Реестр пдн

Реестр пдн

Как стать оператором персональных данных в реестре Роскомнадзора

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ :

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.
  • То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

    Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

    Обязанности оператора при обработке персональных данных

    Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

    • разъяснять субъекту ПД, какие данные и для чего собирают, а также получать его предварительное согласие на обработку личной информации. Такое согласие запрашивают в письменной форме: человеку предлагают подписать специальную бумагу, где уточняется, что сбор информации производится по правилам закона № 152-ФЗ и она будет соответствующим образом храниться, использоваться, а позже — уничтожаться. Хотя чаще всего согласие «прячется» в самом конце подписываемого соглашения и выглядит как галочка, рядом с которой надо поставить свою подпись, существует и специальная форма такого согласия. Вот бланк, которым предлагает пользоваться Роскомнадзор (скачать форму можно в конце статьи):
    • разработать и публично представлять политику в отношении обработки ПД. Обнародовать такой документ можно любым удобным для компании способом, но чаще всего это делается с помощью интернета — на странице организации просто публикуют политику без сокращений;
    • обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения. Как правило, речь идет о технических и организационных мерах — установление паролей и специальных программ, гарантирующих сохранность информации, оперативное устранение последствий хакерских атак, иные мероприятия по обеспечению безопасности;
    • уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели. Согласно статье 21 закона N152-ФЗ, уничтожается информация только после обращения лица, чьи данные обрабатывались с нарушениями, либо его представителя. Запрос обязательно подается в письменной форме, и отреагировать на него оператор должен в сроки, прописанные в законе. Рекомендованный образец такого обращения доступен на сайте Роскомнадзора;
    • блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя). Это не значит, что оператор полностью удаляет имеющуюся информацию, но он не может ею пользоваться.
    • Регистрация в Роскомнадзоре в качестве оператора персональных данных

      Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

    • работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;
    • компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
    • общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
    • организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
    • любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;
    • системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
    • граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687 ;
    • организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.
    • С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

      Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

      Роскомнадзор рекомендует подавать уведомление на бланке организации, на бумаге либо в электронном варианте. Бумажный вариант надо будет заполнить, подписать и отправить в территориальный орган Роскомнадзора (по почте или отнести лично). Электронный документ можно оформить прямо на сайте ведомства — в разделе «Электронные формы заявлений».

      Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

    • полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
    • цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
    • категории ПД, которые будут обрабатываться;
    • субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
    • основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
    • описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
    • сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
    • информация о шифровальных (криптографических) средствах;
    • дата начала, а также условия и сроки прекращения обработки ПД;
    • сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
    • сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .
    • Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

      Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

      Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

      Ответственность за отказ регистрироваться в реестре

      Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

      Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

      m.ppt.ru

      Реестр операторов персональных данных

      Похожие публикации

      Закон о персональных данных № 152-ФЗ от 27.07.2006 обязует пройти регистрацию в специальном реестре всех, кто занимается обработкой персональных данных. Что это за реестр, для кого включение в него является обязательным, и как происходит процедура регистрации – об этом наша статья.

      Кто является оператором персональных данных

      К операторам закон № 152-ФЗ относит госорганы, организации и физлиц, которые собирают персональные данные, а также самостоятельно определяют цели сбора, состав сведений, и совершаемые с ними действия (ст. 3 закона № 152-ФЗ).

      Проще говоря, оператор персональных данных, это тот, кто использует личные данные граждан для трудовых и прочих отношений. Их главной задачей является сохранение конфиденциальности полученных персональных данных, т.е. запрет передавать данные третьим лицам и распространять их без согласия самого физлица, если только эти данные не обезличены.

      Реестр операторов персональных данных Роскомнадзора

      Прежде, чем начать обработку персональных данных, оператор обязан уведомить об этом госорган, уполномоченный вести реестр операторов персональных данных — Роскомнадзор (ч 1 ст. 22 закона № 152-ФЗ). Эта федеральная служба осуществляет надзор за сферой связи, массовых коммуникаций и информационных технологий. Госконтроль за обработкой персональных данных операторами, в соответствии с законом, тоже осуществляет Роскомнадзор. В этих целях он проводит проверки операторов персональных данных, согласно регламенту, утвержденному приказом Минкомсвязи РФ от 14.11.2011 № 312.

      Ознакомиться с реестром операторов обработки персональных данных можно на официальном сайте Роскомнадзора, его сведения являются общедоступными.

      Уведомление достаточно подать единожды за весь период работы оператора. В то же время, закон содержит перечень исключений, когда работать с личными данными можно без включения в реестр операторов персональных данных (ч. 2 ст. 22 закона № 152-ФЗ):

    • когда операторы-работодатели обрабатывают только данные, полученные в соответствии с трудовым законодательством;
    • если оператор получил данные от контрагента в связи с заключением договора и не использует их в иных целях, кроме исполнения договора;
    • когда оператор персональных данных — религиозная или общественная организация, которая обрабатывает личные данные своих участников для целей, предусмотренных ее уставом;
    • если гражданин сам сделал общедоступными свои персональные данные;
    • если персональные данные не включают ничего, кроме Ф.И.О.;
    • когда данные получают для оформления разового пропуска;
    • при обработке персональных данных государственными автоматизированными инфосистемами;
    • если личные данные обрабатываются «на бумаге», т.е. без применения автоматизации;
    • когда данные используются для обеспечения безопасности транспортных систем.
    • Все, кто не указан в данном списке, уведомление для включения в реестр операторов персональных данных Роскомнадзора подать обязаны. Многие ИП и организации игнорируют данное требование либо узнают о нем слишком поздно. Но подать уведомление для включения в реестр можно и позже, указав в нем реальную дату начала обработки персональных данных, при этом никаких штрафных санкций за опоздание не последует.

      Как уведомить Роскомнадзор

      Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

    • сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
    • правовое основание и цели обработки данных согласно уставу;
    • описание мер и средств защиты личных данных;
    • фактическую дату начала обработки персональных данных оператором;
    • условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
    • категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
    • действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
    • данные лица, ответственного за обработку персональных данных.
    • После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.

      На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

      Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.

      spmag.ru

      А ваша организация – оператор персональных данных?

      Добрый день, коллеги!

      Удивительно холодно была встречена новость о сентябрьских изменениях в Федеральный закон «О персональных данных» на профессиональном портале «профессиональных» операторов персональных данных. Боюсь, вы зря решили, что вашей компании это всё равно не касается.

      Что такое персональные данные?

      Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

      Вся соль в словах «определенному или определяемому физическому лицу». Если по информации или её совокупности можно понять, о ком речь — то перед вами то, что называют персональные данные. Если понять нельзя — то и эту информацию скорее всего нельзя отнести к персональным данным.

      Приведу несколько примеров:

    • Иванов Иван Иванович, паспорт гражданина РФ серии 01 00 номер 000001 — это прямо определенное физическое лицо.
    • Петров Петр Петрович, отец Вовы Петрова из 5-го «Б» класса — это косвенно определенное физическое лицо.
    • Генеральный директор ООО «Ромашка», личный телефон +7(900) 555-00-00 — это определяемое физическое лицо.
    • Брюнет Константин — лицо не определено и не может быть определено (не персональные данные или то, что называется обезличенные данные).
    • Поэтому если вы увидите на стене в подъезде надпись «Машка — молодец!», знайте — это не персональные данные, в отличии от записи в ежедневнике «Мария (+7(900) 555-00-99) — встреча в 16:00». Потому что само по себе взятое отдельно имя к персональным данным не относится, но стоит прибавить к нему информацию, достаточно достоверно идентифицирующую личность (например, номер телефона или паспорта, адрес прописки или должность в конкретной организации), и вуаля! — перед нами появляются персональные данные, причем включая то же самое имя.

