Для чего нужен реестр операторов персональных данных роскомнадзора? как попасть в список?
Содержание:
- Ответственность за отказ регистрироваться в реестре
- О согласиях на обработку персональных данных
- Несколько целей в одном согласии
- Получение согласия на обработку персональных данных при заключении договора
- Согласия на обработку персональных данных соискателя и близких родственников
- Обработка персональных данных родственников сотрудника имеет ряд особенностей
- Электронные копии согласий на обработку персональных данных
- Срок согласия на обработку персональных данных
- Форма согласия на получение рассылки от иностранного сайта
- “Письмо счастья” от Роскомнадзора
- Вот я в реестре, а дальше что?
- Перечень информации, предоставляемой из Единого реестра
- Виды проверок
- Кто такие операторы персональных данных и чем они занимаются
- Обязанности оператора при обработке персональных данных
- Трудовые отношения
- Заключение
Ответственность за отказ регистрироваться в реестре
Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно , который начал действовать с 1 июля 2017 года, в предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.
Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.
О согласиях на обработку персональных данных
Несколько целей в одном согласии
Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.
Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.
Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.
Получение согласия на обработку персональных данных при заключении договора
Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.
Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.
Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.
Согласия на обработку персональных данных соискателя и близких родственников
Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.
Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.
Например, сообщить о необходимости проверки конфликта интересов.
Обработка персональных данных родственников сотрудника имеет ряд особенностей
Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.
Электронные копии согласий на обработку персональных данных
Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?
Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски
Срок согласия на обработку персональных данных
По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.
Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.
Форма согласия на получение рассылки от иностранного сайта
Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ?
Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.
“Письмо счастья” от Роскомнадзора
Поскольку большинство компаний не стремились и не стремятся направлять уведомления, Роскомнадзор в свое время начал активно пополнять реестр операторов путем направления таких вот писем.
Уведомление Роскомнадзора о необходимости включения в реестр операторов персональных данных
В чем смысл таких действий в целом понятен из текста. Выборка компаний делается по ОКВЭДам, и та деятельность, которая потенциально связана с обработкой персданных физических лиц, является поводом для направления письма.
РКН вроде как и не заставляет включаться в реестр, но в противном случае просит предоставить пояснение с указанием правовых оснований обработки ПД без направления уведомления. Для принятия решения предоставляется 30 дней.
Оставить без внимания такое письмо нельзя: нужно включиться в реестр или написать, что деятельность компании попадает под исключения, предусмотренные статьей 22 Закона “О персональных данных”.
В случае игнорирования может последовать привлечение к административной ответственности по статье 19.7 КоАП “Непредставление сведений (информации)”. Штраф, конечно, невелик (до 5 000 руб. на юрлицо), но потенциально игнор — это повод для последующего проведения внеплановой проверки* и вынесения предписания об устранении нарушения законодательства.
За неисполнение предписания уже последует административка по статье 19.5 КоАП “Невыполнение в срок законного предписания…”.
*Справка: поводы, основания, сроки и т.п. моменты, связанные с проведением проверок в сфере персональных данных, установлены Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных (утв.Постановлением Правительства РФ от 13 февраля 2019 г. № 146).
Вот я в реестре, а дальше что?
Да ничего особенного. В текущей деятельности нет вообще никаких изменений. Ну можете присоединиться к Кодексу добросовестных практик https://pd.rkn.gov.ru/code/ Дополнительным фактором для назначения проверки наличие или отсутствие компании в реестре не является, хотя если в ходе проверки будет установлено, что деятельность оператора не попадает под исключения, то может быть наложен более высокий штраф уже по ст. 13.11 КоАП.
Своевременно вносите изменения
Если у вас меняются какие-либо сведения, включенные ранее в реестр, то требуется внести изменения в течение 10 дней со момента их возникновения (часть 7 статьи 22 ФЗ “О персональных данных”). За несвоевременное направление или не направление этих сведений — опять административный штраф по ст. 19.7 КоАП.
Перечень информации, предоставляемой из Единого реестра
Стадия
В случае принятия Уполномоченным органом решения о внесении в Реестр указателя страницы сайта
В случае принятия Уполномоченным органом решения о внесении в Реестр доменного имени
Включение в реестр
В реестр включается только конкретная страница сайта, без внесения доменного имени.
В реестр включается только доменное имя, без внесения конкретных страниц сайта.
Уведомление провайдеру хостинга
В уведомлении провайдеру хостинга указывается только конкретная страница сайта, доменное имя не указывается.
