Из статьи можно узнать, что такое реестр операторов персональных данных Роскомнадзора, как новых операторов включают в этот реестр, где посмотреть данные и что учесть.
Реестр операторов персональных данных Роскомнадзора – это список организаций, которые осуществляют обработку сведений о физических лицах. Закон относит к такой информации сведения о физическом лице, в том числе:
- фамилия, имя, отчество;
- год, месяц, дата рождения;
- место рождения;
- адрес;
- семейное положение;
- социальное положение;
- имущественное положение;
- образование, профессия, доходы;
- другая информация (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ, п. 2.5 приказа Роскомнадзора от 30.05.2017 № 94).
Оператор – государственный или муниципальный орган, юридическое или физическое лицо, которые собирают и/или обрабатывают подобные данные.
Реестр операторов персональных данных ведет специально уполномоченный на это государственный орган – Федеральная служба по надзору в сфере связи, информационных технологий, массовых коммуникаций (Роскомнадзор).
Как проверить, есть ли в реестре операторов персональных данных Роскомнадзора сведения о вашей организации
Реестр операторов обработки персональных данных доступен на сайте Роскомнадзора. Информация из реестра общедоступна. Запрос об интересующей компании можно сделать в сети. Поиск ведется по наименованию, ИНН или регистрационному номеру.
Сведения об операторе персональных данных появляются в реестре после регистрации компании в Роскомнадзоре (направлении уведомления об обработке данных).
Кто должен быть внесен в реестр операторов персональных данных Роскомнадзора
Реестр содержит сведения:
- о типе оператора,
- об основании включения в реестр,
- о дате уведомления и начале обработки данных.
Данные поступают после того, как компания в соответствии с законом известит ведомство о начале работы. Если сведений об операторе по обработке персональных данных в реестре Роскомнадзора нет, значит, такая компания не вправе обрабатывать данные. Однако из этого правила есть исключения. Так, не являются нарушителями юридические лица и ИП, которые:
- обрабатывают данные только в рамках трудовых отношений;
- не распространяют их третьим лицам;
- использует общедоступные сведения и др. (ч. 2 ст. 22 закона № 152-ФЗ).
Как Роскомнадзор вносит сведения в реестр операторов персональных данных и исключает компании
Чтобы зарегистрироваться как оператор персональных данных в реестре Роскомнадзора, нужно направить уведомление (ч. 1 ст. 22 закона № 152-ФЗ). Составить документ можно на сайте. Все обязательные поля помечены звездочкой. В приказе № 94 ведомство дало методические рекомендации по заполнению.
Зарегистрироваться можно онлайн или при помощи письменного обращения (п. 3.2 приказа № 94). В первом случае понадобится заполнить форму в электронном виде, во втором – подписать документ и направить в территориальный орган Роскомнадзора.
Данные появятся не позднее 30 дней с даты регистрации уведомления (п. 3.2 приказа № 94). Срок считается с момента регистрации обращения. Если сведения окажутся неполными, Роскомнадзор потребует уточнения. Ответить нужно в течение месяца.
Если уточнения не появятся, ведомство не внесет информацию в реестр операторов персональных данных.
Убедитесь, что документы в Роскомнадзор для регистрации в реестре операторов персональных данных направили должным образом. За предоставление недостоверных сведений компании грозит ответственность (ст. 19.7 КоАП РФ). Заявить на оператора могут физические лица, которые посчитали свои права нарушенными.
Источник: https://www.law.ru/article/22573-reestr-operatorov-personalnyh-dannyh-roskomnadzora
Как стать оператором персональных данных в реестре Роскомнадзора
Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.
КонсультантПлюс ПОПРОБУЙТЕ БЕСПЛАТНО
Получить доступ
Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail.
Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.
2006 № 152-ФЗ:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.
Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:
- самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
- определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.
То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.
Давайте представим, кто может относиться к операторам ПД.
Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!
Обязанности оператора при обработке персональных данных
Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:
- разъяснять субъекту ПД, какие данные и для чего собирают, а также получать его предварительное согласие на обработку личной информации. Такое согласие запрашивают в письменной форме: человеку предлагают подписать специальную бумагу, где уточняется, что сбор информации производится по правилам закона № 152-ФЗ и она будет соответствующим образом храниться, использоваться, а позже — уничтожаться. Хотя чаще всего согласие «прячется» в самом конце подписываемого соглашения и выглядит как галочка, рядом с которой надо поставить свою подпись, существует и специальная форма такого согласия. Вот бланк, которым предлагает пользоваться Роскомнадзор (скачать форму можно в конце статьи):
- разработать и публично представлять политику в отношении обработки ПД. Обнародовать такой документ можно любым удобным для компании способом, но чаще всего это делается с помощью интернета — на странице организации просто публикуют политику без сокращений;
- обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения. Как правило, речь идет о технических и организационных мерах — установление паролей и специальных программ, гарантирующих сохранность информации, оперативное устранение последствий хакерских атак, иные мероприятия по обеспечению безопасности;
- уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели. Согласно статье 21 закона N152-ФЗ, уничтожается информация только после обращения лица, чьи данные обрабатывались с нарушениями, либо его представителя. Запрос обязательно подается в письменной форме, и отреагировать на него оператор должен в сроки, прописанные в законе. Рекомендованный образец такого обращения доступен на сайте Роскомнадзора;
- блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя). Это не значит, что оператор полностью удаляет имеющуюся информацию, но он не может ею пользоваться.
Регистрация в Роскомнадзоре в качестве оператора персональных данных
Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:
- работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;
- компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
- общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
- организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
- любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;
- системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
- граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687;
- организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.
С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.
Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346. Бесплатно скачать нужный документ можно и в конце этой статьи.
Роскомнадзор рекомендует подавать уведомление на бланке организации, на бумаге либо в электронном варианте. Бумажный вариант надо будет заполнить, подписать и отправить в территориальный орган Роскомнадзора (по почте или отнести лично). Электронный документ можно оформить прямо на сайте ведомства — в разделе «Электронные формы заявлений».
Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:
- полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
- цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
- категории ПД, которые будут обрабатываться;
- субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
- основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
- описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
- сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
- информация о шифровальных (криптографических) средствах;
- дата начала, а также условия и сроки прекращения обработки ПД;
- сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
- сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119.
Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок.
Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления.
Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.
Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.
Все оказываемые в этом случае услуги Роскомнадзором бесплатны.
Ответственность за отказ регистрироваться в реестре
Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13.
11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных.
В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.
Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.
Типовая форма согласия на обработку персданных
Форма уведомления о включении в реестр
Форма письма о внесении изменений в сведения об операторе
Форма заявления об исключении из реестра
Подготовить документы по персданным для сайта онлайн
Источник: https://ppt.ru/art/personal-data/reestr
Роскомнадзор информационное письмо о внесении изменений
Название | Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных |
Тип | Документы |
filling-form.ru > Договоры > Документы
примера заполнения электронной формы информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку
(в соответствии со ст.ст.22, ст.25 Фз № 152-ФЗ)Заполнять необходимо только те поля информационного письма, в которые вносятся изменения (поле должно содержать полную информацию).
Поля, отмеченные «*» — обязательны для заполнения!
Обращаем Ваше внимание на исполнение ст.25 Фз № 152-ФЗ (обязательно заполнять поля: Правовое основание обработки персональных данных; Осуществление трансграничной передачи персональных данных; Ответственный за организацию обработки персональных данных; Сведения об обеспечении безопасности персональных данных)!
Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных
- Начало формы
- Порядок подачи информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных
- — после заполнения формы информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных и отправки его на сервер Уполномоченного органа по защите прав субъектов персональных данных, Вам необходимо:
- — распечатать заполненную форму;
— подписать у законного представителя юридического (физического) лица имеющего право подписи документов (директор, зам. директора, гл. врача);
— зарегистрировать информационное письмо в делопроизводстве;
ВНИМАНИЕ! Выполнив действие «Отправить электронное уведомление и подготовить форму к распечатке» Вы размещаете электронную версию вашего информационного письма на сервере в ЦА Роскомнадзора (Москва)!
