Что такое реестр операторов персональных данных

Опубликовано

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что такое реестр операторов персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Как составить согласие на обработку персональных данных
2. В каких случаях потребуется уведомление Роскомнадзора
3. Как уведомить Роскомнадзор о сборе персональных данных
4. Как уведомить Роскомнадзор
5. Внесение изменений и удаление сведений из Реестра операторов персональных данных (ПД) Роскомнадзора
6. Как получить информацию, является ли организация оператором, осуществляющим обработку персональных данных
7. Последствия неуведомления
8. Реестр операторов персональных данных Роскомнадзора
9. Кто может осуществлять сбор, обработку информации?
10. Когда уведомление не нужно
11. Чем грозит разглашение личной информации граждан?

В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.

Как составить согласие на обработку персональных данных

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. В бланке обязательно должны быть следующие данные:

  • наименование оператора персональных данных;
  • место и дата составления документа;
  • фамилия, имя, отчество субъекта, его паспортные данные и сведения о месте жительства.

Далее идет информационная часть согласия. В ней прописывается:

  • каких именно персональных данных касается документ;
  • в каких целях и что именно допустимо с ними делать;
  • срок действия согласия и возможность его отзыва.

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • получаемых и обрабатываемых в рамках трудового законодательства;
  • получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
  • относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
  • разрешенных физлицом для распространения;
  • включающих в себя только фамилии, имена и отчества физлиц;
  • необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • наименование компании (ФИО ИП) и ее адрес;
  • цель обработки персональных данных (например, заключение трудовых договоров);
  • категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
  • категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
  • сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
  • ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
  • предполагаемая дата начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
  • сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

  • в бумажном виде,
  • в электронном виде с использованием усиленной квалифицированной электронной подписи,
  • в электронном виде с использованием средств аутентификации ЕСИА.
Читайте также:  Какие КВР и КОСГУ использовать для госзакупок

Как уведомить Роскомнадзор

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

  • сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
  • правовое основание и цели обработки данных согласно уставу;
  • описание мер и средств защиты личных данных;
  • фактическую дату начала обработки персональных данных оператором;
  • условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
  • категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
  • действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
  • данные лица, ответственного за обработку персональных данных.

После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.

На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.

Внесение изменений и удаление сведений из Реестра операторов персональных данных (ПД) Роскомнадзора

Через какое-то время после отправки уведомления у предприятия или ИП может возникнуть необходимость откорректировать информацию или удалить компанию из списка. Чаще всего изменения вносятся в:

  • название организации, адрес местонахождения или регистрации;
  • методы обработки ПДн;
  • категории субъектов ПДн;
  • цели использования;
  • меры по обеспечению безопасности ИСПДн;
  • наличие/количество филиалов;
  • сведения, с которыми осуществляются операции, и виды действий;
  • условия прекращения обработки;
  • графу, где указан ответственный сотрудник, если он изменился;
  • сервера, на которых хранятся данные.

Как получить информацию, является ли организация оператором, осуществляющим обработку персональных данных

Вы можете проверить любую организацию на предмет ее наличия в списке операторов РКН. Это можно сделать на сайте ведомства Роскомнадзор или прямо здесь. Для этого введите ИНН компании и ее название.

Роскомнадзор ведет реестр операторов персональных данных, формируемый из государственных органов власти, коммерческих компаний, индивидуальных предпринимателей и даже физических лиц. Сбор и обработка личных сведений регулируется Федеральным законом № 152-ФЗ. За его нарушение операторы несут административную ответственность в виде штрафа. Вы можете проверить прямо здесь или на сайте РКН, состоит ли интересующее вас ведомство или организация в списке хранителей личных сведений, с правом их использования (оборота).

Типичные ошибки при заполнении уведомления:

  1. Неверно указано правовое основание обработки ПДн. Считается, что для обработки достаточно согласия субъекта. Этот подход неверный, согласие не «панацея» во всех случаях. Важно перечислить перечень законов и подзаконных актов, в соответствии с которыми осуществляется обработка.
  2. Неправильно определены цели обработки ПДн. Например, ошибочно указывать в качестве цели «хранение персональных данных». Хранение — это одно из действий по обработке. Кроме того, недопустимо собирать сведения о субъекте только для того, чтобы хранить в базах данных. В 2019 году РКН составил 111 протоколов по данному нарушению.
  3. Ошибочно установлен уровень защищенности ПДн. Как следствие, не указаны необходимые меры безопасности. Для правильного определения уровня рекомендуется привлекать специалистов по информационной безопасности.
  4. Данные всех категорий субъектов заполнены в рамках одной ИС. Напомним, что сведения о каждой группе физических лиц (сотрудники, посетители сайта и т.п.) в уведомлении лучше выделить отдельно, поскольку недопустимо объединение баз ПДн, обрабатываемых в разных целях.
  5. Указаны не все категории субъектов ПДн. Без проведения аудита обработки сложно выявить все группы субъектов. Например, компании забывают про обработку сведений о соискателях.
  6. Отсутствуют сведения о первичной базе данных в России.Это прямой повод для проведения проверки Роскомнадзором, по итогам которой компанию могут оштрафовать за отсутствие локализации.
Читайте также:  Нулевой расчет по страховым взносам (9 мес 2022)

Последствия неуведомления

Даже если оператор уже давно обрабатывает данные и не состоит в реестре, целесообразно подать уведомление (на практике операторов не привлекали к ответственности, если уведомление подано позже начала обработки). Существует ошибочное мнение, что в поле зрения уполномоченного органа только компании в реестре. Роскомнадзор вправе направить запрос о подаче уведомления в любую организацию.

За несообщение предусмотрен штраф (статья 19.7. КоАП РФ):

для граждан 100-300 рублей
для должностных лиц 300-500 рублей
для юридических лиц 3000-5000 рублей

Подотчетным станет сбор персональных данных:

  • в ходе трудовых отношений,
  • при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
  • уже упомянутых ФИО,
  • даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
  • для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

  1. Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов. В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
  2. Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
  3. Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Реестр операторов персональных данных Роскомнадзора

Из статьи можно узнать, что такое реестр операторов персональных данных Роскомнадзора, как новых операторов включают в этот реестр, где посмотреть данные и что учесть.

Реестр операторов персональных данных Роскомнадзора – это список организаций, которые осуществляют обработку сведений о физических лицах. Закон относит к такой информации сведения о физическом лице, в том числе:

  • фамилия, имя, отчество;
  • год, месяц, дата рождения;
  • место рождения;
  • адрес;
  • семейное положение;
  • социальное положение;
  • имущественное положение;
  • образование, профессия, доходы;
  • другая информация (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ, п. 2.5 приказа Роскомнадзора от 30.05.2017 № 94).

Без лишней необходимости направлять в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных не нужно, но и сопротивляться и уклоняться от этого никакого смысла нет. Безусловно, каждая ситуация индивидуальна и эта статья написана мной исключительно для помощи в принятии самостоятельного решения, правильного конкретно для вас.

Обязательно прочитайте материал о том, как Роскомнадзор будет применять законодательство о персональных данных в 2021 году

Остаюсь с вами на связи. Все вопросы по статье можно задать в чате Телеграм или в Я.Дзене. Следить за обновлениями контента удобнее в основном Телеграм-канале

Читайте также:  Увольнение по состоянию здоровья: особенности для военнослужащих

Поделитесь в соцсетях

Как говорилось выше, при обработке персональных данных оператор должен уведомить об этом компетентный орган. Но помимо этого у него ещё есть ряд обязательств, которые он должен соблюдать:

  1. Издать приказ о назначении ответственного лица или группы лиц за обработку ПДн, а также осуществлять контроль или проводить аудит обработки данных в редакции.
  2. Разработать и принять меры для обеспечения конфиденциальности и безопасности полученной информации. Сюда можно отнести установку антивирусных программ и информирование сотрудников об административной и уголовной ответственности в случае разглашения третьим лицам.
  3. Прекратить обработку данных, если цель сбора достигнута или субъект отозвал своё разрешение на обработку.
  4. Соблюдать локализацию и предоставлять данные о месте расположения базы, указывая страну и фактический адрес.
  5. Информировать о сборе ПДн потенциальных и/или действующих клиентов и сотрудников, разъясняя для чего и какая информация обрабатывается, а также о сроках хранения. Для этого создать и опубликовать для общего доступа форму согласия на обработку данных и политику конфиденциальности.
  6. Удалить информацию, если будет доказано, что личные данные были получены незаконно или не являются обязательными для достижения заявленной цели, и лицо, чьи сведения использовались, потребует о её извлечении из базы.
    Внимание. Информация должна быть уничтожена в течение 10 дней с момента подачи письменного заявления лица, чьи данные были собрана с нарушениями.

Кто может осуществлять сбор, обработку информации?

Реестр операторов персональных данных – это общая федеральная база, куда Роскомнадзор вносит сведения о юридических и физических лиц, осуществляющих сбор и обработку подобной информации.

Так называемыми «операторами» могут быть как органы власти: федеральной, субъектов федерации или муниципальной, так и коммерческие структуры, банки, торговые сети, выдающие карты клиентов, и прочие.

В последних правках, внесенных в 2021 году, законодатели уделили особое внимание Интернет-ресурсам, имеющим формы для регистрации пользователей.

Регистрация в Роскомнадзоре обязательна для всех физических и юридических лиц, которые намерены заниматься сбором и обработкой персональных данных, кроме исключений, указанных в части 2 статьи 1 и части 2 статьи 22.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

  • обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.

    • Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

  • обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
  • использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

Чем грозит разглашение личной информации граждан?

Закон предусматривает различные виды ответственности за несоблюдение оператором требований ФЗ-152 в отношении операций с ПДн, а именно:

  • замечание, выговор и увольнение сотрудника, допустившего разглашение конфиденциальной информации;
  • взыскание суммы ущерба с работника-нарушителя;
  • возмещение морального вреда субъекту персональных данных в результате гражданских исков;
  • наложение административного штрафа, размер которого может варьироваться в зависимости от обстоятельств дела (от 15 тысяч до 18 миллионов рублей);
  • и другие виды ответственности, вплоть до уголовной для руководителя при значительных нарушениях, повлекших за собой серьезные последствия для субъекта.


Похожие записи:

Добавить комментарий