 22 Закона № 152-ФЗ «О персональных данных ». Компании, полагающей, что она входит в этот заветный список, придется аргументированно обосновать, что это действительно так.

Исходя из положений права, заявку об обработке персональных данных надо подать в первые дни после создания юрлица или ИП – то есть, до начала работы с информацией.

Но на практике оператор уже вовсю работает несколько месяцев, а то и лет, когда руководству приходит в голову мысль зарегистрироваться. Если эта идея посетит руководство до прихода Роскомнадзора, хорошо – можно будет избежать штрафа или других санкций.

А в случае прихода проверяющих до подачи уведомления, придется заплатить за нерасторопность.

  • Изменения — 2017: проверьте, что вы пропустили
Читайте также:  Фондоемкость. формула расчета по балансу

После того, как фирмой или бизнесменом пройдена регистрация в Роскомнадзоре как оператора персональных данных, придется выполнять обязанности, прописанные в главе 4 Закона № 152-ФЗ. В частности, ОПД должны:

  • объяснять субъекту, от которого получают информацию, что именно они берут и для чего;
  • пояснять, какие последствия повлечет отказ сообщить сведения;
  • обеспечить запись, систематизацию, накопление, хранение, уточнение и прочее полученной информации;
  • предоставить сведения об обработке данных субъекту, если они были получены не от него;
  • принимать меры для защиты от неправомерного (случайного) доступа к сведениям, уничтожения, изменения, блокирования или копирования;
  • назначить ответственное лицо.

Операторы должны получить предварительное согласие человека на обработку личной информации.

Оно запрашивается в письменной форме – субъект подписывает бумагу, где сообщается, что данные собираются в соответствии с законом № 152-ФЗ, после получения они будут надлежащим образом храниться, использоваться, а потом уничтожаться. Специальный бланк, предложенный Роскомнадзором, можно скачать на его сайте.

  • Разглашение подсмотренной информации не повод для увольнения

Если потенциальный оператор не подал заявку на включение в реестр персональных данных Роскомнадзора, ему грозит административная ответственность. Отказ регистрироваться в реестре расценивается как непредставление информации в контролирующий орган.

Такое правонарушение карается по статье 19.7 КоАП РФ. По этому составу на человека может быть наложен штраф в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей.

Если нет желания нести ответственность за отказ регистрироваться в реестре и платить штрафы (пусть и не такие большие, как по другим составам), лучше соблюдать требования закона и вовремя подать заявку.

Источник: https://www.pro-personal.ru/article/383315-17-m6-reestr-operatorov-personalnyh-dannyh-roskomnadzora

Реестр операторов персональных данных Роскомнадзора — в 2018 году, что это такое, инструкция, согласие на обработку сведений

Полная информация о персональных данных регламентируется Федеральным Законом Российской Федерации №152 от 27 июля 2006 года. Данный нормативный акт обязывает все организации, которые занимаются обработкой информации о гражданах, пройти регистрацию в специализированном реестре.

К непосредственным операторам могут относиться государственные органы, организации и физические лица, которые в самостоятельном порядке осуществляют сбор сведений и определяют цель соответствующих мероприятий.

Для понимания того, что представляет собой реестр операторов персональных данных Роскомнадзора, необходимо рассмотреть основные понятия, параметры, включаемые в данные документов, перечень операторов, условия подачи уведомлений, алгоритм регистрации, порядок получения прав на обработку сведений, а также ответственность за нарушения.

Что это такое

Многих граждан интересуются о том, что же такое – персональные данные.

Если в ходе получения информации моно понять то, кто является непосредственным субъектом, то это с большой долей вероятности относится к персональным сведениям. В случае если понять нельзя, то информация не относится к конкретному человеку и, следовательно, не включается в специальный реестр.

Основные замечания  

Что включено в данные документа

Стоит отметить, что исчерпывающий список информации персонального характера составить невозможно. Отношение данных к персональному формату определяется строго в индивидуальном порядке.

Практика показывает, что в данные документа включаются следующие параметры:

  • ФИО;
  • место фактического проживания;
  • адрес личной электронной почты;
  • контактный номер телефона;
  • место и дата рождения;
  • принадлежность к определенной религии;
  • национальность;
  • место постоянного трудоустройства и должность;
  • показатели роста, веса и так далее.