Приложение N 2. Информационное письмо о внесении изменений в сведения об операторе в реестре операторов
- См. данную форму в редакторе MS-Word и образец ее заполнения
- Приложение N 2к Методическим рекомендациям по уведомлениюуполномоченного органа оначале деятельности пообработке персональных данныхи внесении изменений в ранее
- представленные сведения
>N 3. Заявление о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных |
СодержаниеПриказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 г. N. |
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
[2]
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
© ООО «НПП «ГАРАНТ-СЕРВИС», 2019. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.
Вариант примера заполнения электронной формы информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных
примера заполнения электронной формы информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку
(в соответствии со ст. ст.22, ст.25 Фз )
Заполнять необходимо только те поля информационного письма, в которые вносятся изменения (поле должно содержать полную информацию).
Поля, отмеченные «*» — обязательны для заполнения!
Обращаем Ваше внимание на исполнение ст.25 Фз (обязательно заполнять поля: Правовое основание обработки персональных данных; Осуществление трансграничной передачи персональных данных; Ответственный за организацию обработки персональных данных; Сведения об обеспечении безопасности персональных данных)!
Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных
- Наименование ТО Роскомнадзора *
- Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Тюменской области, ХМАО – Югре и ЯНАО
- Наименование оператора (по рег. документу ФНС) *
- Сокращенное наименование оператора*:
- ГБУЗ ЯНАО «Больница» (по Уставу)
- Регистрационный номер записи в Реестре*
- Aдрес местонахождения (юридический) *: ЯНАО, 81
(выбрать)
Почтовый адрес*: ул. Больничная, д.
281, г. Салехард, ЯНАО, РФ, 123456
(свой № уточнить на сайте www. pd. *****)
Источник: https://cesexpo.ru/roskomnadzor-informatsionnoe-pismo-o-vnesenii-izmenenij/
Кому не нужно уведомлять Роскомнадзор об обработке персональных данных
По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно.
Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.
Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.
При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:
- При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
- При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
- При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.
Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.
О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье «Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017».
Источник: https://buh.ru/articles/documents/59315/
Как зарегистрироваться в реестре операторов обработки персональных данных Роскомнадзора
- Как известно с 1 июля 2017 года по поправкам к Закону 152-ФЗ «О персональных данных» все, кто собирает персональные данные должны зарегистрироваться, как «обработчики персональных данных» в Роскомнадзоре в реестре операторов обработки персональных данных.
- Подробнее о поправках к Закону 152-ФЗ, о том, как его соблюдать, какие действия с сайтами нужно произвести я рассказала в статье и видео «Как оформить сайт с учётом требований Закона 152-ФЗ «О персональных данных».
- Уже не раз наблюдала у людей панику по поводу регистрации в Роскомнадзоре, но всё не так сложно и печально, как кажется на первый взгляд.
У меня процесс регистрации занял 4 дня: 1 день я подготовила информацию и заполнила форму на сайте Госуслуг и 3 дня ушло на рассмотрение и принятие моего заявления и присвоение регистрационного номера 55-17-001476.
Я хочу поблагодарить Ярослава Мирошникова, который написал о том, как он проходил регистрацию и я, по его подсказкам и шаблонам, смогла сделать это уже без возвратов, очень быстро и просто.
Сейчас разберёмся, как пройти регистрацию в Роскомнадзоре.
В видео я показываю, как заполнить заявление и какой должен быть ответ от Роскомнадзора. А под этим видео размещены шаблоны от Ярослава для заполнения Заявления.
В общем, смотрите видео и всё станет просто и понятно…
Ниже прописаны тексты для заполнения Заявления. Копируйте, корректируйте под себя и подставляйте в соответствующие поля в форму на сайте Госуслуги.
