Работа с персональными данными накладывает на оператора ряд обязанностей. Рассмотрим несколько наиболее существенных из них.

Уведомить Роскомнадзор о начале обработки персональных данных (). Такое уведомление необходимо направить в ведомство до начала обработки данных, указав в нем:

• наименование (ФИО), адрес оператора;
• цель обработки персональных данных;
• категории персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
• меры защиты персональных данных;
• ФИО физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
• дату начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• данные о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• информацию о месте нахождения базы данных информации, содержащей персональные данные россиян;
• сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ (речь, в частности, идет об персональных данных в зависимости от угроз безопасности, персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, а также о и технологиям хранения таких данных вне информационных систем персональных данных).

При этом есть ситуации, когда уведомлять Роскомнадзор об обработке персональных данных не нужно. Это, например, обработка работодателем данных работников, получение оператором данных клиента при заключении с ним договора (если эта информация не предоставляется третьим лицам без согласия на то субъекта и используется исключительно для исполнения указанного договора), обработка общедоступных персональных данных, оформление лицу однократного пропуска на территорию оператора, использование только ФИО субъекта и др. ().

Обеспечить конфиденциальность персональных данных. Это значит, что распространять их без согласия на то субъекта нельзя (). Данная обязанность лиц, получивших доступ к персональным данным, является одной из основных. В частности, при передаче персональных данных работников работодатель обязан:

• не сообщать персональные данные работника третьей стороне без его письменного согласия (за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в других предусмотренных законом случаях – например, при передаче данных в ФСС, ПФР, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ и др.);
• предупредить лиц, получающих персональные данные работника, что эта информация может быть использована лишь в целях, для которых она сообщена – более того, работодатель даже может требовать от таких лиц подтверждения того, что это правило соблюдено;
• осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись;
• разрешать доступ к персональным данным работников только специально уполномоченным лицам, причем они должны иметь право получать лишь те данные работника, которые необходимы для выполнения конкретных функций;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
• ограничивать информацию, передаваемую представителям работников, лишь теми данными работника, которые необходимы для выполнения указанными представителями их функций ().

Принимать меры для обеспечения безопасности персональных данных (). Для этого организации следует назначить лицо, ответственное за организацию обработки персональных данных (). Такое лицо обязано осуществлять внутренний контроль за соблюдением оператором и его работниками требований к защите персональных данных, доводить до сведения работников положения , локальных актов по вопросам обработки персональных данных, а также организовывать прием и обработку обращений и запросов субъектов персональных данных. Кроме того, в этих же целях следует применять технические меры по обеспечению безопасности обработки, а также издать документы, определяющие политику компании в отношении обработки персональных данных, и др.

При этом политику обработки персональных данных организация должна сделать публичной (). Наиболее оптимальным способом является размещение документа на сайте оператора. Но в том случае, когда это невозможно, достаточно установить "кармашек" с политикой на бумажном носителе в любом доступном для посетителей организации месте. Исключение составляют операторы, собирающие персональные данные непосредственно через Интернет, – им необходимо опубликовать политику именно на сайте и обеспечить возможность доступа к указанному документу. На официальном сайте Роскомнадзора можно ознакомиться с рекомендациями по составлению политики в отношении обработки персональных данных .

Не стоит путать политику, распространяющуюся в основном на третьих лиц (контрагентов, клиентов и др.), с Положением о защите, хранении, обработке и передаче персональных данных работников – этот документ в отличие от политики является локальным нормативным актом, поэтому делать его публичным не нужно, а вот ознакомить с ним под роспись работников следует обязательно ().

МАТЕРИАЛЫ ПО ТЕМЕ

О том, с какими проблемами может столкнуться оператор при соблюдении требований о локализации персональных данных и как их наиболее эффективно их решить, читайте в нашем материале " ".

Соблюдать требования по локализации персональных данных россиян. С 1 сентября 2015 года все операторы при сборе персональных данных обязаны обеспечить их обработку с использованием баз данных, находящихся в России (). Так называемая локализация персональных данных поначалу вызвала большой резонанс среди специалистов и операторов – требования закона были сформулированы таким образом, что у экспертов возникло немало . Среди них отсутствие ясности, на какие именно персональные данные будет распространяться данное требование, каких операторов это затронет, допускается ли обработка персональных данных одновременно на российском и иностранном сервере, как определить гражданство субъекта и т. д. На большую часть этих вопросов Роскомнадзор ответил еще до вступления новых требований закона в силу. Так, например, ведомство предоставило операторам право самостоятельно решать вопрос определения гражданства лица, чьи данные обрабатываются, либо применять требование о локализации к персональным данным всех субъектов. Кроме того, Роскомнадзор уточнил, что в том случае, когда при сборе персональные данные были записаны в российскую базу данных, в дальнейшем они могут обрабатываться и в электронной базе, находящейся за пределами страны.

И в политике обработки персональных данных, и в Положении о защите, хранении, обработке и передаче персональных данных работников следует прописать, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России, а также указать место нахождения такой базы данных.

Своевременно прекратить обработку персональных данных. Если цель обработки персональных данных достигнута или субъект отозвал свое согласие на их обработку, оператор должен прекратить обработку этих данных и удалить их в 30-дневный срок, если иной срок не определен в соглашении ().

Требования закона к оператору персональных данных

Оператор обязан обеспечивать конфиденциальность персональных данных. В статье 7 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее ФЗ-152) написано, что оператор не обязан защищать персональные данные, если они являются обезличенными или общедоступными. Оператор персональных данных не имеет права обрабатывать данные без согласия субъекта персональных данных , то есть человека, кому эти данные принадлежат. Однако, в ст. 6 ч.2 ФЗ-152 предусмотрен ряд случаев, когда согласие субъекта не требуется.
В частности, не требуется согласие субъекта, если его персональные данные обрабатываются на основании Федерального закона, определяющего цель и содержание такой обработки (ст. 6, п.2, ч.2). Например, согласно Федеральному закону № ФЗ-3266-1 «Об образовании», у выпускников средних общеобразовательных учреждений не обязательно брать согласие на обработку их персональных данных для допуска к ЕГЭ. Органы и организации, привлекаемые к проведению ЕГЭ, осуществляют «…передачу, обработку и предоставление полученных в связи с проведением единого государственного экзамена <…> персональных данных обучающихся, участников единого государственного экзамена <…> в соответствии с требованиями законодательства Российской Федерации в области персональных данных без получения согласия этих лиц на обработку их персональных данных» (ст. 15, п. 5.1). В апрельском номере журнала «Персональные данные» есть большой материал , посвященный именно этой проблеме.
Еще один случай, когда для обработки персональных данных не требуется согласие субъекта: исполнение договора, одной из сторон которого является субъект персональных данных. Для примера подойдет любой договор компании с физическим лицом на оказание услуг. Массу полезной информации по этой теме можно найти в специализированной прессе. Оператор также должен обеспечивать необходимые организационные и технические меры для пресечения попытки незаконного доступа к персональным данным.

Необходимые документы

Каждый оператор персональных данных обязан иметь пакет документов, подтверждающих защищенность Пдн сотрудников и клиентов.

Перечень необходимых документов может меняться в зависимости от специфики обработки персональных данных, орг.структуры и других особенностей каждого отдельно взятого предприятия.

В соответствии с данным пакетом документов на предприятии должны быть внедрены технические средства защиты персональных данных.

Подготовка документов, необходимых для защиты персональных данных

Существует несколько способов подготовить документы в соответствии с требованиями 152-ФЗ «О персональных данных» :

Средства защиты

Практически в каждой организации имеется информационная система персональных данных (сокращённо ИСПДн), которая может содержать, например, фамилию, имя работника, его паспортные данные, ИНН и т. д. С этой информационной системой работает оператор. В зависимости от того, какие данные содержатся в ИСПДн конкретной организации, эта ИСПДн может относится к одному из четырёх классов, каждый из которых предусматривает различные средства для защиты персональных данных.

См. также

Ссылки

• www.rsoc.ru Реестр операторов, осуществляющих обработку персональных данных
• www.pd.rsoc.ru Портал персональных данных Уполномоченного органа по защите прав субъектов персональных данных
• www.privacy-journal.ru Информационно-аналитический журнал "Персональные данные"

Wikimedia Foundation . 2010 .

Смотреть что такое "Оператор персональных данных" в других словарях:

Оператор персональных данных - 2) оператор государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки… … Официальная терминология

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение,… … Википедия

Субъект персональных данных физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. Содержание 1 Взаимодействие с субъектом персональных данных … Википедия

Комплекс мероприятий технического, организационного и организационно технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных… … Википедия

Эта статья или раздел описывает ситуацию применительно лишь к одному региону. Вы можете помочь Википедии, добавив информацию для других стран и регионов. Содержание 1 Определение … Википедия

Номер: 152 ФЗ Принятие: Государственной думой 26 июля 2006 года Вступление в силу: 26 января 2007 г. Федеральный закон РФ от 27 июля 2006 года № 152 ФЗ «О персональных данных» федеральный закон, регулирующий деятельность по обработке (использ … Википедия

Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) - Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… …

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ПРИНЯТИИ РЕШЕНИЙ НА ОСНОВАНИИ ИСКЛЮЧИТЕЛЬНО АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ИХ ПЕРСОНАЛЬНЫХ ДАННЫХ - согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, заключаются в запрещении принятия на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении… …

оператор - 4.22 оператор (operator): Какой либо объект, осуществляющий работу системы. Примечание 1 Роль оператора и роль пользователя могут возлагаться одновременно или последовательно на одно и то же лицо или организацию. Примечание 2 В контексте данного… … Словарь-справочник терминов нормативно-технической документации

ОПЕРАТОР - согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и/или осуществляющие обработку персональных данных, а также определяющие цели … Делопроизводство и архивное дело в терминах и определениях

Роскомнадзор ведёт реестр операторов - компаний, выполняющих требования закона «О персональных данных». Чтобы попасть в реестр, компания подаёт уведомление об обработке персональных данных. Это может быть непросто сделать: непонятно, когда подавать уведомление, как его заполнить и как убедиться, что информация дошла до Роскомнадзора.

Можно ли не подавать уведомление?

Закон «О персональных данных» требует, чтобы каждая компания подала уведомление.

В законе есть несколько исключений, позволяющих ряду компаний избежать этого. В этом случае нужно быть готовым юридически грамотно доказать контролирующему органу, что исключения на компанию распространяются. Сделать это не так-то просто: отсутствие уведомления - одно из самых частых нарушений, выявляемых в ходе проверок Роскомнадзора.

Самый лучший вариант - подать уведомление и обезопасить компанию от вопросов контролирующего органа, почему это не было сделано.

Иногда компании опасаются, что подача уведомления привлечёт излишнее внимание Роскомнадзора, и он придёт с проверкой. На практике этого не происходит.

Когда отправить уведомление?

Уведомление подаётся до начала обработки персональных данных. Исходя из буквы закона, это нужно сделать в первые дни после государственной регистрации юридического лица или ИП.

Часто решение подать уведомление принимается тогда, когда компания работает уже несколько месяцев или несколько лет. Не стоит опасаться штрафа или других санкций за «опоздание» с подачей уведомления. А вот если компанией заинтересуется Роскомнадзор (придёт с проверкой или пришлёт «письмо счастья», где потребует подать уведомление), тогда штрафа будет не избежать.

Важный нюанс: даже если уведомление подаётся с «опозданием», в качестве «даты начала обработки персональных данных» лучше указать дату государственной регистрации компании.

Как заполнить уведомление?

Уведомление нужно подать через интернет (в электронном виде) и направить по почте (в печатном виде).

Электронная форма уведомления заполняется на сайте Роскомнадзора. Требуется указать достаточно много информации, и это не так-то просто сделать, несмотря на наличие подсказок. Нужно быть готовым сформулировать правовые основания и цели обработки персональных данных, описать совершаемые с ними действия и указать, каким образом обеспечивается их безопасность.

После отправки электронной формы сайт Роскомнадзора предложит скачать уже заполненную печатную форму. Её нужно будет распечатать, подписать и удостоверить печатью компании, после чего отправить по почте в территориальный орган Роскомнадзора. Это необходимо, чтобы подтвердить сведения, поданные через интернет.

Ещё можно заполнить уведомление в электронном виде на Портале государственных услуг, однако это менее удобный способ.

Как узнать, что уведомление принято?

После заполнения уведомления на сайте Роскомнадзора компания получит номер уведомления и секретный ключ. С их помощью на специальной странице можно уточнить статус уведомления и узнать, когда его сведения попадут в реестр операторов.

Вся информация в реестре операторов общедоступна, кроме сведений об обеспечении безопасности персональных данных. Можно найти уведомление любого оператора.

Сколько раз нужно подавать уведомление?

Уведомление подаётся только один раз.

Однако есть важный нюанс: закон «О персональных данных» требует оповещать Роскомнадзор об изменении сведений, указанных в уведомлении, в течение 10 дней после таких изменений. Уведомление содержит много сведений о компании, и изменения могут случаться довольно часто. Увы, следить за ними и вовремя реагировать бывает непросто.

Лучше всего подать уведомление как можно раньше и аккуратно следить за тем, чтобы сведения о компании в реестре операторов были актуальны. Это очень просто сделать с помощью нашего сервиса.

Как стать оператором персональных данных в реестре Роскомнадзора

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее - ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных - это государственный или муниципальный орган, юридическое или физическое лицо, которое:

самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;

определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД - повсюду, в любой сфере!

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;

компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;

общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;

организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;

любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;

системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;

граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687 ;

организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

Роскомнадзор рекомендует подавать уведомление на бланке организации, на бумаге либо в электронном варианте. Бумажный вариант надо будет заполнить, подписать и отправить в территориальный орган Роскомнадзора (по почте или отнести лично). Электронный документ можно оформить прямо на сайте ведомства - в разделе «Электронные формы заявлений».

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;

цели обработки, заявленные в учредительных документах либо фактически осуществляемые;

категории ПД, которые будут обрабатываться;

субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;

основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;

описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;

сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;

информация о шифровальных (криптографических) средствах;

дата начала, а также условия и сроки прекращения обработки ПД;

сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;

сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП - от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим - от 3000 до 5000 рублей.

Ведение реестра операторов, осуществляющих обработку персональных данных

Внесение сведений об операторе в реестр операторов, осуществляющих обработку персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций)

Общая информация

Результаты услуги

Кто может получить услугу

• Имеет статус предпринимателя
• Физические лица
• Юридические лица

Как можно подать документы

• Почтой
• Через законного представителя

Как можно получить результаты оказания услуги

• Лично

Основания для отказа в оказании услуги

• Основанием для приостановления сроков внесения сведений об Операторе в Реестр (внесения изменений и исключения сведений об Операторе из Реестра) является предоставление оператором неполных или недостоверных сведений. (Основанием для приостановления сроков внесения сведений об Операторе в Реестр (внесения изменений и исключения сведений об Операторе из Реестра) является предоставление Оператором неполных или недостоверных сведений.)

Срок оказания услуги

Срок выполнения услуги: Предоставление государственной услуги осуществляется без непосредственного взаимодействия с заявителем.
Внесение сведений об Операторе в реестр осуществляется в течение 15 дней с даты поступления уведомления по результатам проверки сведений, содержащихся в Уведомлении. Датой внесения сведений об Операторе в Реестр считается дата подписания приказа.
Заявление о предоставлении государственной услуги регистрируется в срок, не позднее дня, следующего за днем его поступления в Роскомнадзор (территориальный орган Роскомнадзора).
Информация о внесении сведений об Операторе в Реестр размещается на официальном сайте Роскомнадзора в срок, не позднее 3 дней с даты подписания приказа.

Основанием для рассмотрения вопроса о внесении сведений об Операторе в Реестр является направление Оператором Уведомления непосредственно в Роскомнадзор (территориальный орган Роскомнадзора) или поступление Уведомления в ЕИС с Единого портала с присвоением ему входящего номера.
Уведомление должно содержать следующие сведения:

1. Наименование (фамилия, имя, отчество), адрес Оператора.
2. Цель обработки персональных данных.
3. Категории персональных данных.
4. Категории субъектов, персональные данные которых обрабатываются.
5. Правовое основание обработки персональных данных.
6. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.
7. Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.
9. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
10. Сведения об обеспечении безопасности персонал

www.gosuslugi71.ru

Статьи по теме

Оператор персональных данных – это любое лицо, собирающее сведения о сотрудниках и клиентах. Узнайте, как подать в Роскомнадзор заявку об обработке персональных данных, каковы обязанности оператора, что может привести к штрафу

Читайте в нашей статье:

Кто включен в реестр операторов персональных данных Роскомнадзора

Оператор персональных данных – это любое лицо, собирающее сведения о сотрудниках и клиентах (ст. 3 Закона № 152-ФЗ «О персональных данных»).

Новая ответственность за нарушения в персданных. За что и на сколько теперь будут штрафовать>>>

Оператором (ОПД) может стать государственная или муниципальная компания, юрлицо, бизнесмен и даже обычный человек, если будет собирать сведения о других людях и самостоятельно определять, какие именно данные запрашивать, как их обрабатывать и что потом делать с собранной информацией.

Закон определяет персональные данные как любую информацию, которая относится к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Конечно, в большинстве случаев запрашиваемая информация ограничивается только фамилией, именем, отчеством, паспортными данными и номером сотового телефона, но иногда для идентификации лица нужно выяснить номер его автомобиля, реквизиты водительского удостоверения или СНИЛС и другие сведения.

Исчерпывающего перечня в законе нет, так что к персональным данным можно отнести абсолютно любую информацию, нужную для идентификации.

Получается, что любой, кто запрашивает и использует такие сведения, и подал соответствующую заявку, включен в реестр операторов персональных данных Роскомнадзора. Уже сейчас там содержится больше 400 000 позиций, и постоянно появляются новые лица. Среди них банки, страховые компании, туристические агентства, салоны красоты, магазины, ТСЖ, детские садики, поликлиники и многие другие.

Если на каком-либо сайте предусмотрена форма обратной связи, подписка или личный кабинет, в котором посетители будут оставлять данные, то владельцам сайта тоже следует зарегистрироваться в реестре.

Оператор не может обрабатывать полученные сведения без согласия того, кому они принадлежат.

Но есть и исключения. Если каким-либо законом предусмотрена такая работа с информацией (с определением цели и содержания обработки), то согласие получать не обязательно.

Например, по закону «Об образовании» для допуска к ЕГЭ предусмотрены передача, обработка и предоставление личных данных учеников без их подписи на согласии на работу со сведениями.

Как подать заявку об обработке персональных данных

Уведомление можно подать на сайте Роскомнадзора и отправить почтой.

Заполняя электронную форму уведомления, надо будет указать:

• ИНН, ОГРН и прочие данные заявителя;
• цели и правовое обоснование для обработки данных;
• указать, какие именно данные будут обрабатываться и как это будет происходить;
• реквизиты лицензий (если деятельность заявителя лицензируется);
• меры, предпринимаемые для сохранности полученных данных;
• дату начала обработки многое другое (ст. 22 Закона № 152-ФЗ).

После того, как электронная форма будет заполнена, ее можно будет скачать с сайта Роскомнадзора, распечатать, подписать и отправить почтой в территориальный орган. Тем самым будут подтверждены сведения, отправленные через сайт.



Есть вариант заполнить заявку через Портал госуслуг, но это менее удобный способ, нежели общение с Роскомнадзором через его собственный сайт.

Если все будет сделано правильно, то компания будет вписана Роскомнадзором в реестр операторов, осуществляющих обработку персональных данных.

Законом предусмотрены исключения, когда не требуется подобная регистрация.

Могут не подавать заявку на включение в реестр:

• работодатели, собирающие информацию о своих сотрудниках;
• те, кто обрабатывают только ФИО людей;
• те, кто берет сведения, чтобы один раз пропустить человека на свою территорию и т.д.

Полный перечень исключений расписан в ч. 2 ст. 22 Закона № 152-ФЗ «О персональных данных ». Компании, полагающей, что она входит в этот заветный список, придется аргументированно обосновать, что это действительно так.

В приватном разговоре с инспекторами мы узнали, где они будут «копать», когда компанию нужно оштрафовать, а явного повода нет. Готовьтесь к тому, что искать будут, – планы по штрафам планируют повысить.

Исходя из положений права, заявку об обработке персональных данных надо подать в первые дни после создания юрлица или ИП – то есть, до начала работы с информацией.

Но на практике оператор уже вовсю работает несколько месяцев, а то и лет, когда руководству приходит в голову мысль зарегистрироваться. Если эта идея посетит руководство до прихода Роскомнадзора, хорошо – можно будет избежать штрафа или других санкций.

А в случае прихода проверяющих до подачи уведомления, придется заплатить за нерасторопность.

Обязанности оператора при обработке персональных данных

После того, как фирмой или бизнесменом пройдена регистрация в Роскомнадзоре как оператора персональных данных, придется выполнять обязанности, прописанные в главе 4 Закона № 152-ФЗ. В частности, ОПД должны:

• объяснять субъекту, от которого получают информацию, что именно они берут и для чего;
• пояснять, какие последствия повлечет отказ сообщить сведения;
• обеспечить запись, систематизацию, накопление, хранение, уточнение и прочее полученной информации;
• предоставить сведения об обработке данных субъекту, если они были получены не от него;
• принимать меры для защиты от неправомерного (случайного) доступа к сведениям, уничтожения, изменения, блокирования или копирования;
• назначить ответственное лицо.

