Руководство по заполнению уведомления оператора персональных данных

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.

Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.

Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей.

С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.

Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы.

В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия.

Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Приведем один пример, как делать не нужно.

Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны.

Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя.

Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных».

Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]».

Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18.1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда?

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ.

Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации).
В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации».

В разделе «Категории персональных данных» сначала отмечаем чекбоксами обрабатываемые категории, а потом в поле «Другие категории персональных данных, не указанные в данном перечне» указываем те ПДн, которых в списке нет, причем лучше это сделать раздельно для различных категорий субъектов, например: «Другие категории ПДн работников: [перечень ПДн работников]. Другие категории ПДн клиентов: [перечень ПДн клиентов]».

В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.

В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж.

Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».

Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные.

И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения.

Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе. Да, не удивляйтесь, локальная база 1С-Бухгалтерии, развернутая на компьютере главбуха это в понимании Роскомнадзора тоже ЦОД…

Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.

Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.

Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.

Как начинающему бизнесу работать с персональными данными?

Я решил открыть небольшой интернет-магазин, но узнал, что бизнес должен строго соблюдать закон о персональных данных, в том числе разработать документацию по их защите.

Мы собираемся обрабатывать ФИО, телефоны, адреса доставки посылки и технические данные вроде IP-адреса , сведений об используемом браузере и cookies. Можем ли мы обойтись без документации и просто создать магазин на базе сертифицированной CMS или CRM? Нанять фирму, которая помогла бы соблюсти все требования закона о персональных данных, нам не по карману.

Законодательство в сфере персональных данных действительно строгое, за его нарушение могут оштрафовать на несколько десятков и даже сотен тысяч рублей. Если компании и предприниматели собирают информацию о клиентах, они считаются операторами персональных данных и должны работать с этими данными по определенным правилам.

Читайте также  Какой самый быстрый человек в мире?

Одно из правил — разработать и утвердить как минимум четыре документа, которые должны соответствовать закону и зачастую содержать технические сведения. Разработка каждого документа — кропотливая работа, и, скорее всего, обойтись без помощи юристов или специалистов в сфере информационной безопасности не получится.

Расскажу основные правила, о которых нужно знать.

Что такое персональные данные

Персональные данные — это любая информация, которая прямо или косвенно относится к определенному человеку и позволяет его идентифицировать.

Проблема в том, что в законе нет точного списка, что считать персональными данными. Некоторые суды полагают, что ими могут быть ФИО человека, его паспортные данные, адрес, номера телефонов. При этом сами по себе ФИО, адрес и номер телефона могут не быть персональными данными: ФИО могут повторяться, по адресу могут регистрироваться разные люди, номер телефона может перейти к другому абоненту, если расторгнут договор на оказание абонентских услуг.

Персональные данные человека собирают, например, когда проводят опросы, оформляют договоры или открывают доступ к сервисам на сайте.

Те, кто собирает данные, считаются операторами персональных данных, а люди, чьи данные собрали, — субъектами персданных. Оператором может быть кто угодно: физлицо, ИП, организация, государственный орган.

Просто так собирать, хранить или передавать данные третьим лицам нельзя. Сначала нужно подготовить условия, чтобы информация накапливалась в безопасном месте и никуда не утекала. А еще получить у субъекта персональных данных разрешение на сбор и обработку информации о нем. Без его согласия никакую персональную информацию хранить нельзя, иначе оператора привлекут к ответственности.

Все свои действия — что будут собирать и как будут работать с данными — операторы описывают в документах.

Как победить выгорание

Какие документы нужны для сбора персданных

Чтобы собирать и работать с персональными данными, оператор должен разработать и ввести в действие довольно большой пакет документов. Вот только базовые:

