08.09.2021

Регистрационный номер в реестре операторов пд

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Регистрационный номер в реестре операторов пд». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Содержание

1. Реестр операторов, осуществляющих обработку персональных данных (Роскомнадзор)

1.1. Про ответственность за обработку персональных данных без уведомления Роскомнадзора

2. Как стать оператором персональных данных в реестре Роскомнадзора

3. Реестр операторов персональных данных

4. Объявляю вас оператором персональных данных

5. Регистрационный Номер Записи в Реестре Как Узнать

6. Регистрационный номер в реестре операторов персональных данных

7. Выписка из реестра операторов, осуществляющих обработку персональных данных

8. Уведомление об обработке персональных данных в Роскомнадзор

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Реестр операторов, осуществляющих обработку персональных данных (Роскомнадзор)

Если у вас меняются какие-либо сведения, включенные ранее в реестр, то требуется внести изменения в течение 10 дней со момента их возникновения (часть 7 статьи 22 ФЗ “О персональных данных”). За несвоевременное направление или не направление этих сведений — опять административный штраф по ст. 19.7 КоАП.

Про ответственность за обработку персональных данных без уведомления Роскомнадзора

Закон “О персональных данных” требует направить уведомление в РКН до начала обработки персональных данных. На практике это момент регистрации компании или ИП, то есть фактически дата начала обработки ПД совпадает с датой регистрации в ЕГРЮЛ.

Следовательно, если фирма в этот момент уведомление в РКН не направит, то уже совершит административное правонарушение, ответственность за которую предусмотрена ст. 13.11 КоАП РФ.

А срок давности привлечения к административке по этой статье составляет 3 месяца с момента совершения правонарушения. Такое нарушение не является длящимся, поэтому, если речь не идет о неисполнении предписания, то РКН никого к ответственности и не привлекает.

Закон содержит исчерпывающий перечень случаев, когда оператор персональных данных вправе осуществлять обработку персональных данных, не уведомляя об этом Роскомнадзор. К таким случаям относятся:

Если вы осуществляете обработку персональных данных, при этом ваша деятельность не подпадает под перечисленные выше случаи, вам необходимо до начала обработки персональных данных направить в Роскомнадзор уведомление.

После отправки заполненного документа в РКН нужно ожидать, пока информация не будет внесена в единую электронную базу. Удостовериться в успешности процесса несложно — достаточно открыть сайт федеральной службы, перейти в реестр и совершить поиск:

по ИНН либо регистрационному номеру;
по наименованию компании.

После нажатия кнопки «Найти» на страничке появится запись о типе оператора, основании включения в список, дате поступления уведомления и начале совершения операций с ПДн, а также других общедоступных сведениях.

Как стать оператором персональных данных в реестре Роскомнадзора

Что это такое уведомление в Роскомнадзор для регистрации в реестре персональных данных, не все операторы четко себе представляют, поэтому в первый раз испытывают сложности с заполнением. Но ошибка или неточность чреваты серьезными проблемами, вплоть штрафных санкций при проверках, поэтому нужно четко понимать, что и где вписывать. Все поля со звездочкой в форме регистрации обязательны для заполнения — если их пропустить, то онлайн-обращение не будет отправлено, а письменную форму не будут рассматривать.

Чтобы регистрация прошла успешно, в документе предстоит указать:

территориальное управление РКН и тип оператора;
наименование согласно официальным документам (или Ф.И.О. для предпринимателей);
фактический и юридический адрес, а также регионы, на территории которых ведется коммерческая или некоммерческая деятельность, подразумевающая обработку ПДн;
сведения о филиалах (если имеются);
ИНН и ОГРН — в форме есть и другие поля для кодов организации, но они не являются обязательными для заполнения;
правовое обоснование — тут должно быть указано правовое обоснование для обработки персональных данных, для работодателей обязательно упоминание Трудового Кодекса;
цель совершения операций — основной пункт, над которым необходимо серьезно задуматься, чтобы в дальнейшем не возникли противоречия с ФЗ-152 и подзаконными актами;
категории субъектов, чьи данные собираются и используются, а также список видов ПДн, с которыми вы будете иметь дело;
принятые меры для обеспечения информационной безопасности в ИСПДн — здесь требуется ввести все применяемые организационные и технические средства защиты;
условия окончания процесса обработки либо конкретные сроки;
перечень совершаемых операций;
способ обработки сведений;
наличие или отсутствие трансграничной передачи ПДн;
информация о центре обработки данных — указываются отдельно для каждой ИС;
ответственное за организацию обработки персональных данных лицо и исполнитель.

