Правовая звезда

Ответы юриста на волнующие вопросы

Проверка компании в реестре операторов персональных данных Роскомнадзора

Опубликовано: 21 февраля, 2023 Категория: Миграция Комментариев нет

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Проверка компании в реестре операторов персональных данных Роскомнадзора». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Регистрация в Роскомнадзоре в качестве оператора персональных данных
2. Особенности заполнения уведомления
3. Реестр операторов персональных данных Роскомнадзора
4. Как уведомить Роскомнадзор о сборе персональных данных
5. Кто может осуществлять сбор, обработку информации?
6. Ответственность за отказ регистрироваться в реестре
7. Что такое регистрационный номер
8. Реестр операторов персональных данных Роскомнадзора — в 2020 году, что это такое, инструкция, согласие на обработку сведений
9. Ответственность за отказ регистрироваться в реестре
10. Правила проверки организаций, обрабатывающих персональные данные

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно , который начал действовать с 1 июля 2017 года, в предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Перед формированием клиентской базы будущий оператор обязан оповестить уполномоченный орган о намерении использовать ПД физических лиц в определенных целях. Но не все должны уведомлять Роскомнадзор. Существует категория субъектов, которые не обязаны писать заявление в РКН о включении в реестр операторов персональных данных. К ним относятся:

  1. Работодатели.
  2. Исполнители или заказчики договорных отношений.
  3. Пользователи общедоступными персональными сведениями.
  4. Охранные предприятия, оформляющие однократные пропуска.
  5. Организации, хранящие сведения на бумажном носителе (не имеющие электронных баз данных).

Всем остальным, не вошедшим в перечень, надлежит в обязательном порядке пополнить список операторов персональных данных Роскомнадзора. За уклонение или нарушение ФЗ-152 предусмотрена административная ответственность по ст. 13.11 КоАП РФ:

  • обработка ПД без цели сбора: до 3000 руб. гражданам, до 10 000 руб. — должностным лицам, до 50 000 руб. — организациям.
  • обработка личностных данных без письменного согласия: до 5000 руб. гражданам, до 20 000 руб. — должностным лицам, до 75 000 руб. организациям.
  • отсутствие публикации с правилами оператора обработки ПД: гражданам — до 1000 руб., должностным лицам — до 6000 руб., ИП — до 10 000 руб., юрлицам — до 30 000 руб. По статистике Роскомнадзора, на март 2021 г. зарегистрировано 420 774 операторов персональных данных. У некоторых из них гарантированно есть сведения о вас.

Особенности заполнения уведомления

Что это такое уведомление в Роскомнадзор для регистрации в реестре персональных данных, не все операторы четко себе представляют, поэтому в первый раз испытывают сложности с заполнением. Но ошибка или неточность чреваты серьезными проблемами, вплоть штрафных санкций при проверках, поэтому нужно четко понимать, что и где вписывать. Все поля со звездочкой в форме регистрации обязательны для заполнения — если их пропустить, то онлайн-обращение не будет отправлено, а письменную форму не будут рассматривать.

Чтобы регистрация прошла успешно, в документе предстоит указать:

  • территориальное управление РКН и тип оператора;
  • наименование согласно официальным документам (или Ф.И.О. для предпринимателей);
  • фактический и юридический адрес, а также регионы, на территории которых ведется коммерческая или некоммерческая деятельность, подразумевающая обработку ПДн;
  • сведения о филиалах (если имеются);
  • ИНН и ОГРН — в форме есть и другие поля для кодов организации, но они не являются обязательными для заполнения;
  • правовое обоснование — тут должно быть указано правовое обоснование для обработки персональных данных, для работодателей обязательно упоминание Трудового Кодекса;
  • цель совершения операций — основной пункт, над которым необходимо серьезно задуматься, чтобы в дальнейшем не возникли противоречия с ФЗ-152 и подзаконными актами;
  • категории субъектов, чьи данные собираются и используются, а также список видов ПДн, с которыми вы будете иметь дело;
  • принятые меры для обеспечения информационной безопасности в ИСПДн — здесь требуется ввести все применяемые организационные и технические средства защиты;
  • условия окончания процесса обработки либо конкретные сроки;
  • перечень совершаемых операций;
  • способ обработки сведений;
  • наличие или отсутствие трансграничной передачи ПДн;
  • информация о центре обработки данных — указываются отдельно для каждой ИС;
  • ответственное за организацию обработки персональных данных лицо и исполнитель.
Читайте также:  Ветеран труда

Реестр операторов персональных данных Роскомнадзора

Прежде, чем начать обработку персональных данных, оператор обязан уведомить об этом госорган, уполномоченный вести реестр операторов персональных данных — Роскомнадзор (ч 1 ст. 22 закона № 152-ФЗ). Эта федеральная служба осуществляет надзор за сферой связи, массовых коммуникаций и информационных технологий. Госконтроль за обработкой персональных данных операторами, в соответствии с законом, тоже осуществляет Роскомнадзор. В этих целях он проводит проверки операторов персональных данных, согласно регламенту, утвержденному приказом Минкомсвязи РФ от 14.11.2011 № 312.

Ознакомиться с реестром операторов обработки персональных данных можно на официальном сайте Роскомнадзора, его сведения являются общедоступными.

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • наименование компании (ФИО ИП) и ее адрес;
  • цель обработки персональных данных (например, заключение трудовых договоров);
  • категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
  • категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
  • сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
  • ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
  • предполагаемая дата начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
  • сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

  • в бумажном виде,
  • в электронном виде с использованием усиленной квалифицированной электронной подписи,
  • в электронном виде с использованием средств аутентификации ЕСИА.

Независимо от наличия записи в реестре, в том случае, если компания обрабатывает персональные данные (а любой бизнес их обрабатывает), то она является оператором обработки персональных данных. Т.е. теоретически реестр операторов должен совпадать с ЕГРЮЛом и даже быть немного больше, т.к. и физлицо может являться оператором. Но в реестре находится чуть более 400 000 записей, что явно меньше количества зарегистрированных юридических лиц и индивидуальных предпринимателей.

Конечно же существует возможность не уведомлять Роскомнадзор об обработке персональных данных. Ряд исключений предусмотрены ст. 22 ФЗ “О персональных данных”, но с ними не все так однозначно как кажется на первый взгляд, о чем напишу позже. Важно понять другое — независимо от наличия вашей компании в Реестре требования законодательства о персональных данных на вас также распространяются и их необходимо неукоснительно соблюдать.

Без лишней необходимости направлять в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных не нужно, но и сопротивляться и уклоняться от этого никакого смысла нет. Безусловно, каждая ситуация индивидуальна и эта статья написана мной исключительно для помощи в принятии самостоятельного решения, правильного конкретно для вас.

Обязательно прочитайте материал о том, как Роскомнадзор будет применять законодательство о персональных данных в 2021 году

Читайте также:  Путин начал подготовку к ротации губернаторов в 2023 году

Остаюсь с вами на связи. Все вопросы по статье можно задать в чате Телеграм или в Я.Дзене. Следить за обновлениями контента удобнее в основном Телеграм-канале

Поделитесь в соцсетях

Кто может осуществлять сбор, обработку информации?

Реестр операторов персональных данных – это общая федеральная база, куда Роскомнадзор вносит сведения о юридических и физических лиц, осуществляющих сбор и обработку подобной информации.

Так называемыми «операторами» могут быть как органы власти: федеральной, субъектов федерации или муниципальной, так и коммерческие структуры, банки, торговые сети, выдающие карты клиентов, и прочие.

В последних правках, внесенных в 2021 году, законодатели уделили особое внимание Интернет-ресурсам, имеющим формы для регистрации пользователей.

Регистрация в Роскомнадзоре обязательна для всех физических и юридических лиц, которые намерены заниматься сбором и обработкой персональных данных, кроме исключений, указанных в части 2 статьи 1 и части 2 статьи 22.

Типичные ошибки при заполнении уведомления:

  1. Неверно указано правовое основание обработки ПДн. Считается, что для обработки достаточно согласия субъекта. Этот подход неверный, согласие не «панацея» во всех случаях. Важно перечислить перечень законов и подзаконных актов, в соответствии с которыми осуществляется обработка.
  2. Неправильно определены цели обработки ПДн. Например, ошибочно указывать в качестве цели «хранение персональных данных». Хранение — это одно из действий по обработке. Кроме того, недопустимо собирать сведения о субъекте только для того, чтобы хранить в базах данных. В 2019 году РКН составил 111 протоколов по данному нарушению.
  3. Ошибочно установлен уровень защищенности ПДн. Как следствие, не указаны необходимые меры безопасности. Для правильного определения уровня рекомендуется привлекать специалистов по информационной безопасности.
  4. Данные всех категорий субъектов заполнены в рамках одной ИС. Напомним, что сведения о каждой группе физических лиц (сотрудники, посетители сайта и т.п.) в уведомлении лучше выделить отдельно, поскольку недопустимо объединение баз ПДн, обрабатываемых в разных целях.
  5. Указаны не все категории субъектов ПДн. Без проведения аудита обработки сложно выявить все группы субъектов. Например, компании забывают про обработку сведений о соискателях.
  6. Отсутствуют сведения о первичной базе данных в России.Это прямой повод для проведения проверки Роскомнадзором, по итогам которой компанию могут оштрафовать за отсутствие локализации.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Что такое регистрационный номер

Данный регистрационный номер имеет вид последовательности из 13 цифр, первая из которых — признак отнесения к основному или иному государственному номеру записи, либо номеру ИП (физического лица). ОГРНИП (или основной государственный регистрационный номер индивидуального предпринимателя) содержит не 13, а 15 цифр.
Применительно к юридическим и физическим лицам, зарегистрированным в качестве налогоплательщиков, речь идет об основном государственном регистрационном номере (сокращенно ОГРН). Так расшифровывается государственный регистрационный номер записи о создании данного юридического лица согласно ФЗ № 129-ФЗ от 8.08.2001 г. Присвоение ОГРН как вновь созданным, так и зарегистрированным ранее юридическим лицам, ведется с 1.07. 2002 года на основании данных о регистрации его в налоговых органах.

Реестр операторов персональных данных Роскомнадзора — в 2020 году, что это такое, инструкция, согласие на обработку сведений

Полная информация о персональных данных регламентируется Федеральным Законом Российской Федерации №152 от 27 июля 2006 года. Данный нормативный акт обязывает все организации, которые занимаются обработкой информации о гражданах, пройти регистрацию в специализированном реестре.

Читайте также:  ВС РФ продлил ограничения в работе судов до 30 апреля 2020 года

К непосредственным операторам могут относиться государственные органы, организации и физические лица, которые в самостоятельном порядке осуществляют сбор сведений и определяют цель соответствующих мероприятий.

Для понимания того, что представляет собой реестр операторов персональных данных Роскомнадзора, необходимо рассмотреть основные понятия, параметры, включаемые в данные документов, перечень операторов, условия подачи уведомлений, алгоритм регистрации, порядок получения прав на обработку сведений, а также ответственность за нарушения.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07. 02. 2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13. 11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19. 7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Правила проверки организаций, обрабатывающих персональные данные

Чтобы привлечь оператора персональных данных к ответственности, Роскомнадзор должен соблюдать правила проведения проверок, утвержденные весной 2019 года. Ранее действовал только ведомственный регламент, позволяющий отступать от строгих правил. Теперь ответственность ведомства устанавливается за соблюдение регламента проверок в полной мере.

Регламент проверок соблюдения требований законодательства о персональных данных следующий:

  • плановая проверка проводится раз в три года, срок ее проведения без продления составляет 20 рабочих дней. Узнать о планируемых проверках по защите персональных данных можно на сайте Генпрокуратуры, о конкретной дате визита инспекторов организацию предупредят за три дня;
  • срок предоставления документов организацией в рамках плановой проверки сокращен до пяти дней, ранее оператору предлагали подготовить запрошенные материалы за 20 дней;
  • внеплановая проверка проводится вне графика в случае получения жалобы. Срок ее проведения составляет 10 рабочих дней, организацию предупредят за сутки;
  • внеплановая проверка не может быть документарной, для нее предусмотрена только выездная форма;
  • добавились дополнительные основания для продления срока проверки, например, разветвленность организационной структуры компании, обработка персональных данных в нескольких информационных системах;
  • запрос документов в связи с обращениями граждан проверкой не считается;
  • Роскомнадзор вправе следить за деятельностью операторов в Интернете и при выявлении нарушений проводить внеочередные выездные проверки.

Регулирующая деятельность ведомства усилилась. Возможно, это связано с участившимися случаями утечек персональных данных российских граждан, особенно когда они публикуются на зарубежных сайтах. Операторы, являющиеся российскими организациями, должны уделить повышенное внимание соблюдению требований законодательства. Это поможет избежать ответственности и обеспечить надлежащую защиту персональных данных.

1. Персональные данные — это любая информация о человеке и его деятельности. Чаще всего персональными считают данные в связках: не просто имя, а имя и номер телефона или имя и место работы. Но иногда персональными могут признать и данные без связок, так как чёткого
определения в законе нет.
2. Чтобы собирать и хранить персональные данные, нужно подготовить политику конфиденциальности и другие документы, подать уведомление в Роскомнадзор и назначить ответственных сотрудников.
3. Хранить и использовать персональные данные можно только с согласия клиентов, даже если они сами выложили их в интернет. Нельзя хранить лишнюю информацию — ту, которая не нужна для вашей бизнес-задачи.
4. За нарушение закона о персональных данных грозят штрафы.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *