Кто и когда должен уведомить Роскомнадзор об обработке персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Кто и когда должен уведомить Роскомнадзор об обработке персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.

Что отразить в политике конфиденциальности

Утвержденной законом формы этого документа нет, но есть перечень сведений, которые обязательно должны в нем быть:

• основание и цель сбора персональных данных;
• наименование, контактные данные и адрес;
• информация о том, кто обрабатывает данные. Если этим занимается другая компания, то вписывается информация о третьих лицах, у которых есть доступ к данным;.
• виды данных для обработки и источники их получения;
• сроки обработки и хранения персональных данных;
• способ соблюдения прав субъекта, предусмотренных законом «О персональных данных»;
• информация о передаче данных за пределы России.

Кто такие операторы персональных данных и чем они занимаются?

Для начала стоит разъяснить основные понятия. В Федеральном законе от 27.07.2006 № 152-ФЗ предлагается следующее определение понятию персональные данные: «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Сама формулировка определения ясно говорит о том, что исчерпывающего списка, который бы четко регламентировал, какая информация будет считаться персональными данными, а какая нет, не существует. Иными словами, для идентификации гражданина в одной ситуации необходимо будет знать ФИО и контактный номер, а в другом случае может понадобиться его удостоверение и адрес регистрации.

На основании этого можно заключить, что оператором персональных данных будет являться государственный или муниципальный орган, юридическое или физическое лицо, которое занимается сбором, хранением и обработкой персональных данных. Более того, в Роскомнадзоре придерживаются позиции, что организация становится оператором персональных данных непосредственно в тот момент, когда начинает обрабатывать информацию. Поэтому не имеет значения подала ли организация уведомление, получила ли она официальных статус — в глазах ведомства компания стала оператором персональных данных в тот момент, как пользователь заполнил форму обратной связи на сайте.

Таким образом, в каждой сфере есть операторы персональных данных, потому что они используют и обрабатывают сведения, по которым можно идентифицировать гражданина: магазины, салоны красоты, государственный автоматизированные системы, медицинские учреждения и образовательные организации. И поэтому все они должны определенные правила, установленные законом закону № 152-ФЗ:

• разъяснять человеку, какие данные и для каких целей будут собраны;
• обнародовать документы, касающиеся обработки персональных данных;
• обеспечивать защиту персональных данных (в том числе уничтожать записи, если субъект ПД докажет, что сведения были получены незаконным путем или блокировать доступ к сведениям по запросу).

Как уведомить Роскомнадзор

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

• сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
• правовое основание и цели обработки данных согласно уставу;
• описание мер и средств защиты личных данных;
• фактическую дату начала обработки персональных данных оператором;
• условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
• категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
• действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
• данные лица, ответственного за обработку персональных данных.

После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.

На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Персональные данные и требования Роскомнадзора. Что нужно знать, чтобы зарегистрироваться в реестре операторов

За неверную обработку ПД и тем более их утечку, что случается довольно часто, КоАП предусматривает до 18 000 000 руб. штрафа – ст. 13.11. И оператор, то есть любое лицо, в том числе и физическое, которое владеет ПД, обязано пройти регистрацию в Реестре операторов персональных данных еще до начала сбора этих данных. За отсутствие регистрации штраф относительно небольшой. Для физлиц – от 100 руб. до 300 руб. Для юрлиц – от 3000 руб. до 5000 руб. – ст. 19.7 КоАП. Регистрацией занимается Роскомнадзор. Он проверяет все документы и принимает решение о внесении в реестр.

Когда не требуется предварительное уведомление Роскомнадзора

· Если речь идет о трудоустройстве. И в этом случае работодатель обязан уведомить нового работника под роспись о порядке обработки его ПД, а также получить его согласие

· Если данные нигде не распространяются и не передаются третьим лицам (договоры ГПХ и пр.)

· Религиозные организации также могут не регистрироваться в РКН

· Если человек разрешил их распространение или сам их разместил для ознакомления неопределенному кругу лиц

· Если данные включают только ФИО

· Если заполняются данные только для прохода на объект (оформление стандартного пропуска)

· Если речь идет о системах хранения данных, созданных в целях госбезопасности

· Если обработка данных осуществляется без использования средств автоматизации (например, для разового посещения библиотеки или архива)

· Если речь идет о персональных данных пассажиров в транспортной сфере.

