Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Регистрация оператора персональных данных внутреннего пользования». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Содержание:
Портал персональных данных — что это такое?.
В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.
Порядок хранения и защиты персональных данных
Организация защиты конфиденциальных сведений проходит в несколько этапов:
- Проверка начальных работ по обработке персональных данных (ревизия локальной нормативной базы, анализ информационных потоков ПДн и ИСПДн в целом, выявление недостатков и угроз безопасности информационной системы, внесение предложений по исправлению недостатков, улучшению систем защиты персональных данных).
- Разработка нормативной базы по защите ПДн. Данный этап включает в себя классификацию ИСПДн и регистрацию в качестве оператора персональных данных в Роскомнадзоре.
- Проектирование системы защиты ПДн – выбор способов, мер и классов средств защиты ПДн, разработка технической документации на создание СЗПДн, а также разработка конкретных мероприятий по защите информации в каждой конкретной ИСПДн.
- Внедрение СЗПДн – ввод в действие систем защиты ПДн и настройка существующих средств защиты ИСПДн.
- Оценка соответствия ИСПДн, в рамках которой проводятся оценочные испытания ИСПДн и выдается соответствующий Аттестат.
Регистрации в качестве оператора персональных данных в Реестре Роскомнадзора является частью общего процесса организации обработки и защиты ПДн.
1. Общие положения.
Здесь нужно описать назначение Политики, привести основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т. д.), перечислить основные права и обязанности оператора и субъекта(ов) данных.
Реестр операторов персональных данных
Закон о персональных данных № 152-ФЗ от 27.07.2006 обязует пройти регистрацию в специальном реестре всех, кто занимается обработкой персональных данных. Что это за реестр, для кого включение в него является обязательным, и как происходит процедура регистрации – об этом наша статья.
Кто является оператором персональных данных
К операторам закон № 152-ФЗ относит госорганы, организации и физлиц, которые собирают персональные данные, а также самостоятельно определяют цели сбора, состав сведений, и совершаемые с ними действия (ст. 3 закона № 152-ФЗ).
Проще говоря, оператор персональных данных, это тот, кто использует личные данные граждан для трудовых и прочих отношений. Их главной задачей является сохранение конфиденциальности полученных персональных данных, т.е. запрет передавать данные третьим лицам и распространять их без согласия самого физлица, если только эти данные не обезличены.
Как уведомить Роскомнадзор
Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:
- сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
- правовое основание и цели обработки данных согласно уставу;
- описание мер и средств защиты личных данных;
- фактическую дату начала обработки персональных данных оператором;
- условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
- категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
- действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
- данные лица, ответственного за обработку персональных данных.
После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью.
К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.
) и отправить в территориальное отделение Роскомнадзора по почте.
На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.
Зачем нужен портал с персональными данными от Роскомнадзора
Данный портал создавался, чтобы предоставлять гражданам сведения относительно деятельности Роскомнадзора в разных направлениях. Кроме того, через этот сайт легко получить доступ к любому другому оператору, занимающемуся обработкой данных.
Портал персональных данных Роскомнадзора – инструмент, позволяющий вести тщательный контроль, как обычных граждан, так и индивидуальных предпринимателей, коммерческих организаций. Любая компания, обрабатывающая личные данные, должна сначала зарегистрироваться у Роскомнадзора, и только после этого приступать к соответствующей деятельности.
Ответственность за отказ регистрироваться в реестре
Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13.
11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных.
В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.
Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.
В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?
В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:
- в случае обезличивания персональных данных;
- в отношении общедоступных персональных данных;
- если данные включают только фамилии, имена и отчества субъектов персональных данных;
- для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
- если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.
Камни преткновения
Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:
- Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов.
В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
- Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
- Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.
Лайфхак по успешной регистрации в реестре Роскомнадзора
Если сроки горят, и нужно зарегистрироваться в реестре с первого раза, то необходимо следовать рекомендациям:
- Заполняйте уведомление максимально подробно и точно, ссылаясь на реальные и действующие нормы закона, а также внутренние организационно-распорядительные документы.
- Если у вас система защиты персональных данных еще не готова, то нужно писать так, как будто она реализована полностью, с указанием конкретных подсистем и средств защиты (антивирусная подсистема, подсистема обнаружения вторжений, подсистема криптографической защиты, подсистема анализа защищенности, подсистема защиты от несанкционированного доступа и др.).
- Если вы подаете уведомление с целью регистрации в реестре как оператор персональных данных «клиентов», то не забудьте указать, что вы обрабатываете и персональные данные сотрудников, так как они есть в любой организации. Это обязательно!
- При описании правового основания обработки персональных данных нельзя ссылаться только на 152-ФЗ, так как закон описывает требования к обработке и защите персональных данных, но не описывает правовые основания обработки для тех или иных типов организаций.
- При описании правового основания обработки не забудьте базовые документы, которые нужно указывать любому оператору: Конституция РФ, Трудовой кодекс РФ, Гражданский кодекс РФ.
Какие сведения указываются в уведомлении?
В уведомлении указываются следующие сведения:
- наименование (фамилия, имя, отчество), адрес оператора;
- цель обработки персональных данных;
- категории персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание обработки;
- перечень действий с персональными данными, описание используемых способов обработки персональных данных;
- описание реализации мер, предусмотренных статьями 18.1 и 19 закона;
- фамилия, имя, отчество лица ответственного за организацию обработки персональных данных;
- дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных;
- сведения о месте нахождения базы данных;
- сведения об обеспечении безопасности персональных данных.
Реестр операторов персональных данных Роскомнадзора
Прежде, чем начать обработку персональных данных, оператор обязан уведомить об этом госорган, уполномоченный вести реестр операторов персональных данных — Роскомнадзор (ч 1 ст. 22 закона № 152-ФЗ). Эта федеральная служба осуществляет надзор за сферой связи, массовых коммуникаций и информационных технологий. Госконтроль за обработкой персональных данных операторами, в соответствии с законом, тоже осуществляет Роскомнадзор. В этих целях он проводит проверки операторов персональных данных, согласно регламенту, утвержденному приказом Минкомсвязи РФ от 14.11.2011 № 312.
Ознакомиться с реестром операторов обработки персональных данных можно на официальном сайте Роскомнадзора, его сведения являются общедоступными.
Уведомление достаточно подать единожды за весь период работы оператора. В то же время, закон содержит перечень исключений, когда работать с личными данными можно без включения в реестр операторов персональных данных (ч. 2 ст. 22 закона № 152-ФЗ):
- когда операторы-работодатели обрабатывают только данные, полученные в соответствии с трудовым законодательством;
- если оператор получил данные от контрагента в связи с заключением договора и не использует их в иных целях, кроме исполнения договора;
- когда оператор персональных данных — религиозная или общественная организация, которая обрабатывает личные данные своих участников для целей, предусмотренных ее уставом;
- если гражданин сам сделал общедоступными свои персональные данные;
- если персональные данные не включают ничего, кроме Ф.И.О.;
- когда данные получают для оформления разового пропуска;
- при обработке персональных данных государственными автоматизированными инфосистемами;
- если личные данные обрабатываются «на бумаге», т.е. без применения автоматизации;
- когда данные используются для обеспечения безопасности транспортных систем.