Как заполнить Уведомление в Роскомнадзор

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как заполнить Уведомление в Роскомнадзор». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно , который начал действовать с 1 июля 2017 года, в предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Ответственность за отказ регистрироваться в реестре

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Котенок писал(а):

Всем доброго времени суток. Подскажите должны ли мы регистрировать организацию в роскомнадзоре. Если персональные данные мы обрабатываем только в рамках ТК. Работники получают зп на карты, но работник идет сам в банк оформляет там карту и в бухгалтерию приносит счет на которой перечисляются деньги.

Как уведомить Роскомнадзор

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

• сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
• правовое основание и цели обработки данных согласно уставу;
• описание мер и средств защиты личных данных;
• фактическую дату начала обработки персональных данных оператором;
• условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
• категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
• действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
• данные лица, ответственного за обработку персональных данных.

После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.

На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

• наименование компании (ФИО ИП) и ее адрес;
• цель обработки персональных данных (например, заключение трудовых договоров);
• категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
• категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
• сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
• ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
• предполагаемая дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
• сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

• в бумажном виде,
• в электронном виде с использованием усиленной квалифицированной электронной подписи,
• в электронном виде с использованием средств аутентификации ЕСИА.

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Что изменилось в обработке персональных данных с 1 марта

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

• Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
• Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
• В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Как осуществляется включение в реестр операторов

Каждый год система взаимоотношений бизнеса и государства упрощается, поэтому и подача уведомления о включении в реестр операторов не составит практически никаких сложностей. На сайте федеральной службы выложена электронная форма для заполнения юридическими и физическими лицами для включения в реестр операторов персональных данных. Она содержит следующие поля:

• данные и реквизиты оператора (они обычные, всегда содержатся в карточке юридического лица, направляемой контрагентам для заключения договоров);
• цель обработки персональных данных и наличие на это разрешения закона, указание на то, соответствует ли такая деятельность уставу;
• описание средств и мер защиты, которые лицо намеревается использовать для охраны доверенной ему информации (программные продукты и их сертификация, наличие разработанных внутренних методик и положений, опосредующих защиту информации);
• реальную дату начала обработки;
• предполагаемую дату завершения обработки персональных данных (дату завершения действия лицензии или дату прекращения занятия определенной деятельностью) или же условия, при которых эта деятельность завершится;
• категории обрабатываемых персональных данных (от паспортных до биометрических);
• планируемые действия с информацией, их автоматизация, предполагается ли передача массивов сведений по сети Интернет и иным каналам связи;
• сведения о конкретном специалисте, на которого возложена ответственность за работу с персональными данными.

После того, как форма заполнена, ее нужно направить в Роскомнадзор, при этом один экземпляр распечатать, прошить, заверить подписью и печатью. Его придется направить в региональное подразделение службы по почте с приложениями, определенными законом. Это такие документы, как внутренние положения, формат бланка согласия третьего лица на обработку персональных данных, приказ о назначении ответственного специалиста.

Ведомство будет рассматривать документы 30 дней, после этого наименование нового оператора появится в реестре операторов персональных данных. Но если предоставленные сведения окажутся недостаточными, неполными, у будущего оператора могут потребовать их уточнить. Такие дополнения нужно будет направить в течение 10 дней. Необходимо учитывать, что при изучении заявления компания будет проверена на взаимоотношение с иностранными юридическими лицами, если планируется осуществление трансграничной передачи данных, ее цели должны быть четко определены. В ряде случаев наличие заинтересованного иностранного акционера может повлечь за собой отказ в регистрации.

Конфиденциальность персональных данных: когда ее не нужно обеспечивать

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

• в случае обезличивания ПД;
• в отношении общедоступных ПД;
• если данные включают только ФИО субъектов ПД;
• для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
• если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
• если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Конфиденциальность персональных данных: когда ее не нужно обеспечивать

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

• в случае обезличивания ПД;
• в отношении общедоступных ПД;
• если данные включают только ФИО субъектов ПД;
• для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
• если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
• если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Перед формированием клиентской базы будущий оператор обязан оповестить уполномоченный орган о намерении использовать ПД физических лиц в определенных целях. Но не все должны уведомлять Роскомнадзор. Существует категория субъектов, которые не обязаны писать заявление в РКН о включении в реестр операторов персональных данных. К ним относятся:

1. Работодатели.
2. Исполнители или заказчики договорных отношений.
3. Пользователи общедоступными персональными сведениями.
4. Охранные предприятия, оформляющие однократные пропуска.
5. Организации, хранящие сведения на бумажном носителе (не имеющие электронных баз данных).

