Социальная сфера
ПАМЯТКА
Регистрация в реестре Роскомнадзора: когда требуется и как ее провести?
Оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Фактически любое юр. лицо по смыслу Закона №152-ФЗ является оператором персональных данных (компании обрабатывают данные клиентов, работников и т.д.). Однако далеко не любая компания, являющаяся оператором персональных данных, обязана включаться в реестр операторов персональных данных (уведомлять Роскомнадзор об обработке персональных данных. В настоящей статье расскажем, когда нужно вносить сведения о компании в реестр операторов персональных данных, а когда это не требуется. Также вы получите инструкцию по регистрации компании в качестве оператора персональных данных в Роскомнадзор.
Когда включение в реестр операторов персональных данных не требуется?
Закон содержит исчерпывающий перечень случаев, когда оператор персональных данных вправе осуществлять обработку персональных данных, не уведомляя об этом Роскомнадзор.
Внимание! С 01.09.2022 года вступают в силу поправки к Закону №152-ФЗ, в соответствии с которыми перечень случаев, когда оператор персональных данных вправе осуществлять деятельность без уведомления Роскомнадзора, сокращается.
С 01.09.2022 года не уведомлять Роскомнадзор об обработке персональных данных можно только в следующих случаях:
-персональные данные включены в государственные автоматизированные информационные персональных данных либо информационные системыобщественного порядка;
-персональные данные обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
-персональные данные обрабатываются вслучаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Таким образом, с 01.09.2022 года операторы персональных данных должны уведомить Роскомнадзор об обработке персональных данных, в том числе в следующих случаях:
-персональные данные, обрабатываемые в соответствии с трудовымзаконодательством;
-персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
-обрабатываются персональные данные членов (участников) общественного объединения или религиозной организации для достижения законных целей,предусмотренных их учредительными документами, при условии, чтоперсональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
-субъект персональных данных сделалсвои данные общедоступными;
-персональные данные включают в себя фамилию,имена и отчества субъектов персональных данных;
персональные данные необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор или в иныханалогичных целях.
Следствием подачи уведомления является включение юр. лица в реестр операторов персональных данных. Включение компании в реестр операторов персональных данных Роскомнадзора может нести следующие последствия для деятельности компаний:
-увеличивается риск проведения в компании плановых и внеплановых проверок состороны Роскомнадзора;
-увеличивается вероятность блокировки интернет-сайта компании в случае
обнаружения нарушений законодательства о персональных данных;
-возникает вероятность наложения штрафов за нарушение законодательства об
обработки персональных данных.
Обратите внимание! Обязанности оператора персональных данных не ограничиваются только подачей уведомления в Роскомнадзор. Оператор должен разработать обязательные локальные акты по защите ПДн (вуведомлении сообщается об их наличии), а такте соблюдать предусмотренные законом и локальными актами правила обработки, хранения и защиты ПДн.
Ответственность за невнесение сведений об операторе персональныхданных в реестр Роскомнадзора.
Непредставление оператором уведомления об обработке персональных данных в Роскомнадзор влечет за собой ответственность, предусмотренную ст. 19.7 Кодекса Российской Федерации обадминистративных правонарушениях.
За непредставление или несвоевременное представление уведомления предусмотренаадминистративная ответственность: предупреждение или штраф для должностных лиц– от300 до 500 руб.; для юридических лиц — от 3 000 до 5 000 руб. (ст. 19.7 КоАП РФ).
Регистрация оператораперсональных данных вреестреРоскомнадзора: пошаговая инструкция
Если вы осуществляетеобработку ПДН, при этом ваша деятельность неподпадает под перечисленные выше случаи, вам необходимо до начала обработкиперсональных данных направить в Роскомнадзор уведомление.
Шаг 1:Подготовка и подача уведомления обперсональных данных.
Уведомление в Роскомнадзор должно содержать:
-наименование (фамилия, имя, отчество), адрес оператора;
-цель обработки персональных данных (для каждой цели обработки персональных данных указываются категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных);
-описание мер по обеспечению безопасности персональных данных,предусмотренных законом, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
-ФИО физического лица или наименование юридического лица, ответственных заорганизацию обработки персональных данных, и номера их контактных телефонов,почтовые адреса и адреса электронной почты;
-дату начала обработки персональных данных;
-срок или условие прекращения обработки персональных данных;
-сведения о наличии или об отсутствиитрансграничной передачи персональныхданных в процессе их обработки;
-сведения о месте нахождения баз данных, содержащейперсональные данные граждан Российской Федерации;
-сведения об обеспечении безопасностиперсональных данных в соответствии с требованиями к защите персональных данных, установленными ПравительствомРоссийской Федерации;
-фамилия, имя, отчество физического лицаили наименование юр. лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.
Уведомление подается на бумажном носителе или в электронном виде.
Шаг 2. Внесение сведений в Реестр Роскомнадзора (публикация сведений в реестре)
Роскомнадзор на основании представленного уведомления вносит сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления.
Пошлина на регистрацию в реестре не уплачивается.
В случае предоставления неполных или недостоверныхсведенийвуведомлении Роскомнадзор вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов (отказ во время внесения в реестр законом не предусмотрен).
В случае изменения сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данныхоператор обязан уведомить Роскомнадзор в течении 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.