Как стать оператором персональных данных в реестре Роскомнадзора
Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разбираемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.
Кто такие операторы персональных данных и чем они занимаются
Большинство знает, что к персональным данным (ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения допустимо включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ:
Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Получается, что достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.
Согласно действующему законодательству, оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:
- самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
- определяет цели работы с личной информацией, ее состав, действия (операции) с ней.
То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым идентифицируют гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.
Давайте представим, кто относится к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!
Обязанности оператора при обработке персональных данных
Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Закон № 152-ФЗ закрепляет, что регистрация в Роскомнадзоре как оператор персональных данных налагает на оператора обязанности:
- разъяснять субъекту ПД, какие данные и для чего собирают, получать его предварительное согласие на обработку личной информации, на ее распространение. Такое согласие запрашивают в письменной форме: человеку предлагают подписать специальную бумагу, где уточняется, что сбор информации и ее распространение производится по правилам закона № 152-ФЗ, и она соответствующим образом хранится, используется, а позже — уничтожается. Хотя чаще всего согласие «прячется» в самом конце подписываемого соглашения и выглядит как галочка, рядом с которой надо поставить свою подпись, существует и специальная форма такого согласия;
- разработать и публично представлять политику в отношении обработки ПД. Обнародовать такой документ допустимо любым удобным для компании способом, но чаще всего это делается с помощью интернета — на странице организации просто публикуют политику без сокращений. Если у организации есть сайт, на котором происходит сбор ПД, публикация на сайте обязательна, независимо от иных способов обнародования;
- обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения. Речь идет о технических и организационных мерах — установление паролей и специальных программ, гарантирующих сохранность информации, оперативное устранение последствий хакерских атак, иные мероприятия по обеспечению безопасности;
- уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели. В соответствии со ст. 21 закона № 152-ФЗ, уничтожается информация только после обращения лица, чьи данные обрабатывались с нарушениями, либо его представителя. Запрос обязательно подается в письменной форме, и отреагировать на него оператору необходимо в сроки, прописанные в законе. Рекомендованный образец такого обращения доступен на сайте Роскомнадзора;
- блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя). Это не значит, что оператор полностью удаляет имеющуюся информацию, но он не вправе ею пользоваться.
Вот шаблон согласия на обработку ПД:
Регистрация в Роскомнадзоре в качестве оператора персональных данных
Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются (ч. 2 ст. 22 ФЗ № 152):
- организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
- системы со статусом государственных автоматизированных информсистем, государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
- организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников;
- организации, которые работают с ПД без использования средств автоматизации.
С учетом таких формулировок немногие организации не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.
Вот как стать оператором персональных данных: необходимо подать уведомление на регистрацию. Процедура регистрации заключается в подаче уведомления по определенной форме. Ознакомьтесь с ней через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 № 346. Роскомнадзор планирует изменить действующий бланк уведомления.
Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:
- полное и сокращенное наименование компании с указанием организационно-правовой формы, юридический и почтовый адреса, ИНН;
- цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
- категории ПД, которые будут обрабатываться;
- субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, работник, заемщик, абонент, вкладчик, страхователь;
- основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
- описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
- сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
- информация о шифровальных (криптографических) средствах;
- дата начала, условия и сроки прекращения обработки ПД;
- сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
- сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 № 1119.
Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.
После отправки уведомления можно проверить в реестре операторов персональных данных Роскомнадзора по ИНН свою организацию или ИП.
Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме.
Все оказываемые в этом случае услуги Роскомнадзором бесплатны.
Эксперты КонсультантПлюс разобрали, какие есть обязанности у оператора персональных данных. Используйте эти инструкции бесплатно.
Что изменилось с 1 сентября 2022
01.09.2022 вступили в силу изменения в области работы с ПД. Среди них:
- срок ответа на запросы Роскомнадзора для лиц, входящих в реестр операторов ПДН, сократили с 30 до 10 дней;
- уведомление о работе с ПД обязаны направлять практически все организации и ИП. Исключение — обработка без использования средств автоматизации. Например, если для входа на предприятие необходимо оформить пропуск через компьютерную программу, требуется уведомление. А если Ф.И.О. посетителя ручкой вносят в журнал учета, уведомлять не нужно;
- в уведомлении об обработке ПД необходимо указать категорию данных и их субъектов; правовое основание обработки; перечень действий с данными и способы их обработки;
- локальные нормативные акты в организации должны содержать: категории и перечни обрабатываемых данных, категории субъектов данных, способы и сроки обработки, хранения данных, порядок их уничтожения;
- при компрометации ПД необходимо уведомить Роскомнадзор в течение 24 часов после происшествия. В течение 72 часов необходимо провести внутреннее расследование и отчет о результатах направить в Роскомнадзор;
- согласие на ПД должно быть предметным и однозначным.
Ответственность за отказ регистрироваться в реестре
Перед тем как попасть в реестр операторов персональных данных Роскомнадзора, обратите внимание на санкции за нарушения порядка работы с ПД. Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. В соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ, который начал действовать с 01.07.2017, в статье 13.11 КоАП РФ предусмотрены несколько составов правонарушений, за которые операторы персональных данных несут ответственность. В зависимости от правонарушения, штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.
Отказ регистрироваться в реестре расценивают как непредоставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней, должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.
Вам в помощь образцы, бланки для скачивания
Приказ Минкомсвязи России от 21.12.2011 N 346
Постановление Правительства РФ от 01.11.2012 N 1119
Федеральный закон от 15.11.1997 N 143-ФЗ
Федеральный закон от 07.02.2017 N 13-ФЗ
Федеральный закон от 27.07.2006 N 152-ФЗ
Статья 13.11 КОАП РФ. Нарушение законодательства Российской Федерации в области персональных данных
Статья 19.7 КОАП РФ. Непредставление сведений (информации)
Статья 1 Воздушного кодекса РФ. Суверенитет в отношении воздушного пространства Российской Федерации