Всем остальным, не вошедшим в перечень, надлежит в обязательном порядке пополнить список операторов персональных данных Роскомнадзора. За уклонение или нарушение ФЗ-152 предусмотрена административная ответственность по ст. 13.11 КоАП РФ:

• обработка ПД без цели сбора: до 3000 руб. гражданам, до 10 000 руб. — должностным лицам, до 50 000 руб. — организациям.
• обработка личностных данных без письменного согласия: до 5000 руб. гражданам, до 20 000 руб. — должностным лицам, до 75 000 руб. организациям.
• отсутствие публикации с правилами оператора обработки ПД: гражданам — до 1000 руб., должностным лицам — до 6000 руб., ИП — до 10 000 руб., юрлицам — до 30 000 руб. По статистике Роскомнадзора, на март 2021 г. зарегистрировано 420 774 операторов персональных данных. У некоторых из них гарантированно есть сведения о вас.

Обязанность подать уведомление об обработке персональных данных

Операторы обязаны сообщить в РКН о своем намерении осуществлять обработку сведений о физических лицах (статья 22 Закона). Заполнить уведомление в Роскомнадзор и привести процессы обработки в соответствие с установленными требованиями рекомендуется до начала взаимодействия с ПДн.

В некоторых ситуациях разрешено не состоять в реестре:

1. Компания обрабатывает информацию только о сотрудниках.
2. Сведения нужны в рамках договорных отношений между оператором и субъектом ПДн (например, для того, чтобы клиент мог сделать заказ и получить его).
3. Общественные объединения, религиозные организации обрабатывают информацию об участвующих в них лицах.
4. В состав собираемых сведений входит только ФИО.
5. Компания собирает ПДн субъекта для оформления разового прохода на территорию.
6. ПДн хранятся в бумажном виде, и вы их не дублируете на электронные носители. При этом бумажные документы должны быть надежно защищены от посторонних лиц.

Роскомнадзор о персональных данных в 2021

26 ноября 2020 г. Роскомнадзор провел онлайн-трансляцию по вопросам персональных данных и фактически рассказал, как будет применять Закон 152-ФЗ в следующем году.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

На семинаре прозвучали доклады:

Дмитрия Рудакова, заместителя начальника отдела ведения реестра операторов, осуществляющих обработку персональных данных. Он рассказал о реестре. Его презентация.

Второй спикер, Альфия Гафурова, заместитель начальника Управления по защите прав субъектов персональных данных Роскомнадзора, озвучила основные вопросы по жалобам граждан. Ее презентация содержит информацию о типовых нарушениях:

• в банковской сфере;
• в ЖКХ;
• в интернете;
• в связи;
• в торговле.

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

1. Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов. В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
2. Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
3. Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Положение о порядке обработки персональных данных необходимо

Трудовая инспекция выдала обществу предписание устранить нарушения трудовых прав работников.

Среди них – принять локальный акт, устанавливающий порядок обработки персональных данных сотрудников предприятия.

Общество оспорило предписание, сославшись на то, что вывод о нарушении трудовых прав работников является надуманным. В организации числится лишь один работник, и он же является директором ООО. Выходит, что трудовая инспекция одновременно и защищает права работника, и привлекает его же к ответственности, что недопустимо.

Суд не внял этому аргументу и решил, что в соответствии со ст. 86‒88 ТК РФ у каждого работодателя должен иметься локальный нормативный акт о порядке обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Поэтому у государственного инспектора труда имелись основания для выдачи предписания.

Апелляционное Определение Московского городского суда от 06.05.2014 № 33-15735/14

Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.

В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре. Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации. Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.

Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.

Похожие записи:

• Можно ли выставить счет без договора
• Порядок применения физической силы
• Как правильно уволиться по собственному желанию в декрете?