В уведомлении провайдеру хостинга указывается только доменное имя, конкретные страницы сайта не указываются.
Запрос информации через систему поиска на сайте (до включения в Реестр сетевого адреса)
При поиске по конкретной странице сайта предоставляется информация о решении, которым данная конкретная страница включена в Реестр.
При поиске по конкретной странице сайта, доменное имя которого включено в Реестр именно как доменное имя (пусть даже ни одна из конкретных страниц не включена в Реестр отдельно) – предоставляется информация о решении, которым в реестр включено доменное имя. При этом указывается, что решение принято в отношении именно доменного имени.
При запросе по доменному имени информация не предоставляется.
При поиске по доменному имени предоставляется информация о решении. При этом указывается, что решение принято в отношении именно доменного имени.
Запрос информации через систему поиска на сайте (после включения в Реестр сетевого адреса)
При поиске по конкретной странице сайта предоставляется информация о решении, которым данная конкретная страница включена в Реестр.
При поиске по конкретной странице сайта, доменное имя которого включено в Реестр именно как доменное имя (пусть даже ни одна из конкретных страниц не включена в Реестр отдельно) – предоставляется информация о решении, которым в реестр включено доменное имя. При этом указывается, что решение принято в отношении именно доменного имени.
При поиске по доменному имени или сетевому адресу запрос выполняется, при этом отображается столько строк с информацией о решениях уполномоченных органов, сколько страниц сайта (в данном домене) или с данным сетевым адресом включено в Реестр. При этом адреса конкретных страниц не отображаются. Для решений указывается, что они приняты в отношении конкретных страниц сайта.
При поиске по доменному имени или сетевому адресу запрос выполняется, при этом отображается столько строк с информацией о решениях уполномоченных органов, сколькими в Реестр были внесены конкретные страницы сайта (в данном домене), конкретное доменное имя или сетевой адрес, позволяющий идентифицировать сайт. При этом адреса конкретных страниц не предоставляются.
Виды проверок
Выездные проверки
- проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами (отсутствие такого журнала, кстати, это уже нарушение);
- затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
- бегло ознакомившись с составом документов, проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации и удаляются в свои кабинеты изучать предоставленную вами информацию;
- в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
- в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнут на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
- в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.
случилась
Кто такие операторы персональных данных и чем они занимаются
Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.
Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:
- самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
- определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.
То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.
Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!
Обязанности оператора при обработке персональных данных
Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:
-
разъяснять субъекту ПД, какие данные и для чего собирают, а также получать его предварительное согласие на обработку личной информации. Такое согласие запрашивают в письменной форме: человеку предлагают подписать специальную бумагу, где уточняется, что сбор информации производится по правилам закона № 152-ФЗ и она будет соответствующим образом храниться, использоваться, а позже — уничтожаться. Хотя чаще всего согласие «прячется» в самом конце подписываемого соглашения и выглядит как галочка, рядом с которой надо поставить свою подпись, существует и специальная форма такого согласия. Вот бланк, которым предлагает пользоваться Роскомнадзор (скачать форму можно в конце статьи):
- разработать и публично представлять политику в отношении обработки ПД. Обнародовать такой документ можно любым удобным для компании способом, но чаще всего это делается с помощью интернета — на странице организации просто публикуют политику без сокращений;
- обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения. Как правило, речь идет о технических и организационных мерах — установление паролей и специальных программ, гарантирующих сохранность информации, оперативное устранение последствий хакерских атак, иные мероприятия по обеспечению безопасности;
- уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели. Согласно статье 21 закона N152-ФЗ, уничтожается информация только после обращения лица, чьи данные обрабатывались с нарушениями, либо его представителя. Запрос обязательно подается в письменной форме, и отреагировать на него оператор должен в сроки, прописанные в законе. Рекомендованный образец такого обращения доступен на сайте Роскомнадзора;
- блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя). Это не значит, что оператор полностью удаляет имеющуюся информацию, но он не может ею пользоваться.
Трудовые отношения
Как передавать персональные данные сотрудников в рамках групп компаний
Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.
Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч. 4 ст. 9 Закона “О персональных данных”).
Если в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.
Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании
Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).
В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.
Заключение
- Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
- Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
- Назначить ответственных.
- Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
- Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
- Ознакомить всех причастных сотрудников с разработанной документацией.
- Заполнить журналы.
- Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
- Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.