Операторы должны получить предварительное согласие человека на обработку личной информации. Оно запрашивается в письменной форме – субъект подписывает бумагу, где сообщается, что данные собираются в соответствии с законом № 152-ФЗ, после получения они будут надлежащим образом храниться, использоваться, а потом уничтожаться. Специальный бланк, предложенный Роскомнадзором, можно скачать на его сайте.

Ответственность за отказ регистрироваться в реестре

Если потенциальный оператор не подал заявку на включение в реестр персональных данных Роскомнадзора, ему грозит административная ответственность. Отказ регистрироваться в реестре расценивается как непредставление информации в контролирующий орган. Такое правонарушение карается по статье 19.7 КоАП РФ. По этому составу на человека может быть наложен штраф в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей.

Если нет желания нести ответственность за отказ регистрироваться в реестре и платить штрафы (пусть и не такие большие, как по другим составам), лучше соблюдать требования закона и вовремя подать заявку.

www.pro-personal.ru

Реестр операторов персональных данных

Закон о персональных данных № 152-ФЗ от 27.07.2006 обязует пройти регистрацию в специальном реестре всех, кто занимается обработкой персональных данных. Что это за реестр, для кого включение в него является обязательным, и как происходит процедура регистрации – об этом наша статья.

Кто является оператором персональных данных

К операторам закон № 152-ФЗ относит госорганы, организации и физлиц, которые собирают персональные данные, а также самостоятельно определяют цели сбора, состав сведений, и совершаемые с ними действия (ст. 3 закона № 152-ФЗ).

Проще говоря, оператор персональных данных, это тот, кто использует личные данные граждан для трудовых и прочих отношений. Их главной задачей является сохранение конфиденциальности полученных персональных данных, т.е. запрет передавать данные третьим лицам и распространять их без согласия самого физлица, если только эти данные не обезличены.

Реестр операторов персональных данных Роскомнадзора

Прежде, чем начать обработку персональных данных, оператор обязан уведомить об этом госорган, уполномоченный вести реестр операторов персональных данных - Роскомнадзор (ч 1 ст. 22 закона № 152-ФЗ). Эта федеральная служба осуществляет надзор за сферой связи, массовых коммуникаций и информационных технологий. Госконтроль за обработкой персональных данных операторами, в соответствии с законом, тоже осуществляет Роскомнадзор. В этих целях он проводит проверки операторов персональных данных, согласно регламенту, утвержденному приказом Минкомсвязи РФ от 14.11.2011 № 312.

Ознакомиться с реестром операторов обработки персональных данных можно на официальном сайте Роскомнадзора, его сведения являются общедоступными.

Уведомление достаточно подать единожды за весь период работы оператора. В то же время, закон содержит перечень исключений, когда работать с личными данными можно без включения в реестр операторов персональных данных (ч. 2 ст. 22 закона № 152-ФЗ):

• когда операторы-работодатели обрабатывают только данные, полученные в соответствии с трудовым законодательством;
• если оператор получил данные от контрагента в связи с заключением договора и не использует их в иных целях, кроме исполнения договора;
• когда оператор персональных данных - религиозная или общественная организация, которая обрабатывает личные данные своих участников для целей, предусмотренных ее уставом;
• если гражданин сам сделал общедоступными свои персональные данные;
• если персональные данные не включают ничего, кроме Ф.И.О.;
• когда данные получают для оформления разового пропуска;
• при обработке персональных данных государственными автоматизированными инфосистемами;
• если личные данные обрабатываются «на бумаге», т.е. без применения автоматизации;
• когда данные используются для обеспечения безопасности транспортных систем.

Все, кто не указан в данном списке, уведомление для включения в реестр операторов персональных данных Роскомнадзора подать обязаны. Многие ИП и организации игнорируют данное требование либо узнают о нем слишком поздно. Но подать уведомление для включения в реестр можно и позже, указав в нем реальную дату начала обработки персональных данных, при этом никаких штрафных санкций за опоздание не последует.

Как уведомить Роскомнадзор

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

• сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
• правовое основание и цели обработки данных согласно уставу;
• описание мер и средств защиты личных данных;
• фактическую дату начала обработки персональных данных оператором;
• условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
• категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
• действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
• данные лица, ответственного за обработку персональных данных.

После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.

На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.

По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно.

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства . В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

• При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
• При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
• При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье