Регистрация в реестре операторов персональных данных Роскомнадзора

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Регистрация в реестре операторов персональных данных Роскомнадзора». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.

К персональным данным человека относится ФИО, номер паспорта, адрес прописки и пр. Исчерпывающий список не утвержден ни одним из действующих законов. Оператор персональных данных это любое физическое лицо или государственный орган, который обрабатывает ПД в тех или иных целях.

Т.е. если сотруднику предприятия по специфике своей работы приходится запрашивать или пересылать персональные данные, его можно назвать их оператором. Это же относится и к лицам, которые имеют доступ к ПД.

Соответственно оператором можно назвать почти любого человека. К примеру, пользователь ПК ведет свой сайт в интернете и собирает информацию о подписчиках. Про банки и различные компании, которые целенаправленно собирают данные гражданина отдельный разговор. Даже если продавец в магазине предлагает покупателю приобрести фирменную бонусную карту, он также является оператором ПД.

Внесение изменений в реестр операторов персональных данных на законных основаниях

Откорректировать информацию, которая представлена в единой базе, необходимо не позднее, чем через 10 дней с момента наступления оснований, например:

• приказа о назначении иного лица, ответственного за безопасность ПДн;
• переименования предприятия;
• смены юридического адреса;
• расширения спектра обрабатываемой информации;
• перемещения ИСПДн на другой сервер;
• начала трансграничной передачи;
• интеграции новых средств защиты;
• формирования новых информационных систем (автоматизированных, смешанных, неавтоматизированных);
• открытия либо закрытия филиала и т.д.

Механизм регистрации изменений в реестре операторов персональных данных Роскомнадзора следующий:

• организация или физическое лицо составляет информационное письмо, где четко указаны причины и данные, которые поменялись;
• подача осуществляется в оговоренные нормативно-правовой базой сроки в территориальное отделение РКН в форме письменного уведомления с печатью и подписью руководителя либо электронным путем с ЭЦП на сайте ведомства;
• кроме письма от оператора требуется предоставить документ, который выступает подтверждением произошедших перемен.

Обязанность подать уведомление об обработке персональных данных

Операторы обязаны сообщить в РКН о своем намерении осуществлять обработку сведений о физических лицах (статья 22 Закона). Заполнить уведомление в Роскомнадзор и привести процессы обработки в соответствие с установленными требованиями рекомендуется до начала взаимодействия с ПДн.

В некоторых ситуациях разрешено не состоять в реестре:

1. Компания обрабатывает информацию только о сотрудниках.
2. Сведения нужны в рамках договорных отношений между оператором и субъектом ПДн (например, для того, чтобы клиент мог сделать заказ и получить его).
3. Общественные объединения, религиозные организации обрабатывают информацию об участвующих в них лицах.
4. В состав собираемых сведений входит только ФИО.
5. Компания собирает ПДн субъекта для оформления разового прохода на территорию.
6. ПДн хранятся в бумажном виде, и вы их не дублируете на электронные носители. При этом бумажные документы должны быть надежно защищены от посторонних лиц.

Типичные ошибки при заполнении уведомления:

1. Неверно указано правовое основание обработки ПДн. Считается, что для обработки достаточно согласия субъекта. Этот подход неверный, согласие не «панацея» во всех случаях. Важно перечислить перечень законов и подзаконных актов, в соответствии с которыми осуществляется обработка.
2. Неправильно определены цели обработки ПДн. Например, ошибочно указывать в качестве цели «хранение персональных данных». Хранение — это одно из действий по обработке. Кроме того, недопустимо собирать сведения о субъекте только для того, чтобы хранить в базах данных. В 2019 году РКН составил 111 протоколов по данному нарушению.
3. Ошибочно установлен уровень защищенности ПДн. Как следствие, не указаны необходимые меры безопасности. Для правильного определения уровня рекомендуется привлекать специалистов по информационной безопасности.
4. Данные всех категорий субъектов заполнены в рамках одной ИС. Напомним, что сведения о каждой группе физических лиц (сотрудники, посетители сайта и т.п.) в уведомлении лучше выделить отдельно, поскольку недопустимо объединение баз ПДн, обрабатываемых в разных целях.
5. Указаны не все категории субъектов ПДн. Без проведения аудита обработки сложно выявить все группы субъектов. Например, компании забывают про обработку сведений о соискателях.
6. Отсутствуют сведения о первичной базе данных в России.Это прямой повод для проведения проверки Роскомнадзором, по итогам которой компанию могут оштрафовать за отсутствие локализации.

