Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Все работодатели обязаны уведомлять РКН об обработке персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.
К персональным данным человека относится ФИО, номер паспорта, адрес прописки и пр. Исчерпывающий список не утвержден ни одним из действующих законов. Оператор персональных данных это любое физическое лицо или государственный орган, который обрабатывает ПД в тех или иных целях.
Т.е. если сотруднику предприятия по специфике своей работы приходится запрашивать или пересылать персональные данные, его можно назвать их оператором. Это же относится и к лицам, которые имеют доступ к ПД.
Соответственно оператором можно назвать почти любого человека. К примеру, пользователь ПК ведет свой сайт в интернете и собирает информацию о подписчиках. Про банки и различные компании, которые целенаправленно собирают данные гражданина отдельный разговор. Даже если продавец в магазине предлагает покупателю приобрести фирменную бонусную карту, он также является оператором ПД.
Как составить согласие на обработку персональных данных
Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. В бланке обязательно должны быть следующие данные:
- наименование оператора персональных данных;
- место и дата составления документа;
- фамилия, имя, отчество субъекта, его паспортные данные и сведения о месте жительства.
Далее идет информационная часть согласия. В ней прописывается:
- каких именно персональных данных касается документ;
- в каких целях и что именно допустимо с ними делать;
- срок действия согласия и возможность его отзыва.
Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.
В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре. Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации. Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.
Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.
Лайфхак по успешной регистрации в реестре Роскомнадзора
Если сроки горят, и нужно зарегистрироваться в реестре с первого раза, то необходимо следовать рекомендациям:
- Заполняйте уведомление максимально подробно и точно, ссылаясь на реальные и действующие нормы закона, а также внутренние организационно-распорядительные документы.
- Если у вас система защиты персональных данных еще не готова, то нужно писать так, как будто она реализована полностью, с указанием конкретных подсистем и средств защиты (антивирусная подсистема, подсистема обнаружения вторжений, подсистема криптографической защиты, подсистема анализа защищенности, подсистема защиты от несанкционированного доступа и др.).
- Если вы подаете уведомление с целью регистрации в реестре как оператор персональных данных «клиентов», то не забудьте указать, что вы обрабатываете и персональные данные сотрудников, так как они есть в любой организации. Это обязательно!
- При описании правового основания обработки персональных данных нельзя ссылаться только на 152-ФЗ, так как закон описывает требования к обработке и защите персональных данных, но не описывает правовые основания обработки для тех или иных типов организаций.
- При описании правового основания обработки не забудьте базовые документы, которые нужно указывать любому оператору: Конституция РФ, Трудовой кодекс РФ, Гражданский кодекс РФ.
Реестр операторов персональных данных Роскомнадзора
Из статьи можно узнать, что такое реестр операторов персональных данных Роскомнадзора, как новых операторов включают в этот реестр, где посмотреть данные и что учесть.
Реестр операторов персональных данных Роскомнадзора – это список организаций, которые осуществляют обработку сведений о физических лицах. Закон относит к такой информации сведения о физическом лице, в том числе:
- фамилия, имя, отчество;
- год, месяц, дата рождения;
- место рождения;
- адрес;
- семейное положение;
- социальное положение;
- имущественное положение;
- образование, профессия, доходы;
- другая информация (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ, п. 2.5 приказа Роскомнадзора от 30.05.2017 № 94).
Как уведомить Роскомнадзор
Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:
- сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
- правовое основание и цели обработки данных согласно уставу;
- описание мер и средств защиты личных данных;
- фактическую дату начала обработки персональных данных оператором;
- условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
- категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
- действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
- данные лица, ответственного за обработку персональных данных.
После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.
На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.
Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.
Важно верно указать адреса ЦОДов, в которых размещены ИС со сведениями о субъектах. До передачи информации в ЦОД или облако необходимо заключить договор-поручение на обработку ПДн с ЦОДом или облачным провайдером. Данное требование было отдельно отмечено представителями РКН в ходе публичного семинара по итогам контрольно-надзорной деятельности ведомства за 9 месяцев 2020 года.
ПДн российских граждан должны первично обрабатываться на территории России соответственно. При этом дальнейшая трансграничная передача ПДн не запрещена. Если вы пользуетесь облачным провайдером, расположенным за границами Российской Федерации, то необходимо создавать первичную базу данных на территории России. Штрафы за несоблюдение могут доходить до 18 млн руб.
Перед трансграничной передачей разместите базы данных у российского провайдера. В уведомлении укажите первичный адрес базы данных. Адрес ЦОД обычно указан в договоре-поручении на обработку ПДн, заключаемом между оператором и облачным провайдером.
Последствия неуведомления
Даже если оператор уже давно обрабатывает данные и не состоит в реестре, целесообразно подать уведомление (на практике операторов не привлекали к ответственности, если уведомление подано позже начала обработки). Существует ошибочное мнение, что в поле зрения уполномоченного органа только компании в реестре. Роскомнадзор вправе направить запрос о подаче уведомления в любую организацию.
