Что делать, если получили письмо от роскомнадзора о персональных данных

Содержание

Для того чтобы попасть в реестр операторов персональных данных (ПДн), необходимо предоставить следующую информацию:

• наименование (или ФИО), адрес;
• цель обработки;
• категории ПДн;
• категории субъектов, персональные данные которых обрабатываются;
• правовое основание;
• перечень действий с ПДн и их способы обработки;
• описание мер, предусмотренных статьей 18.1 и статьей 19 Федерального закона №152-ФЗ, в том числе, сведения о наличии шифровальных средств;
• данные физического или юридического лица, ответственных за организацию обработки персональных данных;
• дата начала обработки информации;
• срок или условие прекращения обработки;
• сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
• сведения о месте нахождения базы данных информации, содержащей ПДн граждан Российской Федерации;
• сведения об обеспечении безопасности ПДн.

Форма уведомления об обработке персональных данных

Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Челябинской области

М.И. Олениной

ул. Энгельса, д.44-Д, г. Челябинск, 454080

Уведомление об обработке* (о намерении осуществлять обработку) персональных данных

________________________________________________________________________(полное и сокращенное наименования, фамилия, имя, отчество оператора)   ________________________________________________________________________(адрес местонахождения и почтовый адрес оператора)   руководствуясь: _______________________________________________________________________(правовое основание обработки персональных данных)   с целью :______________________________________________________________________(цель обработки персональных данных) осуществляет обработку: ____________________________________________________________________(категории  персональных  данных)     принадлежащих: _______________________________________________________________________(категории субъектов, персональные данные которыхобрабатываются)

Обработка вышеуказанных персональных данных будет осуществляться путем:

________________________________________________________________________(перечень действий с персональными данными, общее  описание используемых оператором способов ____________________________________________________________________обработки  персональных данных)

Для обеспечения безопасности персональных данных принимаются следующие меры: ______________________________________________________________________(описание мер, предусмотренных ст.ст. 18.1. и 19 Федерального закона  от 27.07.2006 № 152-ФЗ   ______________________________________________________________________»О персональных данных», в т.ч. сведения о наличии шифровальных (криптографических)   ________________________________________________________________________средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование ________________________________________________________________________юридического лица, ответственных за организацию обработки персональных данных,  _____________________________________________________________________и номера их контактных телефонов, почтовые адреса и адреса электронной почты)

Сведения о наличии или об отсутствии трансграничной передачи персональных данных ________________________________________________________________________(при наличии трансграничной передачи персональных данных в процессе их обработки, указывается перечень   ___________________________________________________________________иностранных государств, на территорию которых осуществляется трансграничная передача персональных ______________________________________________________________________________________________

Сведения об обеспечении безопасности персональных данных: ________________________________________________________

__________________________________________________________________(сведения об обеспечении безопасности персональных данных в соответствии с требованиями  ________________________________________________________________________к защите персональных данных, установленными Правительством Российской Федерации)

Дата начала обработки персональных данных: ______________________________________________________________________                                                                                                          (число, месяц, год)         Срок или условие прекращения обработки персональных данных: ______________________________

_________________________________________________________________________________________________________________(число, месяц, год или основание (условие), наступление которого повлечет прекращение обработки ________________________________________________________________________ персональных данных)

_____________________                                  _____________________      

должность                                              расшифровка подписи  

   “____” ________________ 20___ г.     

* Указанное уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.     

Время публикации: 23.06.2017 13:33Последнее изменение: 16.01.2018 07:30

Кто может осуществлять сбор, обработку информации?

Реестр операторов персональных данных – это общая федеральная база, куда Роскомнадзор вносит сведения о юридических и физических лиц, осуществляющих сбор и обработку подобной информации.

Так называемыми «операторами» могут быть как органы власти: федеральной, субъектов федерации или муниципальной, так и коммерческие структуры, банки, торговые сети, выдающие карты клиентов, и прочие.

В последних правках, внесенных в 2017 году, законодатели уделили особое внимание Интернет-ресурсам, имеющим формы для регистрации пользователей. Регистрация в Роскомнадзоре обязательна для всех физических и юридических лиц, которые намерены заниматься сбором и обработкой персональных данных, кроме исключений, указанных в части 2 статьи 1 и части 2 статьи 22

Регистрация в Роскомнадзоре обязательна для всех физических и юридических лиц, которые намерены заниматься сбором и обработкой персональных данных, кроме исключений, указанных в части 2 статьи 1 и части 2 статьи 22.