Что изменилось в обработке персональных данных с 1 марта

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

• Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
• Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
• В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Конфиденциальность персональных данных: когда ее не нужно обеспечивать

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

• в случае обезличивания ПД;
• в отношении общедоступных ПД;
• если данные включают только ФИО субъектов ПД;
• для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
• если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
• если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Независимо от наличия записи в реестре, в том случае, если компания обрабатывает персональные данные (а любой бизнес их обрабатывает), то она является оператором обработки персональных данных. Т.е. теоретически реестр операторов должен совпадать с ЕГРЮЛом и даже быть немного больше, т.к. и физлицо может являться оператором. Но в реестре находится чуть более 400 000 записей, что явно меньше количества зарегистрированных юридических лиц и индивидуальных предпринимателей.

Конечно же существует возможность не уведомлять Роскомнадзор об обработке персональных данных. Ряд исключений предусмотрены ст. 22 ФЗ “О персональных данных”, но с ними не все так однозначно как кажется на первый взгляд, о чем напишу позже. Важно понять другое — независимо от наличия вашей компании в Реестре требования законодательства о персональных данных на вас также распространяются и их необходимо неукоснительно соблюдать.

Как получить информацию, является ли организация оператором, осуществляющим обработку персональных данных

Вы можете проверить любую организацию на предмет ее наличия в списке операторов РКН. Это можно сделать на сайте ведомства Роскомнадзор или прямо здесь. Для этого введите ИНН компании и ее название.

Роскомнадзор ведет реестр операторов персональных данных, формируемый из государственных органов власти, коммерческих компаний, индивидуальных предпринимателей и даже физических лиц. Сбор и обработка личных сведений регулируется Федеральным законом № 152-ФЗ. За его нарушение операторы несут административную ответственность в виде штрафа. Вы можете проверить прямо здесь или на сайте РКН, состоит ли интересующее вас ведомство или организация в списке хранителей личных сведений, с правом их использования (оборота).

Когда обработку персданных можно считать автоматизированной?

Наибольший интерес из перечисленных выше исключений представляет обработка персданных без средств автоматизации. Что под этим понимается? Согласно п. 4 ст. 3 Закона № 152‑ФЗ автоматизированная обработка персданных – ​это обработка с помощью средств вычислительной техники.

Значит, если работодатель ведет учет персональных данных работников без использования компьютера, исключительно на бумажных носителях, тогда он по-прежнему может не уведомлять Роскомнадзор об обработке персданных. Хоть такую ситуацию сложно представить, но все-таки можно. Например, микропредприятие, занимающееся торговлей овощами и фруктами в палатке с одним директором и тремя работниками.

Если же работодатель на компьютере:

• собирает, записывает, систематизирует;
• накапливает, хранит;
• уточняет (обновляет, изменяет);
• извлекает, использует, передает (распространяет, предоставляет, дает доступ);
• обезличивает;
• блокирует, удаляет, уничтожает

персональные данные работников, то это будет считаться автоматизированной обработкой.

Работодатели осуществляют обработку персональных данных своих работников (например, Ф.И.О., возраст, паспортные и др. данные). Абсолютное большинство из них заносит и хранит информацию в различных базах, использует бухгалтерские программы и программное обеспечение для составления и отправки отчетности в ПФР и другие инстанции⁶. А значит, попадает под регламентацию деятельности операторов и несет соответствующие обязанности, в том числе по уведомлению Роскомнадзора.

В каких случаях нет необходимости предварительно уведомлять Роскомнадзор?

Давайте выясним, что вообще такое Роскомнадзор? Что это за организация? Это служба федерального уровня по надзору в сфере связи, информации и коммуникации. Другими словами, данное учреждение относится к органам исполнительной власти, сотрудники которого занимаются надзором в области связи, СМИ и контролем защиты персональных данных.

Итак, когда же не требуется сообщать Роскомнадзору о своей деятельности?

В случае если обработка данных выполняется без использования средств автоматизации, например, для однократного посещения библиотеки.

Если речь идет о системах хранения данных, созданных в целях государственной безопасности, а также не уведомляют Роскомнадзор компании, которые фиксируют сведения о лицах в области пассажироперевозок.