За несообщение предусмотрен штраф (статья 19.7. КоАП РФ):
| для граждан | 100-300 рублей |
| для должностных лиц | 300-500 рублей |
| для юридических лиц | 3000-5000 рублей |
Особенности заполнения уведомления
Что это такое уведомление в Роскомнадзор для регистрации в реестре персональных данных, не все операторы четко себе представляют, поэтому в первый раз испытывают сложности с заполнением. Но ошибка или неточность чреваты серьезными проблемами, вплоть штрафных санкций при проверках, поэтому нужно четко понимать, что и где вписывать. Все поля со звездочкой в форме регистрации обязательны для заполнения — если их пропустить, то онлайн-обращение не будет отправлено, а письменную форму не будут рассматривать.
Чтобы регистрация прошла успешно, в документе предстоит указать:
- территориальное управление РКН и тип оператора;
- наименование согласно официальным документам (или Ф.И.О. для предпринимателей);
- фактический и юридический адрес, а также регионы, на территории которых ведется коммерческая или некоммерческая деятельность, подразумевающая обработку ПДн;
- сведения о филиалах (если имеются);
- ИНН и ОГРН — в форме есть и другие поля для кодов организации, но они не являются обязательными для заполнения;
- правовое обоснование — тут должно быть указано правовое обоснование для обработки персональных данных, для работодателей обязательно упоминание Трудового Кодекса;
- цель совершения операций — основной пункт, над которым необходимо серьезно задуматься, чтобы в дальнейшем не возникли противоречия с ФЗ-152 и подзаконными актами;
- категории субъектов, чьи данные собираются и используются, а также список видов ПДн, с которыми вы будете иметь дело;
- принятые меры для обеспечения информационной безопасности в ИСПДн — здесь требуется ввести все применяемые организационные и технические средства защиты;
- условия окончания процесса обработки либо конкретные сроки;
- перечень совершаемых операций;
- способ обработки сведений;
- наличие или отсутствие трансграничной передачи ПДн;
- информация о центре обработки данных — указываются отдельно для каждой ИС;
- ответственное за организацию обработки персональных данных лицо и исполнитель.
Как получить информацию, является ли организация оператором, осуществляющим обработку персональных данных
Вы можете проверить любую организацию на предмет ее наличия в списке операторов РКН. Это можно сделать на сайте ведомства Роскомнадзор или прямо здесь. Для этого введите ИНН компании и ее название.
Роскомнадзор ведет реестр операторов персональных данных, формируемый из государственных органов власти, коммерческих компаний, индивидуальных предпринимателей и даже физических лиц. Сбор и обработка личных сведений регулируется Федеральным законом № 152-ФЗ. За его нарушение операторы несут административную ответственность в виде штрафа. Вы можете проверить прямо здесь или на сайте РКН, состоит ли интересующее вас ведомство или организация в списке хранителей личных сведений, с правом их использования (оборота).
Что изменилось в обработке персональных данных с 1 марта
Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:
- Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
- Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
- В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.
Требования к обработке персональных данных
На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2021 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.
В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
- организующие и (или) осуществляющие обработку ПД;
- определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.
Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):
- ФИО
- дата рождения
- адрес
- телефон
- электронный адрес
- фотография
- ссылка на персональный сайт
- ссылка на профиль в социальных сетях
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.
Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.
Как осуществляется включение в реестр операторов
Каждый год система взаимоотношений бизнеса и государства упрощается, поэтому и подача уведомления о включении в реестр операторов не составит практически никаких сложностей. На сайте федеральной службы выложена электронная форма для заполнения юридическими и физическими лицами для включения в реестр операторов персональных данных. Она содержит следующие поля:
- данные и реквизиты оператора (они обычные, всегда содержатся в карточке юридического лица, направляемой контрагентам для заключения договоров);
- цель обработки персональных данных и наличие на это разрешения закона, указание на то, соответствует ли такая деятельность уставу;
- описание средств и мер защиты, которые лицо намеревается использовать для охраны доверенной ему информации (программные продукты и их сертификация, наличие разработанных внутренних методик и положений, опосредующих защиту информации);
- реальную дату начала обработки;
- предполагаемую дату завершения обработки персональных данных (дату завершения действия лицензии или дату прекращения занятия определенной деятельностью) или же условия, при которых эта деятельность завершится;
- категории обрабатываемых персональных данных (от паспортных до биометрических);
- планируемые действия с информацией, их автоматизация, предполагается ли передача массивов сведений по сети Интернет и иным каналам связи;
- сведения о конкретном специалисте, на которого возложена ответственность за работу с персональными данными.
Что изменилось в обработке персональных данных с 1 марта
Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:
- Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
- Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
- В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.
Подотчетным станет сбор персональных данных:
- в ходе трудовых отношений,
- при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
- уже упомянутых ФИО,
- даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
- для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).