Роскомнадзор на постоянной основе ведет реестр операторов постоянных данных, в качестве которых могут выступать организации, выполняющие требования актуального законодательства о персональной информации. Для попадания в единый реестр конкретная компания должна в обязательном порядке подать официальное уведомление о начале обработки рассматриваемых сведений.

Иногда непросто сделать. Трудности обуславливаются тем, что зачастую непонятно, когда следует подавать уведомления и как его нужно оформлять, чтобы полный набор информации дошел до уполномоченной инстанции.

В каждом конкретном случае уведомление передается в территориальное подразделение Роскомнадзора до начала обработки данных. В соответствии с действующим федеральным законодательством это важно сделать в течение первой недели после регистрации индивидуального предпринимателя или юридического лица.

Важный нюанс заключается в том, что в качестве даты начала обработки сведений нужно указать день государственной регистрации компании. Это присуще даже для тех случаев, когда уведомление подается с запозданием.

Уведомление можно подать как в печатном, так и в электронном виде. Во втором случае используются специализированные ресурсы сети интернет. Форма заполняется на официальном сайте Роскомнадзора.

Представителям заинтересованных бизнес-организаций придется указать в документе исчерпывающий набор информации, что на практике сделать довольно трудно, несмотря на наличие автоматизированной поддержки.

Важно быть готовым к формулированию перечня правовых оснований и целей обработки персональной информации граждан. Дополнительно описывается характер планируемых действий с полученными данными и порядок обеспечения безопасности.

Сформированную анкету нужно распечатать и подписать, после чего на ней проставляется официальная организационная печать. Готовая отчетность отправляется в территориальное подразделение Роскомнадзора. Это нужно для подтверждения сведений, поданных в режиме онлайн.

Алгоритм регистрации

Внесение сведений об операторе в единый реестр осуществляется на основании норм актуального законодательства.

Инструкция следующая:

  1. Предварительное изучение порядка подачи заявления.
  2. Указание личной информации о заявителе.
  3. Обоснование правовых оснований для начала обработки персональной информации.
  4. Описание процедурных целей.
  5. Описание побочных целей, предусмотренных статьями №18 и №19 Федерального Закона №152.
  6. Предоставление доказательной базы о качестве планируемых средств защиты гражданской информации.
  7. Указание предполагаемой даты обработки сведений и условий прекращения процедур.
  8. Указание конкретных наименований планируемых к использованию криптографических систем.
  9. Указание данных об информационных системах.
  10. Указание информации о том, где базируется база данных, которая используется для хранения сведений о гражданах Российской Федерации.
  11. Указание сведений о компании, которая ответственна за хранение персональной информации.

В подавляющем большинстве случаев при соблюдении вышеуказанного алгоритма уполномоченные представители Роскомндазора идут на включение компании в единый реестр. В ситуации, когда в представленных данных обнаруживаются несоответствия, процедура регистрации автоматически завершается, а на провинившуюся сторону может быть наложен штраф.

Получение прав на обработку

Для обеспечения сохранности и безопасности передачи персональной информации о гражданах предусматривается специализированная процедура аттестации и получения лицензии для организации хранения подобных сведений. Для оформления разрешительной документации компаниям приходится заниматься не только переобучением сотрудников, но и покупкой специальных технических средств защиты.

Необходимо выделить наиболее важные из них:

  • Уведомление контролирующих организаций о намерении обработки персональных сведений с учетом использования автоматизированных систем.
  • Прохождение начального обследования имеющихся информационных систем.
  • Проектирование защитных мер с учетом имеющейся компьютерной инфраструктуры и прочих автоматизированных средств.
  • Покупка инновационных средств защиты.
  • Организация всех помещений компании в соответствии с установленными требованиями по электропитанию, противопожарной безопасности и так далее.
  • Проведение мероприятий по повышению квалификации сотрудников в области защиты гражданской информации – в обязательном порядке проводится аттестация каждого работника.
  • Предоставление гарантий о факте наличия эффективной системы защиты персональных данных в условиях их постоянной циркуляции по коммуникационным линиям.

Важно: вышеуказанный перечень мероприятий может применяться только в том случае, когда планируется обработка информации в электронном формате. Это в теории является небезопасным для передаваемых массивов данных.

Ответственность за нарушения

В 2018 году уполномоченные представители территориальных подразделений Роскомнадзора проводят проверки среди компаний, которые были ранее внесены в реестр организаций, занимающихся обработкой персональных данных. В некоторых случаях аналогичные мероприятия могут проводиться в организациях, которых нет в реестре. Это актуально только тогда, когда они потенциально могут заниматься обработкой сведений о гражданах РФ.

https://www.youtube.com/watch?v=kc6u-dFK4j4

Список запланированных проверок находится в свободном доступе. Заинтересованным лицам для ознакомления нужно перейти на официальный сайт контролирующего органа.

Помимо прочего, проверочные мероприятия могут быть инициированы по факту поступления жалобы, чем иногда пользуются бывшие сотрудники компаний или недобросовестные конкуренты.

Если в ходе проверки будут обнаружены несоответствия или нарушения, то компании и их руководители могут столкнуться с назначением административной ответственности. В большинстве случаев в процессе проверки может быть выявлен целый ряд нарушений. Штрафные санкции определяются отдельно для каждого из них. Общая сумма взысканий может достигать 100 000 рублей.

Ряд требований, касающихся обработки персональной информации, прописываются в действующем трудовом законодательстве.

Роскомнадзор имеет полномочия по блокировке официальных сайтов тех компаний, которые нарушают законодательство по обработке персональных данных. Жалобы от физических лиц являются основанием для начала процесса блокировки. Внесение изменений в соответствующий реестр проводится на основании специального постановления.

Источник: https://jurjur24.ru/reestr-operatorov-personalnyh-dannyh-roskomnadzora/

Регистрация в Реестре операторов персональных данных | Департамент информатизации и развития телекоммуникационных технологий Новосибирской области

     В соответствии со ст. 22 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных», организации, осуществляющие обработку персональных данных, уведомляют уполномоченный орган по защите прав субъектов персональных данных путем подачи Уведомления об обработке персональных данных (далее – Уведомление) для последующего занесения организации в Реестр операторов, осуществляющих обработку персональных данных (далее – Реестр).
     С 01.09.2015 в Уведомлении необходимо указывать сведения о месте нахождения баз данных, содержащих персональные данные граждан Российской Федерации. По сведениям Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Сибирскому федеральному округу, ранее поданные Уведомления об обработке персональных данных не содержат указанных сведений.

Рекомендации по внесению изменений в Реестр операторов персональных данных

     Поиск организации, внесенной в Реестр операторов, осуществляющих обработку персональных данных (далее – Реестр), осуществляется на Портале персональных данных уполномоченного органа по защите прав субъектов персональных данных http://pd.rkn.gov.ru (далее – Портал): меню «Реестр операторов» «Реестр» или прямая ссылка http://pd.rkn.gov.ru/operators-registry/operators-list. Поиск удобно проводить по ИНН организации.  

     В случае, если организация не внесена в Реестр, необходимо подготовить и внести сведения на Портале: меню «Реестр операторов» «Электронные формы заявлений» предложение «Перейти к заполнению формы электронного уведомления» либо прямая ссылка http://pd.rkn.gov.ru/operators-registry/notification/form.

     При заполнении электронного уведомления следует руководствоваться Рекомендациями по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утвержденными Роскомнадзором 29.01.2016. Данные Рекомендации размещены на странице ниже; также они имеются в СПС «КонсультантПлюс» и размещены на официальном сайте Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Сибирскому федеральному округу (далее – Управление Роскомнадзора): https://54.rkn.gov.ru/protection/processingNotification/p19091.      После заполнения всех полей электронной формы заявления и отправки формы электронного уведомления (кнопка «Отправить электронное уведомление и подготовить форму к распечатке») заполненную форму необходимо сохранить для последующего формирования письма на бланке организации.      В целях проверки корректности внесенных сведений можно обратиться в Управление Роскомнадзора по тел. 349-55-79 (Анастасия Сергеевна), сообщив номер уведомления и ключ, которые будут указаны в заполненной форме.      После подтверждения корректности внесенных сведений необходимо сформировать письмо на бланке организации с заполненной формой, распечатать, скрепить подписью и печатью организации, направить в Управление Роскомнадзора.        В случае, если организация внесена в Реестр, следует открыть форму уведомления об обработке персональных данных (далее – Уведомление), нажав ссылку в наименовании организации, и просмотреть содержание.

Читайте также:  Приходный ордер м-4

     Если в Уведомление не внесены сведения о месте нахождения баз данных, содержащих персональные данные граждан Российской Федерации, либо указаны устаревшие сведения (утратившие силу нормативные правовые акты, номера телефонов, иная информация), необходимо внести изменения в сведения об организации в Реестре.

