Регистрация в реестре роскомнадзора когда требуется и как ее провести

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Регистрация в реестре роскомнадзора когда требуется и как ее провести». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно , который начал действовать с 1 июля 2017 года, в предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

РАЗМЕР, СРОКИ И ПОРЯДОК ОПЛАТЫ ЮРИДИЧЕСКИХ УСЛУГ

1. Стоимость услуг Исполнителя определяется Онлайн-заказе юридических услуг в соответствии с Прайс-листом. Исполнитель вправе самостоятельно вносить изменения в Прайс-лист. Стоимость оплаченных Заказчиком услуг на основании созданного Онлайн-заказа юридических услуг изменению не подлежит. Стоимость услуг Исполнителя не включает НДС в связи с применением Исполнителем упрощенной системы налогообложения.
2. Юридическая услуга предоставляется в полном объеме при условии 100% (стопроцентной) предоплаты Заказчиком.
3. Оплата юридических услуг производится Заказчиком в российских рублях с использованием банковской карты на веб-сайте Исполнителя после заполнения Онлайн-заказа юридических услуг. Также Заказчик может оплатить услуги Исполнителя с помощью банковской карты в Личном кабинете клиента или иным способом на основании Счета на оплату, размещенного Исполнителем в Личном кабинете клиента.
4. Оплата стоимости услуг производится Заказчиком в срок не позднее 3 (трёх) дней с момента создания Заказчиком Онлайн-заказа юридических услуг. По истечении указанного срока Исполнитель вправе внести изменения в стоимость, состав и сроки оказания услуг.
5. Услуги считаются оплаченными Заказчиком с момента поступлении всей суммы оплаты на расчетный счет Исполнителя.
6. После проведения Заказчиком предоплаты и зачисления денежных средств на расчетный счет Исполнителя настоящий Договор вступает в силу.
7. Настоящим Исполнитель и Заказчик (в дальнейшем – Стороны) договорились, что в случае, если на момент прекращения или расторжения Договора стоимость оплаченных услуг превышает стоимость фактически оказанных Исполнителем услуг, то разница между указанными суммами не возвращается, а признается внесенной Заказчиком в счет оплаты (предоплаты) услуг Исполнителя в рамках других (в том числе будущих) договоров. Для возврата указанных денежных средств Заказчик должен направить Исполнителю письменное заявление с указание полных банковских реквизитов расчетного счета.

Как зарегистрироваться в качестве ОПД

Перед тем, как оператор начнет обрабатывать персональные данные клиентов, он обязан обратиться в соответствующий государственный орган надзора и сообщить об этом. Однако, согласно все тому же ФЗ № 152 (ч. 2 ст. 22) от постановки на учет освобождаются:

1. Лица, которые используют для своей работы общедоступные данные, которые люди раскрыли сами. Это может быть информация, которая содержится на личных страницах в соц.сетях или на сайтах.
2. Операторы государственных информационных систем, которые используются для обеспечения общественного порядка. Их очень много (Эра-Глонасс, Усправление и пр.).
3. Частные лица и организации, которые используют персональные данные для обеспечения безопасного функционирования транспорта. К примеру, при поездке на междугороднем автобусе или поезде кассир обязан спросить человека ФИО и паспортные данные. Однако регистрироваться в качестве оператора ПД ему не нужно.
4. Освобождаются от регистрации и организации, которые обрабатывают персональные данные вручную, без каких бы то ни было средств автоматизации.

Однако, даже если организация не попадает в обязательный список регистрации операторов ПД, ей все равно придется сообщить о своей деятельности в Роскомнадзор.

Важно! После внесения поправок в действующее законодательство 01. 09. 2022 любой работодатель обязан быть зарегистрированным в реестре Роскомнадзора в качестве оператора персональных данных. Это касается как ИП, у которых есть сотрудники, так и глав больших организаций.

Для регистрации человеку необходимо подать заявление в Роскомнадзор. Его образец можно скачать на сайте контролирующего органа или на Госуслугах. Есть он и в Приказе Минкомсвязи России от 21.12.2011 № 346.

Важно! Подать заявление можно как в бумажном, так и в электронном виде. В первом случае человек после заполнения бланка лично относит его в территориальный орган Роскомнадзора или отправляет его по почте. Во втором – документ оформляется непосредственно на сайте контролирующего органа.