Внесение сведений об операторе в реестр операторов, осуществляющих обработку персональных данных
Шаг 1. Порядок подачи заявления
Шаг 2. Личные данные заявителя
Шаг 3. Правовое основание обработки персональных данных
Шаг 3. Цель обработки персональных данных
Шаг 3. Описание мер, предусмотренных статьями 18.1. и 19
Шаг 3. Средства обеспечения безопасности
Шаг 3. Сведения об обеспечении безопасности персональных данных…
Шаг 3. Дата начала обработки персональных данных
Шаг 3. Условие прекращения обработки
Шаг 3. Наименование используемых криптографических средств
Шаг 4.2. Сведения об информационной системе
- Категории персональных данных: Выбираете из предложенного списка (ставите галочки)
- Специальные категории персональных данных: Не заполнено
- Биометрические персональные данные: Нет (если есть, прописываете)
- Другие категории персональных данных, не указанные в данном перечне: Адрес электронной почты (e-mail адрес); Телефон (добавляете то, что Вам нужно и чего не было в перечне)
Категории субъектов, персональные данные которых обрабатываются: Физические лица; Юридические лица (если работаете только с физ.лицами, то юр. лица не пишите и наоборот)
- Перечень действий с персональными данными, способы обработки: уничтожение, обезличивание, уточнение (обновление, изменение), использование, систематизация, хранение, сбор, накопление.
- автоматизированная
- Без передачи по внутренней сети юридического лица
- С передачей по сети Интернет
- Осуществление трансграничной передачи персональных данных: Нет
- Использование шифровальных (криптографических) средств: Да (если не используете, то «нет»)
- Наименование используемых криптографических средств: SSL-сертификаты; ПО для хранения ключей-доступа, с зашифрованным подключением, и хранением данных в виде зашифрованной информации
- Класс СКЗИ: КС2
Источник: https://marinametel.ru/biznes-instrumentyi/registraciya-v-roskomnadzore
Включение в реестр операторов осуществляющих обработку персональных данных
- Сбор информации об операторе (далее – Оператор) персональных данных (далее – ПД).
- Подготовка форма уведомления об обработке ПД, его подписание (3-5 дней).
- Направление (предоставление) уведомления в Роскомнадзор (1-2 дня).
- Взаимодействие с Роскомнадзором (в случае, если потребуется предоставление дополнительных сведений по запросу Роскомнадзора).
- Через 30 дней с даты поступления уведомления Росконадзор включает соответствующие сведения в реестр операторов, осуществляющих обработку персональных данных, оператору направляется скриншот, подтверждающий внесение сведений в реестр.
- По желанию оператора в Роскомнадзора может быть дополнительно запрошена выписка из реестра (предоставляется Роскомнадзором 5 рабочих дней с даты регистрации заявления).
- Сведения об операторе (учредительные документы + свидетельство о регистрации + документы о создании, назначении руководителя + выписка из торгового реестра).
- Сведения о том, какие конкретно персональные данные обрабатываются (например, фио, телефоны, адреса и т.п.).
- Сведения о сервере, где будут хранится ПД (адрес хранения базы данных, наименование владельца сервера, его адрес).
- ФИО и телефон лица, ответственного за соблюдение законодательства об обработке ПД.
- Предполагаемая дата начала обработки ПД.
Возможно вас заинтересует: Обработка и хранение персональных данных работников и пользователей сайта
Нужно ли при обработке персональных данных граждан РФ переносить сервер в РФ
Часть 5 статьи 18 Федерального закона от 27.07.
2006 N 152-ФЗ «О персональных данных» (далее – Закон 152-ФЗ) обязывает осуществлять запись, систематизацию, накопление, хранение, уточнение, извлечение ПД граждан РФ с использованием баз данных, находящиеся в РФ.
При этом данная норма запрещает обработку ПД за пределами РФ в целом, а лишь устанавливает такой запрет на сбор ПД (запись, систематизацию, накопление, хранение, уточнение, извлечение).
При этом данная норма не затрагивает использования, передачи, обезличивания, блокирования, удаления, уничтожения ПД. Таким образом, при буквальном толковании положений Закона 152-ФЗ можно сделать вывод, что они не распространяются на дальнейшую передачу ПД за пределы РФ.
Аналогичная позиция изложена в разъяснениях Минкомсвязи по вопросу о соотношении требования о локализации отдельных процессов обработки персональных данных с положениями о трансграничной передаче персональных данных (https://digital.gov.ru/ru/personaldata/).
В частности, Минкомсвязи разъяснил, что изменения в Закона 152-ФЗ, не затронули положений закона о трансграничной передаче данных. Соответственно передача персональных данных за пределы Российской Федерации возможна, как и ранее, с соблюдением условий, указанных в ст. 12 ФЗ «О персональных данных».