В самом конце от того, кто заполняет форму, требуется поставить отметки о согласии на использование полученных сведений, ввести проверочный код и подтвердить отправку. Далее в обязательном порядке требуется распечатать документ, поставить печать и переслать в территориальное подразделение РКН нарочным способом или почтой.

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.

Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07. 02. 2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13. 11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19. 7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Согласно такому юридическому документу, как Федеральный закон «О персональных данных», если вы лично, ваше предприятие, учреждение или компания собрались работать с личной информацией клиентов, партнеров и прочих категорий граждан, то, скорее всего, обязаны зарегистрироваться в реестре Роскомнадзора в качестве оператора. Из данной статьи узнаете что это за процедура, а также как это сделать.

Поиск по справочнику Для облегчения работы предпринимательского сектора на сайте ФНС существует электронный сервис, позволяющий провести через интернет оперативный поиск сведений из ЕГРЮЛ. Чтобы узнать ЕГРЮЛ по ИНН контрагента в поисковую строку следует ввести этот идентификационный номер, а затем и капчу. После этого перед пользователем откроется вся история вносимых изменений по указанному юридическому лицу. ОГРН), нужный в дальнейшей деятельности юридического лица. Первая выдача свидетельства осуществляется бесплатно, повторная – на возмездной основе.

Выписка Зачем она нужна? Выписка из ЕГРЮЛ является документом, который позволяет получать сведения, нужные самим юридическим лицам, их контрагентам и различным органам с которыми организация сотрудничает или подконтрольна им. Различают два вида подобных выписок:На платной основе она делается за одни сутки. Выписка составляется регистрирующим органом по месту нахождения компании – ФНС. Причем заявитель может получить ее не только на свою фирму, но и на любую другую компанию, только эта услуга является платной.

Для подачи заявки на получение выписки необходимо составить заявление-запрос от имени юридического лица, на которое требуется оформить выписку. Выписка выдается бесплатно самому юридическому лицу, либо органу государственной власти. Всем остальным надо вносить плату, составляющую 200 рублей, если заявителя устраивает срок в 5 дней, и 400 рублей, если выписка нужна на следующий рабочий день. КБК для ЕГРЮЛ (для оплаты) можно узнать в налоговой инспекции или на сайте регионального управления.

Копии документов выдаются всем за такую же плату и в аналогичные сроки.

Реестр операторов персональных данных

Безусловно, к таковым относятся стандартные договора отчуждения (продажи, мены, дарения). Но проблема в том, что многие граждане из документов на гараж располагают только членской книжкой, поскольку большая часть гаражей предоставлялась в пользование граждан в составе кооперативов. Членство в ГСК ни в коей мере не обеспечивает права собственности. Владелец гаража должен приватизировать объект и уже на основании договора приватизации зарегистрировать право собственности. Выписка же выдается только при наличии зарегистрированного права.

Если гараж не является частной собственностью, то ответом на запрос станет «Сведения об объекте отсутствуют». Получить Свидетельство о государственной регистрации права на недвижимое имущество могут собственники недвижимости (физические и юридические лица) и обладатели других видов прав. Получить Свидетельство о государственной регистрации права правообладатель может пока это право ему принадлежит, другими словами заявление на получение свидетельства может быть подано не только с подачей документов для государственной регистрации права, но и в любой момент существования этого права на недвижимое имущество. Если Свидетельство о регистрации утрачено, то нет проблем заказать новое. Так, например, те, что выдавались с 2015 года, напечатаны на белых бланках без водяных знаков.

Подделка и подлинность Иногда, взглянув на предъявленное свидетельство, можно определить, подделка это или нет, что называется, «на глаз». Только нужно быть в курсе некоторых деталей. А это не помешает, даже если никто не собирается приобретать квартиру. Поскольку мошенники подделывают свидетельства и при других сделках, в том числе при заключении договора найма (аренды) квартиры. И так можно заплатить, но остаться без жилья, поскольку окажется, что «сдаваемый объект вовсе не принадлежит «арендодателю».

В любом случае не стоит торопиться подписывать бумаги и передавать деньги. Следует обезопасить себя с помощью нехитрой проверки. Выписать номер и серию предоставленного свидетельства о собственности, ФИО владельца и точный адрес его постоянной регистрации. Со всем пакетом документов отправляйтесь в ближайшее отделение, адрес которого можно найти в интернете. Если вы не успели оплатить госпошлину, то можете это сделать через терминал в МФЦ.

Займите электронную очередь с помощью талона из терминала и дождитесь своего номера. Если вы не заполнили заявление самостоятельно, то сделайте это по требованию сотрудника МФЦ. Отдайте все необходимые документы. После завершения процедуры вы получите квитанцию, на которой будет указана дата получения выписки. Если вы решили оформить вписку через интернет, тогда переходите к следующей инструкции.

Важно обратить внимание на то, что Свидетельство о государственной регистрации права удостоверяет лишь факт проведения когда-то регистрации. Для достоверности, наличие у правообладателя конкретного вида права на недвижимое имущество должно подтверждаться выпиской из ЕГРП. Если с момента оформления Свидетельства о государственной регистрации права произошли и вступили в силу изменения, касающиеся данного недвижимого имущества, касающиеся вида, перехода, прекращения права на эту недвижимость, наложения ограничений, изменения в составе правообладателей, все это будет отражено в выписке из ЕГРП.

Таким образом, юридическую чистоту недвижимости, права на которую зарегистрированы после этой даты, можно проверить, взяв выписку из ЕГРП. Если же права на недвижимость возникли до 31. 01. 1998 года, то для того, чтобы получить информацию, следует обращаться в Департамент жилищной политики и жилищного фонда города Москвы. Естественно, это касается только объектов недвижимости, расположенных в Москве. Регистрационный Номер Записи в Реестре Как Узнать

Закон декларирует свою цель как обеспечение защиты прав и свобод человека, неприкосновенности личной жизни и семейной тайны. Реестр предоставляет всем заинтересованным сторонам информацию о том, кто, в каких целях и какие данные граждан собирает, обрабатывает и хранит. Это позволяет более эффективно бороться с правонарушениями в данной области.

Кроме того, наличие ответственности за манипуляции со сбором персональных данных стимулирует операторов тщательно подходить к вопросам информационной безопасности. В 2015 году законодатель потребовал хранить данные только на серверах, размещенных на территории России, что, очевидно, было реакцией на ухудшение международной обстановки. Хранение данных на серверах направлено на усиление защиты персональной информации россиян от внешних посягательств.

Набор данных (активная вкладка)
Журнал

Она не включает в себя каких-либо обозначений, а является контрольным числом, используемым регистрационным органом. Рассчитать это число несложно. Для этого необходимо 12-значное число (то есть весь имеющийся номер ОГРН за исключением единственной крайней цифры) разделить на 11.

Этот остаток и будет контрольным значением, записываемым как последнее число ОГРН. Таким образом, главной характеристикой для любого юридического лица с точки зрения закона является основной государственный регистрационный номер. Он всегда исключителен и уникален для каждого и содержит важную информацию об организации.

Для проверки подлинности госномера применяется контрольное число.

Как уже упоминалось выше, разновидностью регистрационного гос номера, который присваивается организациям, является ОГРНИП, предназначенный для индивидуального предпринимателя.

Могут организации указывать ОГРН на печати и использовать ее. ОГРН это идентификатор юридического лица, присваиваемый в индивидуальном порядке.