Роскомнадзор разработал методические рекомендации для операторов, которые намереваются пройти регистрацию.

Уведомление должно включать следующие сведения:

· Правоустанавливающие данные для юрлиц или госорганов: ИНН, ОГРН, адрес, наименование филиалов, лицензии и пр. Физлицам необходимо предоставить адрес оператора, ИНН и паспорт

· Необходимо указать цели обработки ПД, категории и субъектов (лиц, чьи ПД будут собираться)

· Правовое обоснование обработки (для чего собираются)

· Вид обработки (автоматизированная или неавтоматизированная, с передачей по сети или нет)

· Описание мер защиты (хранение паролей или документов)

· Указание должностных лиц, ответственных за хранение и обработку, с указанием их ФИО, телефонов и адресов

· Сведения о месте нахождения базы данных

· Сведения о трансграничности передачи, если таковая имеется

Будьте внимательны и избегайте штрафов. С уважением к людям и законам, ваш Юрист24.

Что проверяет Роскомнадзор?

Регулярные проверки ведомства — мощный стимул для организаций не нарушать положения ФЗ-152. Главное, на что обращают внимание представители госструктуры:

• наличие письменного согласия субъектов в случае их необходимости;
• присутствие локальной документации, регулирующей взаимоотношения между оператором и владельцем ПДн, а также их соблюдение;
• своевременное уведомление о начале обработки;
• поставленные цели и длительность хранения информации;
• применяемые меры защиты, налаженная система ограничения доступа;
• сервера, на которые помещаются сведения для систематизации и хранения.

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Перед формированием клиентской базы будущий оператор обязан оповестить уполномоченный орган о намерении использовать ПД физических лиц в определенных целях. Но не все должны уведомлять Роскомнадзор. Существует категория субъектов, которые не обязаны писать заявление в РКН о включении в реестр операторов персональных данных. К ним относятся:

1. Работодатели.
2. Исполнители или заказчики договорных отношений.
3. Пользователи общедоступными персональными сведениями.
4. Охранные предприятия, оформляющие однократные пропуска.
5. Организации, хранящие сведения на бумажном носителе (не имеющие электронных баз данных).

Всем остальным, не вошедшим в перечень, надлежит в обязательном порядке пополнить список операторов персональных данных Роскомнадзора. За уклонение или нарушение ФЗ-152 предусмотрена административная ответственность по ст. 13.11 КоАП РФ:

• обработка ПД без цели сбора: до 3000 руб. гражданам, до 10 000 руб. — должностным лицам, до 50 000 руб. — организациям.
• обработка личностных данных без письменного согласия: до 5000 руб. гражданам, до 20 000 руб. — должностным лицам, до 75 000 руб. организациям.
• отсутствие публикации с правилами оператора обработки ПД: гражданам — до 1000 руб., должностным лицам — до 6000 руб., ИП — до 10 000 руб., юрлицам — до 30 000 руб. По статистике Роскомнадзора, на март 2021 г. зарегистрировано 420 774 операторов персональных данных. У некоторых из них гарантированно есть сведения о вас.

Последствия неуведомления

Даже если оператор уже давно обрабатывает данные и не состоит в реестре, целесообразно подать уведомление (на практике операторов не привлекали к ответственности, если уведомление подано позже начала обработки). Существует ошибочное мнение, что в поле зрения уполномоченного органа только компании в реестре. Роскомнадзор вправе направить запрос о подаче уведомления в любую организацию.

За несообщение предусмотрен штраф (статья 19.7. КоАП РФ):

для граждан	100-300 рублей
для должностных лиц	300-500 рублей
для юридических лиц	3000-5000 рублей

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

1. Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов. В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
2. Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
3. Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Возможности до и после проведения

До регистрации в Роскомнадзоре вы:

1. по закону не имеете права заниматься обработкой персональных данных;
2. подпадаете под действие положений Кодекса об административных правонарушениях;
3. ваш сайт может быть заблокирован в любой момент по жалобе частного лица, в том числе, инспирированной конкурентами.

После регистрации компания:

1. застрахована от претензий надзорного ведомства во время проверки;
2. может предоставлять услуги сторонним организациям по сбору обработке и персональных данных (при наличии соответствующей лицензии);
3. может использовать законопослушание и открытость в рекламных целях.

Подтвердить или опровергнуть бытующее в профильных сообществах мнение о том, что подача уведомления о регистрации привлекает внимание и, соответственно, проверки Роскомнадзора, невозможно.

Однако, как утверждает ряд пользователей и экспертов, чем крупнее ваш бизнес или популярней Интернет-ресурс, тем выше вероятность, что ведомство само вами заинтересуется. А относительно невысокие штрафы за нарушение законодательства в сфере персональных данных легко компенсируются количеством нарушений, которые способна найти тщательная инспекция.

Что будет, если нарушить требования 152-ФЗ

Роскомнадзор проводит дистанционные и выездные проверки. Если инспекторы заметят, что вы обрабатываете персональные данные без согласия пользователей, бизнес получит внушительный штраф — до 75 тыс. рублей, а его руководитель — до 20 тыс. рублей.

Наказания за неправильную работу с персональными данными постоянно ужесточаются. Раньше бизнесу грозил один штраф — до 10 тыс. рублей, но с 2021 года их стало больше. Например, за работу без политики обработки данных компании получают штраф до 30 тыс. рублей, ИП — до 10 тыс. рублей. Кроме того, Роскомнадзор накладывает денежные санкции и за другие нарушения:

• не предоставили пользователю информацию об обработке его данных — до 40 тыс. рублей для компаний или 15 тыс. для ИП;
• проигнорировали запрос пользователя на удаление его персональных данных — до 45 тыс. рублей для компаний или 20 тыс. для ИП.

В 2021 году появился новый штраф — за сбор данных через сайты с иностранными хостинг-провайдерами. Его размер — от 1 до 6 млн рублей для компаний и от 30 до 60 тыс. рублей для ИП. Руководителей тоже штрафуют на солидные суммы — от 100 до 200 тыс. рублей.

Кто может осуществлять сбор, обработку информации?

Реестр операторов персональных данных – это общая федеральная база, куда Роскомнадзор вносит сведения о юридических и физических лиц, осуществляющих сбор и обработку подобной информации.

Так называемыми «операторами» могут быть как органы власти: федеральной, субъектов федерации или муниципальной, так и коммерческие структуры, банки, торговые сети, выдающие карты клиентов, и прочие.

В последних правках, внесенных в 2021 году, законодатели уделили особое внимание Интернет-ресурсам, имеющим формы для регистрации пользователей.

Регистрация в Роскомнадзоре обязательна для всех физических и юридических лиц, которые намерены заниматься сбором и обработкой персональных данных, кроме исключений, указанных в части 2 статьи 1 и части 2 статьи 22.

Требования к обработке персональных данных

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2021 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

• организующие и (или) осуществляющие обработку ПД;
• определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

• ФИО
• дата рождения
• адрес
• телефон
• электронный адрес
• фотография
• ссылка на персональный сайт
• ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.
В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре. Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации. Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.

Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.

Персональные данные и работающие с ними организации

Закон «О персональных данных» вводит понятие оператора персональных данных. Это организация любой формы собственности или индивидуальный предприниматель, которые по роду деятельности собирают персональные данные граждан для обработки. Далеко не все компании осознают, что они являются участниками процессов, связанных с обработкой персональных данных. Закон четко определяет, что оператором становится любая организация, получающая сведения о гражданах с целями, которые не связаны с обработкой информации о персонале.

К лицам, обрабатывающим персональные данные, относятся:

• частные организации, например, поставщики услуг связи или владельцы интернет-магазинов;
• индивидуальные предприниматели, размещающие на своем сайте форму обратной связи;
• муниципальные органы;
• государственные органы, например, при проведении ЕГЭ, при сборе налоговой информации или сведений персонального учета.

Размеры штрафов за нарушения зависят от категории организации, например, частные компании будут привлечены к более серьезной материальной ответственности, чем индивидуальные предприниматели. При этом государственные органы, работающие с огромными объемами ПД граждан, за нарушение законодательства будут отвечать по тем же нормам КоАП, что и частная компания. Но сами требования по программным и техническим средствам, которые предъявляются к государственным информационным системам (ГИС), строже и трудновыполнимее, чем задачи, поставленные перед небольшой частной организацией. Для ГИС обязательны аттестация и приемочные испытания, частные компании могут вводить в действие систему без дополнительного контроля со стороны регулятора.

Похожие записи:

• Какие выплаты положены вдове пенсионера МВД после его смерти в 2023 году
• Регистрация ИП на иностранного гражданина
• Как снять деньги в Турции без комиссии