      Нет четкого списка того, что является персональными данными. Но обычно к ним относят следующее:

      Обратите внимание!
      Исчерпывающего списка персональных данных нет и быть не может. Относятся данные к персональным или не относятся решается в каждой ситуации отдельно.

    • фамилия,
    • имя,
    • отчество,
    • адрес проживания,
    • электронный адрес,
    • номер телефона,
    • дата рождения,
    • место рождения,
    • национальность,
    • вероисповедание,
    • место работы,
    • должность,
    • рост,
    • вес,
    • Кто является оператором персональных данных?

      Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

      То есть формально — все. Абсолютно все.

      Наверняка, прочитав предыдущий раздел, Вы пришли к выводу, что Ваш телефон, Ваш электронный почтовый ящик, Ваш ежедневник, документы на Вашем столе и даже несколько папочек в сейфе кишмя кишат персональными данными. И что же делать с этой бедой?

      Абсолютно ничего не надо делать в следующих случаях, так как на них ФЗ «О персональных данных» не распространяется (пункт 2 статьи 1 Закона):

      1. Обработка персональных данных производится физическими лицами исключительно для личных и семейных нужд, но если при этом не нарушаются права субъектов персональных данных;
      2. Обработка персональных данных производится при работе с документами Архивного фонда Российской Федерации и аналогичных документов;
      3. Персональные данные, отнесены к сведениям, составляющим государственную тайну;
      4. Персональные данные относятся к публичной информации о деятельности судов в РФ.

      Скорее всего, ничего не надо предпринимать если:

      Обратите внимание!
      На практике есть много нюансов, которые нужно будет участь, чтобы иметь возможность обрабатывать персональные данные не уведомляя компетентный орган. Поэтому не делайте окончательных выводов основываясь только на этой статье!
      Как минимум, обратитесь к тексту закона — в списке есть прямые ссылки.

    • Персональные данные обрабатываются исключительно во исполнение требований трудового законодательства (подпункт 1 пункта 2 статьи 22 ФЗ «О персональных данных»);
    • Персональные данные обрабатываются исключительно для исполнения договора, стороной которого является субъект персональных данных (подпункт 2 пункта 2 статьи 22 ФЗ «О персональных данных»);
    • Персональные данные о членах общественной или религиозной организации обрабатываются самой этой организацией (подпункт 3 пункта 2 статьи 22 ФЗ «О персональных данных»);
    • Сам субъект персональных данных сделал их общедоступными (подпункт 4 пункта 2 статьи 22 ФЗ «О персональных данных»);
    • Персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных (подпункт 5 пункта 2 статьи 22 ФЗ «О персональных данных»);
    • персональные данные используются для предоставления одноразового пропуска и т.п. (подпункт 6 пункта 2 статьи 22 ФЗ «О персональных данных»);
    • Обрабатываются персональные данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (подпункт 6 пункта 2 статьи 22 ФЗ «О персональных данных»);
    • Персональные данные обрабатываются без использования компьютера (но с соблюдением требований установленных Постановлением Правительства РФ от 15.09.2008 N 687) (подпункт 8 пункта 2 статьи 22 ФЗ «О персональных данных»);
    • Персональные данные обрабатываются в целях транспортной безопасности (подпункт 9 пункта 2 статьи 22 ФЗ «О персональных данных»).
    • Придется позаботится о соблюдении всех требований ФЗ «О персональных данных», если:

      Обратите внимание!
      Не важно, кто является владельцем сайта: физическое лицо или организация. В обоих случаях необходимо зарегистрировать оператора персональных данных.

      1. Ваш сайт позволяет производить регистрацию пользователей (даже с минимальным набором данных «имя + e-mail»). Примеры:

    • форумы;
    • социальные сети;
    • многие новостные сайты;
    • интернет-магазины;
    • блоги;
    • сайты с частными объявлениями;
    • 2. Ваш сайт позволяет вносить в формы персональные данные пользователей, которые впоследствии публикуются на сайте или отправляются по e-mail. Например, если на сайте есть функция «перезвонить мне», возможность отправить быстрый заказ или подписаться на рассылку и тому подобное.