По форме это уникальный числовой код из 13 цифр, каждая из которых имеет определенное значение. Если по ИНН можно получить только минимум информации о принадлежности к определенной территориальной ФНС, то ОГРН позволяет узнать намного больше полезных сведений.

В частности по ОГРН можно проверить такие сведения, как:

регистрационный номер субъекта в государственном реестре.
дата присвоения кода;
код налоговой инспекции, где организация регистрировалась;
адрес регистрации юридического лица;

Кроме прочего по ОГРН можно узнать, существует ли организация в действительности.

Для этого достаточно поделить первые двенадцать цифр на число 11 и проверить результат.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Согласно закону № 152-ФЗ (О персональных данных), любая организация (или физическое лицо), имеющая дело с персональными данными, обязана соблюдать правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое: самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД; определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней. Реестр операторов, осуществляющих обработку персональных данных ведет ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ (Роскомнадзор).

В реестре указывается дата и основание включение в реестр, наименование оператора и его данные, цель обработки персональных данных, правовые основания, ответственное лицо оператора и другие данные.

Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.

В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре. Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации. Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.

Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.

Объявляю вас оператором персональных данных

Если вы уже обрабатываете персональные данные и не знаете как сейчас поступить по поводу регистрации в реестре операторов персональных данных, то следуйте такому плану:

Соберите сведения по обработке и предпринимаемых мерах по защите персональных данных (см. перечень сведений ниже).
Как можно скорее подготовьте и подайте уведомление об обработке персональных данных в Роскомнадзор.
Выполните подготовку по всем требованиям 152-ФЗ с учетом указанных вами в уведомлении сведений (смотрите информацию по ссылке — подготовка по 152-ФЗ).
Произведите корректировку сведений в реестре Роскомнадзора по результатам подготовки по 152-ФЗ путем подачи извещения об изменениях (при необходимости).

Если сроки горят, и нужно зарегистрироваться в реестре с первого раза, то необходимо следовать рекомендациям:

Заполняйте уведомление максимально подробно и точно, ссылаясь на реальные и действующие нормы закона, а также внутренние организационно-распорядительные документы.
Если у вас система защиты персональных данных еще не готова, то нужно писать так, как будто она реализована полностью, с указанием конкретных подсистем и средств защиты (антивирусная подсистема, подсистема обнаружения вторжений, подсистема криптографической защиты, подсистема анализа защищенности, подсистема защиты от несанкционированного доступа и др.).
Если вы подаете уведомление с целью регистрации в реестре как оператор персональных данных «клиентов», то не забудьте указать, что вы обрабатываете и персональные данные сотрудников, так как они есть в любой организации. Это обязательно!
При описании правового основания обработки персональных данных нельзя ссылаться только на 152-ФЗ, так как закон описывает требования к обработке и защите персональных данных, но не описывает правовые основания обработки для тех или иных типов организаций.
При описании правового основания обработки не забудьте базовые документы, которые нужно указывать любому оператору: Конституция РФ, Трудовой кодекс РФ, Гражданский кодекс РФ.

О компании
10 причин купить у нас
Лицензия
Оператор персональных данных
Товарный знак TARGETSMS
Способы оплаты
Реквизиты организации
Сделать заказ
Блог
Карта сайта

СМС рассылка
Рассылка Вайбер
Вайбер+SMS (каскадная рассылка)
Партнерская программа
Поздравления с праздниками и днями рождения

Регистрационный Номер Записи в Реестре Как Узнать

Операторы обязаны сообщить в РКН о своем намерении осуществлять обработку сведений о физических лицах (статья 22 Закона). Заполнить уведомление в Роскомнадзор и привести процессы обработки в соответствие с установленными требованиями рекомендуется до начала взаимодействия с ПДн.

В некоторых ситуациях разрешено не состоять в реестре:

Компания обрабатывает информацию только о сотрудниках.
Сведения нужны в рамках договорных отношений между оператором и субъектом ПДн (например, для того, чтобы клиент мог сделать заказ и получить его).
Общественные объединения, религиозные организации обрабатывают информацию об участвующих в них лицах.
В состав собираемых сведений входит только ФИО.
Компания собирает ПДн субъекта для оформления разового прохода на территорию.
ПДн хранятся в бумажном виде, и вы их не дублируете на электронные носители. При этом бумажные документы должны быть надежно защищены от посторонних лиц.