Тем самым требование о локализации отдельных процессов обработки персональных данных, содержащееся в ч. 5 ст. 18 ФЗ «О персональных данных», следует толковать в системном единстве с положениями статьи 12 о трансграничной передаче данных и с учетом определения данного понятия.
Таким образом, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных.
Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр.
При этом при передаче персональных данных за границу иному оператору ответственность за действия, совершаемые в отношении переданных персональных данных, несет такой оператор в соответствии с применимым к нему законодательством.
Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства ФЗ-242 не запрещается.
Таким образом, первоначально ПД должны попадать в российские БД, а в дальнейшем эти ПД можно передавать на зарубежные сервера с соблюдением требований о трансграничной передаче.
Параллельный ввод собранных персональных данных в российскую информационную систему и систему, находящуюся за пределами РФ, на территории иностранного государства
Источник: https://primelegal.ru/uslugi/korporativnoe-pravo/uvedomlenie-v-roskomnadzor-ob-obrabotke-personalnyh-dannyh-dlya-vklyucheniya-v-reestr-operatorov-pd/
Разъяснения по вопросам уведомления об обработке персональных данных
Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?
Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).
С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами.
Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
Здесь важно учесть, что запрос Роскомнадзора — это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.
Возможны две ситуации:
- вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
- вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.
Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.
В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.
Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.
Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.
Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.
Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.
В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок.
Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».
Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления — она находится на сайте Роскомнадзора.
Изучив форму, вы поймете, что заполнение уведомления — это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.
Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:
- категории персональных данных,
- категории субъектов персональных данных,
- цель обработки персональных данных,
- правовое основание обработки персональных данных,
- перечень действий с персональными данными,
- описание способов обработки,
- осуществление трансграничной передачи персональных данных,
- описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
- ответственный за организацию обработки персональных данных,
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.
В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.
Если вам удалось провести полноценное обследование, и вы выявили самое главное — цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа.
Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.
Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.
Важно понимать — наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!
Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации.
Чтобы уложиться в отведенные для ответа на запрос сроки — в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора.
Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».
Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.
И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации.
Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе.
Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706.
В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.
Большинство вопросов связано со следующими пунктами:
- описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.
Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1.
Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации — исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):
- назначить ответственного за организацию обработки;
- издать политику оператора в отношении обработки персональных данных;
- издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
- и так далее…
В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры… И так далее.
С 19 статьей делаем то же самое.
Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:
- Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
- Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления.
В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.
Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие — прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!
Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!
Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.
Напомним — Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!
Удачной Вам работы в сфере обработки и защиты персональных данных.
Источник: https://centr.expert/mnenie/uvedomlenie-operatora-ob-obrabotke-personalnih-dannih
Разъяснения Роскомнадзора по порядку защиты персональных данных
Что такое персональные данные? Персональные данные — это любая информация, относящаяся к человеку.
К персональным данным относятся ФИО, дата рождения, адрес, семейное положение, образование, профессия, пол, гражданство, сведения о документе, удостоверяющем личность, электронная почта, номер банковской карты.
Часто операторы, обрабатывающие персональные данные, забывают включить в список данных сведения о составе семьи, о трудовом и общем стаже, о занимаемой должности, о воинском учете, национальность, ИНН и СНИЛС (это персональные данные даже без привязки к ФИО).
Если ИНН указан в ЕГРЮЛ, то это общедоступная информация в части налогового законодательства, однако в иных случаях это ПД (персональные данные). Номер телефона без иной информации – это не персональные данные, так как он относится к пользовательскому устройству.
Также государственный номер автомобиля не является ПД, так как относится к транспортному средству. Индивидуальные предприниматели являются операторами ПД. В категории субъектов персональных данных могут входить не только работники, акционеры, клиенты, физлица, состоящие в гражданско-правовых отношениях, но и соискатели, уволенные работники и родственники работников/клиентов.
Обработка персональных данных
Правовыми основаниями для обработки ПД являются Трудовой кодекс РФ, Налоговый кодекс РФ, Генеральная лицензия на осуществление банковских операций, Федеральный закон №115-ФЗ, .