  1. Политика обработки персональных данных. В ней пишут, что за организация собирает данные, у кого, для чего, что именно она собирает и что будет делать с этими сведениями. Политику всегда публикуют на сайте оператора.
  2. Положение об обработке и обеспечении безопасности персональных данных. В нем прописывают практически то же самое, что и в политике. Но положение — внутренний акт оператора, его утверждают приказом руководителя компании или ИП. Публиковать его нигде не нужно.
  3. Модели угроз безопасности. В этом документе пишут, какие есть риски утечки данных и что делает оператор, чтобы их избежать. В законе о персональных данных не сказано, что модели угроз нужно прописывать в локальном акте, но я рекомендую это сделать. Одна из мер обеспечения безопасности персональных данных — определение угрозы. Как это делать, пояснила ФСТЭК в своих методических рекомендациях. Чтобы показать контролирующим органам, что вы учли рекомендации и проработали модели угроз безопасности, лучше оформить все документально.
  4. Приказ о назначении человека, ответственного за обработку персональных данных. Им может быть юрист или ИТ-специалист.
  5. Формы согласий на обработку персональных данных. Эти документы должны подписывать посетители сайта, то есть люди, чьи данные хочет собрать оператор.

В разработке документов участвует тот, кто отвечает за обработку персональных данных. Это необязательно должен быть сотрудник компании — к обработке данных можно привлекать и приглашенных специалистов.

После того как вы разработаете и утвердите все документы, нужно уведомить контролирующий орган о том, что вы будете собирать и обрабатывать персональные данные. За тем, как бизнес исполняет закон об обработке персональных данных, следит Роскомнадзор. Операторы отправляют ему уведомления, а ведомство заносит их в реестр операторов.

Можно ли работать с персональными данными и не уведомлять об этом Роскомнадзор

Есть ситуации, когда компания или физлицо работает с персональными данными, но уведомлять об этом Роскомнадзор не нужно. Вот несколько примеров:

  • работодатель собирает, изменяет, обезличивает, удаляет и не передает третьим лицам персональные данные своих работников. Например, собирает СНИЛС, ИНН и паспортные данные, чтобы платить за сотрудников взносы;
  • персональные данные нужны для гражданско-правового договора, их не распространяют и не передают третьим лицам. Например, клиент нанимает фотографа для съемки и в договоре оказания услуг пишет свои ФИО и паспортные данные. Так как после съемки фотограф не будет нигде хранить эти данные и не планирует, допустим, отправлять клиенту рекламу, становиться оператором ему не нужно;
  • компания публикует некоторые персональные данные с разрешения человека. К примеру, выкладывает на своем сайте фотографии работников, указывает их должности, ФИО и сведения об образовании;
  • персональные данные нужны, чтобы выдать разовый пропуск на территорию;
  • компания или физлицо собирает данные на бумаге, без средств автоматизации. Например, проводит на улице анонимный опрос о вреде курения.

Вы хотите ежедневно обрабатывать персональные данные пользователей интернет-магазина: ФИО, номера телефонов, адреса доставки посылки и технические данные вроде IP-адресов , сведений об используемом браузере и cookies. Вся эта информация относится к конкретному человеку, прямо и косвенно, и позволяет его идентифицировать. Об этом нужно уведомить Роскомнадзор.

Просто собирать информацию о клиентах в системе — даже сертифицированной и защищенной — не получится. Вам придется зарегистрироваться в качестве оператора персональных данных, а для этого нужно разработать документацию и отправить уведомление в Роскомнадзор.

Как подать уведомление в Роскомнадзор

Уведомление подает тот, кто отвечает за обработку персональных данных. Его можно отправить обычной почтой или через сайт Роскомнадзора, если есть усиленная квалифицированная электронная подпись или регистрация на госуслугах.

В уведомлении нужно подробно описать:

  1. Кто будет собирать информацию и какую именно: имена, адреса, технические данные, номера телефонов.
  2. Для чего и каким образом собираются персональные данные. Например, «для организации деловых поездок» и «с помощью средств автоматизации». Средства автоматизации — это, к примеру, корпоративный компьютер или программы бухучета. В законе это называется средствами вычислительной техники.
  3. Где будете хранить персональные данные.
  4. Какие меры принимаете, чтобы их обезопасить. Например, вы назначили ответственного за обработку данных, разработали политику и модели угроз безопасности, обучили людей, которые будут работать с персональными данными.

Необходимых мер по закону больше — все не перечислить. Чтобы их соблюсти и ничего не нарушить, как раз и понадобятся юристы или специалисты в сфере ИТ и информационной безопасности.