Важно, что с первого сентября этого года вступили в силу поправки к закону № 152, в результате чего значительно сократился список случаев, когда оператор персональных данных может вести свою деятельность, не уведомляя Роскомнадзора.

Так что обратите внимание на данные поправки – информация в них самая актуальная на данный момент времени. Изменения в федеральном законе обязывают уведомлять Роскомнадзор теперь и тех операторов персональных данных, которые прежде выполняли свою деятельность без уведомления в обязательном порядке. А именно:

• В первую очередь, это ситуации, когда работодателю нужно взять с сотрудника разрешение на обработку его ПД (персональных данных) при устройстве на работу. К этому же пункту можно отнести оформление временного пропуска, например, когда лицу нужно зайти на объект.
• Религиозные организации раньше могли не регистрироваться в РКН, но теперь обязаны это делать.
• В случае даже если гражданин сам сделал свои персональные данные общедоступными – теперь обязательна регистрация в соответствующих органах.
• Также раньше можно было не уведомлять Роскомнадзор, если информация о человеке содержит только его ФИО, а также, если данные нигде не распространяются и не передаются третьим лицам. Теперь же это делать нужно в любом случае.

Регистрация в реестре операторов персональных данных Роскомнадзора

4.1 В случае внесения изменений в ранее предоставленную информацию Оператор в течение 10 рабочих дней с момента возникновения таких изменений направляет Информационное письмо в орган, уполномоченный защищать права субъектов персональных данных.

4.2 Информационное письмо рекомендуется составлять на бланке Оператора по форме, приведенной в Приложении 2 к Рекомендациям, и направлять в ТО Роскомнадзора по месту регистрации Оператора в налоговом органе.

Срок обработки Информационного письма исчисляется с даты его регистрации в Роскомнадзоре (ТО Роскомнадзора). Изменения в информации Оператора должны быть внесены в Реестр не позднее 30 дней с даты регистрации Информационного письма.

4.3 При обнаружении факта внесения в Реестр недостоверных или неполных сведений об Операторе сотрудник Роскомнадзора (филиала Роскомнадзора) информирует Оператора путем направления Оператору письма о перечне недостающих или недостоверных сведений об Операторе, подлежащих внесению (изменению) в Реестр.

Оператору рекомендуется предоставлять по запросу Роскомнадзора (ТО Роскомнадзора) уточненную информацию в течение 30 дней с момента получения такого запроса.

4.4 Информация о включении сведений Оператора в Реестр будет размещена на официальном сайте и на Портале персональных данных Роскомнадзора.

5.1 Считается, что оператор прекратил обработку персональных данных при наступлении следующих условий:

5.1.1 Ликвидация Оператора.

5.1.2 Прекращение деятельности Оператора в результате его реорганизации.

5.1.3 Отзыв лицензии Оператора на осуществление лицензируемой деятельности, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без письменного согласия субъекта данных.

5.1.4 Вступившее в законную силу решение суда о прекращении обработки персональных данных Оператором.

5.1.5 Наступление срока или условия прекращения обработки персональных данных Оператором, указанного Оператором в Уведомлении.

5.2 В случае прекращения обработки персональных данных Оператор в течение 10 рабочих дней с момента наступления установленного срока или условия прекращения обработки персональных данных направляет в компетентный орган по защите прав субъектов персональных данных Заявление с приложением документов, подтверждающих условия исключения Оператора.

5.3 Заявление рекомендуется составлять на бланке Оператора по форме, приведенной в Приложении 3 к Рекомендациям, и направлять в ТО Роскомнадзора по месту регистрации Оператора в налоговом органе.

Срок рассмотрения Заявки исчисляется с даты ее регистрации в Роскомнадзоре (филиале Роскомнадзора). Информация об исключении Оператора будет внесена в Реестр не позднее 30 дней с даты регистрации Заявления.

5.4 После получения Роскомнадзором (филиалом Роскомнадзора) Заявления, информация о прекращении Оператором обработки персональных данных вносится в Реестр.

5.5 Информация о прекращении обработки Оператором персональных данных, внесенных в Реестр, будет размещена на официальном сайте и Портале персональных данных Роскомнадзора.

6.1 Информация об Операторе, содержащаяся в Реестре, является общедоступной и размещена для ознакомления на официальном сайте Роскомнадзора и Портале персональных данных. Тем не менее, любое заинтересованное лицо имеет право обратиться в Роскомнадзор (филиал Роскомнадзора) за выпиской об Операторе из Реестра.

6.2 Рекомендуется составить запрос на получение выписки по форме, приведенной в Приложении № 4 к настоящим Методическим рекомендациям, и направить его в ТО Роскомнадзора по месту регистрации указанного Оператора в налоговом органе.

Срок рассмотрения заявления на получение выписки исчисляется с даты его регистрации в Роскомнадзоре (филиале Роскомнадзора). Выписка из Реестра направляется заинтересованному лицу в течение 5 рабочих дней со дня регистрации запроса на получение выписки.

6.3 Выписка из Реестра предоставляется, если в заявлении имеется следующая информация:

6.3.1. полное наименование, ИНН, ОГРН, юридический адрес и почтовый и/или электронный адрес соответствующего юридического лица, а также фамилию, имя, отчество (последнее при наличии), почтовый и/или электронный адрес соответствующего физического лица.

6.3.2 Наименование Оператора, его ИНН (PSRN) и/или регистрационный номер в Реестре.

6.4 Если заявление о выдаче копии Реестра не содержит информации, необходимой для ее выдачи, Заявителю направляется письмо с указанием причины отказа в выдаче копии Реестра.

В соответствии со статьей 18 (1) Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ), в обязанности оператора персональных данных входит издание документа, устанавливающего политику оператора в отношении обработки персональных данных, обеспечивая тем самым принципы законности, конфиденциальности и информационной безопасности. Оператор должен опубликовать или иным образом обеспечить неограниченный доступ к этому документу и информации о реализуемых требованиях по защите персональных данных. Оператор, осуществляющий сбор персональных данных посредством информационно-коммуникационных сетей, обязан опубликовать в соответствующей сети документ, излагающий его политику обработки персональных данных и информацию о внедренных требованиях по защите данных, а также обеспечить доступ к этому документу посредством соответствующей сети.

Органы Роскомнадзора осуществляют надзор за выполнением данного обязательства. И по их требованию оператор обязан представить указанные документы и локальные акты и (или) иным образом подтвердить выполнение обязанностей, установленных статьей 18.1 Закона № 152-ФЗ. 18.1 Закона № 152-ФЗ.

Что именно представляет собой этот документ? Его не следует путать с Положением о персональных данных. Оператор персональных данных в соответствии с той же статьей 18.1 должны иметь отдельные локальные акты об обработке таких данных и локальные акты, устанавливающие процедуры предупреждения и выявления нарушений законодательства РФ, устранения последствий нарушений, в дополнение к Политике.

Это совокупность правовых актов, на основании и в соответствии с которыми оператор осуществляет обработку персональных данных. Правовой основой для обработки этих данных могут быть:

• федеральные законы и принятые в соответствии с ними нормативные акты, регулирующие отношения, связанные с деятельностью оператора;

• уставные документы оператора;

• договоры, заключенные между оператором и субъектом персональных данных;

• согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих правам оператора).

В этом разделе Роскомнадзор рекомендует указать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы и время обработки данных.

При необходимости сотрудничества с третьими лицами в реализации целей обработки персональных данных рекомендуется указать условия передачи данных третьим лицам — например, наличие договора поручения на обработку персональных данных, в том числе расположенных за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цель (трансграничной) передачи, объем передаваемых данных, перечень действий по обработке, методы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Кроме того, оператор имеет право передавать персональные данные органам следствия и прокуратуры, другим уполномоченным органам на основании, предусмотренном действующим законодательством Российской Федерации.

Кто не обязан уведомлять Роскомнадзор об обработке персональных данных

Персональные данные регулируются Федеральным законом Российской Федерации №152 от 27 июля 2006 года. Это постановление обязывает все организации, обрабатывающие информацию о гражданах, зарегистрироваться в специализированном реестре.

Косвенными операторами могут быть государственные органы, организации и частные лица, которые самостоятельно собирают информацию и определяют цель соответствующей деятельности.

Для того чтобы понять, что представляет собой реестр операторов персональных данных Роскомнадзора, необходимо ознакомиться с основными понятиями, параметрами, содержащимися в этих документах, списком операторов, сроками уведомлений, алгоритмом регистрации, порядком получения прав на обработку информации, а также ответственностью за нарушения.

Многие граждане задаются вопросом, что такое персональные данные.

Статья 3 Федерального закона 152 определяет персональные данные как любую информацию, которая прямо или косвенно относится к физическим лицам, являющимся субъектами таких персональных данных.

