Памятка для операторов персональных данных в связи с изменениями в законодательстве с 1 сентября 2024 г.
ГАРАНТ:
См. Обзор изменений в законодательстве о персональных данных с 1 сентября 2024 г.
1. Изменения в содержании применяемых вами документов
а) договор, стороной которого является субъект ПД:
До 1 сентября обрабатывать ПД этого субъекта для целей заключения или исполнения договора можно было без согласия субъекта. Теперь же для сохранения возможности обработки ПД без согласия субъекта ПД необходимо проверить, чтобы договор, заключаемый с субъектом ПД, не ограничивал права и свободы субъекта ПД, не допускал обработку ПД несовершеннолетних (иное может быть предусмотрено законодательством РФ), а также не предусматривал бездействие субъекта ПД в качестве условия заключения договора (п. 5 ч. 1 ст.
6 Закона о ПД в новой ред.).
Если подобные условия все же необходимо сохранить в договоре, для обработки ПД субъекта потребуется его согласие, несмотря на то, что обработка будет необходима для заключения / исполнения договора, стороной которого является субъект ПД (п. 5 ч. 1 ст. 6 Закона о ПД).
Напомним, что согласие на обработку обычных ПД (не относящихся к биометрическим или специальным ПД) может быть дано субъектом ПД (его представителем) в любой позволяющей подтвердить факт его получения форме (ч. 1 ст. 9 Закона о ПД).
б) договор с лицом, осуществляющим обработку ПД по поручению оператора (обработчиком):
С 1 сентября в круг обязанностей обработчика, которые должны быть предусмотрены его договором с оператором, добавлены требования:
— при сборе ПД по общему правилу использовать базы данных, находящиеся на территории РФ,
— соблюдать предписания ст. 18.1 Закона о ПД,
— предоставлять по запросу оператора ПД (в течение срока действия поручения) документы и иную информацию, подтверждающие принятие мер и соблюдение требований закона,
— уведомлять оператора о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД (ч. 3 ст. 6 Закона о ПД в новой ред.), субъектом ПД наряду с оператором (ч. 6 ст.
6 Закона о ПД в новой ред.).
Данные обязанности следует включать в те договоры, которые будут заключаться начиная с 1 сентября. Ранее заключенные договоры в принудительном порядке не меняются, поскольку переходные положения не устанавливают, что действие изменений распространяется на отношения, возникшие из ранее заключенных договоров (ст. 422 ГК РФ).
Изменение содержания таких договоров возможно только по соглашению сторон.
в) согласие на обработку ПД:
Ранее от согласия на обработку ПД требовалось быть конкретным, информированным и сознательным. Теперь оно должно быть еще и предметным, а также однозначным (ч. 1 ст.
9 Закона о ПД в новой ред.).
Пока не сложится практика применения данной нормы, сложно сказать, в чем существенное отличие нового регулирования. Пояснительная записка к законопроекту не освещает это изменение. На наш взгляд, понятие конкретности согласия настолько тесно связано с его предметностью и однозначностью, что и до этого согласие субъекта ПД предполагалось дающимся в отношении определенных видов ПД и определенных видов их обработки (предметность) и не допускающим различного толкования (однозначность).
Пока практической рекомендацией, видимо, должна быть проверка разработанного оператором шаблона согласия на пресловутые предметность и однозначность.
г) локальные акты по вопросам обработки ПД:
С 1 сентября уточняются требования к содержанию документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД:
— в них должны определяться для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований,
— запрещено включать в них положения, ограничивающие права субъектов ПД, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности (п. 2 ч. 1 ст. 18.1 Закона о ПД в новой ред.).
Также отметим, что с 1 сентября конкретизировано, где именно в соответствующей информационно-телекоммуникационной сети оператор, осуществляющий сбор ПД с использованием таких сетей, обязан опубликовать документ, определяющий его политику в отношении обработки ПД, и сведения о реализуемых требованиях к защите ПД — а именно, на страницах принадлежащего оператору сайта в интернете, с использованием которых осуществляется сбор ПД (ч. 2 ст. 18.1 Закона о ПД в новой ред.).
Однако формулировка «в том числе» указывает, что это не исключительный способ опубликования сведений.
Внимание
С 1 сентября перечень названных в ч. 1 ст. 18.1 Закона о ПД мер, которые обязан принимать оператор, из рекомендательного становится обязательным. Таким образом, следует проверить те меры, которые в текущий момент принимает оператор для обеспечения выполнения обязанностей, предусмотренных законодательством о ПД, на предмет соответствия данному перечню.
И при необходимости внести изменения в политику обработки ПД и локальные акты оператора.
д) уведомление Роскомнадзора о начале обработки ПД
В нем дополнительно следует указать ФИО физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПД, содержащихся в государственных и муниципальных информационных системах (п. 10.2 ч. 3 ст. 22 Закона о ПД в новой ред.).
А категории ПД, категории субъектов, ПД которых обрабатываются, правовое основание обработки ПД, перечень действий с ПД, способы обработки ПД отныне следует указывать для каждой цели обработки ПД отдельно (ч. 3.1 ст. 22 Закона о ПД в новой ред.).
Обращаем внимание: изменениями закреплена обязательность форм уведомлений о начале и прекращении обработки ПД, а также об изменении ранее представленных сведений, которые устанавливаются Роскомнадзором (ч. 8 ст. 22 Закона о ПД в новой ред.).
Таким образом, соответствующие формы, приведенные в приложении к методическим рекомендациям, утв. приказом Роскомнадзора от 30.05.2017 N 94, переходят из статуса рекомендуемых в статус обязательных, если ведомством не будут разработаны новые формы.
Работа по утверждению новых форм уже ведется. Если эти формы не будут приняты к 1 сентября, необходимо подать уведомления о намерении осуществлять обработку ПД (если ранее не уведомляли Роскомнадзор об обработке) или о внесении изменений в ранее представленные сведения (если уведомляли, но по старой редакции ст. 22 Закона о ПД) по старым формам, а при появлении новых подать недостающие сведения через форму уведомления о внесении изменений в ранее представленные сведения.
Такие разъяснения дает и Роскомнадзор.
2. Изменения в вашем взаимодействии с субъектами ПД
а) в части биометрических ПД:
С 1 сентября предоставление биометрических ПД не может быть обязательным, за исключением случаев, когда обработка биометрических ПД может осуществляться без согласия субъекта. Оператор также не вправе отказывать в обслуживании в случае отказа субъекта ПД предоставить биометрические ПД и (или) дать согласие на их обработку, если в соответствии с федеральным законом получение оператором согласия на обработку ПД не является обязательным (ч. 3 ст.
11 Закона о ПД в новой ред.).
б) при запросе субъектом ПД информации, касающейся обработки его ПД:
В перечень сведений, которые субъект ПД может запросить у оператора, включена информация о способах исполнения оператором обязанностей, установленных ст. 18.1 Закона о ПД (п. 9.1 ч. 7 ст.
14 Закона о ПД в новой ред.).
Также с 1 сентября будет определен срок и порядок ответа оператора на запрос субъекта ПД: сведения должны быть предоставлены субъекту ПД (его представителю) в течение десяти рабочих дней с момента обращения (получения оператором соответствующего запроса). Указанный срок может быть продлен не более чем на пять рабочих дней по мотивированному уведомлению, которое оператор должен направить в адрес субъекта ПД. Сведения предоставляются в той форме, в которой направлено соответствующее обращение (запрос), если в нем не указано иное (ч.
3 ст. 14 Закона о ПД в новой ред.).
Оператор обязан разъяснить субъекту ПД юридические последствия не только отказа предоставить его ПД (ныне действующая норма), но и отказа дать согласие на их обработку, если в соответствии с федеральным законом получение оператором согласия на обработку ПД является обязательным (ч. 2 ст. 18 Закона о ПД в новой ред.).
В круг сведений, которые оператор обязан предоставить субъекту ПД до начала обработки, если ПД получены от третьих лиц, включен сам перечень полученных ПД (п. 2.1 ч. 3 ст. 18 Закона о ПД в новой ред.).
г ) по поводу устранения нарушений законодательства, допущенных при обработке ПД:
В случае обращения субъекта ПД к оператору с требованием о прекращении обработки ПД оператор обязан по общему правилу прекратить их обработку или обеспечить прекращение такой обработки (если за оператора действует обработчик) за исключением случаев, когда обработка возможна без согласия субъекта ПД, в течение десяти рабочих дней с даты получения требования. Указанный срок может быть продлен не более чем на пять рабочих дней по мотивированному уведомлению, которое оператор должен направить в адрес субъекта ПД (ч. 5.1 ст.
21 Закона о ПД в новой ред.).
3. Изменения в вашем взаимодействии с Роскомнадзором
а) по уведомлению о начале обработки ПД:
Перечень случаев, когда обработка ПД возможна без уведомления Роскомнадзора, с 1 сентября урезан до обработки ПД:
— включенных в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
— обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства,
— в случае, если оператор осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации (ч. 2 ст. 22 Закона о ПД в новой ред.).
Отметим, что в последнем случае речь идет о возможности обработки ПД без уведомления Роскомнадзора только тогда, когда оператор вообще осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации, т.е. абсолютно все ПД им обрабатываются таким способом.
Несмотря на то, что законодатель значительно увеличил число случаев, в которых уведомление Роскомнадзора необходимо, он не предусмотрел никаких переходных положений по срокам направления уведомления для тех операторов, которые ранее не обязаны были направлять такое уведомление. Роскомнадзор разъяснил, что предельный срок уведомления об обработке ПД не определен, поэтому 1 сентября 2024 не является крайним сроком подачи уведомления об обработке персональных данных. Мы же, со своей стороны, учитывая риск привлечения оператора, обрабатывающего ПД без уведомления Роскомнадзора, к административной ответственности по ст.
19.7 КоАП РФ, полагаем целесообразным направить уведомление в кратчайшие сроки.
б) при запросе информации Роскомнадзором:
Срок ответа оператора при получении запроса Роскомнадзора сокращен с тридцати календарных дней до десяти рабочих дней со дня обращения (получения запроса). Но этот срок может быть продлен не более чем на пять рабочих дней по мотивированному уведомлению, которое оператор обязан направить в Роскомнадзор (ч. 4 ст.
20 Закона о ПД в новой ред.).
в) по поводу устранения нарушений законодательства, допущенных при обработке ПД:
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, оператор обязан уведомить Роскомнадзор о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПД, и предполагаемом вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о контактном лице — в течение суток с момента выявления такого инцидента оператором, самим Роскомнадзором или иным заинтересованным лицом, а о результатах внутреннего расследования выявленного инцидента и о лицах, действия которых стали причиной выявленного инцидента (при наличии) — в течение трех суток (ч. 3.1 ст. 21 Закона о ПД в новой ред.).
Внимание
В случае возникновения инцидента оператор обязан направить в Роскомнадзор два уведомления!
4. Абсолютно новая обязанность оператора по взаимодействию с ГосСОПКА
Такое название носит Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории РФ, в дипломатических представительствах и (или) консульских учреждениях РФ), созданная в соответствии с Федеральным законом от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
С 1 сентября оператор обязан в порядке, определенном ФСБ, обеспечивать взаимодействие с ГосСОПКА, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Поступившая от оператора информация передается органами ФСБ в Роскомнадзор в согласованном ими порядке (ч. 12-14 ст.
19 Закона о ПД в новой ред.).
В отсутствие новых нормативных актов, по всей видимости, встает вопрос о применимости Перечня информации, представляемой в ГосСОПКА, и Порядка представления информации в ГосСОПКА, утв. приказом ФСБ России от 24.07.2018 N 367, а также Порядка информирования ФСБ России о компьютерных инцидентах. утв. приказом ФСБ России от 19.06.2019 N 282. При этом следует обратить внимание на понятие субъектов критической информационной инфраструктуры, на которых распространяются данные приказы ФСБ: это государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. Очевидно, что это понятие уже, чем понятие оператора ПД, в деятельности которого произошел компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) ПД, которое использует Закон о ПД в новой ред. Поэтому мы полагаем, что должны последовать официальные разъяснения о том, что именно включает в себя обязанность оператора ПД обеспечивать взаимодействие с ГосСОПКА, применим ли при этом приказ N 367, должно ли происходить информирование ФСБ согласно приказу N 282, действуют ли два этих порядка одновременно или только один из них.
До таких разъяснений применимость этих приказов вызывает сомнения.
5. Отдельные напоминания
а) организациям, подведомственным государственным и муниципальным органам:
Особенности обработки ПД, разрешенных субъектом ПД для распространения, установленные ст. 10.1 Закона о ПД, не распространяются на обработку вами ПД при исполнении возложенных на вас законодательством РФ функций, полномочий и обязанностей (ч. 15 ст.
10.1 Закона о ПД в новой ред.).
б) иностранным юридическим или физическим лицам:
Если вы осуществляете обработку ПД российских граждан на основании договоров с ними либо на основании их согласия на обработку их ПД, тогда с 1 сентября положения Закона о ПД являются для вас обязательными (ч. 1.1 ст. 1 Закона о ПД в новой ред.).
Объявляю вас оператором персональных данных
Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Но иногда компании думают, что лучше не привлекать внимания ведомства и не подавать уведомление. Они ведь и раньше собирали данные, а уведомление подают только сейчас.
Точно придет проверка, и придется платить штраф.
Отсиживаться рискованнее, чем подать уведомление. Об этом рассказывает эксперт по персональным данным Максим Лагутин.
Эксперт — Максим Лагутин, специалист по информационной безопасности и персональным данным и основатель компании по защите персональных данных «Б-152». Записали Анна Моисеенко и Ирина Усиченко, редактор.
Кто относится к операторам персональных данных
Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:
Персональные данные — это любые данные о человеке, по которым можно определить его личность. Например:
- электронная почта;
- телефон;
- имя и фамилия;
- дата рождения;
- данные паспорта;
- адрес;
- ссылка на сайт.
По-настоящему бесплатный тариф для бизнеса!
При этом ни в одном законе нет точного списка, что считается персональными данными. Дело в том, что в разных ситуациях одни и те же данные могут быть или не быть персональной информацией.
Ник, ФИО и любая другая информация без дополнительных данных не считаются персональными данными, если по ним нельзя определить конкретного человека.
На листочке в кафе написано «Иванов Иван Иванович» — это не персональные данные. Для регистрации на сайте вы оставляете свою электронную почту — это уже будет считаться персональными данными.
С геопозицией и куками (файлы cookies — многие сайты просят у вас согласие на сохранение куки, чтобы вы могли пользоваться ими дальше) ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке.
В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.
«МГТС» продавала данные своих клиентов другим компаниям:
- временные метки;
- деперсонализированный идентификатор user ID;
- адреса страниц, к которым было обращение;
- адреса, с которых был переход;
- информацию о браузере и устройстве, с которого был запрос;
- IP-адрес.
По сути, это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было.
Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно.
Суд с компанией не согласился и назначил штраф 30 000 рублей.
Мы рекомендуем перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например, имя, телефон, электронную почту.
Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных.
Такой же позиции придерживаются суды.
Данные из социальных сетей
По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берет телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нем, поэтому второй раз спрашивать не надо.
Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями ВКонтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:
В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.
В 2017 году ВКонтакте подал в суд на компанию Double Data и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.
Социальная сеть просила взыскать с компаний по одному рублю. «ВКонтакте» выиграл суд.
Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль.
Но в другом деле пользователь может подать в суд на компанию на миллион или два.
Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными ВКонтакте можно показывать такое сообщение:
«Для регистрации мы будем использовать открытые данные с вашей страницы ВКонтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку «Далее»».
Если пользователь согласится, то претензий к компании не будет.
Когда уведомление не нужно
По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:
- Обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе. Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника.
Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор, но есть некоторые исключения.
Проверка Роскомнадзора
Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.
В реестре Роскомнадзора 439 тыс. компаний, и цифра постоянно растет:
Проверить все компании из списка Роскомнадзор не может. Проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление или на которые часто поступают жалобы от пользователей о нарушениях.
Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируется как оператор. Не ответить на такое письмо — повод для проверки.
Роскомнадзор на Дне открытых дверей в 2021 году уточнил, что большинство нарушений компании устраняют в срок и в итоге не привлекаются к административной ответственности.
Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву «А», которые обрабатывали персональные данные и не подали уведомление.
Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:
- устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
- карт лояльности;
- рекламных рассылок;
- оказания услуг;
- регистрации на сайтах;
- звонков потенциальным клиентам.
Все компании Роскомнадзор делит по степени риска от низкого до высокого. Для компаний с высоким риском профилактические проверки проводятся каждые 2 года, с умеренным риском — каждые 3 года, со средним — каждые 4, с умеренным — каждые 6, а для компаний с низким риском регулярные проверки не проводятся.
К компаниям с высоким риском относятся те, которые обрабатывают биометрические данные, передают данные за границу или хранят их на иностранном сервере. В категорию компаний с умеренным риском попадают те, которые обрабатывают данные для целей, отличных от заявленных, хранят данные более 20 000 человек и собирают данные с помощью иностранных сервисов.
Если Роскомнадзор заметит какие-то нарушения в области персональных данных, то он может вынести предостережение, а если ничего не поменяется, то компания рискует получить штраф.
Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без письменного согласия — от 6000 до 150 000 руб. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.
Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 80 000 руб.
Какие ожидаются изменения
В апреле 2024 года был внесен законопроект, который может заметно ограничить возможности компаний по передаче и использованию персональных данных. Сейчас он проходит рассмотрение во втором чтении.
- Авторы предлагают ввести понятие трансграничной передачи данных (то есть за рубеж) и ограничить возможность передавать такие, а в некоторых случаях даже запретить. Компании будут обязаны уведомлять Роскомнадзор о том, что они собираются передать любые данные за рубеж, а в течение месяца получают ответ, можно ли передавать такую информацию и в каком объеме.
- Если лицо, которое предоставило данные, сообщит, что они были получены незаконным путем или необязательны для заявленной цели компании, то оно может потребовать их удалить, а при отказе — обратиться в суд, а организация получит штраф. А еще компании будут обязаны объяснять клиентам, для чего именно нужны конкретные персональные данные, а если клиент попросит прекратить их обработку, то это надо будет сделать в течение 30 дней.
- Компании будут обязаны сообщать в государственные органы о каждом случае утечки персональных данных в течение 24 часов после инцидента, а Роскомнадзор будет вести реестр таких случаев. Если законопроект вступит в силу, то компании будут рисковать получить штраф за несвоевременное сообщение об утечке данных.
По-настоящему бесплатный тариф для бизнеса!
Бесплатная бухгалтерия, перевод до 250 тыс. руб. на личную карту без комиссии и бесплатные платежки контрагентам
Регистрация организации как оператора персональных данных
Регистрация операторов, осуществляющих обработку персональных данных
Консультацию по заполнению формы уведомления, информационных писем, заявлений о предоставлении выписки из реестра и о внесении в реестр операторов сведений о прекращении обработки персональных данных можно получить у сотрудников Управления по телефонам: (342) 258-15-37 (доб. 547 или доб. 534), 258-15-36 (доб.
533 или доб. 532 или доб. 531) понедельник — четверг с 09.00 до 18.00, пятница с 09.00 до 16.45, перерыв на обед с 12.00 до 12.45.
В соответствии с требованиями части 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных») оператор – это государственный или муниципальный орган, юридическое или физическое лицо, организующее или осуществляющее обработку персональных данных с определенными целями.
В соответствии со статьей 22 Федерального закона «О персональных данных» операторы, осуществляющие обработку персональных данных, обязаны до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
Уполномоченным органом по защите прав субъектов персональных данных (далее Уполномоченный орган), на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (часть 1 статьи 23 Федерального закона «О персональных данных»).
Согласно части 4 статьи 25 Федерального закона «О персональных данных» операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление об обработке (о намерении осуществлять обработку) персональных данных (далее — Уведомление), предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Федеральный закон «О персональных данных» регулирует отношения, связанные с обработкой персональных данных и не может служить операторам основанием для обработки персональных данных субъектов персональных данных, в связи с чем, Управление рекомендует не включать в уведомление уполномоченного органа основание для обработки персональных данных — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
В соответствии со ст. 24 Федерального закона «О персональных данных» лица, виновные в нарушении требований настоящего Федерального Закона, несут гражданскую, дисциплинарную, административную, уголовную и иную ответственность, предусмотренную законодательством Российской Федерации.
Вниманию руководителей государственных, муниципальных органов, предприятий и организаций, индивидуальным предпринимателям, осуществляющих обработку персональных данных!
Во исполнение Федерального закона «О персональных данных» с октября 2007 года Управление Роскомнадзора по Пермскому краю приступило к приему уведомлений об обработке персональных данных.
В соответствии со статьями 22, 25 Федерального Закона от 27 июля 2006 года №152-ФЗ «О персональных данных» организациям, осуществляющим обработку персональных данных, надлежит направить в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Пермскому краю уведомление об обработке (о намерении осуществлять обработку) персональных данных.
Пункт 1 ст. 22 ФЗ «О персональных данных» обязывает оператора до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Операторы, которые вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных, указаны в части 2 данной статьи.
Операторы, которые осуществляют обработку персональных данных до дня вступления в силу ФЗ «О персональных данных» и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных ч.2 ст.22, уведомление об обработке персональных данных, не позднее 1 января 2008 года — п.4 ст.25 ФЗ «О персональных данных».
Согласно п. 3 ст. 23 уполномоченный орган по защите прав субъектов персональных данных имеет право направлять заявление в орган, осуществляющий лицензирование деятельности оператора для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке.
- заполнить форму уведомления об обработке (о намерении осуществлять обработку) персональных данных в электронном виде
- заполнить информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных
Информация для операторов о внесении изменений в сведения об операторе, содержащиеся в реестре операторов, осуществляющих обработку персональных данных
Сообщаем, что в случае внесения изменений в сведения об операторе, содержащиеся в реестре операторов, осуществляющих обработку персональных данных, следует руководствоваться следующим:
1. В случае изменения сведений, содержащихся в представленном ранее Уведомлении об обработке персональных данных, оператор обязан уведомить территориальное управление Службы об изменениях в течение десяти рабочих дней с даты возникновения таких изменений.
2. Заявление об изменении сведений предоставляется оператором в территориальное управление Службы с обязательной регистрацией в делопроизводстве оператора в виде информационного письма с указанием основания (причин) внесения изменений. Поля, отмеченные звездочкой (*) подлежат обязательному заполнению, прочие поля заполняются ТОЛЬКО в случае внесения в них изменений.
3. Информационное письмо с изменёнными сведениями оператор предоставляет в территориальное управление Службы в письменной форме, подписанное уполномоченным лицом или в электронной форме, подписанное электронной цифровой подписью, с указанием сведений в соответствии с частью 3 статьи 22 Федерального закона от 26.07.2006 года № 152-ФЗ «О персональных данных». К заявлению прилагается документ (основание), подтверждающий произошедшие изменения в ранее представленных сведениях.
Информация для операторов о порядке их исключения из реестра операторов, осуществляющих обработку персональных данных.
1. В случае прекращения оператором обработки персональных данных в полном объёме (согласно п. 7 с. 22 Федерального закона от 26.07.2006 года № 152-ФЗ «О персональных данных») оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней с даты прекращения обработки персональных данных.
2. Заявление об исключении из реестра операторов, осуществляющих обработку персональных данных, оператор предоставляет в территориальное управление Службы в письменной форме, подписанное уполномоченным лицом или в электронной форме, подписанное электронной цифровой подписью. К заявлению прилагается документ (основание), подтверждающий причину прекращения обработки персональных данных.
Информация для операторов о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных.
Для предоставления выписки из реестра операторов, осуществляющих обработку персональных данных необходимо представить в адрес Управления Роскомнадзора по Пермскому краю заявления о предоставлении выписки.
Время публикации: 07.12.2015 14:54
Последнее изменение: 12.10.2022 14:31
- Минкомсвязь России
- РСпектр
- Единый реестр запрещенной информации
- Реестр нарушителей авторских прав
- Публичный реестр инфраструктуры связи и телерадиовещания РФ
- Портал персональных данных
Кто является оператором персональных данных?
Согласно ст. 3 Закона N 152-ФЗ оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.
Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.
Однако не все операторы должны исполнять требования Закона N 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона N 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:
обрабатываемых в соответствии с трудовым законодательством;
полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
сделанных субъектом персональных данных общедоступными;
включающих в себя только фамилии, имена и отчества субъектов персональных данных;
необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.
Обратите внимание! Сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора.
Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.
Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.
Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации. К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы, а также медицинские учреждения, образовательные организации, налоговые и другие регистрирующие органы, организации в сфере социальных услуг, банки, турагентства. Это могут быть и просто организации, которые проводят конкурсы на занятие определенных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.
Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст. 13.11 КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических — от 15 000 до 30 000 руб.
К сведению. В целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства РФ в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Формирует данный реестр Роскомнадзор (ст.
15.5 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»).
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.