С 1 марта 2021 года в перечне появился новый пункт — уведомлять не нужно, если гражданин разрешил распространять сведения о себе. Однако для правомерности таких действий оператор обязан получить отдельное согласие.

Если вы уже являетесь оператором или только имеете намерение осуществлять обработку, то предоставьте следующую информацию в РКН:

ФИО или название компании, адрес;
цели, преследуемые при сборе данных;
перечень собираемых ПДн;
какие НПА, локальные акты и иные документы (с указанием конкретных статей и пунктов) закрепляют основания и порядок обработки;
действия с ПДн, применяемые способы обработки;
меры безопасности;
кто выступает ответственным за обработку;
когда вы начали или планируете начать обработку;
в каких случаях вы планируете завершить обработку;
передаются ли собранные данные за рубеж;
где находятся базы данных;
какой уровень защищенности установлен в вашей компании.

Создайте отдельную ИСПДн для каждой категории субъектов. Это правило следует из законодательного принципа недопустимости объединения ПДн, которые обрабатываются в несовместимых между собой целях.

Перед заполнением уведомления:

Установите категории физических лиц, сведения о которых вы собираете.
Установите точный перечень ПДн, которые вы собираете в рамках отдельной категории.
Определите цели использования ПДн по каждой категории.
Установите, есть ли передача ПДн за границу применительно к отдельной категории.

В разделе уведомления «Сведения об информационных системах» каждую категорию физических лиц укажите отдельно. Например, сначала вы заполняете перечень действий, категории и иные сведения об обработке ПДн клиентов. Если вы также обрабатываете сведения о других субъектах, добавьте новую ИС и заполните раздел для новой категории субъектов ПДн.

Важно верно указать адреса ЦОДов, в которых размещены ИС со сведениями о субъектах. До передачи информации в ЦОД или облако необходимо заключить договор-поручение на обработку ПДн с ЦОДом или облачным провайдером. Данное требование было отдельно отмечено представителями РКН в ходе публичного семинара по итогам контрольно-надзорной деятельности ведомства за 9 месяцев 2020 года.

ПДн российских граждан должны первично обрабатываться на территории России соответственно. При этом дальнейшая трансграничная передача ПДн не запрещена. Если вы пользуетесь облачным провайдером, расположенным за границами Российской Федерации, то необходимо создавать первичную базу данных на территории России. Штрафы за несоблюдение могут доходить до 18 млн руб.

Перед трансграничной передачей разместите базы данных у российского провайдера. В уведомлении укажите первичный адрес базы данных. Адрес ЦОД обычно указан в договоре-поручении на обработку ПДн, заключаемом между оператором и облачным провайдером.

Типичные ошибки при заполнении уведомления:

Неверно указано правовое основание обработки ПДн. Считается, что для обработки достаточно согласия субъекта. Этот подход неверный, согласие не «панацея» во всех случаях. Важно перечислить перечень законов и подзаконных актов, в соответствии с которыми осуществляется обработка.
Неправильно определены цели обработки ПДн. Например, ошибочно указывать в качестве цели «хранение персональных данных». Хранение — это одно из действий по обработке. Кроме того, недопустимо собирать сведения о субъекте только для того, чтобы хранить в базах данных. В 2019 году РКН составил 111 протоколов по данному нарушению.
Ошибочно установлен уровень защищенности ПДн. Как следствие, не указаны необходимые меры безопасности. Для правильного определения уровня рекомендуется привлекать специалистов по информационной безопасности.
Данные всех категорий субъектов заполнены в рамках одной ИС. Напомним, что сведения о каждой группе физических лиц (сотрудники, посетители сайта и т.п.) в уведомлении лучше выделить отдельно, поскольку недопустимо объединение баз ПДн, обрабатываемых в разных целях.
Указаны не все категории субъектов ПДн. Без проведения аудита обработки сложно выявить все группы субъектов. Например, компании забывают про обработку сведений о соискателях.
Отсутствуют сведения о первичной базе данных в России.Это прямой повод для проведения проверки Роскомнадзором, по итогам которой компанию могут оштрафовать за отсутствие локализации.

Непредоставление полной информации по данным отчета РКН за 2019 год составляет 17% от общего числа нарушений.

Подайте уведомление до начала обработки в бумажном или в электронном виде. Роскомнадзор включает в реестр по истечении 30 дней с момента регистрации уведомления. Для проверки статуса уведомления и факта включения в реестр достаточно в поисковой строке указать ИНН.

Форма уведомления: бумажный носитель или электронный документ.

Есть три способа подачи уведомления:

в бумажном варианте;
в электронном виде с применением усиленной электронной подписи;
электронно с использованием портала Госуслуг.

Для подачи на бумажном носителе можно заполнить форму на сайте Роскомнадзора. После заполнения автоматически сформируется документ с уникальным номером и ключом. Заполненный бланк нужно распечатать и направить по адресу выбранного органа.

Появилась возможность электронной подачи. Однако потребуется усиленная квалифицированная ЭП или подтвержденная учетная запись на портале Госуслуг.

Если уведомление подается в бумажном виде, его необходимо оформить на бланке организации (но если бланка нет, то можно без него). Затем подпишите и поставьте печать. Подписать может либо генеральный директор, либо лицо по доверенности — в таком случае должна быть приложена доверенность. Оформленное уведомление направьте по адресу территориального органа заказным письмом. Это позволит в дальнейшем отследить получение.

Государство регламентирует деятельность всех субъектов, связанных с обработкой персональных данных. В полномочия государственного органа, осуществляющего контроль деятельности юридических лиц в сфере обработки персональных данных, Роскомнадзора, входят проверки соблюдения законодательства в сфере связи, коммуникаций и информационных технологий, а также ведение реестра операторов персональных данных. Реестр формируется на основании заявлений самих юридических лиц и граждан, направляемых в государственный орган в установленном законом порядке. Каждый гражданин, намеревающийся передать свои данные юридическому лицу, вправе проверить, находится ли оно в реестре. Если да, то он может быть уверен, что его информация будет защищена должным образом и не станет добычей злоумышленников.

Перед тем, как приступить к обработке персональных данных, юридическое или физическое лицо вынуждено направить уведомление о желании быть включенным в реестр. Этот перечень имеет открытый характер, публикуется на официальном сайте ведомства. Все лица, включенные в реестр операторов персональных данных, должны быть готовы пройти проверку, насколько успешно им удается обеспечивать их защиту. Но если бы все компании и индивидуальные предприниматели, принимающие граждан на работу, стали участниками реестра, он потерял бы свою актуальность. Поэтому закон содержит перечень исключений, освобождая от обязанности подачи уведомлений следующие категории лиц:

имеющих дело с обработкой только тех персональных данных, которые были получены в связи с заключением трудовых договоров;
обрабатывающих только ту персональную информацию, которая стала доступна им из заключенных гражданско-правовых договоров, без намерения ее использования в иных целях или передачи третьим лицам;
если оператором является общественная или религиозная организация, и персональные данные своих членов она получает только в связи с целями, определенными ее уставом;
если данные получены для оформления разового посещения какого-либо учреждения;
если обработка персональных данных происходит в государственных информационных системах;
если информация обрабатывается только на бумажных носителях.

Часто возникают ситуации, когда компания или предприниматель не знают о том, что они не попадают в перечень исключений, и вовремя не направляют уведомление о включении в реестр операторов персональных данных. Но закон разрешает сделать это и позже, только в обращении нужно проставить фактическую дату начала обработки персональных данных. Ответственности за такое опоздание закон не предусматривает.

Каждый год система взаимоотношений бизнеса и государства упрощается, поэтому и подача уведомления о включении в реестр операторов не составит практически никаких сложностей. На сайте федеральной службы выложена электронная форма для заполнения юридическими и физическими лицами для включения в реестр операторов персональных данных. Она содержит следующие поля:

данные и реквизиты оператора (они обычные, всегда содержатся в карточке юридического лица, направляемой контрагентам для заключения договоров);
цель обработки персональных данных и наличие на это разрешения закона, указание на то, соответствует ли такая деятельность уставу;
описание средств и мер защиты, которые лицо намеревается использовать для охраны доверенной ему информации (программные продукты и их сертификация, наличие разработанных внутренних методик и положений, опосредующих защиту информации);
реальную дату начала обработки;
предполагаемую дату завершения обработки персональных данных (дату завершения действия лицензии или дату прекращения занятия определенной деятельностью) или же условия, при которых эта деятельность завершится;
категории обрабатываемых персональных данных (от паспортных до биометрических);
планируемые действия с информацией, их автоматизация, предполагается ли передача массивов сведений по сети Интернет и иным каналам связи;
сведения о конкретном специалисте, на которого возложена ответственность за работу с персональными данными.

После того, как форма заполнена, ее нужно направить в Роскомнадзор, при этом один экземпляр распечатать, прошить, заверить подписью и печатью. Его придется направить в региональное подразделение службы по почте с приложениями, определенными законом. Это такие документы, как внутренние положения, формат бланка согласия третьего лица на обработку персональных данных, приказ о назначении ответственного специалиста.

Ведомство будет рассматривать документы 30 дней, после этого наименование нового оператора появится в реестре операторов персональных данных. Но если предоставленные сведения окажутся недостаточными, неполными, у будущего оператора могут потребовать их уточнить. Такие дополнения нужно будет направить в течение 10 дней. Необходимо учитывать, что при изучении заявления компания будет проверена на взаимоотношение с иностранными юридическими лицами, если планируется осуществление трансграничной передачи данных, ее цели должны быть четко определены. В ряде случаев наличие заинтересованного иностранного акционера может повлечь за собой отказ в регистрации.

Можно осуществлять такие действия не самостоятельно, а по доверенности. Это будет актуально для тех лиц, у которых еще нет собственной электронной подписи для направления уведомления.

Регистрационный номер в реестре операторов персональных данных

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Для обеспечения безопасности хранения и передачи персональных данных предусмотрена процедура аттестации и получения лицензии для организаций занимающихся сбором и хранением такой информации.

Чтобы получить лицензию предприятию приходится не только обучать сотрудников, но и приобретать технические средства защиты.

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;
компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;
системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687;
организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.

Как следует из списка, представленного выше, любой работодатель, нанимающий сотрудников, потенциально может быть оператором ПД. Он получает от соискателей и сотрудников сведения, и обязан создавать систему защиты полученной информации, разрабатывать специальные меры, предотвращающие неправомерное ее использование.

Однако существует ряд исключений, согласно которым работодатель не считается оператором ПД, и может не уведомлять Роскомнадзор в процессе работы с персональными данными. В частности, это работодатели, которые собирают и хранят сведения, необходимые исключительно для составления договора о трудовых отношениях, внутренних приказов, в соответствии с трудовым законодательством.

Выписка из реестра операторов, осуществляющих обработку персональных данных

Закон отводит Роскомнадзору до месяца на рассмотрение информации, представленной в уведомлении оператора. Права на отказ у ведомства нет, но оно имеет право запросить дополнительные данные, если указанные в уведомлении покажутся сотрудникам неполными или недостоверными.

Если у зарегистрированного оператора происходит изменение каких-либо данных, опубликованных в реестре (получение новой или лишение лицензии, внесение изменений в устав и прочее), он обязан уведомить надзорный орган в течение 10 рабочих дней.

Прежде, чем переходить к заполнению электронной формы, следует выполнить внутренние мероприятия, прописанные в статьях 18 и 19 базового закона. Точного перечня нет и быть не может в связи с разнообразием потенциальных операторов. Вне зависимости от организационно-правовой формы, ориентироваться операторам следует на следующие пункты:

Назначение должностного лица, ответственного за операции с персональными данными.
Ознакомление работников, непосредственно задействованных в обработке, с законодательством, требованиями к защите информации и принятых в компании политикой в данной области и порядком доступа к собираемым данным.
Внесение изменений в должностные инструкции указанных сотрудников.
Разработка и утверждение внутренних документов, определяющих политику предприятия в области персональных данных, цели обработки и перечень конкретных данных и социальных групп, сведения о которых будут в сфере ваших интересов.
Разработка и утверждение документов, регламентирующие обработку информации, меры по защите и допуск должностных лиц, реагирование на обращения субъектов персональных данных и государственных органов.
Отведение помещений и определение мер по обеспечению безопасности хранения материальных носителей информации.
Создание системы внутреннего контроля над операциями с персональными данными, их соответствием законодательству и внутренним документам компании.
Определение и внедрение технических мер безопасности.
Подготовка техдокументации на используемое оборудование и информационные системы, средства защиты и прочее.
Оценка потенциального вреда, который может быть нанесен и его соотношение с мерами, предпринимаемыми компанией согласно обязанностям оператора, прописанным в главе 4 закона «О персональных данных».
Подготовка бланков форм о согласии субъекта на обработку его персональных данных, обязательствах задействованных сотрудников и компании в целом о неразглашении, соглашения о конфиденциальности и прочие, согласно условиям и статусу предприятия.

Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных. Но иногда компании думают, что лучше не привлекать внимание ведомства и не подавать уведомление. Они ведь и раньше собирали данные, а уведомление подают только сейчас. Точно придет проверка, и придется платить штраф.

Отсиживаться рискованнее, чем подать уведомление. Об этом рассказывает эксперт по персональным данным Максим Лагутин.

В правилах описаны плановые и внеплановые проверки: когда могут прийти, что попросят, сколько времени займут и чем это закончится. За одно нарушение закона о персональных данных можно получить штраф до 75 тысяч рублей. Если нарушений несколько, есть риск потерять сотни тысяч. И это касается всех, у кого есть даже небольшая рассылка или интернет-магазин.

Мы изучили правила, чтобы вам не пришлось читать 17 страниц постановления. Вот как это работает.

Уведомление об обработке персональных данных в Роскомнадзор

Как правило, операторы персональных данных сталкиваются с тремя основными проблемами при регистрации в реестре Роскомнадзора:

Не знают, как заполнить уведомление: пишут, как думают (отсебятину), или, еще хуже, копируют уведомление у других операторов. В итоге они получают отказ в регистрации. Или все же попадают в реестр, но еще и на штрафные санкции, так как сведения в реестре получаются не соответствующими действительности.
Не знают, как заполнить уведомление, не проведя сначала полноценную подготовку по 152-ФЗ и не имея практики прохождения проверки Роскомнадзора.
Составляют уведомление без конкретики, описывая применяемые меры защиты, цели обработки, правовое основание обработки персональных данных общими словами, без ссылок на конкретные внутренние организационно-распорядительные документы организации, нормы законов и без указания конкретных мер защиты.

Заполняйте уведомление максимально подробно и точно, ссылаясь на реальные и действующие нормы закона, а также внутренние организационно-распорядительные документы.
Если у вас система защиты персональных данных еще не готова, то нужно писать так, как будто она реализована полностью, с указанием конкретных подсистем и средств защиты (антивирусная подсистема, подсистема обнаружения вторжений, подсистема криптографической защиты, подсистема анализа защищенности, подсистема защиты от несанкционированного доступа и др.).
Если вы подаете уведомление с целью регистрации в реестре как оператор персональных данных «клиентов», то не забудьте указать, что вы обрабатываете и персональные данные сотрудников, так как они есть в любой организации. Это обязательно!
При описании правового основания обработки персональных данных нельзя ссылаться только на 152-ФЗ, так как закон описывает требования к обработке и защите персональных данных, но не описывает правовые основания обработки для тех или иных типов организаций.
При описании правового основания обработки не забудьте базовые документы, которые нужно указывать любому оператору: Конституция РФ, Трудовой кодекс РФ, Гражданский кодекс РФ.

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

[2]