В уведомлении нужно указать полный адрес с почтовым индексом места, где расположены серверы компаний, на которых хранятся базы персональных данных. Роскомнадзор зарегистрирует уведомление и внесет оператора в реестр в течение 15 дней. Платить за это не нужно.

Что нужно сделать перед отправкой уведомления в Роскомнадзор

После того как вы разработаете документацию, я рекомендую перепроверить несколько вещей перед тем, как уведомлять Роскомнадзор. Ведомство требует максимально актуальную информацию, поэтому лучше перестраховаться.

Просмотрите и обновите списки. Вот они:

  1. Список персональных данных, которые вы обрабатываете.
  2. Перечень субъектов, с чьими данными вы работаете.
  3. Перечень третьих лиц. Третьи лица для оператора — это компании, которым вы поручаете обработку персданных, или компании, с которыми вместе обрабатываете данные для общих целей. Например, фирмы, которые предоставляют вам какие-либо услуги на аутсорсинге. Подавать список третьих лиц в Роскомнадзор не нужно, но при проверке ведомство может про него спросить.

Проверьте информационные системы по обработке данных. Сервисы, которые собирают и хранят данные ваших клиентов, должны быть оснащены средствами защиты информации — СЗИ. Это может быть антивирусная программа или электронный замок.

СЗИ должны быть сертифицированы Федеральной службой по техническому и экспортному контролю России. Если Роскомнадзор придет с проверкой, он будет запрашивать сертификат на СЗИ.

Что будет, если не отправить уведомление в Роскомнадзор

Если оператора нет в реестре, Роскомнадзор рано или поздно сам его найдет. Ведомство регулярно просматривает сайты, где собирают персональные данные, выясняет, кому они принадлежат, и отправляет владельцам письма-запросы.

На такое письмо нужно ответить в течение 10 дней: отправить в ведомство уведомление о включении в реестр или обоснованный отказ.

Если владелец сайта не ответит на запрос Роскомнадзора, его могут оштрафовать:

  1. Физлицо — на 100—300 Р .
  2. ИП — на 300—500 Р .
  3. Организацию — на 3000—5000 Р .

Да, эти штрафы небольшие, но еще Роскомнадзор может организовать проверку — и если обнаружит другие нарушения, суммы будут серьезнее. Например, минимальный штраф для ИП — 10 000 Р , для организации — 30 000 Р . А если хранить данные россиян на зарубежных серверах и игнорировать предупреждения Роскомнадзора, можно получить максимальный штраф — 18 000 000 Р .

Что делать? Читатели спрашивают — эксперты Т⁠—⁠Ж отвечают

Вообще без документации — это риски.

Лучше взять хоть какую-то типовую форму оферты, разместить ее на сайте и при оформлении заказа брать с пользователя согласия — одно на обработку и хранение ПД, одно на распространение (если вы эти данные потом например курьеру передадите). Брать эти «согласия» можно банальным «поставьте галочку если вы согласны бла-бла-бла» — закон не запрещает делать так

Script, вы путаете предоставление с распространением. Передача конкретному лицу не является распространением ПДн и отдельное согласие (по форме утвержденной РКН) не требуется. Поэтому галочку можно одну ;)

Читайте также  Завышение стоимости квартиры при ипотеке риски продавца

Алина, вообще говорят о «неопределенном круге лиц». По идее — та же передача в службу доставки подпадает под такое понятие.

Опять же, в нем все так двояко, что я не завидую юристам:)

Мы в похожем кейсе с доставкой решили проблему двумя галочками.

Хочу купить сим в салоне сотовой связи. Никакого согласия они не запрашивают. Как понять?

Жесть конечно. Ты такой дизайнер, решил завести рассылку на свой уютный бложик для интересующихся пикселями и юзер экспериенсами всякими — а тут бах, плоти нологэ, кхм, то есть становись-ка оператором данным (кем, кем?), передавай эти самые данные в Роскомнадзор, заводи сто-пятьсот юристов, разных айти-специалистов, сексистов, шовинистов. Жесть.

Я понимаю у больших и состоявшихся компаний есть на это ресурсы, но что на счёт новичков или небольших компаний?