Если в процессе получения информации моно понять, кто является непосредственным субъектом, то весьма вероятно, что речь идет о персональных данных. Если понять это невозможно, то информация не относится к конкретному лицу и поэтому не включается в специальный реестр.

В 2020 году уполномоченные представители территориальных подразделений Роскомнадзора проводят проверки среди компаний, которые ранее были внесены в реестр организаций, осуществляющих обработку персональных данных. В некоторых случаях аналогичная деятельность может осуществляться организациями, которые не зарегистрированы. Это актуально только в том случае, если они потенциально вовлечены в обработку информации о российских гражданах.

Список запланированных проверок находится в открытом доступе. Заинтересованным лицам необходимо посетить официальный сайт надзорного органа, чтобы ознакомиться с ним.

Помимо прочего, проверки могут быть инициированы на основании жалобы, чем иногда пользуются бывшие сотрудники компаний или недобросовестные конкуренты.

Если в ходе проверок будут обнаружены несоответствия или нарушения, компании и их руководители могут быть привлечены к административной ответственности. В большинстве случаев во время проверки можно обнаружить ряд нарушений. Штрафы определяются отдельно по каждому из них. Общая сумма штрафов может достигать 100 000 рублей.

Требования, связанные с обработкой персональных данных, изложены в действующем трудовом законодательстве.

Роскомнадзор имеет право блокировать официальные сайты тех компаний, которые нарушают правила обработки персональных данных. Жалобы от частных лиц являются основанием для начала процесса блокировки. Изменение соответствующего реестра производится специальным указом.

Примечание.

Существуют ситуации, когда возникает необходимость исключить данные организации из реестра Роскомнадзора. К ним относятся:

• реорганизация компании и, как следствие, прекращение деятельности Оператора;
• полная ликвидация Оператора;
• анализ лицензии;
• вступило в силу решение суда о запрете, а также дата или условие расторжения договора, указанные в уведомлении, которое было подано в Роскомнадзор.

РКН утвердил 3 формы уведомлений

26 декабря 2022 года вступил в силу приказ Роскомнадзора, которым утверждены 3 формы уведомлений:

1. уведомление о намерении осуществлять обработку персональных данных;
2. уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
3. уведомлене о прекращении обработки персональных данных.

Если говорить, что “новшества”, то первые два уведомления отличаются от прежних форм тем, что теперь для каждой категории физлиц нужно отдельно:

• указывать цели обработки информации;
• перечислять, какие персональные данные обрабатываете;
• уточнять, на основании какого нормативного акта обрабатываете данные именно этой категории физлиц;
• указывать, что будете делать с полученными данными и как собираетесь их обрабатывать — электронно или на бумаге.

Например, компания работает с персональными данными работников и клиентов. Сначала в первых двух уведомлениях потребуется указать цели, перечень персональных данных, категорию физлиц, правовые основания и способы обработки только по работникам. Затем – то же самое по клиентам компании и другим категориям физлиц.

Что касается третьего уведомления у о прекращении обработки персональных данных, то в нем нужно указать только причину и дату, когда прекратили обрабатывать персданные.

Дополнительные разъяснения Роскомнадзора

Мы направили в РКН два обращения с просьбой о дополнительном разъяснении обязанности инициатора общего собрания собственников уведомлять Роскомнадзор об обработке персональных данных.

Вот что написало ведомство в своих двух ответах от 07.11.2022 № 08 – 98470 и от 10.11.2022 № 08 – 99909.

• Обязанность по направлению уведомления об обработке персональных данных возлагается, в том числе на физическое лицо – инициатора общего собрания, независимо от формы проведения общего собрания (спрашивали про собрания в ГИС ЖКХ).
• Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Таким образом, обработка персональных данных в системе программ «Excel» и «Word» признаётся осуществляемой с использованием средств автоматизации (спрашивали про эти программы).
• Поручение оператора на обработку данных другому лицу не отменяет возложенную на оператора обязанность по уведомлению об обработке (спрашивали про подготовку документов с помощью сторонних юристов или сервисов).
• В случае прекращения обработки персональных данных оператору необходимо направить уведомление о прекращении обработки персональных данных (спрашивали про прекращение обработки).

Похожие записи:

• Какие выплаты положены при рождении четвёртого ребенка в 2023 году?
• Областные пособия, предоставляемые семьям с детьми в 2023 году
• Законы для МСП: что изменилось с 1 января 2023 года