      3. Ваш сайт просто уже содержит реальные персональные данные граждан.

      4. Ваша компания (юридическое лицо или индивидуальный предприниматель) на постоянной основе занимаются обработкой персональных данных граждан. Это справедливо для:

    • большинства юридических фирм;
    • абсолютно всех регистраторов (в смысле компаний, занимающиеся регистрацией юрлиц и ИП, изменениями, ликвидацией и так далее);
    • реестродержателей;
    • бухгалтерских компаний, оказывающих услуги по аутсорсингу бухгалтерии и кадрового делопроизводства;
    • банков, МФО и других компаний финансового сектора, работающих с данными граждан;
    • медицинских учреждений;
    • магазинов, салонов красоты и других подобных организаций с персональными клубными картами (это особенно популярно у сетевых магазинов косметики);
    • образовательных организаций и учреждений (в том числе проводящих краткосрочные курсы или разовые тренинги);
    • ТСЖ и управляющих компаний в сфере ЖКХ;
    • турагентств;
    • третейских судов;
    • и так далее.
    • 5. Ваша компания активно работает с внештатными сотрудниками (по гражданско-правовому договору).

      6. Ваша компания использует CRM или аналогичные системы.

      7. Во всех остальных случаях, если Вы или Ваша компания не подпадаете под исключения, которые я описала выше.

      Что делать организации, занимающейся обработкой персональных данных?

      Если вы нашли свою компанию в третьем списке, то, во-первых, придется подготовить пакет документов, предусмотренных законодательством о персональных данных, который включает в себя:

    • Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области персональных данных.
    • Положение о комиссии по приведению в соответствие с требованиями законодательства в области персональных данных.
    • План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных.
    • Перечень должностей и третьих лиц, допущенных к обработке персональных данных.
    • Форма Обязательства о неразглашении персональных данных.
    • Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку.
    • Перечень обрабатываемых персональных данных.
    • Форма Согласия на обработку персональных данных.
    • Форма Согласия на обработку персональных данных для сайта.
    • Перечень информационных систем персональных данных.
    • Перечень применяемых средств защиты информации.
    • Перечень помещений, в которых ведется обработка персональных данных.
    • Технический паспорт информационных систем персональных данных.
    • Приказ о назначении лиц, ответственных за обработку и защиту персональных данных.
    • Инструкция администратора информационной безопасности.
    • Инструкция менеджера обработки персональных данных.
    • Положение по обработке персональных данных.
    • Политика компании в отношении обработки персональных данных.
    • Положение об обеспечении безопасности персональных данных.
    • Уведомление об обработке персональных данных.
    • Приказ об утверждении Инструкции пользователя информационных систем персональных данных.
    • Инструкция пользователя информационных систем персональных данных.
    • Регламент по учёту, хранению и уничтожению носителей персональных данных.
    • Регламент по допуску сотрудников и третьих лиц к обработке персональных данных.
    • Регламент по реагированию на запросы субъектов персональных данных.
    • Регламент по взаимодействию с органами государственной власти в области персональных данных.
    • Регламент по резервному копированию персональных данных.
    • Регламент по проведению контрольных мероприятий и реагированию на инциденты информационной безопасности.
    • Во-вторых, уведомить компетентный орган — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о начале обработки персональных данных. После чего компания будет внесена в Реестр операторов персональных данных.

      Например, 1 сентября вступили в силу изменения в Закон, ограничивающие трансграничную передачу данных, в связи с чем до 12 сентября операторы персональных данных должны были сообщить в Роскомнадзор о том, где они обрабатывают персональные данные — в России или за рубежом.

      В-третьих, отслеживать изменения в законодательстве о персональных данных, так как периодически придется направлять в Роскомнадзор новые уведомления и вносить коррективы в действующие внутренние положения, регламенты и другие документы.

      Ответственность за нарушение законодательства о персональных данных

      Роскомнадзор периодически производит проверки как среди компаний, внесенных в Реестр операторов персональных данных, так и среди компаний, которых нет в этом реестре, но они с точки зрения Роскомнадзора потенциально могут заниматься обработкой данных граждан. Со списком запланированных проверок можно ознакомится на сайте органа.

      Кроме того, проверки могут назначаться после поступившей жалобы, чем, к сожалению, периодически пользуются обиженные бывшие работники или недобросовестные конкуренты.

      Если в ходе проверки Роскомнадзор обнаружит нарушения, то компании, её руководителю и сотрудникам может грозить административная ответственность по статьям:

      Кстати, не обольщайтесь совсем небольшим размером штрафов в санкции статьи. Как правило, при проверке выявляется сразу ряд нарушений, а штраф может назначаться за каждое нарушение отдельно, что может увеличить его суммарно до 100 000 рублей и более.

      • Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных):
        предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.
      • Ряд требований, касающихся обработки персональных данных, установлены трудовым законодательством.

      • Статья 5.27. Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права:
        предупреждение или наложение административного штрафа на должностных лиц в размере от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, — от одной тысячи до пяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей (в первый раз);
        влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до двадцати тысяч рублей или дисквалификацию на срок от одного года до трех лет; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятидесяти тысяч до семидесяти тысяч рублей (при повторном нарушении).
      • Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль:
        наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц — от десяти тысяч до двадцати тысяч рублей.
      • Статья 13.12. Нарушение правил защиты информации:
        влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц — от одной тысячи до двух тысяч рублей; на юридических лиц — от десяти тысяч до пятнадцати тысяч рублей.
      • Статья 13.14. Разглашение информации с ограниченным доступом:
        наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц — от четырех тысяч до пяти тысяч рублей.
      • Кроме того Роскомнадзом имеет право блокировать сайты, нарушающие законодательство, в том числе законодательство о персональных данных. То есть если на вас пожалуется физическое лицо, то сайт может быть заблокирован.

        Если очень не повезет, то ответственность может стать и уголовной:

      • Статья 137. Нарушение неприкосновенности частной жизни:
        наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет;
        наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (если использовалось служебное положение).
      • Статья 140. Отказ в предоставлении гражданину информации:
        наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.
      • Кстати, Госдума в начале этого года приняла в первом чтении законопроект, увеличивающий до 300 000 рублей штрафы за нарушения при обработке персональных данных. На настоящий момент законопроект «завис» в ожидании второго чтения. Зная специфику работы нашей Госдумы сложно предугадать дальнейшую судьбу поправок в КоАП: канут они в Лету или будут спешно приняты накануне очередных праздничных дней или каникул — мы пока не знаем.

        Быть или не быть?

        С точки зрения юриста ответ на вопрос очевиден: если компания занимается обработкой персональных данных и не в состоянии свести это обработку к исключениям, указанным в статьях 1 и 22 Закона, то обязательно нужно подготовить все необходимые документы и направить соответствующее уведомление в Роскомнадзор. В таком случае юрист может быть уверен, что риски связанные с проверкой регулирующего органа снижены до минимальных.

        С точки зрения руководителя или собственника бизнеса ситуация не на столько очевидная. Те, кто управляют компаниями, обычно делят риски на допустимые и недопустимые (даже если они это так не называют). И в данном случае степень риска и его допустимость зависят от многих факторов. Во-первых, это так скажем заметность компании на рынке, во-вторых, способы обработки персональных данных, в-третьих, ценность юридического лица и его репутации, в-четвертых, политика работы с клиентами.

        Поясню на примерах, что я имею в виду. Вероятность того, что Роскомнадзор заинтересуется форумом муромских садоводов-любителей стремится к нулю. А вот у крупного портала или интернет-магазина шансов попасть под пристальный взгляд регулирующего органа значительно больше. На мой взгляд это даже скорее вопрос времени. Поэтому чем крупнее бизнес, тем вероятнее назначение проверки Роскомнадзора.

        Способы обработки персональных данных тоже играют большую роль. Сильнее всего рискуют компании, у которых есть сайты, содержащие персональные данные (причем не важно: пользователей или третьих лиц), или позволяющие через формы вносить персональные данные (опять же не важно: пользователей или третьих лиц). Равно высоки риски у компаний регулярно производящих e-mail-рассылки по более или менее крупной базе адресов. Главная проблема и первых, и вторых в том, что Роскомнадзор имеет большой опыт работы именно с интернетом, а также имеет дополнительный способ воздействия на нарушителя — блокировка сайта.

        Кроме того, сильно рискуют компании обрабатывающие персональные данные офлайн, но способами, которые легко установить и доказать. Например, ведение клиентской базы в CRM или аналогах, постоянная работа с документами, содержащими данные граждан (так работают регистраторы, реестродержатели, внешние бухгалтеры, банки, МФО, турагентства, третейские суды и некоторые другие).

        Третий фактор — ценность юридического лица и его репутации. С одной стороны, это то, о чем обычно не принято говорить вслух. Но мы с вами юристы и прекрасно знаем, что относительно устоявшийся способ решения половины проблем бизнеса — это «закрыть старое ООО, открыть новое». Хозяева бизнеса, которые придерживаются такой философии, редко всерьез заботятся о «безупречности» юридической стороны своего дела, поэтому и риски проверок Роскомнадзора их вряд ли будут волновать.

        С другой стороны вопрос репутации становится крайне важен для компаний, заработавших себе определенное имя. И особенно это важно владельцам популярных сайтов. Блокировка сайта на 90 дней способна не только на долгое время выбросить сайт из топ-10 Яндекса или Гугла, но и сильно пошатнуть отношение клиентов или пользователей сайта.

        Агрессивная политика работы с клиентами или потенциальными клиентами также может сильно увеличить риск проверок. Кому не звонил в выходной день на сотовый телефон бойкий менеджер какой-то неизвестной компании с «отличным предложением»? Кому не приходилось маниакально по сотому разу добавлять в спам и черный список ненужные рассылки от интернет-магазинов?

        Не знаю, как вы, а я очень люблю таким менеджерам напомнить, что их компания нарушает Закон «О рекламе» и Закон «О персональных данных», и порекомендовать исключить мои данные из их базы, а то «мне же придется писать на вас жалобы, а так не хочется…». Но ладно я — я только пугаю, а писать жалобы у меня действительно желания мало. Есть же и более решительные юристы (и не только юристы), которые с удовольствием ввяжутся в это дело, еще и компенсацию морального вреда потребуют. Напомню, что свои проверки Роскомнадзор может производить на основании поступивших жалоб.

        Ещё один фактор я не упомянула — это юридическая чистота бизнеса. К сожалению, в нашей стране частично в силу качества законов, частично из-за устоявшейся привычки, этот фактор не очень популярен. Особенно это бросается в глаза, когда сталкиваешься с представителями крупных иностранных компаний, для которых нарушить закон — это экстраординарная ситуация. Хочется верить, что и наш бизнес рано или поздно обратится к этой философии, а пока вам решать, обращать на это внимание или нет.

        Собственно, на основании этих факторов и стоит принимать решение по вопросу официальной регистрации в качестве оператора персональных данных.

        Кстати, дополнительный бонус для законопослушных компаний — появляется реальный способ борьбы с бывшими сотрудниками, прихватившими с собой клиентскую базу. «Натрави́те» на них Роскомнадзор — у них ведь не будет даже согласия об обработке персональных данных от клиентов, не говоря уже о полноценной строчке в Реестре операторов персональных данных.

        Коллеги, мне интересно ваше мнение по проблеме нелегитимной обработки персональных данных!

        regforum.ru

        Читайте так же:  Ответственность за неуплату налогов на прибыль
    Обсуждение закрыто.