Ну и самый главный вопрос: «если хранить данные россиян на зарубежных серверах и игнорировать предупреждения Роскомнадзора, можно получить максимальный штраф — 18 000 000 ₽» — очень хочу пояснения по этому пункту. Как я понимаю, РКН предупредит и не будет штраф выписывать, но лучше заранее разобраться в этом. Если у меня блог на нескольких языках и на сайте у меня есть форма заявки/подписки на рассылку, то считается ли это хранием данных россиян на зарубежных серверах? Я в этом случае не пользуюсь российскими сервисами почтовых рассылок, а, например, Mailchimp (более чем уверен, что у них нет серверов в России).

Регистрация в реестре операторов персональных данных Роскомнадзора

Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.

В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре. Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации. Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.

Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.

Камни преткновения

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

  1. Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов. В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
  2. Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
  3. Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Что делать, если вы уже обрабатываете персональные данные?

Если вы уже обрабатываете персональные данные и не знаете как сейчас поступить по поводу регистрации в реестре операторов персональных данных, то следуйте такому плану:

  1. Соберите сведения по обработке и предпринимаемых мерах по защите персональных данных (см. перечень сведений ниже).
  2. Как можно скорее подготовьте и подайте уведомление об обработке персональных данных в Роскомнадзор.
  3. Выполните подготовку по всем требованиям 152-ФЗ с учетом указанных вами в уведомлении сведений (смотрите информацию по ссылке — подготовка по 152-ФЗ).
  4. Произведите корректировку сведений в реестре Роскомнадзора по результатам подготовки по 152-ФЗ путем подачи извещения об изменениях (при необходимости).

Как зарегистрироваться в реестре Роскомнадзора?

Зарегистрироваться в реестре можно двумя способами: в электронной или бумажной форме.

Для регистрации в бумажной форме нужно скачать и заполнить проект уведомления или заполнить форму на сайте Роскомнадзора: https://rkn.gov.ru/personal-data/register/

Затем документ нужно распечатать, утвердить руководителем организации и отправить заказным письмом с уведомлением в адрес Роскомнадзора: 109074, г.Москва, Китайгородский пр., д.7, стр.2.

Лайфхак по успешной регистрации в реестре Роскомнадзора

Если сроки горят, и нужно зарегистрироваться в реестре с первого раза, то необходимо следовать рекомендациям:

  1. Заполняйте уведомление максимально подробно и точно, ссылаясь на реальные и действующие нормы закона, а также внутренние организационно-распорядительные документы.
  2. Если у вас система защиты персональных данных еще не готова, то нужно писать так, как будто она реализована полностью, с указанием конкретных подсистем и средств защиты (антивирусная подсистема, подсистема обнаружения вторжений, подсистема криптографической защиты, подсистема анализа защищенности, подсистема защиты от несанкционированного доступа и др.).
  3. Если вы подаете уведомление с целью регистрации в реестре как оператор персональных данных «клиентов», то не забудьте указать, что вы обрабатываете и персональные данные сотрудников, так как они есть в любой организации. Это обязательно!
  4. При описании правового основания обработки персональных данных нельзя ссылаться только на 152-ФЗ, так как закон описывает требования к обработке и защите персональных данных, но не описывает правовые основания обработки для тех или иных типов организаций.
  5. При описании правового основания обработки не забудьте базовые документы, которые нужно указывать любому оператору: Конституция РФ, Трудовой кодекс РФ, Гражданский кодекс РФ.

Регистрация в реестре Роскомнадзора: цена вопроса

Госпошлина за внесение в реестр Роскомнадзора не взимается. Оператор может подать уведомление самостоятельно или обратиться за помощью к компетентной организации, которая не только подготовит уведомление, но и поможет выполнить подготовку по требованиям закона.

Помощь коммерческих организаций в регистрации в реестре стоит от 10 до 50 тысяч рублей, а с предоставлением базового набора организационно-распорядительной документации — от 50 до 150 тысяч рублей.

Какие сведения указываются в уведомлении?

В уведомлении указываются следующие сведения:

  • наименование (фамилия, имя, отчество), адрес оператора;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки;
  • перечень действий с персональными данными, описание используемых способов обработки персональных данных;
  • описание реализации мер, предусмотренных статьями 18.1 и 19 закона;
  • фамилия, имя, отчество лица ответственного за организацию обработки персональных данных;
  • дата начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных;
  • сведения о месте нахождения базы данных;
  • сведения об обеспечении безопасности персональных данных.

Что предлагаем мы?

Мы занесем вашу организацию в реестр операторов персональных данных и предоставим типовой набор организационно-распорядительной документации, необходимый для соответствия требованиям ФЗ-152 и прохождения проверки Роскомнадзора, за 45 тысяч рублей с гарантией по договору.

Кому не нужно уведомлять Роскомнадзор об обработке персональных данных

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

  • При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
  • При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
  • При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.
Читайте также  Можно ли поменять ипотечную квартиру на другую?

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

Роскомнадзор готовится к запуску информационной системы для сбора согласий на обработку разрешенных для распространения персональных данных

Сфера защиты персональных данных находится в поле пристального внимания законодателя, который следит за возникающими угрозами нарушений прав субъектов персональных данных и оперативно реагирует на них, вводя новые нормы и внося изменения в действующие. Только в 2020 году было принято четыре федеральных закона, утвердивших корректировки в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

В числе последних – поправки, принятые в декабре прошлого года и вступившие в силу с 1 марта текущего. Ими введена новая ст. 10.1 Закона № 152-ФЗ, устанавливающая особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения. Речь идет о тех данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку таких данных. Причем это согласие должно быть предоставлено отдельно от иных согласий субъекта персональных данных на обработку.

В настоящее время такое согласие можно предоставить непосредственно оператору, а начиная с 1 июля 2021 года – также через информационную систему уполномоченного органа по защите прав субъектов персональных данных (ч. 6 ст. 10.1 Закона № 152-ФЗ).

Может ли молчание или бездействие субъекта персональных данных расцениваться как согласие на обработку данных? Узнайте из материала «Энциклопедии решений. Персональные данные» в системе ГАРАНТ. Получите полный доступ на 3 дня бесплатно!

В целях реализации указанных норм Роскомнадзор разработал проект приказа об утверждении правил использования информационной системы 1 , которая призвана обеспечить возможность получения от субъекта персональных данных согласия на обработку персональных данных, разрешенных для распространения, а также подачу и отзыв соответствующего согласия.

Функции информсистемы

Согласно проекту приказа информационная система будет использоваться для реализации четырех основных функций – идентификации сведений об участниках взаимодействия, аутентификации таких сведений, авторизации участников взаимодействия, а также предоставления Роскомнадзору как оператору информационной системы или иным госорганам в определенных федеральными законами случаях сведений об участниках взаимодействия, размещенных в информационной системе. Функционал системы является открытым – федеральными законами, актами Президента РФ и Правительства РФ он может быть расширен.

В информационной системе планируется реализовать возможности:

  • подачи и отзыва согласия субъектом персональных данных;
  • приема и получения согласия оператором;
  • формирования реестра записей о поданных, полученных и отозванных согласиях, в том числе в личных кабинетах участников взаимодействия;
  • формирования и направления участникам взаимодействия уведомлений о подаче, приеме, отзыве согласий;
  • обмена информацией о результатах взаимодействия между участниками взаимодействия;
  • регистрации действий должностных лиц Роскомнадзора при осуществлении возложенных на них законодательством РФ полномочий в области персональных данных;
  • направления должностными лицами ведомства участникам взаимодействия запросов или требований об устранении выявленных нарушений в области персональных данных;
  • формирования оператором информационной системы реестра записей о результатах рассмотрения запросов и исполнения требований об устранении участниками взаимодействия выявленных Роскомнадзором нарушений в области персональных данных;
  • получения уведомлений от участников взаимодействия об устранении нарушений в области персональных данных, направленных в электронном виде.

Регистрация в системе

Предполагается, что в информационной системе смогут регистрироваться субъекты персональных данных – граждане РФ, иностранные граждане и лица без гражданства, предоставляющие согласие оператору, а также государственные органы, муниципальные органы, юридические лица, ИП, физические лица, являющиеся операторами. Причем для субъектов персональных данных, предоставляющих согласие оператору, регистрация будет доступна с использованием интерактивной формы регистрации. В нее необходимо вносить следующие сведения:

  • для граждан РФ – фамилию, имя, отчество (при наличии), дату рождения, реквизиты основного документа, удостоверяющего личность (серию, номер, кем выдан, дату выдачи, код подразделения), адрес места жительства (регистрации), номер телефона и адрес электронной почты;
  • для иностранных граждан и лиц без гражданства – фамилию, имя, отчество (при наличии), дату рождения, вид, номер и страну выдачи документа, удостоверяющего личность, адрес регистрации по месту жительства (пребывания) (при наличии), номер телефона и адрес электронной почты.

Введенные данные будут проверяться на достоверность с использованием государственных информационных систем, в том числе федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (ЕСИА). Только после подтверждения достоверности и полноты указанной информации по результатам ее проверки Роскомнадзором регистрация будет считаться завершенной.

В свою очередь, регистрация государственных органов, муниципальных органов, юридических лиц, ИП, физических лиц, являющихся операторами, будет осуществляться через интерактивную форму регистрации оператора путем внесения сведений о наименовании (для госорганов, муниципальных органов, юрлиц) или Ф. И. О. для физлиц и ИП, адреса оператора, получающего согласие субъекта персональных данных.

Предусмотрено указание и полного, и сокращенного (при наличии) наименования оператора, осуществляющего обработку персональных данных, а также ОГРН или ОГРИП, ИНН, а также ссылок на коды классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКФС) в зависимости от направлений деятельности. Так же, как и данные субъектов персональных данных, сведения, внесенные в форму регистрации оператора, будут проверяться на достоверность с помощью государственных информационных систем, включая ЕСИА, и только после подтверждения достоверности и полноты информации регистрация будет признаваться пройденной.

Если сведения, вводимые при регистрации, не соответствуют информации, содержащейся в государственных информационных системах, то зарегистрироваться в информационной системе не удастся. Что касается защиты размещенных в системе данных, то она будет обеспечиваться в соответствии с законодательством РФ.

Регистрация в информационной системе откроет доступ к самой системе, в том числе к личному кабинету, размещенному на официальном сайте Роскомнадзора https://pd.rkn.gov.ru/. Также после регистрации участника взаимодействия в информационной системе станет возможным использование системы в целях обеспечения получения оператором согласия на обработку разрешенных для распространения персональных данных.

Права участников системы

После прохождения идентификации и аутентификации в информационной системе участники взаимодействия смогут самостоятельно посредством использования личного кабинета:

  • изменять сведения, содержащиеся в информационной системе, при условии соответствия измененных сведений информации, содержащейся в государственных информационных системах;
  • давать согласия по размещенной на официальном сайте Роскомнадзора форме, и иную информацию, необходимую для обеспечения получения оператором согласия.

В случае одобрения проекта приказа у Роскомнадзора как оператора информационной системы появится право ограничить использование учетной записи участника взаимодействия в некоторых случаях – например, если будет замечен несанкционированный доступ третьих лиц к учетной записи пользователя или выявлен факт противоправного использования учетной записи участника взаимодействия. Кроме того, доступ к учетной записи закроют при получении информации о недееспособности или смерти гражданина, а также при поступлении от субъекта персональных данных заявления об удалении учетной записи.

Но вот производить действия с использованием информационной системы, направленные на нарушение процесса ее функционирования, участникам взаимодействия будет запрещено.

Нормативная регламентация правил использования информационной системы Роскомнадзора для направления согласия на обработку персональных данных, которое является исключительным правовым основанием для обработки разрешенных для распространения данных, станет еще одним шагом на пути повышения гарантий защиты прав и свобод субъектов, чьи персональные данные участвуют в общедоступном обороте. Утверждение таких правил позволит эффективно реализовать законодательно установленные предписания, а использование информационной системы упростит субъектам персональных данных процесс предоставления согласия на их обработку.

После издания приказа он будет направлен на государственную регистрацию в Минюст России. До 29 марта документ будет проходить независимую антикоррупционную экспертизу. Публичное обсуждение нормативного акта продлится до 19 апреля.

1 С текстом проекта приказа Роскомнадзора «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» и материалами к нему можно ознакомиться на федеральном портале проектов нормативных правовых актов (ID: 02/08/03-21/00114371).

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: