Кто является оператором по обработке персональных данных. В реестре операторов персональных данных

Для Андроид 27.08.2019
Для Андроид

Деятельность любой организации неизбежно подразумевает обработку персональных данных в информационной системе (ИСПДн). Каждое предприятие, использующее конфиденциальную информацию о сотрудниках, клиентах, партнерах и других физлицах, обязано пройти регистрацию в качестве оператора персональных данных.

Порядок хранения и защиты персональных данных

Организация защиты конфиденциальных сведений проходит в несколько этапов:

  • Проверка начальных работ по обработке персональных данных (ревизия локальной нормативной базы, анализ информационных потоков ПДн и ИСПДн в целом, выявление недостатков и угроз безопасности информационной системы, внесение предложений по исправлению недостатков, улучшению систем защиты персональных данных).
  • Разработка нормативной базы по защите ПДн. Данный этап включает в себя классификацию ИСПДн и регистрацию в качестве оператора персональных данных в Роскомнадзоре.
  • Проектирование системы защиты ПДн – выбор способов, мер и классов средств защиты ПДн, разработка технической документации на создание СЗПДн, а также разработка конкретных мероприятий по защите информации в каждой конкретной ИСПДн.
  • Внедрение СЗПДн – ввод в действие систем защиты ПДн и настройка существующих средств защиты ИСПДн.
  • Оценка соответствия ИСПДн, в рамках которой проводятся оценочные испытания ИСПДн и выдается соответствующий Аттестат.

Регистрации в качестве оператора персональных данных в Реестре Роскомнадзора является частью общего процесса организации обработки и защиты ПДн.

Этапы регистрации оператора ИСПДн в Роскомнадзоре

Регистрация оператора ИСПДн включается в себя следующие этапы:

  • Разработка и принятие нормативной базы по обработке и защите ПДн.
  • Заполнение формы уведомления о намерении осуществлять обработку персональных данных на сайте территориального органа Роскомнадзора.
  • Отправка уведомления в информационную систему Уполномоченного органа по защите прав субъектов персональных данных.
  • Печать заполненной формы с подписями.
  • Направление распечатанной формы уведомления в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.

Предлагаем вам составить документы, необходимые для регистрации в качестве оператора персональных данных, с помощью нашего онлайн-сервиса. На этой странице представлены акты, инструкции, положения, журналы, уведомления и другие документы.

С этим шаблоном часто используют:

  • Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных
  • Согласие на передачу персональных данных третьим лицам
  • Перечень персональных данных, подлежащих защите в ИСПДн
  • Защита персональных данных в образовательных учреждениях

Популярные документы и процедуры:

Регистрация оператора персональных данных внутреннего пользования

п. 4 - обязательно это нужно делать каждому юр. лицу или ИП, если он предполагает обработку перс данных сотрулников и клиентов?

мы компания, которая создала и обсуживает систему где присутствуют персональные данные клиентов заказчика, набор этих документов нам не подходит, больше подходит когда работадатель данные сотрудников своих обрабатывает, но то же не совсем.

Здравствуйте! есть несколько вопросов по настройке шаблонов. 1) Скажите пожалуйста, как настроить шаблоны системы ИСПДн, чтобы классифицировать систему под актуальные угрозы 1 типа и необходимость обеспечения 1-го уровня защищенности. Будут ли в этом случае, предлагаемые шаблоны согласованы между собой? 2.) Возможно ли предзаполнение всех документов системы (28 документов) первоначально вводимыми данными (наименование юр. лица, категории персональных данных), или требуется их вводить каждый раз при заполнении отдельного документа системы?

Уточните, пожалуйста, какой минимально возможный уровень защищенности ПДн можно оформить на базе Ваших шаблонов? (мы заинтересованы в минимизации расходов на систему. обрабатываться будут ПДн работников и контрагентов. Специальные категории ПДн и биометрические данные не обрабатываем)

Здравствуйте! Мы заинтересованы использовать механизм ведения и учёта заданий в рамках трудовых обязанностей своих работников, путём регистрации учётной записи (личного кабинета) с именем работника (имя пользователя) и предоставления уникальных идентификатора (логина) и пароля к данной записи, как рекомендуется в Вашем шаблоне «Регламент интеллектуальной собственности», п. 6.2. При этом, в п. 6.4 упомянутого Регламента интеллектуальной собственности указывается, что все адреса корпоративной электронной почты и все логины или имена пользователей в Программных инструментах указываются в особом внутреннем документе, утверждаемом Генеральным директором Общества, который обновляется и доводится до сведения всех сотрудников Общества по мере необходимости, т.е. данные раскрываются другим лицам. Просим разъяснить следующие вопросы: 1.) относятся ли к персональным данным (и если да, то к какой категории), данные учётной записи (личного кабинета) с именем работника (именем пользователя) и уникального идентификатора (логина) и пароля работника во внутренней системе Оператора, адрес электронной почты работника во внутренней системе Оператора? 2.) если такие данные относятся к персональным данным, то будут ли особенности использования их в Ваших шаблонах по ИСПДн (не повлечет ли это необходимости приобретения криптографических средств защиты и т.п.)?

Здравствуйте! Согласно законодательства не надо уведомлять регулятора при обработке персональных данных, обрабатываемых в соответствии с трудовым законодательством. А как быть с кандидатами, не принятыми на работу? Их данные остались, мы их имеем право хранить без уведомления регулятора? Например, если кандидат не выдержал испытательный срок(здесь очевидные трудовые отношения). Или, к примеру, даже не был допущен к испытанию? Просто эти данные нам сегодня не нужны, а завтра мы подняли анкету, пригласили человека и трудоустроили. Будет ли это диспозиция 86 статьи ТК в части "обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве" и соответственно может осуществляться без ведома регулятора?

Здравствуйте. Пакет документов по обработке данных разработан для работников или контрагентов?

А заполнять документы нужно онлайн или после скачивания просто в ВОРДЕ?

Здравствуйте! Если вы обрабатываете ПДн своих сотрудников или клиентов, то защитить их нужно обязательно. Нужно разработать правильный комплекс локальных нормативных актов, представленных в процедуре, а также обеспечить технические меры, если обработка осуществляется в автоматизированном или частично автоматизированном режиме, и организационные. Исключение касается только подачи уведомления в Роскомнадзор для регистрации в качестве оператора персональных. Все эти исключения прописаны в статье 22 п.2 152-ФЗ. Самые часто встречающиеся исключения - это обработка ПДн сотрудников в рамках трудового законодательства, обработка ПДн клиентов в рамках исполнения договора (например, чтобы поставить товар клиенту нужно знать его адрес, данные паспорта).

Здравствуйте! Согласно п. 2 ст. 3 Закона № 152-ФЗ, под оператором персональных данных понимается, в частности, юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).Таким образом, если при выполнении Вами работ по обслуживанию сайта Вы осуществляете какое-либо одно или совокупность действий перечисленных выше, - согласно закону Вы являетесь оператором персональных данных, со всеми вытекающими отсюда обязанностями. Закон не делает исключений для тех операторов, которые не осуществляли сбор ПДн непосредственно от субъектов, а получили ПДн от другого оператора. Оператор – тот, кто осуществляет обработку, т.е. любое лицо, осуществляющее хотя бы одно из указанных в ст. 3 ФЗ № 152 действий с ПДн. И в таком случае рекомендуем придерживаться процедуры: http://www..Благодарим Вас за использование сервиса!

Здравствуйте! Вам необходимо ответить на вопросы опросного листа в левой части страницы – пакет необходимых документов сформируется автоматически. Если введенное в каком-либо документе значение – идентично для другого документа в общем пакете, то оно автоматически заполниться в этом документе. Шаблоны документов подойдут для обеспечения 1-го уровня защищенности ПД. Обращаем Ваше внимание на то, что помимо разработки документации, необходимо также разработать и внедрить технические меры защиты. Состав и содержание таких «базовых» мер определен в приказе ФСТЭК № 21 от 18 февраля 2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».Благодарим за использование нашего сервиса!

см. ответ ниже

Здравствуйте!Персональными данными является любая информации, позволяющая безошибочно идентифицировать физическое лицо (по смыслу ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"). В данном случае, отдельно взятые адреса корпоративной электронной почты и логины или имена пользователей являются персональными данными работников, которые необходимы работодателю в связи с трудовыми отношениями, что само по себе не влечет за собой особенностей применения специального режима защиты (с учетом соблюдений требований, установленных главой 14 ТК РФ). Рекомендуем Вам ознакомиться с процедурой, расположенной по ссылке: http://www.. Благодарим за использование нашего сервиса!

Здравствуйте. Работодатель вправе без уведомления Роскомнадзора обрабатывать персональные данные кандидатов на должности, сохранять их резюме, формируя как бумажную, так и электронную базу соискателей, если имеется их письменное согласие. Данный вывод основан на том, что согласно п.1 ч. 2 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», без уведомления уполномоченного органа может производиться обработка данных, обрабатываемых в соответствии с трудовым законодательством.Персональные данные соискателей могут храниться в базе у работодателя, если на то дано письменное согласие кандидата и указан срок такого хранения. Что касается бывших работников (как не выдержавших испытание), полагаем, что если ТК РФ или иными законами на работодателя не возлагается обязанность обрабатывать данные бывших работников, то такая обработка должна осуществляться только с уведомлением Роскомнадзора (если отсутствуют иные основания для обработки персональных данных без подачи уведомления, например, обработка персональных данных без использования средств автоматизации). Рекомендуем уточнить этот вопрос в уполномоченном органе. Благодарим за ваше обращение.

22 статья 152-ФЗ почитали. Но поскольку не со всеми соискателями, ПДн которых мы собираем, мы вступаем в трудовые отношения(принимаем на испытание или хотя бы приглашаем на собеседования), Роскомнадзор уведомлять все-таки надо в этом случае

Здравствуйте. Обработка персональных данных соискателей тоже ведется в рамках трудового законодательства. Согласно позиции Четвертого арбитражного апелляционного суда, основание, предусмотренное п.1 ч. 2 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», распространяется и на деятельность по подбору персонала (Постановление от 07.02.2018 N 04АП-127/2018 по делу N А19-17054/2017). Это связано с тем, что трудовое законодательство регулируется не только Трудовым кодексом РФ, но и иными нормативными актами. Так, Федеральным законом от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации" предусмотрено, что работодатели содействуют политике занятости, в частности, путем трудоустройства. Полагаем, что письменного согласия соискателя на хранение определенных его данных в течение оговоренного в согласии срока будет достаточно для соблюдения законности в данной сфере. Уведомлять Роскомнадзор нет необходимости. Тем не менее, во избежание споров, рекомендуем все же уточнить этот вопрос в уполномоченном органе. Благодарим за ваше обращение.

Спасибо! Почитал судебное решение. Вопрос скользкий. Это судебное решение говорит о том, что позиция Роскомнадзора-уведомлять, но АС Иркутской области вместе с апелляцией встали на сторону юрлица. Учитывая известность позиции Роскомнадзора встанет ли АС нашего региона на нашу сторону неизвестно. Поэтому-таки направили письмо с вопросом.

Здравствуйте. Благодарим за ваш отклик. Было бы интересно и полезно увидеть итог вашего обращения на странице нашего обсуждения. С уважением, компания FreshDoc.

Я обязательно отпишусь, как они ответят! Ваши советы очень помогли мне в выработке правовой позиции по этому вопросу)

Написал. Как Вы думаете что ответили? Ни-че-го! То есть конечно, ответили, но ни о чем. Суть письма сводится к тому, что решать вам подавать уведомление или нет. Я хотел добиться, чтобы на случай проверки у меня был их ответ, но не получилось. А прикрываться решением суда другой области.. У нас пока что не англо-саксонская правовая система, а континентальная и для меня основной вывод из мотивировочной части решения суда, это видение Роскомнадзора, а встанет ли наш краевой суд на нашу стороу, как встал в Иркутске неизвестно

Здравствуйте. Спасибо за ваш отклик. Наличие ответа Роскомнадзора не является гарантированной защитой от привлечения к ответственности. Для суда мнение ведомства, каково бы оно ни было, также не имеет решающего значения. Рекомендуем составить свое мотивированное мнение, и по возможности, заручиться подходящими ко случаю судебными актами. С уважением, компания FreshDoc.

В любом случае хоть Уведомление, хоть нет, а требования статей 18.1, 19 ФЗ-152 обязан исполнять любой оператор при обработке ПДн: назначать ответственное лицо, разрабатывать и утверждать политику и положение о ПДн и т.д. Тем более, Роскомнадзор проводит Плановые проверки в отношении всех операторов, а не только в отношении включенных в реестр Роскомнадзора по Уведомлению

Здравствуйте. Да, принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных", возлагается на оператора ПДн в независимости от наличия/отсутствии его в реестре операторов (направления в Роскомнадзор уведомления). При этом для выполнения требований, предусмотренных ст. 22 ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных", оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку ПДн, в противном случае ему грозит штраф, предусмотренный ст. 19.7 КоАП РФ.

Здравствуйте. Круг субъектов персональных данных установлен в разделе 3 «Персональные данные, обрабатываемые в ИСПДн» Положения об обработке и защите персональных данных, которое входит в пакет документов и находится по ссылке https://www.сайт/?oid=7086347. В нем, в частности, установлено, что обрабатываются данные следующих субъектов: сотрудники Оператора; акционеры/учредители Оператора, лица связанные с сотрудниками, акционерами, учредителями (дети, в отношении которых выплачиваются алименты, жены, и т.д.); клиенты (потребители услуг Оператора); индивидуальные предприниматели - контрагенты Оператора; клиенты организаций, контрагентов Оператора (обслуживание корпоративных клиентов). Также установлено, что данный перечень может пересматриваться. Благодарим вас за обращение.

Заполнить документы можно прямо на сайте.

По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно.

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства . В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

  • При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
  • При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
  • При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее - ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ :

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных - это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работает с ПД и несет ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД - повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

  • проводить разъяснительную работу с субъектом ПД, а также получать его предварительное согласие на обработку личной информации;
  • публично представлять политику в отношении обработки ПД;
  • обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения;
  • уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели;
  • блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя).
Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются организации и частные лица, которые имеют дело с информацией, которая:

  • собирается и хранится в соответствии с трудовым законодательством;
  • получена исключительно для оказания услуг связи по заключенному договору, она не распространяется и не предоставляется третьим лицам без согласия субъекта ПД;
  • относится к членам (участникам) общественного объединения или религиозной организации для достижения целей, предусмотренных их учредительными документами;
  • сделана субъектом ПД общедоступной;
  • включает в себя только фамилии, имена и отчества субъектов ПД;
  • необходима для оформления однократного пропуска на территорию организации;
  • включена в системы со статусом государственных автоматизированных информсистем, а также в государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатывается без использования средств автоматизации (компьютера);
  • обрабатывается для обеспечения безопасного функционирования транспортного комплекса.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. То есть работодатели, компании, оказывающие услуги связи, религиозные организации, лица, получающие ПД только для исполнения договоров, и многие другие уведомлять о сборе и обработке ПД не должны. Те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

  • полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
  • цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
  • категории ПД, которые будут обрабатываться;
  • субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
  • основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
  • описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
  • сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
  • информация о шифровальных (криптографических) средствах;
  • дата начала, а также условия и сроки прекращения обработки ПД;
  • сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
  • сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатные.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 до 75 тысяч рублей, а для ИП - от 5 до 20 тысяч рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим - от 3000 до 5000 рублей.

Роскомнадзор ведёт реестр операторов - компаний, выполняющих требования закона «О персональных данных». Чтобы попасть в реестр, компания подаёт уведомление об обработке персональных данных. Это может быть непросто сделать: непонятно, когда подавать уведомление, как его заполнить и как убедиться, что информация дошла до Роскомнадзора.

Можно ли не подавать уведомление?

Закон «О персональных данных» требует, чтобы каждая компания подала уведомление.

В законе есть несколько исключений, позволяющих ряду компаний избежать этого. В этом случае нужно быть готовым юридически грамотно доказать контролирующему органу, что исключения на компанию распространяются. Сделать это не так-то просто: отсутствие уведомления - одно из самых частых нарушений, выявляемых в ходе проверок Роскомнадзора.

Самый лучший вариант - подать уведомление и обезопасить компанию от вопросов контролирующего органа, почему это не было сделано.

Иногда компании опасаются, что подача уведомления привлечёт излишнее внимание Роскомнадзора, и он придёт с проверкой. На практике этого не происходит.

Когда отправить уведомление?

Уведомление подаётся до начала обработки персональных данных. Исходя из буквы закона, это нужно сделать в первые дни после государственной регистрации юридического лица или ИП.

Часто решение подать уведомление принимается тогда, когда компания работает уже несколько месяцев или несколько лет. Не стоит опасаться штрафа или других санкций за «опоздание» с подачей уведомления. А вот если компанией заинтересуется Роскомнадзор (придёт с проверкой или пришлёт «письмо счастья», где потребует подать уведомление), тогда штрафа будет не избежать.

Важный нюанс: даже если уведомление подаётся с «опозданием», в качестве «даты начала обработки персональных данных» лучше указать дату государственной регистрации компании.

Как заполнить уведомление?

Уведомление нужно подать через интернет (в электронном виде) и направить по почте (в печатном виде).

Электронная форма уведомления заполняется на сайте Роскомнадзора. Требуется указать достаточно много информации, и это не так-то просто сделать, несмотря на наличие подсказок. Нужно быть готовым сформулировать правовые основания и цели обработки персональных данных, описать совершаемые с ними действия и указать, каким образом обеспечивается их безопасность.

После отправки электронной формы сайт Роскомнадзора предложит скачать уже заполненную печатную форму. Её нужно будет распечатать, подписать и удостоверить печатью компании, после чего отправить по почте в территориальный орган Роскомнадзора. Это необходимо, чтобы подтвердить сведения, поданные через интернет.

Ещё можно заполнить уведомление в электронном виде на Портале государственных услуг, однако это менее удобный способ.

Как узнать, что уведомление принято?

После заполнения уведомления на сайте Роскомнадзора компания получит номер уведомления и секретный ключ. С их помощью на специальной странице можно уточнить статус уведомления и узнать, когда его сведения попадут в реестр операторов.

Вся информация в реестре операторов общедоступна, кроме сведений об обеспечении безопасности персональных данных. Можно найти уведомление любого оператора.

Сколько раз нужно подавать уведомление?

Уведомление подаётся только один раз.

Однако есть важный нюанс: закон «О персональных данных» требует оповещать Роскомнадзор об изменении сведений, указанных в уведомлении, в течение 10 дней после таких изменений. Уведомление содержит много сведений о компании, и изменения могут случаться довольно часто. Увы, следить за ними и вовремя реагировать бывает непросто.

Лучше всего подать уведомление как можно раньше и аккуратно следить за тем, чтобы сведения о компании в реестре операторов были актуальны. Это очень просто сделать с помощью нашего сервиса.

Как стать оператором персональных данных в реестре Роскомнадзора

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее - ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных - это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

    • То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

    Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД - повсюду, в любой сфере!

    Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:


    Регистрация в Роскомнадзоре в качестве оператора персональных данных

    Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

  • работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;
  • компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
  • общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
  • организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
  • любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;
  • системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
  • граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687 ;
  • организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.

    • С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

    Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

    Роскомнадзор рекомендует подавать уведомление на бланке организации, на бумаге либо в электронном варианте. Бумажный вариант надо будет заполнить, подписать и отправить в территориальный орган Роскомнадзора (по почте или отнести лично). Электронный документ можно оформить прямо на сайте ведомства - в разделе «Электронные формы заявлений».

    Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

  • полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
  • цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
  • категории ПД, которые будут обрабатываться;
  • субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
  • основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
  • описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
  • сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
  • информация о шифровальных (криптографических) средствах;
  • дата начала, а также условия и сроки прекращения обработки ПД;
  • сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
  • сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

    • Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

    Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

    Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

    Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП - от 5000 до 20 000 рублей.

    Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим - от 3000 до 5000 рублей.

    Ведение реестра операторов, осуществляющих обработку персональных данных

    Внесение сведений об операторе в реестр операторов, осуществляющих обработку персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций)

    Общая информация

    Результаты услуги

    Кто может получить услугу

    • Имеет статус предпринимателя
    • Физические лица
    • Юридические лица

      • Как можно подать документы

    • Почтой
    • Через законного представителя

      • Как можно получить результаты оказания услуги

    • Лично

      • Основания для отказа в оказании услуги

    • Основанием для приостановления сроков внесения сведений об Операторе в Реестр (внесения изменений и исключения сведений об Операторе из Реестра) является предоставление оператором неполных или недостоверных сведений. (Основанием для приостановления сроков внесения сведений об Операторе в Реестр (внесения изменений и исключения сведений об Операторе из Реестра) является предоставление Оператором неполных или недостоверных сведений.)

      • Срок оказания услуги

      Срок выполнения услуги: Предоставление государственной услуги осуществляется без непосредственного взаимодействия с заявителем.
      Внесение сведений об Операторе в реестр осуществляется в течение 15 дней с даты поступления уведомления по результатам проверки сведений, содержащихся в Уведомлении. Датой внесения сведений об Операторе в Реестр считается дата подписания приказа.
      Заявление о предоставлении государственной услуги регистрируется в срок, не позднее дня, следующего за днем его поступления в Роскомнадзор (территориальный орган Роскомнадзора).
      Информация о внесении сведений об Операторе в Реестр размещается на официальном сайте Роскомнадзора в срок, не позднее 3 дней с даты подписания приказа.

      Основанием для рассмотрения вопроса о внесении сведений об Операторе в Реестр является направление Оператором Уведомления непосредственно в Роскомнадзор (территориальный орган Роскомнадзора) или поступление Уведомления в ЕИС с Единого портала с присвоением ему входящего номера.
      Уведомление должно содержать следующие сведения:

      1. Наименование (фамилия, имя, отчество), адрес Оператора.
      2. Цель обработки персональных данных.
      3. Категории персональных данных.
      4. Категории субъектов, персональные данные которых обрабатываются.
      5. Правовое основание обработки персональных данных.
      6. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.
      7. Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
      8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.
      9. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
      10. Сведения об обеспечении безопасности персонал

      www.gosuslugi71.ru

      Статьи по теме

      Оператор персональных данных – это любое лицо, собирающее сведения о сотрудниках и клиентах. Узнайте, как подать в Роскомнадзор заявку об обработке персональных данных, каковы обязанности оператора, что может привести к штрафу

      Читайте в нашей статье:

      Кто включен в реестр операторов персональных данных Роскомнадзора

      Оператор персональных данных – это любое лицо, собирающее сведения о сотрудниках и клиентах (ст. 3 Закона № 152-ФЗ «О персональных данных»).

      Новая ответственность за нарушения в персданных. За что и на сколько теперь будут штрафовать>>>

      Оператором (ОПД) может стать государственная или муниципальная компания, юрлицо, бизнесмен и даже обычный человек, если будет собирать сведения о других людях и самостоятельно определять, какие именно данные запрашивать, как их обрабатывать и что потом делать с собранной информацией.

      Закон определяет персональные данные как любую информацию, которая относится к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

      Конечно, в большинстве случаев запрашиваемая информация ограничивается только фамилией, именем, отчеством, паспортными данными и номером сотового телефона, но иногда для идентификации лица нужно выяснить номер его автомобиля, реквизиты водительского удостоверения или СНИЛС и другие сведения.

      Исчерпывающего перечня в законе нет, так что к персональным данным можно отнести абсолютно любую информацию, нужную для идентификации.

      Получается, что любой, кто запрашивает и использует такие сведения, и подал соответствующую заявку, включен в реестр операторов персональных данных Роскомнадзора. Уже сейчас там содержится больше 400 000 позиций, и постоянно появляются новые лица. Среди них банки, страховые компании, туристические агентства, салоны красоты, магазины, ТСЖ, детские садики, поликлиники и многие другие.

      Если на каком-либо сайте предусмотрена форма обратной связи, подписка или личный кабинет, в котором посетители будут оставлять данные, то владельцам сайта тоже следует зарегистрироваться в реестре.

      Оператор не может обрабатывать полученные сведения без согласия того, кому они принадлежат.

      Но есть и исключения. Если каким-либо законом предусмотрена такая работа с информацией (с определением цели и содержания обработки), то согласие получать не обязательно.

      Например, по закону «Об образовании» для допуска к ЕГЭ предусмотрены передача, обработка и предоставление личных данных учеников без их подписи на согласии на работу со сведениями.

      Как подать заявку об обработке персональных данных

      Уведомление можно подать на сайте Роскомнадзора и отправить почтой.

      Заполняя электронную форму уведомления, надо будет указать:

    • ИНН, ОГРН и прочие данные заявителя;
    • цели и правовое обоснование для обработки данных;
    • указать, какие именно данные будут обрабатываться и как это будет происходить;
    • реквизиты лицензий (если деятельность заявителя лицензируется);
    • меры, предпринимаемые для сохранности полученных данных;
    • дату начала обработки многое другое (ст. 22 Закона № 152-ФЗ).

      • После того, как электронная форма будет заполнена, ее можно будет скачать с сайта Роскомнадзора, распечатать, подписать и отправить почтой в территориальный орган. Тем самым будут подтверждены сведения, отправленные через сайт.

      Есть вариант заполнить заявку через Портал госуслуг, но это менее удобный способ, нежели общение с Роскомнадзором через его собственный сайт.

      Если все будет сделано правильно, то компания будет вписана Роскомнадзором в реестр операторов, осуществляющих обработку персональных данных.

      Законом предусмотрены исключения, когда не требуется подобная регистрация.

      Могут не подавать заявку на включение в реестр:

    • работодатели, собирающие информацию о своих сотрудниках;
    • те, кто обрабатывают только ФИО людей;
    • те, кто берет сведения, чтобы один раз пропустить человека на свою территорию и т.д.

      • Полный перечень исключений расписан в ч. 2 ст. 22 Закона № 152-ФЗ «О персональных данных ». Компании, полагающей, что она входит в этот заветный список, придется аргументированно обосновать, что это действительно так.

      В приватном разговоре с инспекторами мы узнали, где они будут «копать», когда компанию нужно оштрафовать, а явного повода нет. Готовьтесь к тому, что искать будут, – планы по штрафам планируют повысить.

      Исходя из положений права, заявку об обработке персональных данных надо подать в первые дни после создания юрлица или ИП – то есть, до начала работы с информацией.

      Но на практике оператор уже вовсю работает несколько месяцев, а то и лет, когда руководству приходит в голову мысль зарегистрироваться. Если эта идея посетит руководство до прихода Роскомнадзора, хорошо – можно будет избежать штрафа или других санкций.

      А в случае прихода проверяющих до подачи уведомления, придется заплатить за нерасторопность.

      Обязанности оператора при обработке персональных данных

      После того, как фирмой или бизнесменом пройдена регистрация в Роскомнадзоре как оператора персональных данных, придется выполнять обязанности, прописанные в главе 4 Закона № 152-ФЗ. В частности, ОПД должны:

    • объяснять субъекту, от которого получают информацию, что именно они берут и для чего;
    • пояснять, какие последствия повлечет отказ сообщить сведения;
    • обеспечить запись, систематизацию, накопление, хранение, уточнение и прочее полученной информации;
    • предоставить сведения об обработке данных субъекту, если они были получены не от него;
    • принимать меры для защиты от неправомерного (случайного) доступа к сведениям, уничтожения, изменения, блокирования или копирования;
    • назначить ответственное лицо.

      • Операторы должны получить предварительное согласие человека на обработку личной информации. Оно запрашивается в письменной форме – субъект подписывает бумагу, где сообщается, что данные собираются в соответствии с законом № 152-ФЗ, после получения они будут надлежащим образом храниться, использоваться, а потом уничтожаться. Специальный бланк, предложенный Роскомнадзором, можно скачать на его сайте.

      Ответственность за отказ регистрироваться в реестре

      Если потенциальный оператор не подал заявку на включение в реестр персональных данных Роскомнадзора, ему грозит административная ответственность. Отказ регистрироваться в реестре расценивается как непредставление информации в контролирующий орган. Такое правонарушение карается по статье 19.7 КоАП РФ. По этому составу на человека может быть наложен штраф в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей.

      Если нет желания нести ответственность за отказ регистрироваться в реестре и платить штрафы (пусть и не такие большие, как по другим составам), лучше соблюдать требования закона и вовремя подать заявку.

      www.pro-personal.ru

      Реестр операторов персональных данных

    Которая оказалась наиболее важной и в бухгалтерском учете, и при рассмотрении заявок на кредит и т.п.

    Но что это такое и кто все-таки имеет право обрабатывать подобные сведения, а кто нет, об этом упоминается редко, даже с неохотой.

    В результате иногда сложно понять, кто является оператором персональных данных.

    – это информация о человеке, которая характеризует его как определенную личность, не является обобщенной, ее нельзя применить к группе лиц. В большинстве случаев речь идет о фамилии, имени, отчестве, дате рождения, адресе, где человек зарегистрирован и проживает, семейном положении и т.п.

    Понятие персональных данных введено в деловой оборот после принятия в 2006 году «О персональных данных». Там же было введено разграничение информации на ряд категорий, которые позволяют определять уровни разрешения обработки для различных ситуаций.

    1. Информация о расе и национальности, религиозных убеждениях, состояние здоровья и подробности интимной жизни гражданина.
    2. Сведения, которые позволяют помимо идентификации гражданина, еще и получить про него разные сведения, например, номер телефона, место проживания и т.п.
    3. Информация, благодаря которой один человек выделяется среди других – фамилия, имя и полная дата рождения.
    4. Общедоступные сведения, как правило, они обезличены, но иногда и те, которые обязаны быть публичными по законодательству, например, доходы представителей органов власти. Отдельной категорией идут те данные, на предоставление которых сам гражданин дал согласие, например, адрес и номер телефона в справочной службе 09.

    В целом закон «О персональных данных» призван обеспечивать право каждого гражданина на неприкосновенность личной жизни и защиту в случае наличия нарушений. Исходя из выше приведенной классификации, предъявляются разнообразные требования по обеспечению сохранности сведений. Для первой категории требования жестче, чем ко всем остальным.

    Кто является оператором персональных данных

    Оператор персональных данных – юридическое лицо, которое в силу своей деятельности занимается информации о действующих и потенциальных клиентов и сотрудниках. Размеры организации при этом никакого значения не имеют, как и форма ее собственности.

    На практике оператором является любая организация, в которой есть наемный труд. Ведь трудоустройство невозможно без заполнения анкеты с довольно подробным перечнем сведений о себе, а также подачи личных документов, причем со всех снимаются копии, информация вносится в бухгалтерские программы и т.д.

    Главное требование законодательства РФ, предъявляемое к операторам, это обеспечение сохранности тех данных, которые получила организация в процессе деятельности.

    Нормы, согласно которым обеспечивается охрана, установлены в упомянутом законе, также могут уточняться нормативными актами, так называемых регуляторов

    Существует определенный порядок, который регламентирует случаи, когда организация получает право работать с персональными данными без уведомления в :

    • если предприятие обрабатывает только те сведения, которые нужны для трудовых отношений;
    • когда обработке подвергаются данные общедоступного характера;
    • если обрабатываются только фамилия, имя, отчество;
    • когда они используются один раз, например, для выписки пропуска;
    • если для обработки не применяется компьютерная техника.

    Все остальные организации обязаны становиться на учет, в результате чего они получают уникальный регистрационный номер, под которым вносятся в специальный реестр.


    В нем всегда можно уточнить, имеет ли право конкретное юридическое лицо запрашивать или хранить персональные данные.

    Например, часто такие вопросы возникают в отношении кредитных организаций, операторов сотовой связи и т.п.

    Поэтому принято называть «оператором обработки персональных данных» организации, которые в силу профессиональной деятельности собирают и обрабатывают не только общедоступные сведения, но и такие как серия, номер паспорта, адрес проживания и т.д.

    Получение права на обработку персональных данных

    Для обеспечения безопасности хранения и передачи персональных данных предусмотрена процедура аттестации и получения лицензии для организаций занимающихся сбором и хранением такой информации.

    Чтобы получить лицензию предприятию приходится не только обучать сотрудников, но и приобретать технические средства защиты.

    Процедура состоит из нескольких этапов, из которых можно выделить наиболее важные.

    • уведомить соответствующие органы о намерении обрабатывать данные с помощью средств (компьютеры);
    • пройти предварительное обследование имеющихся информационных систем;
    • спроектировать систему защиты с учетом инфраструктуры компьютерной техники и других средств автоматизации;
    • приобрести и внедрить средства защиты;
    • привести все помещения в соответствие требованиям по пожарной безопасности, охране, электропитанию и т.д.
    • провести повышение квалификации сотрудников в области защиты персональных данных и их аттестация.

    В результате можно гарантировать наличие действующей системы защиты сведений при их и передаче через коммуникационные линии.

    Стоит отметить, что все действия, описанные выше, могут быть применены только к обработке персональных данных в электронном виде, что является потенциально небезопасным для хранящейся или передаваемой информации.

    Проверка деятельности операторов персональных данных

    Работа всех операторов персональных данных не только регулируется законодательными актами, но еще и подвергается регулярным проверкам, как плановым, так и выборочным, например, по заявлению пострадавшего от их деятельности граждан.

    Контролем над соблюдением закона о защите персональных данных должны заниматся многие надзорные и силовые ведомства, но в силу специфики работы выделяются лишь три из них (их и называют регуляторами):

    • Роскомнадзор – в его функции входит проверка соблюдения любых нормативных требований законодательства, а также проведение проверок;
    • ФСТЭК (Федеральная служба по техническому и экспортному контролю) – в ее задачи входит в первую очередь защита данных находящихся в компьютерах самой организации, так и каналов их передачи, когда они хранятся и передаются без шифрования;
    • ФСБ (Федеральная служба безопасности) – контролирует применение шифрующих средств обработки и передачи персональных информации, в том числе разработку и их распространение.

    Проверить отношение конкретной организации к операторам персональных сведений можно и самостоятельно.

    На сайте Роскомнадзора имеется доступ к реестру операторов, осуществляющих обработку персональных данных, он доступен по этой ссылке.

    Для просмотра информации достаточно внести в соответствующее поле наименование или регистрационный номер интересующего предприятия, либо его идентификационный номер налогоплательщика (ИНН).

    Так можно выяснить, законно запрашивались данные или нет. Если организации в списке нет, то возможно этим надо заняться Роскомнадзору и либо включить ее в реестр, либо запретить незаконный сбор информации о гражданах.

    Проверка операторов персональных данных осуществляется либо по заявлениям граждан, либо по инициативе, например, прокуратуры, которая может обратиться в Роскомнадзор в рамках проверки деятельности организации.

    За нарушения в обработке сведений граждан предусмотрена ответственность. В зависимости от степени тяжести совершенных поступков может быть административное, дисциплинарное или уголовное наказание.

    В целом, прежде чем давать разрешение на обработку персональных данных в кредитной или иной организации, запрашивающей такое право, лучше сначала убедиться в том, что она зарегистрирована в качестве оператора, а значит, имеет все для их безопасного хранения.

    Особенно это может относиться к небольшим предприятиям, например, предоставляющим мелкие займы.

    Конечно, без предоставления такого согласия подобные организации обычно отказывают в услугах, но в этом ничего страшного нет, т.к. конкуренция достаточно высока, и всегда можно найти другой подходящий вариант.



    Рекомендуем почитать