Регистрация ИП в роскомнадзоре нужно или нет

Реестр операторов, осуществляющих обработку персональных данных

В соответствии со статьей 22 Федерального закона № 152-ФЗ «О персональных данных», организации, осуществляющие обработку персональных данных, уведомляют уполномоченный орган по защите прав субъектов персональных данных путем подачи Уведомления об обработке персональных данных для последующего занесения организации в Реестр операторов, осуществляющих обработку персональных данных.

Консультации по вопросам подачи уведомлений об обработке персональных данных проводятся инспекторами территориального Управления Роскомнадзора (в Москве — каждый вторник в 15:00 по адресу Старокаширское шоссе, д.2, корп.10).

Подача уведомления

Кто должен подавать?

В первую очередь необходимо определить, требуется ли подавать уведомление. В соответствии с частью 2 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

Новая обязанность всех ООО и ИП: внесение в реестр Роскомнадзора!

1. обрабатываемых в соответствии с трудовым законодательством;
2. полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4. сделанных субъектом персональных данных общедоступными;
5. включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6. необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7. включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8. обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9. обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

В большинстве организаций персональные данные обрабатываются сверх вышеперечисленных исключений.

Как подать уведомление?

В случае, если организация не внесена в Реестр и не подпадает по исключение, необходимо подготовить и внести сведения на Портале персональных данных. Для этого необходимо выбрать на интернет-сайте Роскомнадзора меню «Реестр операторов» «Электронные формы заявлений» предложение «Перейти к заполнению формы электронного уведомления» либо перейти по прямой ссылке http://pd.rkn.gov.ru/operators-registry/notification/form.

После заполнения всех полей электронной формы заявления и отправки формы электронного уведомления (кнопка «Отправить электронное уведомление и подготовить форму к распечатке») заполненную форму необходимо сохранить для последующего формирования письма на бланке организации. После подтверждения корректности внесенных сведений необходимо сформировать письмо на бланке организации с заполненной формой, распечатать, поставить подпись и печать организации, направить в Управление Роскомнадзора в двух экземплярах.

Рекомендации по внесению изменений в Реестр операторов персональных данных

Если в Уведомление не внесены сведения о месте нахождения баз данных, содержащих персональные данные граждан Российской Федерации, либо указаны устаревшие сведения (утратившие силу нормативные правовые акты, номера телефонов, иная информация), необходимо внести изменения в сведения об организации в Реестре. Для этого нужно заполнить информационное письмо, выбрав на интернет-сайте Роскомнадзора меню «Реестр операторов» «Электронные формы заявлений» предложение «Перейти к заполнению информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных» либо по прямой ссылке https://rkn.gov.ru/personal-data/forms/p333. В данной форме заполняются все обязательные поля, а также поля, подлежащие изменению. После заполнения формы информационного письма необходимо сохранить его для последующего формирования письма на бланке организации. Письмо необходимо распечатать, подписать и направить в Управление Роскомнадзора в двух экземплярах.

Рекомендации по заполнению формы информационного письма о внесении изменений в уведомление, а также примеры по заполнению информационного письма можно посмотреть в меню «Реестр операторов» «Документы» либо по прямой ссылке http://pd.rkn.gov.ru/operators-registry/operators-registry-documents.

Как сделать это правильно?

Перед составлением уведомления рекомендуется провести аудит соответствия.

Что должно содержать уведомление?

В соответствии с частью 3 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» уведомление должно содержать следующие сведения:

1. наименование (фамилия, имя, отчество), адрес оператора;
2. цель обработки персональных данных;
3. категории персональных данных;
4. категории субъектов, персональные данные которых обрабатываются;
5. правовое основание обработки персональных данных;
6. перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7. описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 7.1. фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8. дата начала обработки персональных данных;
9. срок или условие прекращения обработки персональных данных;
10. сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 10.1. сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
11. сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Рекомендации Роскомнадзора

29 января 2016 г. Роскомнадзор выпустил рекомендации по заполнению формы Уведомления об обработке персональных данных.

Оформление Уведомления производится на бланке оператора и направляется в территориальный орган Роскомнадзора по месту регистрации Оператора в налоговом органе. Уведомление направляется в территориальный орган Роскомнадзора в бумажном или электронном виде и подписывается уполномоченным лицом.

Под полем «Наименование (фамилия, имя, отчество), адрес Оператора» понимается:

для юридических лиц (Операторов):

• полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;
• наименование филиала(ов) (представительства(в)) юридического лица (Оператора), осуществляющего обработку персональных данных;
• адрес Оператора;
• индивидуальный номер налогоплательщика (ИНН).

для физических лиц:

• фамилия, имя, отчество физического лица (Оператора);
• адрес Оператора;
• данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;
• индивидуальный номер налогоплательщика (ИНН).

Поле «Цель обработки персональных данных» отражает цели обработки персональных данных (а также их соответствие полномочиям Оператора), указанные в учредительных документах Оператора и фактически осуществляемые Оператором в деятельности по обработке персональных данных.

В поле «Категории персональных данных» указываются все категории персональных данных, подлежащих обработке Оператором:

• Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных).
• Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни).
• Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных).

В поле «Категории субъектов, персональные данные, которых обрабатываются» указываются категории субъектов, персональные данные которых обрабатываются (например: работники, соискатели, уволенные работники, родственники работников и т.д.).

В поле «Правовое основание обработки персональных данных» указываются правовые основания, которые соответствуют полномочиям Оператора, отраженных в уставных документах, Федеральных законах и принятых на их основе нормативных правовых актов в части, касающейся компетенции Оператора, закрепляющий основание и порядок обработки Оператором персональных данных (например: Федеральные законы, согласие на обработку персональных данных субъекта, договор и т.д.).

Поле «Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных» предусматривает действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

• неавтоматизированная обработка персональных данных;
• исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
• смешанная обработка персональных данных.

Поле «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», предполагает:

1. описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
2. фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
3. организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, указываются следующие сведения:

1. наименование используемых криптографических средств;
2. класс средств криптографической защиты информации (СКЗИ).

В поле «Сведения о наличии или об отсутствии трансграничной передачи персональных данных» рекомендуется относить сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки с указанием перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.

В поле «Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации (далее — База данных)» указываются:

• страна (страны) размещения базы данных;
• конкретный адрес (адреса) местонахождения базы данных.

В поле «Сведения об обеспечении безопасности персональных данных» указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Поле «Дата начала обработки персональных данных» предусматривает конкретную дату (число, месяц, год) начала любого действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (как правило, это дата начала осуществление Оператором деятельности, закрепленной в уставных документах).

В поле «Срок или условие прекращения обработки персональных данных» указывается основание (условие), наступление которого повлечет прекращение обработки персональных данных.

Типовые ошибки при подаче Уведомления

Многие Операторы допускают ошибки при заполнении сведений пунктов 3 и 4. Ошибки заключаются в указании неполного перечня категорий персональных данных и категорий субъектов персональных данных. Роскомнадзор хочет видеть по 3 пункту все категории персональных данных, обрабатываемые Оператором, вплоть до времени входа/ухода посетителя и работника, если такие данные обрабатываются. По 4 пункту Операторы не указывают такие категории как уволенные работники и родственники работников.

Также распространенная ошибка по 5 пункту заключается в указании неполного перечня правовых оснований обработки персональных данных. Операторы не указывают в перечне правовых оснований такие основания как согласие на обработку персональных данных и договор, заключаемый с субъектом персональных данных.

По пункту 7.1 Операторы иногда не указывают почтовый адрес ответственных за организацию обработки персональных данных, что является нарушением.

В перечне действий с персональными данными Операторы обычно указывают все действия, перечисленные в статье 3 152 Федерального закона «О персональных данных», что очень часто не соответствует фактически осуществляемым действиям и приводит к нарушению. Также операторы указывают в перечне действий обезличивание. По последней позиции Роскомнадзора, так как в настоящий момент Методические рекомендации по обезличиванию разработаны только для государственных органов, коммерческие организации не вправе осуществлять такое действие с персональными данными.

В ходе анализа Уведомления на соответствие требованиям Роскомнадзор старается опираться на указанную информацию в представленных Оператором локальных актах, касающихся обработки персональных данных, поэтому рекомендуется заполнять уведомление строго в соответствии с локальными актами. Ошибка, допущенная по любому из вышеперечисленных пунктов, ведет к нарушению части 7 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» и к выдачи предписания об устранении нарушений. Перед подачей Уведомления для снижения риска несоответствия рекомендуется провести Аудит соответствия обработки персональных данных, который позволит определить процессы обработки персональных данных, подготовить/обновить локальные акты по вопросам обработки персональных данных и подготовить Уведомление, опираясь на локальные акты.

Лента сообщений в удобном формате:

Источник: www.radium-it.ru

Обработка персональных данных (регистрируемся в качестве оператора обработки «персональных данных»)

Регистрация в качестве оператора обработки «персональных данных»
Ведомство, предоставляющее услугу:
Федеральная службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

Закон «О персональных данных» требует, чтобы каждая компания подала уведомление.
В законе есть несколько исключений, позволяющих ряду организаций избежать этого. Отсутствие уведомления — одно из самых частых нарушений, выявляемых в ходе проверок Роскомнадзора.

Уведомление подаётся до начала обработки персональных данных. Исходя из буквы закона, это нужно сделать в первые дни после государственной регистрации некоммерческой организации.
Часто решение подать уведомление принимается тогда, когда организация работает уже несколько месяцев или несколько лет. Не стоит опасаться штрафа или других санкций за «опоздание» с подачей уведомления. А вот если компанией заинтересуется Роскомнадзор (придёт с проверкой или пришлёт «письмо счастья», где потребует подать уведомление), тогда штрафа будет не избежать.
Важный нюанс: даже если уведомление подаётся с «опозданием», в качестве «даты начала обработки персональных данных» лучше указать дату государственной регистрации НКО.

Как заполнить уведомление?
Уведомление нужно подать через интернет (в электронном виде) и направить по почте (в печатном виде).
Электронная форма уведомления заполняется на сайте Роскомнадзора. Требуется указать достаточно много информации, и это не так-то просто сделать, несмотря на наличие подсказок. Нужно быть готовым сформулировать правовые основания и цели обработки персональных данных, описать совершаемые с ними действия и указать, каким образом обеспечивается их безопасность.
После отправки электронной формы сайт Роскомнадзора предложит скачать уже заполненную печатную форму. Её нужно будет распечатать, подписать и удостоверить печатью компании, после чего отправить по почте в территориальный орган Роскомнадзора. Это необходимо, чтобы подтвердить сведения, поданные через интернет.
Ещё можно заполнить уведомление в электронном виде на Портале государственных услуг, однако это менее удобный способ.
Сведения об Операторе вносятся в Реестр при выполнении следующих условий:

• направление в Роскомнадзор (территориальный орган Роскомнадзора) Уведомления об обработке (о намерении осуществлять обработку) персональных данных;
• регистрация полученного Уведомления в Роскомнадзоре (территориальном органе Роскомнадзора), принятие решения о внесении сведений об Операторе в Реестр или отказе во внесении сведений об Операторе в Реестр;
• подписание приказа руководителем Роскомнадзора (руководителем территориального органа Роскомнадзора) о внесении сведений об Операторе в Реестр.

Источник: navigator-sonko.ru

Как пройти проверку в Роскомнадзоре и стать оператором персональных данных?

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как пройти проверку в Роскомнадзоре и стать оператором персональных данных?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно , который начал действовать с 1 июля 2017 года, в предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Котенок писал(а):

Всем доброго времени суток. Подскажите должны ли мы регистрировать организацию в роскомнадзоре. Если персональные данные мы обрабатываем только в рамках ТК. Работники получают зп на карты, но работник идет сам в банк оформляет там карту и в бухгалтерию приносит счет на которой перечисляются деньги.

Как уведомить Роскомнадзор

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

• сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
• правовое основание и цели обработки данных согласно уставу;
• описание мер и средств защиты личных данных;
• фактическую дату начала обработки персональных данных оператором;
• условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
• категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
• действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
• данные лица, ответственного за обработку персональных данных.

После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.

На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.

Персональные данные и требования Роскомнадзора. Что нужно знать, чтобы зарегистрироваться в реестре операторов

За неверную обработку ПД и тем более их утечку, что случается довольно часто, КоАП предусматривает до 18 000 000 руб. штрафа – ст. 13.11. И оператор, то есть любое лицо, в том числе и физическое, которое владеет ПД, обязано пройти регистрацию в Реестре операторов персональных данных еще до начала сбора этих данных. За отсутствие регистрации штраф относительно небольшой.

Для физлиц – от 100 руб. до 300 руб. Для юрлиц – от 3000 руб. до 5000 руб. – ст. 19.7 КоАП. Регистрацией занимается Роскомнадзор. Он проверяет все документы и принимает решение о внесении в реестр.

Когда не требуется предварительное уведомление Роскомнадзора

· Если речь идет о трудоустройстве. И в этом случае работодатель обязан уведомить нового работника под роспись о порядке обработки его ПД, а также получить его согласие

· Если данные нигде не распространяются и не передаются третьим лицам (договоры ГПХ и пр.)

· Религиозные организации также могут не регистрироваться в РКН

· Если человек разрешил их распространение или сам их разместил для ознакомления неопределенному кругу лиц

· Если данные включают только ФИО

· Если заполняются данные только для прохода на объект (оформление стандартного пропуска)

· Если речь идет о системах хранения данных, созданных в целях госбезопасности

· Если обработка данных осуществляется без использования средств автоматизации (например, для разового посещения библиотеки или архива)

· Если речь идет о персональных данных пассажиров в транспортной сфере.

Роскомнадзор разработал методические рекомендации для операторов, которые намереваются пройти регистрацию.

Уведомление должно включать следующие сведения:

· Правоустанавливающие данные для юрлиц или госорганов: ИНН, ОГРН, адрес, наименование филиалов, лицензии и пр. Физлицам необходимо предоставить адрес оператора, ИНН и паспорт

· Необходимо указать цели обработки ПД, категории и субъектов (лиц, чьи ПД будут собираться)

· Правовое обоснование обработки (для чего собираются)

· Вид обработки (автоматизированная или неавтоматизированная, с передачей по сети или нет)

· Описание мер защиты (хранение паролей или документов)

· Указание должностных лиц, ответственных за хранение и обработку, с указанием их ФИО, телефонов и адресов

· Сведения о месте нахождения базы данных

· Сведения о трансграничности передачи, если таковая имеется

Будьте внимательны и избегайте штрафов. С уважением к людям и законам, ваш Юрист24.

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Ответственность за несоблюдение законодательства по обработке персональных данных

Большинство мер ответственности реализуется в сфере административного судопроизводства.

Статья 13.11 КоАП вводит следующие штрафы за нарушение законодательства РФ в сфере защиты персональных данных и отказ от выполнения обязанностей оператора:

• за обработку персональных данных в случаях, не предусмотренных российским законодательством, или с целями, прямо не заявленными оператором, – до 50 тысяч рублей;
• за обработку ПД без согласия их обладателя – до 70 тысяч рублей;
• за отказ от разработки или публикации Политики по правилам обработки ПД – до 30 тысяч рублей;
• за отказ от представления информации об обработке персональных данных правообладателю – до 40 тысяч рублей;
• за отказ от блокировки, корректировки или уничтожения недостоверной информации по требованию правообладателя – до 45 тысяч рублей;
• за хранение персональных данных российских граждан на иностранных серверах – до 6 миллионов рублей за первое нарушение и до 18 миллионов – за повторное.

Особенности заполнения уведомления

Что это такое уведомление в Роскомнадзор для регистрации в реестре персональных данных, не все операторы четко себе представляют, поэтому в первый раз испытывают сложности с заполнением. Но ошибка или неточность чреваты серьезными проблемами, вплоть штрафных санкций при проверках, поэтому нужно четко понимать, что и где вписывать. Все поля со звездочкой в форме регистрации обязательны для заполнения — если их пропустить, то онлайн-обращение не будет отправлено, а письменную форму не будут рассматривать.

Чтобы регистрация прошла успешно, в документе предстоит указать:

• территориальное управление РКН и тип оператора;
• наименование согласно официальным документам (или Ф.И.О. для предпринимателей);
• фактический и юридический адрес, а также регионы, на территории которых ведется коммерческая или некоммерческая деятельность, подразумевающая обработку ПДн;
• сведения о филиалах (если имеются);
• ИНН и ОГРН — в форме есть и другие поля для кодов организации, но они не являются обязательными для заполнения;
• правовое обоснование — тут должно быть указано правовое обоснование для обработки персональных данных, для работодателей обязательно упоминание Трудового Кодекса;
• цель совершения операций — основной пункт, над которым необходимо серьезно задуматься, чтобы в дальнейшем не возникли противоречия с ФЗ-152 и подзаконными актами;
• категории субъектов, чьи данные собираются и используются, а также список видов ПДн, с которыми вы будете иметь дело;
• принятые меры для обеспечения информационной безопасности в ИСПДн — здесь требуется ввести все применяемые организационные и технические средства защиты;
• условия окончания процесса обработки либо конкретные сроки;
• перечень совершаемых операций;
• способ обработки сведений;
• наличие или отсутствие трансграничной передачи ПДн;
• информация о центре обработки данных — указываются отдельно для каждой ИС;
• ответственное за организацию обработки персональных данных лицо и исполнитель.

Как получить информацию, является ли организация оператором, осуществляющим обработку персональных данных

Вы можете проверить любую организацию на предмет ее наличия в списке операторов РКН. Это можно сделать на сайте ведомства Роскомнадзор или прямо здесь. Для этого введите ИНН компании и ее название.

Роскомнадзор ведет реестр операторов персональных данных, формируемый из государственных органов власти, коммерческих компаний, индивидуальных предпринимателей и даже физических лиц. Сбор и обработка личных сведений регулируется Федеральным законом № 152-ФЗ. За его нарушение операторы несут административную ответственность в виде штрафа. Вы можете проверить прямо здесь или на сайте РКН, состоит ли интересующее вас ведомство или организация в списке хранителей личных сведений, с правом их использования (оборота).

Какие сведения указываются в уведомлении?

В уведомлении указываются следующие сведения:

• наименование (фамилия, имя, отчество), адрес оператора;
• цель обработки персональных данных;
• категории персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• правовое основание обработки;
• перечень действий с персональными данными, описание используемых способов обработки персональных данных;
• описание реализации мер, предусмотренных статьями 18.1 и 19 закона;
• фамилия, имя, отчество лица ответственного за организацию обработки персональных данных;
• дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных;
• сведения о месте нахождения базы данных;
• сведения об обеспечении безопасности персональных данных.

Независимо от наличия записи в реестре, в том случае, если компания обрабатывает персональные данные (а любой бизнес их обрабатывает), то она является оператором обработки персональных данных. Т.е. теоретически реестр операторов должен совпадать с ЕГРЮЛом и даже быть немного больше, т.к. и физлицо может являться оператором. Но в реестре находится чуть более 400 000 записей, что явно меньше количества зарегистрированных юридических лиц и индивидуальных предпринимателей.

Конечно же существует возможность не уведомлять Роскомнадзор об обработке персональных данных. Ряд исключений предусмотрены ст. 22 ФЗ “О персональных данных”, но с ними не все так однозначно как кажется на первый взгляд, о чем напишу позже. Важно понять другое — независимо от наличия вашей компании в Реестре требования законодательства о персональных данных на вас также распространяются и их необходимо неукоснительно соблюдать.

Конфиденциальность персональных данных: когда ее не нужно обеспечивать

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

• в случае обезличивания ПД;
• в отношении общедоступных ПД;
• если данные включают только ФИО субъектов ПД;
• для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
• если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
• если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.
В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре. Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации. Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.

Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.

Похожие записи:

• Последняя квитанция за капремонт в 2022 году
• Денежная компенсация пенсионерам, родившимся до 1966 года: как ее получить
• 6-НДФЛ: примеры заполнения расчета с 2023 года

Источник: avokado37.ru