Уведомление об обработке персональных данных в Роскомнадзор

Содержание
  1. Роскомнадзор начал массово требовать уведомления об обработке персональных данных
  2. Штрафы
  3. Справочно. Понятие «оператор» и «обработка персональных данных»
  4. Уведомление Роскомнадзора об обработке персональных данных
  5. Об обработке персональных данных компании подают уведомления в бумажном или электронном виде
  6. К персональным данным сотрудников относятся сведения, по которым можно установить личность
  7. Хранить персональные данные нужно в РФ
  8. Обработка персональных данных управляющими организациями
  9. Об обработке персональных данных
  10. Об операторе по обработке персональных данных
  11. О согласии на обработку персональных данных
  12. Об ответственности за нарушение законодательства о персональных данных
  13. Уведомление об обработке персональных данных на сайте www pd rkn gov ru (Роскомнадзор) в 2019 году – скачать, пример, заполненный
  14. Кем оформляется документ
  15. Общее содержание
  16. Образец заполнения формы (пример)
  17. Поможем подать уведомление об обработке персональных данных – ООО
  18. Камни преткновения
  19. Что делать, если вы уже обрабатываете персональные данные?
  20. Как зарегистрироваться в реестре Роскомнадзора?
  21. Лайфхак по успешной регистрации в реестре Роскомнадзора
  22. Регистрация в реестре Роскомнадзора: цена вопроса
  23. Какие сведения указываются в уведомлении?
  24. Что предлагаем мы?

Роскомнадзор начал массово требовать уведомления об обработке персональных данных

Уведомление об обработке персональных данных в Роскомнадзор
19 Июля, 2018

Елена Рыбникова

руководитель отдела контроля качества услуг и методологии

Причина активности Роскомнадзора — сверка баз зарегистрированных налогоплательщиков в ФНС с базой операторов персональных данных Роскомнадзора.

Напомним, что уведомление о том, что компания является оператором персональных данных, обязаны подавать все, кто обрабатывает персональные данные физических лиц. Уведомление заполняется на сайте Роскомнадзора.

Согласно ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Если вы хотя бы один раз запросили у физлица персональные данные и передали их третьим лицам, то ДА, вы являетесь оператором: купили билет работнику в командировку, оформили зарплатную или корпоративную карту, сделали постоянный пропуск на территорию бизнес-центра у сторонней службы охраны, взяли резюме у соискателя и т.п.

Штрафы

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при работе с персональными данными (см. таблицу).

Нарушение Штрафные санкции
Должностное лицо Юридическое лицо ИП
Обработка персональных данных в случаях, не предусмотренных законодательством РФ 5 000 – 10 000 руб. 30 000 – 50 000 руб. 5 000 – 10 000 руб.
Обработка персональных данных, несовместимая с целями сбора персональных данных 5 000 – 10 000 руб. 30 000 – 50 000 руб. 5 000 – 10 000 руб.
 Обработка персональных данных без согласия в письменной форме 10 000 – 20 000 руб. 15 000 – 75 000 руб. 10 000 – 20 000 руб.
Невыполнение условий, обеспечивающих сохранность персональных данных 4 000 – 10 000 руб. 25 000 – 50 000 руб. 10 000 – 20 000 руб.
Невыполнение обязанностей оператора в части политику оператора в отношении обработки персональных данных 3 000 – 6 000 руб. 15 000 – 30 000 руб. 5 000 – 10 000 руб.
Невыполнение оператором обязанности по информированию субъекта об обработке его персональных данных 4 000 – 6 000 руб. 20 000 – 40 000 руб. 10 000 – 15 000 руб.
Невыполнение оператором требования субъекта об уничтожении его персональных данных 4 000 – 10 000 руб. 25 000 – 45 000 руб. 10 000 – 20 000 руб.   

На данный момент нет комментариев что делать, если компания уже давно работает с персональными данными, но уведомления не подавала. Штрафных санкций тоже пока не применяли (за первый раз — предупреждение, далее — максимум 75 000 руб. за каждое нарушение для юридических лиц и 20 000 руб. для ИП). Однако, Интеркомп рекомендует обезопасить себя и подать уведомление.

Справочно. Понятие «оператор» и «обработка персональных данных»

Приложение к приказу Роскомнадзора от 30.05.2017 N 94:

П. 2.1.

Оператор — федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, иные государственные органы (далее — государственные органы), органы местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.

П. 2.4.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Источник: https://www.intercomp.ru/press-center/blog/roskomnadzor-nachal-massovo-trebovat-uvedomleniya-ob-obrabotke-personalnykh-dannykh/

Уведомление Роскомнадзора об обработке персональных данных

Уведомление об обработке персональных данных в Роскомнадзор

Руководство фирмы работает с персональными данными персонала, а также клиентов и контрагентов. Читайте в статье, когда нужно известить Роскомнадзор об обработке персональных данных и что указать в уведомлении.

Фирма получает данные от сотрудников, клиентов, бизнес-партнеров. Об обработке персональных данных в Роскомнадзор подают уведомление, образец документа пригодится при подготовке. Если руководитель фирмы забыл известить ведомство, компанию привлекут к ответственности.

При сборе и обработке сведений о сотрудниках и других лицах компания обязана сообщать о таких операциях в контролирующий орган (ч. 1 ст. 22 закона о персональных данных). После того, как ведомство известят, оно внесет информацию в специальный реестр в течение 30 дней с даты получения документа. За внесение сведений платить не нужно.

Об обработке персональных данных компании подают уведомления в бумажном или электронном виде

При подготовке уведомления об обработке персональных данных у кадровиков появляются вопросы:

  • кто именно должен подавать документ в Роскомнадзор, и есть ли исключения;
  • как подать документ.

Компания становится оператором данных, когда ее работники или клиенты сообщают свои ФИО, информацию о проживании и т. д. Однако отправлять уведомление о начале обработки нужно не всегда. В законе присутствует список исключений (ч. 2 ст. 22 закона о персональных данных). Уведомлять не нужно, если:

  • работодатель имеет дело только с данными персонала;
  • сведения о контрагентах используют только при подготовке договоров;
  • компания не пользуется при обработке данных средствами автоматизации (постановление Правительства РФ от 15.09.08 № 687).

Во всех остальных случаях ведомство нужно известить.

Форма уведомления, в котором нужно известить Роскомнадзор об обработке персональных данных клиентов и сотрудников, включает несколько основных пунктов:

  • страна, где находится база охраняемых данных;
  • адрес базы;
  • наименование базы.

Ведомство рекомендует форму в приложении № 1 к Методическим рекомендациям, утв. приказом Роскомнадзора от 30.05.2017 № 94.

В течение 3 месяцев ведомство вправе привлечь организацию к ответственности за неуведомление (ст. 19.7 КоАП РФ).

Но если организация долго не уведомляла Роскомнадзор, а затем ее юристы решили по собственной инициативе исправить ситуацию, при истечении срока давности компанию к ответственности не привлекут.

Перед тем как уведомить Роскомнадзор, проверьте, чтобы в документе об обработке персональных данных были указаны все категории данных, с которыми работает компания. Например, сюда относятся сведения о здоровье сотрудников.

Также проверьте, чтобы были верно отражены категории субъектов, чьими данными компания оперирует. Если категории поменяются, руководство фирмы направляет об этом в ведомство информационное письмо. Вместе с изменениями нужно перечислить заново ранее переданные сведения. Если их не указать, Роскомнадзор внесет в реестр изменения, а сведения без корректив удалит.

Работодатель должен указать адрес базы данных. Для этого следует определить наименование системы по учету персонала.

Форму можно подать в бумажном виде. Кроме того, на портале Роскомнадзора в разделе pd.rrkn.gov.ru компания вправе заполнить электронное уведомление об обработке персональных данных. Это делают на специальной странице.

К персональным данным сотрудников относятся сведения, по которым можно установить личность

Персональные данные – это сведения, по которым можно установить личность работника. Это основные идентификационные данные, семейное положение лица, его образование и т. д. (п. 1 ст. 3 закона о персональных данных, подп. «а» ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, Страсбург, 28.01.1981).

Работодатель собирает и обрабатывает сведения о сотруднике при заключении трудового договора (ст.ст. 57, 64 ТК РФ). В дальнейшем компания продолжает сбор сведений о своих работниках. Например, руководитель принимает решение об увольнении сотрудницы-одинокой матери. Работодатель принимает решение на основе анализа персональных данных (ч. 2 ст. 179, ч. 4 ст. 261 ТК РФ).

Хранить персональные данные нужно в РФ

В 2015 году законодатель установил, что базы персональных данных должны находиться на территории РФ. Систематизация такой информации может осуществляться в электронном (позиция Минкомсвязи) или в печатном виде (Роскомнадзор). Единой практики по данному вопросу не имеется.

Когда компания обрабатывает и хранит персональные данные, следует избегать нарушений требований закона. Роскомнадзор или другие уполномоченные органы штрафуют работодателя за следующие нарушения:

  1. Работодатель не предпринял необходимые меры для защиты персональных данных (постановление Волгоградского областного суда от 15.04.2011 № 7а-392/11). Компания обязана при обработке персональных данных сотрудников защищать данную информацию. Если документы с персональными данными потеряют, третьи лица могут неправомерно воспользоваться материалами на работников.
  2. Работник не дал работодателю официального согласия на обработку персональных данных при составлении анкет, опросников и так далее.
  3. Работодатель продолжает хранить персональные данные после того, как они стали не нужны. Например, работодатель искал сотрудника и получил от соискателей множество резюме. Руководитель нашел работника, однако резюме других соискателей не уничтожил. Роскомнадзор считает, что этот факт является нарушением.

Источник: https://www.tspor.ru/article/2230-qqe-17-m5-17-05-2017-uvedomlenie-ob-obrabotke-personalnyh-dannyh

Обработка персональных данных управляющими организациями

Уведомление об обработке персональных данных в Роскомнадзор

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.Я к вам пишу – чего же боле: Минкомсвязи разъяснило вопрос раскрытия информации, содержащей персональные данные

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные.

Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому  управляющие организации являются операторами по обработке персональных данных.

ГИС, сдавайся!(часть VIII) Вносим в ГИС ЖКХ информацию о договоре управления

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.

В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили,  вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.Правомерность обнародования списка должников ЖКУ

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или  при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.

В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в  отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.Появятся ли персональные данные собственников помещений в МКД в открытом доступе?

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм  был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

Источник: https://roskvartal.ru/deyatelnost-uk/8029/roskomnadzor-ob-obrabotke-personalnyh-dannyh

Уведомление об обработке персональных данных на сайте www pd rkn gov ru (Роскомнадзор) в 2019 году – скачать, пример, заполненный

Уведомление об обработке персональных данных в Роскомнадзор

Правила обработки персональных данных в Российской Федерации утверждены на законодательном уровне, и периодически рекомендации Роскомнадзора — контролирующего эту сферу органа, обновляются.

Поэтому следует отслеживать последние изменения и разбираться, в каких случаях потребуется уведомлять эту организацию об обработке персональных данных, и как это можно сделать правильно.

Подготовка документа с уведомлением — это один из важнейших нюансов, который позволит не нарушать нормы и при этом грамотно сотрудничать с РКН.

Кем оформляется документ

Нормы того, как необходимо обрабатывать персональную информацию населения, и какие еще обязанности есть у компаний, выполняющих роль операторов, изложены в законе 152-ФЗ “О персональных данных”.

В нем говорится о том, что прежде чем начинать такую деятельность, компания должна известить об этом Роскомнадзор.

При этом есть определенные нормы того, как это сделать верно, найти их можно в Методических рекомендациях по уведомлению уполномоченного органа.

Нюансы, которые действовали с 2011 года, больше недействительны, как и рекомендации от 2016 года, ведь датой последних изменений стало 21 августа 2017 года.

Согласно законодательства, произвести оповещение Роскомнадзора о деятельности, связанной с обработкой персональных данных, должен любой оператор.

Компания получает такой статус, если как-либо работает с информацией, запрашиваемой у граждан и относящейся к разряду личной.

Так, при получении фирмой сведений о месте проживания клиентов, их паспортных реквизитов или иных сведений, которые могут связать их с конкретной личностью, следует обязательно отправлять документацию в контролирующую организацию.

Но есть и исключения из этой нормы, например в следующих ситуациях:

  • если компания собирает и производит обработку информации только среди своих сотрудников;
  • личные сведения применяются только для формирования договоров, например, когда в соглашении указываются данные представителя другой компании;
  • обработка не связана с использованием автоматизационных методов.