В заявлении необходимо указать следующие данные:

• название компании (как полное, так и сокращенное);
• организационно-правовую форму компании;
• почтовый адрес;
• юридический адрес;
• цель обработки персональных данных;
• какие именно категории персональных данных планирует обрабатывать компания;
• ПД каких категорий граждан будут обрабатываться (пассажиров, работников и т.д.);
• законодательная база на основе которой организация считает возможным обработку персональных данных своими сотрудниками;
• полные сведения о сотрудниках, которые будут заниматься обработкой ПД;
• информацию о том, какие меры защиты ПД будут использованы в компании;
• планируемая дата начала обработки ПД;
• сведения о том, где будут храниться ПД.

Реестр операторов персональных данных Роскомнадзора

Прежде, чем начать обработку персональных данных, оператор обязан уведомить об этом госорган, уполномоченный вести реестр операторов персональных данных — Роскомнадзор (ч 1 ст. 22 закона № 152-ФЗ). Эта федеральная служба осуществляет надзор за сферой связи, массовых коммуникаций и информационных технологий. Госконтроль за обработкой персональных данных операторами, в соответствии с законом, тоже осуществляет Роскомнадзор. В этих целях он проводит проверки операторов персональных данных, согласно регламенту, утвержденному приказом Минкомсвязи РФ от 14.11.2011 № 312.

Ознакомиться с реестром операторов обработки персональных данных можно на официальном сайте Роскомнадзора, его сведения являются общедоступными.

Когда подавать уведомление о начале обработки персональных данных не требуется?

Частью 2 статьи 22 Закона о персональных данных предусмотрены случаи, когда уведомлять Роскомнадзор об обработке персональных данных не требуется. Уведомление не требуется, если обработка осуществляется:

• в государственных информационных системах, созданных для защиты безопасности государства и общественного порядка;
• в целях обеспечения функционирования транспортного комплекса, защиты от актов незаконного вмешательства в случаях, предусмотренных законодательством о транспортной безопасности;
• без использования средств автоматизации.

Случаи, когда обработка персональных данных может быть признана неавтоматизированной, сформулированы Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687 (далее по тексту – «Постановление № 687»). Так, в соответствии с пунктами 1 и 2 Постановления № 687:

• неавтоматизированной обработкой являются действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека.
• обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Как подать уведомление об обработке персональных данных?

Уведомление может быть направлено:

1. В виде документа на бумажном носителе и подписано уполномоченным лицом. Бланк можно взять из Приказа № 180 или заполнить форму, размещенную на сайте Роскомнадзора, распечатать и отправить в контрольный орган.

2. В форме электронного документа с использованием усиленной квалифицированной электронной подписью. Для этого также потребуется заполнить форму на сайте Роскомназора и подписать ее усиленной квалифицированной электронной подписью.

3. В форме электронного документа c через Портал госуслуг. Для направления уведомления данным способом потребуется пройти аутентификацию на Портале государственных услуг, заполнить и направить размещенную форму. При направлении уведомления в электронном виде последующее направление его в бумажном виде не требуется.

Как составить согласие на обработку персональных данных

В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. В бланке обязательно должны быть следующие данные:

• наименование оператора персональных данных;
• место и дата составления документа;
• фамилия, имя, отчество субъекта, его паспортные данные и сведения о месте жительства.

Далее идет информационная часть согласия. В ней прописывается:

• каких именно персональных данных касается документ;
• в каких целях и что именно допустимо с ними делать;
• срок действия согласия и возможность его отзыва.

Что изменилось в обработке персональных данных с 1 марта

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

• Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
• Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
• В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Особенности заполнения уведомления

Что это такое уведомление в Роскомнадзор для регистрации в реестре персональных данных, не все операторы четко себе представляют, поэтому в первый раз испытывают сложности с заполнением. Но ошибка или неточность чреваты серьезными проблемами, вплоть штрафных санкций при проверках, поэтому нужно четко понимать, что и где вписывать. Все поля со звездочкой в форме регистрации обязательны для заполнения — если их пропустить, то онлайн-обращение не будет отправлено, а письменную форму не будут рассматривать.

Чтобы регистрация прошла успешно, в документе предстоит указать:

• территориальное управление РКН и тип оператора;
• наименование согласно официальным документам (или Ф.И.О. для предпринимателей);
• фактический и юридический адрес, а также регионы, на территории которых ведется коммерческая или некоммерческая деятельность, подразумевающая обработку ПДн;
• сведения о филиалах (если имеются);
• ИНН и ОГРН — в форме есть и другие поля для кодов организации, но они не являются обязательными для заполнения;
• правовое обоснование — тут должно быть указано правовое обоснование для обработки персональных данных, для работодателей обязательно упоминание Трудового Кодекса;
• цель совершения операций — основной пункт, над которым необходимо серьезно задуматься, чтобы в дальнейшем не возникли противоречия с ФЗ-152 и подзаконными актами;
• категории субъектов, чьи данные собираются и используются, а также список видов ПДн, с которыми вы будете иметь дело;
• принятые меры для обеспечения информационной безопасности в ИСПДн — здесь требуется ввести все применяемые организационные и технические средства защиты;
• условия окончания процесса обработки либо конкретные сроки;
• перечень совершаемых операций;
• способ обработки сведений;
• наличие или отсутствие трансграничной передачи ПДн;
• информация о центре обработки данных — указываются отдельно для каждой ИС;
• ответственное за организацию обработки персональных данных лицо и исполнитель.