Цель создания по закону

Закон декларирует свою цель как обеспечение защиты прав и свобод человека, неприкосновенности личной жизни и семейной тайны. Реестр предоставляет всем заинтересованным сторонам информацию о том, кто, в каких целях и какие данные граждан собирает, обрабатывает и хранит. Это позволяет более эффективно бороться с правонарушениями в данной области.

Кроме того, наличие ответственности за манипуляции со сбором персональных данных стимулирует операторов тщательно подходить к вопросам информационной безопасности. В 2015 году законодатель потребовал хранить данные только на серверах, размещенных на территории России, что, очевидно, было реакцией на ухудшение международной обстановки. Хранение данных на серверах направлено на усиление защиты персональной информации россиян от внешних посягательств.

Кто вносит изменения в перечень?

Изменения в реестр вносит Роскомнадзор на основании уведомления операторов. На рассмотрение представленной информации ведомству отводится 30 дней.

Сведения об операторах общедоступны, за исключением описания средств и мер безопасности, которые оператор применяет для защиты своих баз.

Что изменилось в обработке персональных данных с 1 марта

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

• Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
• Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
• В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Как прекратить передачу данных, разрешенных для распространения

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

• ФИО;
• контактные данные;
• перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Что работодатель должен и не должен знать о работнике

В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.

Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.

Что у компании должно быть

Итак, при приеме на работу работодатель получает персональные данные работника, а именно:

• Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
• трудовой стаж и предыдущие места работы (из трудовой книжки);
• регистрация в органах ПФР (из карточки СНИЛС);
• отношение работника к воинскому учету (из документов воинского учета);
• образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
• судимость (из справки о ее наличии или отсутствии);
• употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).

Чего быть не должно

Требовать от работника другие документы кодекс запрещает, поэтому иных персональных данных сотрудника у организации быть не должно – например, свидетельств о рождении и браке (по крайней мере, при приеме на работу они не требуются).

Также компания не вправе настаивать на том, чтобы сотрудник при заполнении личной карточки (форма утверждена Постановлением Госкомстата РФ от 05.01.2004 № 1 и, кстати, уже давно необязательна), указывал в ней сведения о составе своей семьи, местах рождения и работы своих родственников, номера их телефонов и так далее.

Исключение сделало только для иностранцев и госслужащих. Для них дополнительные документы для трудоустройства определены отдельными федеральными законами.

Кроме того, фирма не должна хранить копии документов, перечисленных в ст. 65 ТК РФ. В кодексе сказано, что оригиналы предоставляются работодателю лишь при заключении трудового договора. Это значит, что после занесения сведений в договор оригинал возвращается, а снимать копии и хранить их кодекс не разрешает.

Статья Проказина Е.А., редактора-эксперта журнала «Время Бухгалтера»

Пошаговая инструкция

Необходимо отнестись со всей ответственностью к процедуре заполнения и подачи уведомления, тщательно проверив исходные документы на достоверность и актуальность сведений и реквизитов.

Как заполнить?

Инструкция по заполнению онлайн-формы по уведомлению выглядит следующим образом:

1. Скачивать ничего не нужно – сведения вписываются сразу в электронный документ.
2. Тщательно заполнить все поля, отмеченные звездочкой *.
3. Ввести капчу – защитный код.
4. Поставить галочки напротив пунктов об ознакомлении с порядком подачи документа и подтверждения согласия на передачу информации через глобальную сеть.
5. Кликнуть по кнопке “Отправить”.

При наличии выпадающего списка в поле – выбрать из списка подходящий ответ. Если напротив пункта свободного поля нет – отметить галочками актуальные сведения, при необходимости – внести дополнительные данные. При заполнении адресов можно ввести информацию вручную, а можно воспользоваться встроенным онлайн-справочником.

Как отправить?

После заполнения электронного уведомления информация поступает на обработку в РКН, а система подготавливает заполненную форму к распечатке. Дальнейшие действия:

1. Сохранить подготовленный документ на свой компьютер и распечатать либо отправить на распечатку непосредственно с сайта.
2. Подписать бумажный вариант документа у лица, которое несет ответственность за обработку ПД, поставить печать.
3. Отправить по почте подписанный документ в территориальный орган РКМ по месту регистрации оператора.

Как внести изменения?

Если первоначальные сведения, внесенные в форму-уведомление устарели, в РКН в течение 10 дней следует подать информационное письмо (п.7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

План действий внесения изменений в уведомление:

1. Заполнить письмо онлайн – внести измененные данные.
2. Распечатать информационное письмо и после подписания уполномоченным лицом отправить почтой в территориальный филиал РКН.

Роскомнадзор внесет изменения в реестр в течение 15 дней.

Как посмотреть статус?

Подать уведомление об обработке и внесении изменений в персональные данные лучше в срок – это поможет обезопасить компанию от проблем с законом и дополнительных финансовых затрат.

Где взять документ?

Документ должен обязательно содержать следующую информацию:

1. тип и название оператора;
2. адрес оператора с указанием местонахождения;
3. ИНН и ОГРН;
4. сведения о законах, которыми руководствуется оператор;
5. цели работы с ПД;
6. средства обеспечения защиты информации;
7. когда оператор начал обрабатывать ПД;
8. сроки окончания обработки или условия прекращения проведения операций;
9. данные об информационной системе и категории сведений;
10. категории субъектов ПД;
11. список действий и способов обработки ПД;
12. осуществляется ли передача сведений третьим лицам;
13. где находится база данных – страна и адрес;
14. кто отвечает за действия с ПД: физическое лицо (паспортные данные, контакты и должность) или юридическое лицо (наименование, адрес, контакты).

Отправка через сайт Роскомнадзора

Этот вариант выбирают гораздо чаще. Он довольно удобен и понятен:

• зайти на официальный ресурс Роскомнадзора;
• найти форму уведомления;
• в онлайн режиме внести нужные данные;
• после нажать на вкладку «Отправить электронное уведомление и подготовить форму к распечатке»;
• распечатать документ в бумажном виде;
• заверить (таким же образом, как указано в прошлом разделе).

Уведомление на бумажном носителе в качестве подтверждения отправляется почтой. На рассмотрение заявки надзорному органу дан месяц со дня отправки в электронном варианте.

Основным минусом способа считаются сложности с внесением данных в уведомление.

Отправка почтой или курьерской службой

Этот вариант, как основной, с каждым годом выбирают все реже. Он включает в себя несколько этапов:

• войти на сайт Роскомнадзора;
• скачать форму уведомления;
• распечатать документ;
• внести в графы данные;
• подать на подпись руководителю и уполномоченному работать с ПД лицу;
• заверить печатью.

Далее клиенту нужно отправить бумагу в Роскомнадзор (местное отделение) и ожидать его приемки. Только после этого можно заниматься обработкой данных.

Почтовая отправка, несмотря на кажущуюся простоту, имеет массу минусов:

• сложности с заполнением формы;
• большие временные затраты;
• необходимость лично ехать на почту;
• невозможность сразу увидеть данные по статусу заявки и не только.

Чаще всего отправка уведомления почтой используется как вспомогательный способ, отмеченный в законодательном акте.

Конфиденциальность персональных данных: когда ее не нужно обеспечивать

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

• в случае обезличивания ПД;
• в отношении общедоступных ПД;
• если данные включают только ФИО субъектов ПД;
• для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
• если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
• если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Нужно подавать или нет

В Законе установлено 9 пунктов исключений, когда операторам разрешено не подавать уведомление в Роскомнадзор, но, как правило, работают они только в некоторых случаях. Но, исходя из практики, можно сказать, если хотя бы для одного бизнес-процесса требуется обработка ПД, когда исключением нельзя воспользоваться, уведомление подавать придется. Обязанность подавать уведомление – это лишь одно из требований, которые предъявляются к оператору.

Другой вопрос, который задают юрлица, стоит ли им привлекать к себе внимание уполномоченного органа, который после поступления информации не только занесет новое предприятие в реестр, но и постарается прийти с проверкой как можно раньше. На самом деле Роскомнадзор выбирает предприятия для проверок независимо оттого, подали они уведомление или нет.. Кроме того, на сегодняшний день Роскомнадзор целенаправленно рассылает запросы компаниям, которые, как предполагается, собирают и обрабатывают ПД, но не числятся в реестре операторов

Для проведения планового контроля любых предприятий уполномоченный орган руководствуется 2-мя факторами – это 3 года с момента открытия юрлица или последней проверки

Кроме того, на сегодняшний день Роскомнадзор целенаправленно рассылает запросы компаниям, которые, как предполагается, собирают и обрабатывают ПД, но не числятся в реестре операторов. Для проведения планового контроля любых предприятий уполномоченный орган руководствуется 2-мя факторами – это 3 года с момента открытия юрлица или последней проверки.

Что это?

Уведомление об обработке ПД – это документ, который подается в Роскомнадзор и на основании которого юридическое или физическое лицо включается в Реестр операторов, осуществляющих обработку ПД.

Уведомляющий документ подается организацией/предприятием/индивидуальным предпринимателем, подпадающим под определение “оператор ПД” перед началом обработки конфиденциальной информации (Статья 22 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) “О персональных данных”).

Важно!!! Оператор ПД – объект хозяйственной деятельности, государственное или муниципальное лицо, которое вправе организовывать или осуществлять манипуляции с персональными данными

Кто может не уведомлять

Список ограничений, когда у оператора есть право не уведомлять Роскомнадзор о своих действиях, представлен в ст. 22.

Это возможно, если:

• Оператор будет осуществлять обработку ПД без использования компьютера, а также электронных баз данных. В этом случае потребуется соблюдать требования Постановления №687 об обработке ПД без автоматизации. В то же время нужно учесть, если предприятие использует для своей работы компьютеры, это вовсе не обозначает, что с их помощью будут обрабатываться ПД. Неавтоматизированным считается процесс с участием не компьютера, а человека (сотрудника оператора).
• Необходимо собирать сведения о гражданах, с которыми оператор вступает в трудовые отношения. Обычно такие данные представляются гражданами в момент подписания трудовых или коллективных договоров. Если предполагается собирать данные физлиц, не касающиеся трудовых отношений, или уволенных сотрудников, то форма уведомления не подается.
• Компания, являющаяся исполнителем, продавцом или поставщиком, заключает договор с физлицом. В данном случае в рамках договорных отношений гражданин предоставляет свои ПД для исполнения условий соглашения. При этом оператор не собирается передавать ПД гражданина третьему лицу, о чем должна свидетельствовать отметка в самом тексте договора.
• ПД собирает общественная или религиозная организация. Данные членов таких организаций обрабатываются без уведомления Роскомнадзора, а сами сведения не предполагается передавать третьим лицам, тем более без разрешения граждан.
• Гражданин сделал свои ПД общедоступными, их можно свободно собирать и обрабатывать.
• В качестве ПД гражданин предоставляет только свои ФИО.
• Сведения гражданин предоставляет, чтобы получить одноразовый пропуск на территорию оператора.
• Данные собираются для обработки в автоматизированных информационных системах, имеющих статус государственных.
• Сведения собирают транспортные компании, которым требуется обеспечить безопасное функционирование своего комплекса, защитить интересы отдельных личностей и общества в целом в сфере транспортного обслуживания населения.

https://youtube.com/watch?v=SHJ7UttWWnI

В каких случаях это необходимо

В ст. 22 ч. 1 Закона сказано, что юрлицо или ИП обязано сообщить в Роскомнадзор о своем намерении собирать ПД, т. к. они потребуются в ходе работы. Фактически юрлицо обязано это сделать сразу после открытия, предполагая, что его деятельность будет связана частично с обработкой ПД.

После того как в Роскомнадзор будет направлено уведомление, запись в реестр о новом операторе вносится в течение месяца. Регистрация в реестре операторов осуществляется бесплатно на государственном уровне.

Соответственно, когда оператор будет взаимодействовать с физлицом, он должен предупредить, что ПД будут обрабатываться и получить от гражданина согласие, иногда устное, в других случаях в письменной форме на отдельном листе. По смыслу Закона заниматься обработкой ПД может юрлицо, которое стало оператором.

Как правильно заполнить?

Теперь рассмотрим правила заполнения документа (и образец заполненного уведомления об обработке персональных данных в Роскомнадзор можно ниже):

Первые пункты электронной формы уведомления содержат информацию об операторе – самой организации, которая будет им являться. Название, тип, адрес, контактные данные, ИНН, и необязательные для заполнения пункты: ОГРН, ОКВЭД, ОКФС, ОКОГУ, ОКОП, перечислить все филиалы фирмы.

Правовое основание. В пункте указываются все нормативно-правовые акты, касающиеся ПДн. Например, 152-ФЗ «О персональных данных», Трудовой кодекс, Устав организации, основные законы, регулирующие деятельность компании, включающие в себя необходимость сбора и обработки информации о людях, позволяющие их идентифицировать.

Цель

Важно указать все цели обработки информации, так как работа с избыточным количеством ПДн – серьезное нарушение, за которым последует штраф. Как правило, целью является обеспечение или ведение кадровой и бухгалтерской деятельности, оказание определенных услуг.

Описание мер, предусмотренных статьей 18.1 и статьей 19 ФЗ «О персональных данных»

Здесь важно описать все перечисленные в законе меры в том виде, что они реализованы.ВАЖНО: Реализация всех указанных в пунктах 18.1 и 19 мер обязательна!Разработан ряд внутренних документов: положение по обработке ПДн, перечень ИСПДн, перечень персональных данных, подлежащих защите и другие. Необходимо перечислить все разработанные в соответствии с законом документы.
Приказом номер N Назначен сотрудник, ответственный за обработку персональных данных. Все работники ознакомлены с инструкциями по работе в ИСПДн, проводится своевременное обучение новых кадров. Обеспечено разграничение доступа к данным, реализованное с помощью установленных сертифицированных средств защиты информации (СЗИ), возможность их восстановления, в случае утери.
При работе с документами используется электронная подпись, лицензионное антивирусное программное обеспечение.

Сведения об обеспечении безопасности. Здесь необходимо перечислить все используемые средства защиты информации, можно указать данные о лицензиях, сертификатах. Указанного пункта анкеты не будет в открытом доступе, поэтому заполненная информация не повлияет на защищенность вашей системы.

Дата начала обработки. Как правило, дата совпадает со временем начала работы компании, следует ее указать.

Срок или условие прекращения обработки. Самый распространенный пример заполнения: «Завершение работы .

Категории ПДн. Отмечаете галочками ту информацию, которая у вас действительно обрабатывается. Если организация работает с категориями, не указанными в перечне, перечислите их ниже. Не нужно о пункты. Только то, что действительно есть. За обработку избыточного количества информации, позволяющих идентифицировать человека, возможен штраф.

Категории субъектов, данные которых обрабатываются. К примеру, сотрудники компании, члены их семьи, соискатели, клиенты организации.

Перечень действий. Согласно 152-ФЗ, это может быть сбор, запись, систематизация, накопление, хранение, уточнение. Лишние пункты удалите.

Способ обработки. Чаще всего системы являются смешанными, реже автоматизированными, с передачей по внутренней сети юридического лица и без передачи по сети Интернет.

Осуществление трансграничной передачи информации. В этом пункте указывается, отправляете ли вы информацию заграницу. Если да, необходимо перечислить все страны.

Использование шифровальных средств. Если они установлены, необходимо поставить галочку, перечислить название и класс средств защиты информации.

Сведения о местонахождении базы данных информации, содержащей ПДн граждан РФ. Указывается страна, адрес и является ли центр обработки данных (ЦОД) собственностью компании. Последний пункт не является обязательным, не обязательно указывать лишнюю информацию. В качестве ЦОДа может выступать даже персональный компьютер пользователя.
Далее необходимо ввести данные сотрудника, ответственного за организацию обработки персональных данных, назначенный соответствующим приказом (указать номер, дату подписания), либо юридическое лицо, с кем заключен контракт на проведение работ в этой области. Данная контактная информация будет находиться в открытом доступе, предупредите об этом коллегу.

Указывать данные исполнителя не обязательно, тем более если им выступал указанный выше сотрудник. Проверить, внесли ли ваши данные в реестр операторов, можно будет через пару недель.

Подробнее о том, как правильно заполнить форму уведомления Роскомнадзора об обработке персональных данных, читайте тут.

Требования к обработке персональных данных

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2021 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст

13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

• организующие и (или) осуществляющие обработку ПД;
• определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Где взять документ?

Документ должен обязательно содержать следующую информацию:

1. тип и название оператора;
2. адрес оператора с указанием местонахождения;
3. ИНН и ОГРН;
4. сведения о законах, которыми руководствуется оператор;
5. цели работы с ПД;
6. средства обеспечения защиты информации;
7. когда оператор начал обрабатывать ПД;
8. сроки окончания обработки или условия прекращения проведения операций;
9. данные об информационной системе и категории сведений;
10. категории субъектов ПД;
11. список действий и способов обработки ПД;
12. осуществляется ли передача сведений третьим лицам;
13. где находится база данных – страна и адрес;
14. кто отвечает за действия с ПД: физическое лицо (паспортные данные, контакты и должность) или юридическое лицо (наименование, адрес, контакты).

Изменения в законе о персональных данных с 1 марта 2021 года

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться. 

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.

2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.

3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.

5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.

6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.

7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.