Часто в правовых основаниях обработки забывают указать Федеральный закон № 353-ФЗ «О потребительском кредите (займе)», согласие на обработку ПД (работника, соискателя, клиента и т.д.), договоры.
ФЗ «О персональных данных» не является правовым основанием!
Политика обработки ПД и локальные нормативные акты по вопросам обработки должны быть опубликованы. Политика и сведения о мерах по защите ПД размещаются на сайте, где ведётся обработка ПД, а также там могут быть размещены и пользовательское соглашение, и условия использования сервисов. Можно опубликовать общую политику на несколько сайтов, но внутри неё должна быть градация.
Для обработки персональных данных необходимо получить согласие субъекта ПД.
В согласии должны быть указаны адрес или данные основного документа, удостоверяющего личность субъекта, наименование или ФИО и адрес оператора ПД, перечень ПД, на обработку которых дается согласие и способ отзыва согласия на обработку ПД. При составлении текста согласия можно использовать типовые формы на сайте РКН. Срок действия согласия может быть ограничен сроком или достижением цели.
Указание в согласии нескольких целей допустимо, в том числе на сбор файловой информации cookie (кроме биометрии, спецкатегории и трансграничной передачи на территорию неадекватных по защите ПД стран). На период принятия решения о трудоустройстве нужно получать согласие на обработку ПД от соискателя и его близких родственников, если требуется информация о них. При действии субъектов ПД в интересах третьих лиц нужно их согласие, доверенность (например, при оформлении туристического пакета). При опубликовании фотографий и иной информации о сотрудниках на сайте нужно их согласие. Это не распространяется на учителей и работников государственных органов, но при любом превышении минимального перечня ПД из закона их согласие тоже нужно получать. Для передачи персональных данных работников внутри российской группы компаний нужно получать их письменное согласие, а внутри международной группы компаний – письменное согласие и договор-поручение со штаб-квартирой. Одно согласие работника с указанием каждого контрагента даётся для одной цели обработки ПД. При передаче ПД работников третьи лица, привлекаемые по договору поручения, могут объединены в одно согласие (если цель обработки ПД единая). Третьи лица, привлекаемые по договору поручения, подают уведомления об обработке ПД, кроме ч. 2 ст. 22 ФЗ «О ПД». У оператора нет обязанности предоставлять третьему лицу, привлекаемому по договору поручения, сведения о правовых основаниях обработки ПД. После достижения целей обработки персональных данных необходимо их уничтожить и оформить акт об уничтожении. Частым нарушением этого требования является обработка ПД соискателей после принятия решения об отказе в устройстве на работу (при отсутствии внешнего кадрового резерва, кроме гос. служащих) и обработка ПД в информационной системе персональных данных по истечении сроков, указанных в законе. Порядок уничтожения ПД должен быть указан в локальных актах.
Обязанности оператора
Необходимо предоставлять в Роскомнадзор уведомления об обработке ПД. В уведомлении указывается только одно ответственное лицо и даются его почта и телефон. Если контактные данные меняются, об этом нужно обязательно уведомить РКН. Если иностранное юридическое лицо имеет представительство на территории РФ, то можно подать уведомление, а если нет, то уведомление подавать не нужно. Однако требования о локализации такая организация обязана выполнить (базы данных по обработке ПД должны находиться на территории РФ). Кроме того, раз в два года проводятся проверки в отношении таких иностранных компаний.
Чтобы не было нарушений в виде предоставления неполных или недостоверных сведений, рекомендуется проводить внутри организации аудит деятельности оператора по обработке ПД и следить, чтобы ответственное за заполнение уведомления отраслевое подразделение отражало информацию не только о своей деятельности (кадры, бухгалтерия). В организации должны быть планы или материалы проверочных мероприятий, подтверждающие внутренний контроль/аудит ПД (акты, протоколы, докладные записки).
Популярное нарушение — неполный перечень целей обработки ПД. Например, в целях обработки персональных данных часто забывают указать организацию пропускного режима и подбор персонала. Понятие “база данных” трактуется сотрудниками РКН по внутреннему убеждению, например, любая таблица в Word – это тоже база данных.
Адреса всех баз персональных данных обязательно должны быть указаны в формате 123456, Москва г., ул. ___, д. ___, стр.
___, в том числе базы данных сайта и информационной системы персональных данных оператора.
Также необходимо помнить, что база ПД – это не только информационные системы (сервер, центр обработки данных), но и места, где находятся материальные носители (жёсткие диски, картотеки).
При использовании для хранения облачной инфраструктуры требуется договор-поручение с провайдером. Облачная инфраструктура обеспечивает доступ, а эти действия означают обработку, даже не имея самого доступа к ПД. После прекращения обработки персональных данных или при изменении информации, содержащейся в уведомлении, необходимо предоставить сведения об этом в Роскомнадзор в течение 10 дней. Согласно ФЗ №152 “О персональных данных”, в организации должно быть лицо, ответственное за организацию обработки ПД. Нарушением является назначение на эту должность нескольких лиц или отсутствие данного полномочия в должностном регламенте. Можно указать полномочия ответственного лица в трудовом договоре или в приказе о назначении лица и наделении полномочиями, но лучше сделать это отдельно в должностной инструкции. Работников оператора, непосредственно осуществляющие обработку ПД, обязаны быть ознакомлены с положениями законодательства РФ. Для подтверждения этого формируется лист ознакомления работников с положениями законодательства РФ, соответствующие положения включаются в трудовой договор с работником, проводятся курсы для работников (с получением документов) и внутренние обучающие мероприятия. Ознакомление работников с законодательством в электронном виде не в полной мере отвечает требованиям ст. 86 ТК РФ. Также должен быть утверждён перечень лиц, осуществляющих обработку ПД, либо имеющих к ним доступ.
Составы правонарушений ст. 13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных)
- Ч. 1 ст. 13.11 КоАП: включение избыточного объема данных, неправомерное размещение изображения гражданина на сайте, неправомерная обработка работодателем ПД близких родственников, неправомерная обработка ПД в целях продвижения товаров, работ, услуг;
- Ч. 2 ст. 13.11 КоАП: публикация статьи в интернете, которая содержит инфо в большом объеме со специальной категорией ПД без согласия гражданина, письменная форма согласия не соответствовала ч. 4 ст. 9 ФЗ;
- Ч. 3 ст. 13.11 КоАП: нет политики обработки ПД на сайте;
- Ч. 4 ст. 13.11 КоАП: нереализация права субъекта на получение информации, которая относится к обработке его ПД;
- Ч. 5 ст. 13.11 КоАП: нарушение сроков по уточнению, блокированию, уничтожению ПД;
- Ч. 6 ст. 13.11 КоАП: невыполнение обязанностей по соблюдению условий, обеспечивающих сохранность материальных носителей (например, неправильная утилизация медицинских амбулаторных карт).
Основные проблемы при взаимодействии проверяющих лиц с операторами в рамках проведения плановых/внеплановых проверок
- Отсутствие уполномоченного представителя оператора;
- Отсутствие документа, подтверждающего полномочия сотрудников на представление интересов оператора и взаимодействие с проверяющими лицами (доверенность, приказ);
- Назначение в качестве уполномоченных представителей оператора лиц, не обладающих достаточными профессиональными знаниями;
- Отказ в предоставлении запрашиваемой информации и документации;
- Отказ в предоставлении доступа в помещения оператора, где осуществляется обработка ПД;
- Отказ в предоставлении доступа к оборудованию оператора;
- Неумышленное затягивание сроков проведения проверки (продление сроков – это дополнительная административная нагрузка).
При этом важно помнить, что должностные лица РКН:
- Не осуществляют консультирование проверяемого лица;
- Не предоставляют проект акта проверки для предварительного ознакомления представителем проверяемого лица;
- Не дают пояснений относительно причин или оснований квалификации отдельных действий оператора как нарушающих ФЗ «О ПД», их можно получить только при обжаловании акта;
- Не продлевают, в том числе и по письменному обращению проверяемого лица, контрольные сроки исполнения предписания об устранении нарушений.
Источник: https://digitalrights.center/blog/roskomnadzor-personalnye-dannye/