Лайфхак по успешной регистрации в реестре Роскомнадзора

Если сроки горят, и нужно зарегистрироваться в реестре с первого раза, то необходимо следовать рекомендациям:

1. Заполняйте уведомление максимально подробно и точно, ссылаясь на реальные и действующие нормы закона, а также внутренние организационно-распорядительные документы.
2. Если у вас система защиты персональных данных еще не готова, то нужно писать так, как будто она реализована полностью, с указанием конкретных подсистем и средств защиты (антивирусная подсистема, подсистема обнаружения вторжений, подсистема криптографической защиты, подсистема анализа защищенности, подсистема защиты от несанкционированного доступа и др.).
3. Если вы подаете уведомление с целью регистрации в реестре как оператор персональных данных «клиентов», то не забудьте указать, что вы обрабатываете и персональные данные сотрудников, так как они есть в любой организации. Это обязательно!
4. При описании правового основания обработки персональных данных нельзя ссылаться только на 152-ФЗ, так как закон описывает требования к обработке и защите персональных данных, но не описывает правовые основания обработки для тех или иных типов организаций.
5. При описании правового основания обработки не забудьте базовые документы, которые нужно указывать любому оператору: Конституция РФ, Трудовой кодекс РФ, Гражданский кодекс РФ.

Возможности до и после проведения

До регистрации в Роскомнадзоре вы:

1. по закону не имеете права заниматься обработкой персональных данных;
2. подпадаете под действие положений Кодекса об административных правонарушениях;
3. ваш сайт может быть заблокирован в любой момент по жалобе частного лица, в том числе, инспирированной конкурентами.

После регистрации компания:

1. застрахована от претензий надзорного ведомства во время проверки;
2. может предоставлять услуги сторонним организациям по сбору обработке и персональных данных (при наличии соответствующей лицензии);
3. может использовать законопослушание и открытость в рекламных целях.

Подтвердить или опровергнуть бытующее в профильных сообществах мнение о том, что подача уведомления о регистрации привлекает внимание и, соответственно, проверки Роскомнадзора, невозможно.

Однако, как утверждает ряд пользователей и экспертов, чем крупнее ваш бизнес или популярней Интернет-ресурс, тем выше вероятность, что ведомство само вами заинтересуется. А относительно невысокие штрафы за нарушение законодательства в сфере персональных данных легко компенсируются количеством нарушений, которые способна найти тщательная инспекция.

Внесение изменений и удаление сведений из Реестра операторов персональных данных (ПД) Роскомнадзора

Через какое-то время после отправки уведомления у предприятия или ИП может возникнуть необходимость откорректировать информацию или удалить компанию из списка. Чаще всего изменения вносятся в:

• название организации, адрес местонахождения или регистрации;
• методы обработки ПДн;
• категории субъектов ПДн;
• цели использования;
• меры по обеспечению безопасности ИСПДн;
• наличие/количество филиалов;
• сведения, с которыми осуществляются операции, и виды действий;
• условия прекращения обработки;
• графу, где указан ответственный сотрудник, если он изменился;
• сервера, на которых хранятся данные.

Нюансы «ручной» обработки персональных данных

В процессе работы с клиентами еще до того, как заключить договор на оказание услуг связи, операторы иногда используют типовые формы самостоятельно разработанных документов, которые предполагают включение в них персональных данных. Такие действия, как использование, уточнение, распространение, уничтожение личных данных, произведенные при непосредственном участии человека, в соответствии с Законом о персональных данных считаются обработкой персональных данных, осуществляемой без использования средств автоматизации. Даже если персональные сведения просто находятся в какой-либо базе данных или извлечены из нее, они будут считаться обработанными без использования средств автоматизации. Обработка персональных данных не может быть признана как производимая с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе. Об этом говорится в отдельном Положении об особенностях обработки персональных данных без использования средств автоматизации .

Может ли оператор связи требовать персональные данные работников, пользующихся корпоративной связью (и на каком основании)?