Для этого нужно заполнить информационное письмо:  меню «Реестр операторов» «Электронные формы заявлений» предложение «Перейти к заполнению информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных» либо прямая ссылка https://rkn.gov.ru/personal-data/forms/p333.

В данной форме заполняются все обязательные поля, а также поля, подлежащие изменению. 

     Обратите внимание, что местом нахождения баз данных межведомственных государственных информационных систем Новосибирской области (ГИС «МАИС», ГИС «Управление персоналом», ГИС «Кадровый учет», РИС «Контингент обучающихся» и т.д.) и многих ведомственных государственных информационных систем  (ТИС «СПГ», ГИС «Катарсис», ГИС «Контроль» и т.д.) является Центр обработки данных Правительства Новосибирской области. Данный ЦОД расположен по адресу 630007, г. Новосибирск, ул. Свердлова, д. 14, является собственностью Новосибирской области и сопровождается государственным бюджетным учреждением Новосибирской области «Центр информационных технологий Новосибирской области» (ГБУ НСО «ЦИТ НСО»), ИНН 5406762016, КПП 540601001, ОГРН 1135476155430.      Для указания двух и более мест расположения баз данных используйте кнопку «Добавить ИС».  Место нахождения собственных серверов (либо компьютеров, выполняющих роль сервера), содержащих персональные данные граждан Российской Федерации, следует указывать как собственный ЦОД.      После заполнения формы информационного письма необходимо сохранить его для последующего формирования письма на бланке организации; письмо распечатать, подписать и направить в Управление Роскомнадзора.  

     Рекомендации по заполнению формы Уведомления, а также примеры  по заполнению Уведомления и информационного письма можно посмотреть в меню  «Реестр операторов» «Документы» либо по прямой ссылке http://pd.rkn.gov.ru/operators-registry/operators-registry-documents.

     Вас могут проконсультировать специалисты Управления Роскомнадзора, отвечающие за ведение Реестра, по телефону 349-55-79.

Рекомендации по заполнении формы Уведомления об обработке ПДн

Источник: https://infocom.nso.ru/page/1067

Как стать оператором персональных данных в реестре Роскомнадзора 2017

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ:

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работает с ПД и несет ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД.

Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

  • проводить разъяснительную работу с субъектом ПД, а также получать его предварительное согласие на обработку личной информации;
  • публично представлять политику в отношении обработки ПД;
  • обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения;
  • уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели;
  • блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя).

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются организации и частные лица, которые имеют дело с информацией, которая:

  • собирается и хранится в соответствии с трудовым законодательством;
  • получена исключительно для оказания услуг связи по заключенному договору, она не распространяется и не предоставляется третьим лицам без согласия субъекта ПД;
  • относится к членам (участникам) общественного объединения или религиозной организации для достижения целей, предусмотренных их учредительными документами;
  • сделана субъектом ПД общедоступной;
  • включает в себя только фамилии, имена и отчества субъектов ПД;
  • необходима для оформления однократного пропуска на территорию организации;
  • включена в системы со статусом государственных автоматизированных информсистем, а также в государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатывается без использования средств автоматизации (компьютера);
  • обрабатывается для обеспечения безопасного функционирования транспортного комплекса.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

То есть работодатели, компании, оказывающие услуги связи, религиозные организации, лица, получающие ПД только для исполнения договоров, и многие другие уведомлять о сборе и обработке ПД не должны.

Те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346. Бесплатно скачать нужный документ можно и в конце этой статьи.

Роскомнадзор рекомендует подавать уведомление на бланке организации на бумаге либо в электронном варианте. В нем обязательно указать:

  • полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
  • цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
  • категории ПД, которые будут обрабатываться;
  • субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
  • основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
  • описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
  • сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
  • информация о шифровальных (криптографических) средствах;
  • дата начала, а также условия и сроки прекращения обработки ПД;
  • сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
  • сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119.

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок.

Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления.

Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатные.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.

2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных.

В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 до 75 тысяч рублей, а для ИП — от 5 до 20 тысяч рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Форма уведомления о включении в реестр

СКАЧАТЬ

Форма письма о внесении изменений в сведения об операторе

СКАЧАТЬ

Форма заявления об исключении из реестра

СКАЧАТЬ

Источник: https://subscribe.ru/group/yuristokrat-yuridicheskaya-pomosch/13964625/

Ссылка на основную публикацию