Во всех остальных ситуациях Роскомнадзор должен получать соответствующую информацию о ведении подобной деятельности.

Делать это следует путем формирования документа, созданного по утвержденной в правовых нормах форме. На сайте РКН можно увидеть, как выглядит уведомление, и какие данные в него следует включать.

Это ведомство формирует реестр операторов личных данных граждан, и после отсылки уведомления туда, за месяц документ обработают и внесут сведения в реестр всех распорядителей. А об успешном внесении можно узнать непосредственно на официальном ресурсе.

Можно использовать не только стандартный способ передачи документа, то есть бумажный, но и задействовать электронный метод.

Для этого нужно произвести заполнение уведомления, взятого на сайте, далее документ распечатывается. На нем ставится электронная цифровая подпись ответственного лица и отсылается через электронную почту.

Также для этого подойдет функционал ресурса “Госуслуги”, что будет самым быстрым и удобным способом.

При заполнении бумажного документа его можно как отнести лично, так и использовать почтовые услуги, создав заказное письмо с описью содержимого и уведомлением о прибытии получателю.

Если этого не сделать вовремя, то компания будет привлечена к административной ответственности согласно КоАПа РФ.

Граждане по этим нормам будут вынуждены заплатить от 100 до 300 рублей взыскания, должностные лица будут оштрафованы на сумму 300-500 рублей, а компания в целом, как юрлицо, получит санкцию на уровне 3-5 тыс. рублей.

Общее содержание

В целом уведомление РКН о проводимой обработке персональных данных и их сборе, не отличается сложным форматом, но должно содержать информацию о том, какие именно сведения собираются, с какой целью, и что используется как для сбора, так и обработки данных.

Таким образом, при подаче соответствующего уведомления, следует указать следующую информацию:

Название того отделения ведомства РКН По которому находится компания
Разновидность оператора Это юридическое лицо, или другой тип организации деятельности
Название фирмы Подающей документ
Адрес нахождения компании По которому ее можно найти и идентифицировать
Идентификационный код и ОГРН юридического лица
Основания На которых производится обработка данных, и цель, которая преследуется в ее итоге
Меры Которые принимаются для обеспечения безопасности и сохранения информации в тайне от третьих лиц
Дату начала обработки Срок, в который это завершится, вместо последнего можно прописать условия, которые могут повлечь за собой прекращение работы с персональными данными
Категории субъектов права Сведения о которых будет обрабатывать фирма
Список операций Осуществляемых с данными, в том числе и способы обработки получаемой информации
Будет ли производиться Трансграничная передача получаемых данных
Адрес По которому находится база, где сведения хранятся физически и их можно будет достать
Лицо Которое несет полную ответственность за работу с данными, либо перечисление всех таких людей, если их несколько

Прочая информация в уведомлении о проведении обработки личных данных оговариваться в обязательном порядке не должна. Но если компания желает, или имеет основания для добавления, то она может это сделать.

Образец заполнения формы (пример)

Начинается бланк уведомления с должности человека, которому направляется документ, а также подразделение, где он является начальником.

Так, Роскомнадзор правильно будет назвать Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Кроме того, отдельно указывается адрес подразделения, и после наименования документа можно приступать к основной части.

Так, говорится о полном названии оператора и его адресе, а также контактной информации, с указанием номера телефона, адреса электронной почты, регионах, где он находится, коды и ИНН также обязательно пишутся.

Наличие филиалов необходимо отразить, а правовым основанием будет любой закон, позволяющий собирать данные.

Цель, меры соблюдения закона и обеспечения безопасности также обязательно отражаются в уведомлении к учреждению, занимающемуся наладкой информационного надзора.

Далее говорится дата начала обработки, а также вариации, при которых может прекратиться работа с данными.

Дальше подаются характеристики информационных систем, сведения о местонахождении информационной базы и применении шифровальных систем, с обязательным указанием реквизитов и уровня защиты.

Финальным разделом будет информация об ответственном за организацию обработки персональных данных человеке, после чего ставится должность подателя, его подпись и расшифровка автографа с датой составления.

Когда компания хочет собирать и производить обработку личной информации клиентов или третьих лиц, ей нужно составить уведомление и отправить его в Роскомнадзор для подтверждения таких полномочий.

В бумаге указываются цели и методы сбора данных, а также методы защиты и сведения об операторе.

Если такого документа не будет подано, то компании грозит штраф, который в самом большом размере составит 5 тысяч рублей.

Источник: https://juristhere.ru/uvedomlenie-ob-obrabotke-personalnyh-dannyh-na-sajte-www-pd-rkn-gov-ru/

Поможем подать уведомление об обработке персональных данных – ООО

Уведомление об обработке персональных данных в Роскомнадзор

Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.

В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре.

Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации.

Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.

Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.

Камни преткновения

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

  1. Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов.

    В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.

  2. Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
  3. Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Что делать, если вы уже обрабатываете персональные данные?

Если вы уже обрабатываете персональные данные и не знаете как сейчас поступить по поводу регистрации в реестре операторов персональных данных, то следуйте такому плану:

Как зарегистрироваться в реестре Роскомнадзора?

Зарегистрироваться в реестре можно двумя способами: в электронной или бумажной форме.

Для регистрации в бумажной форме нужно скачать и заполнить проект уведомления или заполнить форму на сайте Роскомнадзора: https://rkn.gov.ru/personal-data/register/

Затем документ нужно распечатать, утвердить руководителем организации и отправить заказным письмом с уведомлением в адрес Роскомнадзора: 109074, г.Москва, Китайгородский пр., д.7, стр.2.

Лайфхак по успешной регистрации в реестре Роскомнадзора

Если сроки горят, и нужно зарегистрироваться в реестре с первого раза, то необходимо следовать рекомендациям:

  1. Заполняйте уведомление максимально подробно и точно, ссылаясь на реальные и действующие нормы закона, а также внутренние организационно-распорядительные документы.
  2. Если у вас система защиты персональных данных еще не готова, то нужно писать так, как будто она реализована полностью, с указанием конкретных подсистем и средств защиты (антивирусная подсистема, подсистема обнаружения вторжений, подсистема криптографической защиты, подсистема анализа защищенности, подсистема защиты от несанкционированного доступа и др.).
  3. Если вы подаете уведомление с целью регистрации в реестре как оператор персональных данных «клиентов», то не забудьте указать, что вы обрабатываете и персональные данные сотрудников, так как они есть в любой организации. Это обязательно!
  4. При описании правового основания обработки персональных данных нельзя ссылаться только на 152-ФЗ, так как закон описывает требования к обработке и защите персональных данных, но не описывает правовые основания обработки для тех или иных типов организаций.
  5. При описании правового основания обработки не забудьте базовые документы, которые нужно указывать любому оператору: Конституция РФ, Трудовой кодекс РФ, Гражданский кодекс РФ.

Регистрация в реестре Роскомнадзора: цена вопроса

Госпошлина за внесение в реестр Роскомнадзора не взимается. Оператор может подать уведомление самостоятельно или обратиться за помощью к компетентной организации, которая не только подготовит уведомление, но и поможет выполнить подготовку по требованиям закона.

Помощь коммерческих организаций в регистрации в реестре стоит от 10 до 50 тысяч рублей, а с предоставлением базового набора организационно-распорядительной документации — от 50 до 150 тысяч рублей.

Какие сведения указываются в уведомлении?

В уведомлении указываются следующие сведения:

  • наименование (фамилия, имя, отчество), адрес оператора;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки;
  • перечень действий с персональными данными, описание используемых способов обработки персональных данных;
  • описание реализации мер, предусмотренных статьями 18.1 и 19 закона;
  • фамилия, имя, отчество лица ответственного за организацию обработки персональных данных;
  • дата начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных;
  • сведения о месте нахождения базы данных;
  • сведения об обеспечении безопасности персональных данных.

Что предлагаем мы?

Мы занесем вашу организацию в реестр операторов персональных данных и предоставим типовой набор организационно-распорядительной документации, необходимый для соответствия требованиям ФЗ-152 и прохождения проверки Роскомнадзора, за 45 тысяч рублей с гарантией по договору.

Источник: https://xn--90ao1ar.xn--p1ai/podgotovka-po-152-fz/reestr-roskomnadzor/

Центр права
Добавить комментарий