В адрес организации поступил запрос от оператора связи о предоставлении персональных данных работников, использующих телефонные аппараты только в рабочее время на рабочих местах. С оператором заключен договор от имени юридического лица, представлены документы, подтверждающие право подписи руководителя и другие, необходимые для заключения договора.

Рассмотрев вопрос, мы пришли к следующему выводу:

Юридические лица обязаны предоставлять операторам связи персональные данные работников, которые пользуются корпоративной связью, в сроки и в объеме, предусмотренными Правилами оказания услуг телефонной связи.

В противном случае оператор связи имеет право приостановить оказание услуг связи до устранения нарушения, а при неустранении такого нарушения в установленный срок в одностороннем порядке расторгнуть договор об оказании услуг связи.

Прежде всего отметим, что ст. 88 ТК РФ возлагает на работодателя обязанность не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами, одним из которых является Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ).

По общему правилу, сформулированному в п. 1 ч. 1 ст. 6 Закона N 152-ФЗ, обработка персональных данных может осуществляться с согласия субъекта персональных данных. Однако при наличии оснований, предусмотренных п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ, согласие субъекта персональных данных не требуется.

Так, обработка персональных данных без согласия субъекта допускается, если она необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ).

На наш взгляд, употребление законодателем в приведенной норме сочетания «законодательство РФ» означает, что соответствующие полномочия и обязанности могут быть установлены не только федеральными законами, но и подзаконными нормативно-правовыми актами.

Следовательно, если обязанность передавать в распоряжение третьего лица персональные данные работников предписана действующим законодательством РФ, то согласия работников на такую обработку конфиденциальной информации не требуется.

Как следует из п. 2 ст. 44 Федерального закона от 07.07.2003 N 126-ФЗ «О связи» (далее — Закон N 126-ФЗ), взаимоотношения пользователей услугами связи и операторов связи при заключении и исполнении договора об оказании услуг связи регулируются правилами оказания услуг связи, утверждаемыми Правительством РФ.

Важно верно указать адреса ЦОДов, в которых размещены ИС со сведениями о субъектах. До передачи информации в ЦОД или облако необходимо заключить договор-поручение на обработку ПДн с ЦОДом или облачным провайдером. Данное требование было отдельно отмечено представителями РКН в ходе публичного семинара по итогам контрольно-надзорной деятельности ведомства за 9 месяцев 2020 года.

ПДн российских граждан должны первично обрабатываться на территории России соответственно. При этом дальнейшая трансграничная передача ПДн не запрещена. Если вы пользуетесь облачным провайдером, расположенным за границами Российской Федерации, то необходимо создавать первичную базу данных на территории России. Штрафы за несоблюдение могут доходить до 18 млн руб.

Перед трансграничной передачей разместите базы данных у российского провайдера. В уведомлении укажите первичный адрес базы данных. Адрес ЦОД обычно указан в договоре-поручении на обработку ПДн, заключаемом между оператором и облачным провайдером.

Типичные ошибки при заполнении уведомления:

1. Неверно указано правовое основание обработки ПДн. Считается, что для обработки достаточно согласия субъекта. Этот подход неверный, согласие не «панацея» во всех случаях. Важно перечислить перечень законов и подзаконных актов, в соответствии с которыми осуществляется обработка.
2. Неправильно определены цели обработки ПДн. Например, ошибочно указывать в качестве цели «хранение персональных данных». Хранение — это одно из действий по обработке. Кроме того, недопустимо собирать сведения о субъекте только для того, чтобы хранить в базах данных. В 2019 году РКН составил 111 протоколов по данному нарушению.
3. Ошибочно установлен уровень защищенности ПДн. Как следствие, не указаны необходимые меры безопасности. Для правильного определения уровня рекомендуется привлекать специалистов по информационной безопасности.
4. Данные всех категорий субъектов заполнены в рамках одной ИС. Напомним, что сведения о каждой группе физических лиц (сотрудники, посетители сайта и т.п.) в уведомлении лучше выделить отдельно, поскольку недопустимо объединение баз ПДн, обрабатываемых в разных целях.
5. Указаны не все категории субъектов ПДн. Без проведения аудита обработки сложно выявить все группы субъектов. Например, компании забывают про обработку сведений о соискателях.
6. Отсутствуют сведения о первичной базе данных в России.Это прямой повод для проведения проверки Роскомнадзором, по итогам которой компанию могут оштрафовать за отсутствие локализации.

Похожие записи:

• Зона проживания с правом на отселение льготы 2024 в Московской области
• Налог на продажу квартиры в 2024 году для физических пенсионеров
• Классификатор видов деятельности на 2024 для патента