В настоящее время каждый из нас хоть раз сталкивался с ситуацией, когда в различных организациях просят заполнить и подписать бланк-разрешение на обработку персональных данных, будь то медицинское учреждение, офис оператора мобильной связи или общеобразовательная школа.
Закон № 152 «Об обработке персональных данных» регулирует данные действия и устанавливает определенные правила. Многие люди не особо понимают, зачем их постоянно просят заполнить эти документы, которые всем порядком уже поднадоели. Но нужно знать, что это не просто «прихоть» сотрудников, а необходимые действия, осуществлять которые их вынуждает закон.
Давайте для начала выясним, что же такое персональные данные. Итак, это любые сведения, которые каким либо образом имеют отношение к конкретному физическому лицу. Такой считается следующая информация — имя, фамилия и отчество гражданина, да и вообще все данные, позволяющие установить личность человека.
Теперь пора разобраться, кто такой оператор персональных данных. Им могут выступать органы государственного уровня, или же муниципального, а также юридические или физические лица, которые занимаются обработкой данных или выполняют любые действия, связанные с персональными данными. По сути, все юридические лица всегда является операторами персональных данных, хотя бы потому что компании обрабатывают сведения о клиентах, например, при оформлении карт лояльности, а также занимаются обработкой информации о своих сотрудниках.
Но далеко не все компании, которые, так или иначе, занимаются обработкой персональных данных, обязаны подавать заявку на включение их в реестр операторов персональных данных.
В каких случаях нет необходимости предварительно уведомлять Роскомнадзор?
Давайте выясним, что вообще такое Роскомнадзор? Что это за организация? Это служба федерального уровня по надзору в сфере связи, информации и коммуникации. Другими словами, данное учреждение относится к органам исполнительной власти, сотрудники которого занимаются надзором в области связи, СМИ и контролем защиты персональных данных.
Итак, когда же не требуется сообщать Роскомнадзору о своей деятельности?
В случае если обработка данных выполняется без использования средств автоматизации, например, для однократного посещения библиотеки.
Если речь идет о системах хранения данных, созданных в целях государственной безопасности, а также не уведомляют Роскомнадзор компании, которые фиксируют сведения о лицах в области пассажироперевозок.
Важно, что с первого сентября этого года вступили в силу поправки к закону № 152, в результате чего значительно сократился список случаев, когда оператор персональных данных может вести свою деятельность, не уведомляя Роскомнадзора.
Так что обратите внимание на данные поправки – информация в них самая актуальная на данный момент времени. Изменения в федеральном законе обязывают уведомлять Роскомнадзор теперь и тех операторов персональных данных, которые прежде выполняли свою деятельность без уведомления в обязательном порядке. А именно:
- В первую очередь, это ситуации, когда работодателю нужно взять с сотрудника разрешение на обработку его ПД (персональных данных) при устройстве на работу. К этому же пункту можно отнести оформление временного пропуска, например, когда лицу нужно зайти на объект.
- Религиозные организации раньше могли не регистрироваться в РКН, но теперь обязаны это делать.
- В случае даже если гражданин сам сделал свои персональные данные общедоступными – теперь обязательна регистрация в соответствующих органах.
- Также раньше можно было не уведомлять Роскомнадзор, если информация о человеке содержит только его ФИО, а также, если данные нигде не распространяются и не передаются третьим лицам. Теперь же это делать нужно в любом случае.
Чем грозит оператору незаконная деятельность?
Важно то, что если оператор проигнорирует правила федерального закона и не произведет официального уведомления о своей деятельности в Роскомнадзор, то это повлечет за собой административную ответственность. Статья 19.7 КоАП строго регламентирует подобные ситуации и предусматривает определенные санкции в отношении таких операторов:
- официальное предупреждение;
- наложение штрафа на граждан в размере от ста до трехсот рублей;
- на должностных лиц — от трехсот до пятисот рублей;
- на юридических лиц — от трех тысяч до пяти тысяч рублей.
Так что будьте внимательны и ответственны — оператор, то есть любое лицо, в том числе и физическое, которое владеет ПД, обязано пройти регистрацию в Реестре операторов персональных данных еще до начала сбора этих данных.
Кстати отметим, что за неправильную обработку ПД и тем более за их утечку, законом предусмотрены штрафные санкции вплоть до 18 миллионов рублей.
Как осуществляется регистрация оператора персональных данных в реестре Ромкомнадзора: алгоритм действий
Первое, что нужно сделать – это подготовить и подать уведомление об обработке персональных данных. Давайте разберем этот шаг подробнее, а именно выясним, какую информацию должно содержать уведомление.
Прежде всего, необходимо указать наименование (ФИО) и адрес оператора, который подает заявку, а также данные лиц (ФИО, адреса, контактные данные), которые будет ответственны за организацию обработки.
Далее следует подробно описать цель обработки персональных данных (информирование, консультирование, новостная или рекламная рассылка и пр.), а также ее правовое основание (Конституция, ФЗ).
Обязательно указывается категория ПД (например, общие, специальные, биометрические), а также категория лиц, чьи данные будут обрабатываться (например, сотрудники оператора, клиенты и т.д.).
Далее нужно перечислить действия, которые оператор планирует проводить с персональными данными, то есть описать способы их обработки (хранение, запись, систематизация и пр.).
Уведомление можно подать как в бумажном, так и в электронном виде.
Внесение сведений в реестр Роскомнадзора – будет следующим шагом процесса регистрации оператора.
В свою очередь Роскомнадзор на основании данного уведомления добавляет информацию в реестр операторов персональных данных. На эти действия дается максимум тридцать дней, срок начинает идти с момента поступления уведомления.
Кстати процедура бесплатна — государственная пошлина за регистрацию в реестре операторов персональных данных Роскомнадзора не предусмотрена.
Отметим, что если оператор предоставит неполные сведения в уведомлении, то Роскомнадзор может дополнительно запросить у него уточнение предоставленных данных до их внесения в реестр операторов.
Если же какая либо информация по поводу обработки будет изменена уже после включения в реестр, или же деятельность вообще будет прекращена, то оператор должен в обязательном порядке сообщить об этом в специализированный орган, на это дается десять дней с того момента, как произошли изменения данных или прекращена работа по их обработке.
Итак, мы подробно описали то, каким именно образом производится регистрация операторов данных в реестре, что должно содержать уведомление и как его подать, а также как же рассказали какие штрафы можно получить за незаконную деятельность в сфере обработки персональных данных. Настоятельно рекомендуем внимательно изучить всю предоставленную информацию и в случае планирования деятельности по обработке ПД – делать все согласно закону, т.е. официально уведомив Роскомнадзор.
