Регистрация оператора персональных данных

Как зарегистрироваться в реестре операторов обработки персональных данных Роскомнадзора

Как известно с 1 июля 2017 года по поправкам к Закону 152-ФЗ «О персональных данных» все, кто собирает персональные данные должны зарегистрироваться, как «обработчики персональных данных» в Роскомнадзоре в реестре операторов обработки персональных данных.

Подробнее о поправках к Закону 152-ФЗ, о том, как его соблюдать, какие действия с сайтами нужно произвести я рассказала в статье и видео “Как оформить сайт с учётом требований Закона 152-ФЗ «О персональных данных».

Уже не раз наблюдала у людей панику по поводу регистрации в Роскомнадзоре, но всё не так сложно и печально, как кажется на первый взгляд.

У меня процесс регистрации занял 4 дня: 1 день я подготовила информацию и заполнила форму на сайте Госуслуг и 3 дня ушло на рассмотрение и принятие моего заявления и присвоение регистрационного номера 55-17-001476.

Я хочу поблагодарить Ярослава Мирошникова, который написал о том, как он проходил регистрацию и я, по его подсказкам и шаблонам, смогла сделать это уже без возвратов, очень быстро и просто.

Сейчас разберёмся, как пройти регистрацию в Роскомнадзоре.

В видео я показываю, как заполнить заявление и какой должен быть ответ от Роскомнадзора. А под этим видео размещены шаблоны от Ярослава для заполнения Заявления.

В общем, смотрите видео и всё станет просто и понятно.

Ниже прописаны тексты для заполнения Заявления. Копируйте, корректируйте под себя и подставляйте в соответствующие поля в форму на сайте Госуслуги.

Внесение сведений об операторе в реестр операторов, осуществляющих обработку персональных данных

Категории персональных данных: Выбираете из предложенного списка (ставите галочки)

Специальные категории персональных данных: Не заполнено

Биометрические персональные данные: Нет (если есть, прописываете)

Другие категории персональных данных, не указанные в данном перечне: Адрес электронной почты (e-mail адрес); Телефон (добавляете то, что Вам нужно и чего не было в перечне)

Категории субъектов, персональные данные которых обрабатываются: Физические лица; Юридические лица (если работаете только с физ.лицами, то юр. лица не пишите и наоборот)

Перечень действий с персональными данными, способы обработки: уничтожение, обезличивание, уточнение (обновление, изменение), использование, систематизация, хранение, сбор, накопление.

Без передачи по внутренней сети юридического лица

С передачей по сети Интернет

Осуществление трансграничной передачи персональных данных: Нет

Использование шифровальных (криптографических) средств: Да (если не используете, то «нет»)

Наименование используемых криптографических средств: SSL-сертификаты; ПО для хранения ключей-доступа, с зашифрованным подключением, и хранением данных в виде зашифрованной информации

Класс СКЗИ: КС2

Ответственный за организацию обработки персональных данных: Индивидуальный предприниматель (или физ.лицо)

Наименование: Фамилия Имя Отчество

Контактная информация: полный адрес, номер телефона, эл. почта

ФИО лица, подписавшего заявление: Ваше ФИО

Направить в территориальное управление Роскомнадзора по: Ваш регион

Ссылки о которых говорится в видео:

Сайт Госуслуги: https://www.gosuslugi.ru

Примеры региональных сайтов Роскомнадзора:

http://55.rkn.gov.ru/ Омск
http://63.rkn.gov.ru/ Самара
http://77.rkn.gov.ru/ Москва
http://45.rkn.gov.ru/ Курган

P.S. Статья полезная, понравилась. Пожелитесь с друзьями и коллегами.
Подписывайтесь на канал, на новости блога, тут будет ещё много полезностей.

С уважением и верой в Ваш успех, Марина Метель

Реестр операторов, осуществляющих обработку персональных данных

Результат поискового запроса отображает информацию не более чем о 100 операторах.

Для наиболее точного и быстрого поиска в реестре достаточно указать ИНН организации. В случае, если Вы не знаете точный ИНН, можно произвести поиск по наименованию. При этом достаточно указать только оригинальную его часть (одно или несколько слов, которые отличают данную организацию от других) без указания организационно-правовой формы, спецсимволов, кавычек и сокращений. Если наименование состоит из двух и более слов, в том числе разделенных дефисом, достаточно указать только одно из этих слов. Советуем избегать часто встречающихся в наименовании организации слов, например, таких как: “Российский”, “Федеральный”, “Общество” и т.п.

Оцените содержание раздела:

Низкое Ниже среднего Среднее Выше среднего Высокое Оценить

Время публикации: 20.08.2009 14:03
Последнее изменение: 28.03.2019 19:55

Как стать оператором персональных данных в реестре Роскомнадзора

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ :

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

• самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
• определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

Роскомнадзор рекомендует подавать уведомление на бланке организации, на бумаге либо в электронном варианте. Бумажный вариант надо будет заполнить, подписать и отправить в территориальный орган Роскомнадзора (по почте или отнести лично). Электронный документ можно оформить прямо на сайте ведомства — в разделе «Электронные формы заявлений».

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

• полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
• цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
• категории ПД, которые будут обрабатываться;
• субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
• основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
• описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
• сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
• информация о шифровальных (криптографических) средствах;
• дата начала, а также условия и сроки прекращения обработки ПД;
• сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
• сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Кому не нужно уведомлять Роскомнадзор об обработке персональных данных

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

РЕГИСТРАЦИЯ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ (внесение сведений в реестр операторов)

Регистрация оператора персональных данных – это внесение в реестр операторов Роскомнадзора сведений об уведомлении юридического или физического лица о намерении осуществлять автоматизированную обработку персональных данных, его содержании и дате направления.

Несмотря на то что на сегодняшний день административные штрафы за отсутствие регистрации в качестве оператора персональных данных относительно невелики, тем не менее, многие крупные заказчики начинают осознавать важность соблюдения законодательства о защите ПДн и положений ратифицированной Россией и вступившей для нее в силу с 01.09.2013 г. Конвенции Совета Европы № 108 «О защите частных лиц в отношении автоматизированной обработки данных личного характера» (Страсбург, 28.01.1998 г.) и требуют от своих подрядчиков по совместным проектам, предполагающим обработку личных данных физических лиц, подтверждений регистрации в виде размещения сведений на сайте Роскомнадзора или выписки из реестра операторов.

Более того, мало сомнений, что вскоре будет принят разработанный Роскомнадзором законопроект о внесении изменений в Административный Кодекс, который 14 мая 2012 г. был размещен на сайте Минэкономразвития для публичных консультаций, в целях доработки ст.ст. 13.11, 28.3 и 28.4 и дополнений в виде новых статей 13.11.1, 13.11.2 и 13.11.3 , а в сентябре 2012 г. уже был представлен в доработанной версии.

Новые положения КоАП РФ в части ответственности за нарушения законодательства о защите ПДн передадут полномочия возбуждения административных дел от прокуратуры Роскомнадзору, что многократно повысит оперативность реагирования при государственном надзоре и неотвратимость наказания для нарушителей, введут новые составы административных статей и могут увеличить штрафы до 700 000 рублей (в первоначальной версии законопроекта предполагались административные штрафы до 1 000 000 рублей).

В текущем законодательном тренде для организаторов, обрабатывающих с помощью компьютера персональные данные участников лотерей, стимулирующих лотерей и стимулирующих мероприятий, как никогда актуальна услуга по регистрации в реестре операторов ПДн. При этом в одном уведомлении возможно сразу предусмотреть все необходимые цели обработки и все возможные категории ПДн на весь период и все случаи деятельности юридического лица, не привязываясь каждый раз лишь к конкретным мероприятию или лотерее и не ограничиваясь только их срокам.

К сведению: См. также Регистрация операторов ПДн – Портфолио.
Телефон для оперативной связи со специалистом по регистрации операторов ПДн в Роскомнадзоре: 8-926-149-80-78 Василий Ленгер.

Уполномоченный орган по ведению реестра операторов персональных данных

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в лице своих территориальных органов – управлений Роскомнадзора субъектов РФ.

Срок представления уведомления для регистрации оператора персональных данных

До начала обработки персональных данных.

Срок регистрации оператора персональных данных (внесения сведений об операторе в реестр)

В течение 15-ти дней со дня представления уведомления о намерении осуществлять обработку персональных данных.

Случаи отсутствия необходимости внесения сведений в реестр операторов

Оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных:

• Внесение сведений об операторе в реестр 6 000 рублей;
• Изменение сведений об операторе в реестре 5 000 рублей;
• Исключение сведений об операторе из реестра 3 000 рублей;
• Получение выписки из реестра 3 000 рублей.

К сведению: Подтверждением оказания услуг без заказа выписки из реестра является факт размещения необходимых сведений на сайте Роскомнадзора в реестре операторов http://www.rsoc.ru/personal-data/register/. Срок размещения сведений из реестра для общедоступного пользования на сайте Роскомнадзора – в течение 3-х дней с даты подписания приказа о внесении сведений об операторе в реестр (внесении изменений или исключении сведений об операторе из реестра).

Административные ответственность и санкции

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа: на граждан – от 300 до 500 рублей; на руководителей – от 500 до 1 000 рублей; на юридических лиц – от 5 000 до 10 000 рублей (ст. 13.11 КоАП РФ)

К сведению: См. также новые составы административных правонарушений и увеличение ответственности за невыполнение законодательства о защите ПДн в виде штрафов до 700 000 рублей в проекте измененений в КоАП РФ.

Регистрация оператора персональных данных внутреннего пользования

Деятельность любой организации неизбежно подразумевает обработку персональных данных в информационной системе (ИСПДн). Каждое предприятие, использующее конфиденциальную информацию о сотрудниках, клиентах, партнерах и других физлицах, обязано пройти регистрацию в качестве оператора персональных данных.

Организация защиты конфиденциальных сведений проходит в несколько этапов:

• Проверка начальных работ по обработке персональных данных (ревизия локальной нормативной базы, анализ информационных потоков ПДн и ИСПДн в целом, выявление недостатков и угроз безопасности информационной системы, внесение предложений по исправлению недостатков, улучшению систем защиты персональных данных).
• Разработка нормативной базы по защите ПДн. Данный этап включает в себя классификацию ИСПДн и регистрацию в качестве оператора персональных данных в Роскомнадзоре.
• Проектирование системы защиты ПДн – выбор способов, мер и классов средств защиты ПДн, разработка технической документации на создание СЗПДн, а также разработка конкретных мероприятий по защите информации в каждой конкретной ИСПДн.
• Внедрение СЗПДн – ввод в действие систем защиты ПДн и настройка существующих средств защиты ИСПДн.
• Оценка соответствия ИСПДн, в рамках которой проводятся оценочные испытания ИСПДн и выдается соответствующий Аттестат.

Регистрации в качестве оператора персональных данных в Реестре Роскомнадзора является частью общего процесса организации обработки и защиты ПДн.

Регистрация оператора ИСПДн включается в себя следующие этапы:

• Разработка и принятие нормативной базы по обработке и защите ПДн.
• Заполнение формы уведомления о намерении осуществлять обработку персональных данных на сайте территориального органа Роскомнадзора.
• Отправка уведомления в информационную систему Уполномоченного органа по защите прав субъектов персональных данных.
• Печать заполненной формы с подписями.
• Направление распечатанной формы уведомления в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.

Предлагаем вам составить документы, необходимые для регистрации в качестве оператора персональных данных, с помощью нашего онлайн-сервиса. На этой странице представлены акты, инструкции, положения, журналы, уведомления и другие документы.

Реестр операторов, осуществляющих обработку персональных данных (Роскомнадзор)

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Согласно закону № 152-ФЗ (О персональных данных), любая организация (или физическое лицо), имеющая дело с персональными данными, обязана соблюдать правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое: самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД; определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней. Реестр операторов, осуществляющих обработку персональных данных ведет ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ (Роскомнадзор).

В реестре указывается дата и основание включение в реестр, наименование оператора и его данные, цель обработки персональных данных, правовые основания, ответственное лицо оператора и другие данные.

На портале ЗАЧЕСТНЫЙБИЗНЕС, Вы можете бесплатно получить информацию, является ли организация оператором, осуществляющим обработку персональных данных, дату включения в реестр и цель обработки.

В карточке компании, полученной при поиске по ИНН/ОГРН, содержится вся открытая официальная информация о компаниях и предпринимателях РФ, в том числе является ли Юридическое лицо или Индивидуальный предприниматель Оператором, осуществляющим обработку персональных данных.

Чтобы получить информацию введите ИНН или ОГРН организации:

Согласно ч. 2 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных” согласия субъекта персональных данных не требуется в следующих случаях:

Желаем Вам плодотворной, комфортной работы на портале, используя поиск юридических лиц и ИП и получения информации о включении организации в реестр операторов, осуществляющих обработку персональных данных! Ваш ЗАЧЕСТНЫЙБИЗНЕС.РФ.

По другим вопросам Вы можете связаться
с администрацией портала
ЗАЧЕСТНЫЙБИЗНЕС.РФ
из Личного кабинета

Нужно ли нам регистрироваться в роскомнадзоре как оператор персональных данных?

Мы организация дополнительного профессионального образования.

И на сайте есть форма обратной связи, где пользователь указывает фио, тел почту для связи, а также есть подписка на новости и запись на программы обучения.

Добрый вечер, Виктория! О начале своей деятельности как оператора персональных данных, Вам необходимо зарегистрироваться в Роскомнадзоре. Есть статья 22 по Закону о персональных данных” Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

— полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Ну то, что я описала не может же считаться договором?

22 Июня 2017, 23:19

Доброе утро, Виктория! Как оператору персональных данных Вам необходимо зарегистрироваться в Роскомнадзоре. Для этого необходимо подать уведомление в электронном виде на официальном сайте Роскомнадзора через специальную форму или через портал Госуслуг, или на бумажном носителе (через почту с простым уведомлением). Форма обратной связи не считается договором.

Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.
Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных.
Основные требования:
1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать:

2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).
Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение. Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно:

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании. 2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ).

5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.
6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).
Уведомление направляется по онлайн форме — https://pd.rkn.gov.ru/operators-registry/notification/form/и плюс должно быть продублировано в письменном виде по обычной почте.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г. Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR. В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children’s Online Privacy Protection Act (COPPA).

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис.

8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать.

Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.
Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток.
Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ.

Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.
Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.
(. ) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта).

(. ) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь.

Задайте вопрос нашим юристам — это намного быстрее, чем искать решение.

Закон о персональных данных. Нужно ли всем сайтам регистрироваться в Роскомнадзоре

Буквально через пару дней, 1 июля 2017 года, вступят в силу поправки, внесенные в Кодекс об административных нарушениях и ужесточающие ответственность за несоблюдение Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – Закон №152-ФЗ). Достаточно на эту тему было информации, писал об этом и “Клерк”.

Но все еще остаются вопросы.

Читайте подробнее об ответственности за хранение персональных данных:

Такое ощущение, что вокруг этой темы просто нагоняется ажиотаж. А что, собственно, произошло-то? В целом, закон не изменился. В него внесли изменения только в части штрафов.

Сейчас по ст. 13.11 КоАП есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему за персональные данные власти взялись именно сейчас? Все штрафы, которые вступают в силу с 1 июля – это самые частые нарушения, выявляемые Роскомнадзором в течение последних пяти лет.

Один из главных вопросов: действительно ли всем сайтам нужно регистрироваться как оператор персональных данных в Роскомнадзоре?

Оказывается, нет. Есть возможность избежать такой необходимости. А как? Данные, которые поступают от пользователей, должны обрабатываться на основании пользовательского соглашения. Подпункт 2 пункта 2 статьи 22 закона №152-ФЗ предусматривает следующее.

«…2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

…2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;»

Если на сайте организации или физического лица есть форма для сбора данных посетителей — например, форма обратной связи, строка для подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

Но если на сайте опубликовано пользовательское соглашение, и именно на его основании поступают и обрабатываются данные, то в Роскомнадзор никаких сведений представлять не нужно.

Оцените статью: