Уведомление Роскомнадзора об обработке персональных данных с 01.09.2022

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Уведомление Роскомнадзора об обработке персональных данных с 01.09.2022». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание

Государство регламентирует деятельность всех субъектов, связанных с обработкой персональных данных. В полномочия государственного органа, осуществляющего контроль деятельности юридических лиц в сфере обработки персональных данных, Роскомнадзора, входят проверки соблюдения законодательства в сфере связи, коммуникаций и информационных технологий, а также ведение реестра операторов персональных данных. Реестр формируется на основании заявлений самих юридических лиц и граждан, направляемых в государственный орган в установленном законом порядке. Каждый гражданин, намеревающийся передать свои данные юридическому лицу, вправе проверить, находится ли оно в реестре. Если да, то он может быть уверен, что его информация будет защищена должным образом и не станет добычей злоумышленников.

Ведение реестра Роскомнадзором

Перед тем, как приступить к обработке персональных данных, юридическое или физическое лицо вынуждено направить уведомление о желании быть включенным в реестр. Этот перечень имеет открытый характер, публикуется на официальном сайте ведомства. Все лица, включенные в реестр операторов персональных данных, должны быть готовы пройти проверку, насколько успешно им удается обеспечивать их защиту. Но если бы все компании и индивидуальные предприниматели, принимающие граждан на работу, стали участниками реестра, он потерял бы свою актуальность. Поэтому закон содержит перечень исключений, освобождая от обязанности подачи уведомлений следующие категории лиц:

  • имеющих дело с обработкой только тех персональных данных, которые были получены в связи с заключением трудовых договоров;
  • обрабатывающих только ту персональную информацию, которая стала доступна им из заключенных гражданско-правовых договоров, без намерения ее использования в иных целях или передачи третьим лицам;
  • если оператором является общественная или религиозная организация, и персональные данные своих членов она получает только в связи с целями, определенными ее уставом;
  • если данные получены для оформления разового посещения какого-либо учреждения;
  • если обработка персональных данных происходит в государственных информационных системах;
  • если информация обрабатывается только на бумажных носителях.

Что изменилось для работодателей

О начале обработки персональных данных сообщают все операторы — государственные или муниципальные органы, юридический или физические лица, которые собирают и обрабатывают персданные. Все они числятся в специальном открытом реестре операторов на сайте Роскомнадзора.

С 1 сентября 2022 из закона «О персональных данных» исключили шесть случаев, когда компании могли не уведомлять Роскомнадзор о скорой обработке данных (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ), и норма стала строже. Теперь большему числу работодателей нужно отчитаться перед ведомством. Это касается компаний, которые обрабатывают персданные сотрудников, подрядчиков на договорах ГПХ, клиентов компании, посетителей и других лиц, которые сообщают свои фамилию, имя и отчество.

От подачи уведомления компания освобождается только в таких ситуациях:

  • если персональные данные включены в государственные защищенные информсистемы;

  • если оператор собирает персональные данные строго без средств автоматизации: например, записывает в тетрадь от руки (бухгалтерская программа или таблицы Excel на компьютере — это уже средства автоматизации);

  • если данные обрабатывают в целях устойчивой и безопасной работы транспорта, защиты интересов личности, общества и государства в сфере транспорта согласно законам РФ.

В какие сроки и по какой форме подать уведомление

Сейчас уведомить о сборе персданных можно через форму, утвержденную приказом Роскомнадзора от 30.05.2017 № 94, в тексте приказа есть и порядок заполнения формы. Перечень сведений, которые нужно указать в уведомлении, приведен в ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.

В ведомстве предупредили, что скоро будут утверждены новые формы, но до этого оператор вправе воспользоваться текущей формой (Информация Роскомнадзора от 01.09.2022).

Составить и отправить уведомление нужно в местное отделение Роскомнадзора одним из способов:

  • на бумаге заказным письмом через Почту России;

  • в электронном виде через сайт Роскомнадзора — понадобится сертификат КЭП;

  • в электронном виде через ЕСИА.

Что отразить в политике конфиденциальности

Утвержденной законом формы этого документа нет, но есть перечень сведений, которые обязательно должны в нем быть:

  • основание и цель сбора персональных данных;
  • наименование, контактные данные и адрес;
  • информация о том, кто обрабатывает данные. Если этим занимается другая компания, то вписывается информация о третьих лицах, у которых есть доступ к данным;.
  • виды данных для обработки и источники их получения;
  • сроки обработки и хранения персональных данных;
  • способ соблюдения прав субъекта, предусмотренных законом «О персональных данных»;
  • информация о передаче данных за пределы России.

Что работодатель должен и не должен знать о работнике

В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.

Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.

Что у компании должно быть

Итак, при приеме на работу работодатель получает персональные данные работника, а именно:

  • Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
  • трудовой стаж и предыдущие места работы (из трудовой книжки);
  • регистрация в органах ПФР (из карточки СНИЛС);
  • отношение работника к воинскому учету (из документов воинского учета);
  • образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
  • судимость (из справки о ее наличии или отсутствии);
  • употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • получаемых и обрабатываемых в рамках трудового законодательства;
  • получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
  • относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
  • разрешенных физлицом для распространения;
  • включающих в себя только фамилии, имена и отчества физлиц;
  • необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.
Читайте также:  Можно ли сразу забрать все пенсионные накопления?

Кто такие операторы персональных данных и чем они занимаются?

Для начала стоит разъяснить основные понятия. В Федеральном законе от 27.07.2006 № 152-ФЗ предлагается следующее определение понятию персональные данные: «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Сама формулировка определения ясно говорит о том, что исчерпывающего списка, который бы четко регламентировал, какая информация будет считаться персональными данными, а какая нет, не существует. Иными словами, для идентификации гражданина в одной ситуации необходимо будет знать ФИО и контактный номер, а в другом случае может понадобиться его удостоверение и адрес регистрации.

На основании этого можно заключить, что оператором персональных данных будет являться государственный или муниципальный орган, юридическое или физическое лицо, которое занимается сбором, хранением и обработкой персональных данных. Более того, в Роскомнадзоре придерживаются позиции, что организация становится оператором персональных данных непосредственно в тот момент, когда начинает обрабатывать информацию. Поэтому не имеет значения подала ли организация уведомление, получила ли она официальных статус — в глазах ведомства компания стала оператором персональных данных в тот момент, как пользователь заполнил форму обратной связи на сайте.

Таким образом, в каждой сфере есть операторы персональных данных, потому что они используют и обрабатывают сведения, по которым можно идентифицировать гражданина: магазины, салоны красоты, государственный автоматизированные системы, медицинские учреждения и образовательные организации. И поэтому все они должны определенные правила, установленные законом закону № 152-ФЗ:

  • разъяснять человеку, какие данные и для каких целей будут собраны;
  • обнародовать документы, касающиеся обработки персональных данных;
  • обеспечивать защиту персональных данных (в том числе уничтожать записи, если субъект ПД докажет, что сведения были получены незаконным путем или блокировать доступ к сведениям по запросу).

Реестр операторов персональных данных Роскомнадзора

Прежде, чем начать обработку персональных данных, оператор обязан уведомить об этом госорган, уполномоченный вести реестр операторов персональных данных — Роскомнадзор (ч 1 ст. 22 закона № 152-ФЗ). Эта федеральная служба осуществляет надзор за сферой связи, массовых коммуникаций и информационных технологий. Госконтроль за обработкой персональных данных операторами, в соответствии с законом, тоже осуществляет Роскомнадзор. В этих целях он проводит проверки операторов персональных данных, согласно регламенту, утвержденному приказом Минкомсвязи РФ от 14.11.2011 № 312.

Ознакомиться с реестром операторов обработки персональных данных можно на официальном сайте Роскомнадзора, его сведения являются общедоступными.

Что будет, если не отправить уведомление в Роскомнадзор

В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор.

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине.

Особенности заполнения уведомления

Что это такое уведомление в Роскомнадзор для регистрации в реестре персональных данных, не все операторы четко себе представляют, поэтому в первый раз испытывают сложности с заполнением. Но ошибка или неточность чреваты серьезными проблемами, вплоть штрафных санкций при проверках, поэтому нужно четко понимать, что и где вписывать. Все поля со звездочкой в форме регистрации обязательны для заполнения — если их пропустить, то онлайн-обращение не будет отправлено, а письменную форму не будут рассматривать.

Чтобы регистрация прошла успешно, в документе предстоит указать:

  • территориальное управление РКН и тип оператора;
  • наименование согласно официальным документам (или Ф.И.О. для предпринимателей);
  • фактический и юридический адрес, а также регионы, на территории которых ведется коммерческая или некоммерческая деятельность, подразумевающая обработку ПДн;
  • сведения о филиалах (если имеются);
  • ИНН и ОГРН — в форме есть и другие поля для кодов организации, но они не являются обязательными для заполнения;
  • правовое обоснование — тут должно быть указано правовое обоснование для обработки персональных данных, для работодателей обязательно упоминание Трудового Кодекса;
  • цель совершения операций — основной пункт, над которым необходимо серьезно задуматься, чтобы в дальнейшем не возникли противоречия с ФЗ-152 и подзаконными актами;
  • категории субъектов, чьи данные собираются и используются, а также список видов ПДн, с которыми вы будете иметь дело;
  • принятые меры для обеспечения информационной безопасности в ИСПДн — здесь требуется ввести все применяемые организационные и технические средства защиты;
  • условия окончания процесса обработки либо конкретные сроки;
  • перечень совершаемых операций;
  • способ обработки сведений;
  • наличие или отсутствие трансграничной передачи ПДн;
  • информация о центре обработки данных — указываются отдельно для каждой ИС;
  • ответственное за организацию обработки персональных данных лицо и исполнитель.

Новое в законе по аттестации в области промбезопасности в Ростехнадзоре

Ранее аттестация специалистов и экспертов в Ростехнадзоре по Промышленной безопасности осуществлялась на основании Приказа Ростехнадзора № 37 от 29.01.2007 г.

Внимание, с ноября 2019 года данный приказ № 37 отменен!

Теперь аттестация проводится согласно постановления Правительства № 1365 О подготовке и об аттестации в области промышленной безопасности, по вопросам безопасности гидротехнических сооружений, безопасности в сфере электроэнергетики и приказа Ростехнадзора № 424 Об утверждении Временного порядка предоставления Федеральной службой по экологическому, технологическому и атомному надзору государственной услуги по организации проведения аттестации в области промышленной безопасности, по вопросам безопасности гидротехнических сооружений, безопасности в сфере электроэнергетики.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

  • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
  • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
  • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
  • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Читайте также:  Как посчитать налог на имущество

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

  • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
  • Системы, осуществляющие обработку данных (ПК и программы).
  • Наличие локальных нормативных актов.
  • Исполнение положений этих актов.
  • Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:

  • Учредительная документация (ИНН, устав и прочее).
  • Уведомление о том, что фирма работает с ПД.
  • Перечень ПД, сбор которых осуществляется.
  • Перечень работников, у которых есть доступ к данным.
  • Приказ о допуске таких сотрудников к ПД.
  • Инструкции для специалистов, которые работают с данными.
  • Положение об ответственности сотрудников за разглашение ПД.
  • Документ об обработке ПД.
  • Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
  • Соглашение о неразглашении ПД.
  • Письменное согласие лиц на обработку.
  • Журналы инструктажей относительно мер безопасности.
  • Журналы учета носителей сведений.

Роскомнадзор также может затребовать и другие документы.

Кому не нужно уведомлять Роскомнадзор об обработке персональных данных

Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.

Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.

Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.

Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.

Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.

Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.

Даже без дополнительной информации идентификаторы являются персональными данными.

Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.

Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.

Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”

Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.

Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.

Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

  • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
  • Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
  • В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2021 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

  • организующие и (или) осуществляющие обработку ПД;
  • определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

  • ФИО
  • дата рождения
  • адрес
  • телефон
  • электронный адрес
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Читайте также:  Скачать бланк договора купли продажи автомобиля 2023 года

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

Политика оператора персональных данных

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2021 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Требования к обработке персональных данных

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2021 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

  • организующие и (или) осуществляющие обработку ПД;
  • определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

  • ФИО
  • дата рождения
  • адрес
  • телефон
  • электронный адрес
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

Как осуществляется включение в реестр операторов

Каждый год система взаимоотношений бизнеса и государства упрощается, поэтому и подача уведомления о включении в реестр операторов не составит практически никаких сложностей. На сайте федеральной службы выложена электронная форма для заполнения юридическими и физическими лицами для включения в реестр операторов персональных данных. Она содержит следующие поля:

  • данные и реквизиты оператора (они обычные, всегда содержатся в карточке юридического лица, направляемой контрагентам для заключения договоров);
  • цель обработки персональных данных и наличие на это разрешения закона, указание на то, соответствует ли такая деятельность уставу;
  • описание средств и мер защиты, которые лицо намеревается использовать для охраны доверенной ему информации (программные продукты и их сертификация, наличие разработанных внутренних методик и положений, опосредующих защиту информации);
  • реальную дату начала обработки;
  • предполагаемую дату завершения обработки персональных данных (дату завершения действия лицензии или дату прекращения занятия определенной деятельностью) или же условия, при которых эта деятельность завершится;
  • категории обрабатываемых персональных данных (от паспортных до биометрических);
  • планируемые действия с информацией, их автоматизация, предполагается ли передача массивов сведений по сети Интернет и иным каналам связи;
  • сведения о конкретном специалисте, на которого возложена ответственность за работу с персональными данными.

После того, как форма заполнена, ее нужно направить в Роскомнадзор, при этом один экземпляр распечатать, прошить, заверить подписью и печатью. Его придется направить в региональное подразделение службы по почте с приложениями, определенными законом. Это такие документы, как внутренние положения, формат бланка согласия третьего лица на обработку персональных данных, приказ о назначении ответственного специалиста.

Ведомство будет рассматривать документы 30 дней, после этого наименование нового оператора появится в реестре операторов персональных данных. Но если предоставленные сведения окажутся недостаточными, неполными, у будущего оператора могут потребовать их уточнить. Такие дополнения нужно будет направить в течение 10 дней. Необходимо учитывать, что при изучении заявления компания будет проверена на взаимоотношение с иностранными юридическими лицами, если планируется осуществление трансграничной передачи данных, ее цели должны быть четко определены. В ряде случаев наличие заинтересованного иностранного акционера может повлечь за собой отказ в регистрации.


Похожие записи:

Добавить комментарий