Регистрация организации как оператора персональных данных 2024

Оператором персональных данных, как следует из п. 2 ст. 3 Закона N 152-ФЗ, являются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке персональных данных.

Таким образом, в качестве оператора будет выступать любое лицо, которое приняло решение осуществлять обработку персональных данных в своих интересах и имеет правовую и/или фактическую возможность определять цели и существенные условия такой обработки. Полагаем, что именно определение цели обработки является основным квалифицирующим признаком оператора персональных данных.

Множественность лиц на стороне оператора

Из определения оператора персональных данных, приведенного в п. 2 ст. 3 Закона N 152-ФЗ, следует, что обработка персональных данных может осуществляться им как самостоятельно, так и совместно с другими лицами. Например, такая ситуация возникает при совместной обработке персональных данных работников или клиентов в общих целях несколькими операторами, действующими в рамках одной группы компаний (холдинга).

Однако допуская множественность на стороне оператора, законодатель никак не регламентирует вопрос о распределении ответственности между ними. Полагаем, что во избежание конфликтных ситуаций вопросы ответственности каждого оператора необходимо урегулировать в соглашении между ними.

К примеру, в ст. 26 Регламента (ЕС) Европейского Парламента и Совета Европейского Союза 2016/679 от 27.04.2016 указано, если два или более контролера (в контексте Закона N 152-ФЗ — оператора) совместно определяют цели и средства обработки, они должны считаться контролерами, осуществляющими совместную обработку. Они должны посредством соглашения и с соблюдением принципов прозрачности определить соответствующие обязанности для соблюдения обязательств согласно Регламенту, в частности, в отношении осуществления прав субъекта данных, а также определить соответствующие обязанности по предоставлению информации согласно ст.ст.

13 и 14, за исключением случаев, когда и поскольку соответствующие обязанности контролера определены законодательством Союза или государства-члена ЕС, под действие которого подпадают контролеры. При этом о существовании соглашения должно быть доведено до сведения субъекта данных. Субъекту данных, в свою очередь, дозволяется осуществлять свои права в рамках указанного Регламента в отношении каждого из контролеров и в противовес каждому из них.

Обработка персональных данных третьим лицом по поручению оператора

От оператора персональных данных следует отличать лицо, обрабатывающее персональные данные по поручению оператора. В ч. 3 ст. 6 Закона N 152-ФЗ указано, что оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта.

К сожалению, законодатель не раскрывает статус такого обработчика, но в контексте Закона N 152-ФЗ основными признаками, отличающими его от оператора персональных данных, являются: во-первых, наличие самостоятельной правосубъектности, то есть обработчик должен быть юридически независимым по отношению к оператору, и, во-вторых, обработка им персональных данных должна осуществляться в интересах оператора. Примерами обработчиков персональных данных могут быть организации, осуществляющие расчеты и начисления заработной платы работникам оператора; ведение кадрового документооборота оператора; лица, привлеченные оператором для взыскания задолженности с физических лиц по гражданско-правовым договорам; провайдеры «облачных» сервисов, предоставляющие оператору виртуальные вычислительные ресурсы для обработки персональных данных физических лиц, и т.п. При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на их обработку (см. определения Ленинградского облсуда от 23.01.2019 по делу N 33-410/2019, Приморского краевого суда от 18.09.2013 по делу N 33-7976, решение АС Иркутской области от 04.12.2018 по делу N А19-6583/2017), поскольку ответственность перед гражданином за действия обработчика несет именно оператор, а не обработчик, который, в свою очередь, отвечает за собственное неправомерное поведение непосредственно перед оператором (ч.ч. 2, 5 ст.

6 Закона N 152-ФЗ).

Отметим, что форма и характер подобного поручения законодательством не установлена. Поэтому, на наш взгляд, оно может представлять собой как отдельный договор, заключаемый между оператором и обработчиком персональных данных, так и совокупность условий, включенных в содержание другого договора (например, агентского). В ч. 3 ст. 6 Закона N 152-ФЗ зафиксированы лишь требования, соблюдение которых обязательно для оператора при поручении обработки персональных данных третьему лицу. Так, в поручении должен быть приведен перечень действий (операций) с персональными данными, которые будут совершаться обработчиком; определены цели обработки; установлены обязанности обработчика соблюдать конфиденциальность персональных данных и обеспечивать их безопасность с указанием требований к защите обрабатываемых персональных данных в соответствии со ст.

19 Закона N 152-ФЗ. Отсутствие хотя бы одного из них может быть квалифицировано как обработка персональных данных с нарушением законодательства (решение Кировского райсуда г. Екатеринбурга Свердловской области от 26.10.2016 по делу N 12-629/2016, постановления ФАС Северо-Западного округа от 29.04.2013, Кировского облсуда от 24.04.2012 N 7-А-98/2012).

Рекомендация  Статья 417.11 ГПК РФ. Привилегии и иммунитеты иностранного государства в ходе судебного

Оператор персональных данных

Многие индивидуальные предприниматели и компании не знают, нужно ли им передавать о себе данные в Роскомнадзор и регистрироваться в качестве оператора персональных данных. Постараемся разобраться, кому это делать необходимо.

Про ОПД

К персональным данным человека относится ФИО, номер паспорта, адрес прописки и пр. Исчерпывающий список не утвержден ни одним из действующих законов. Оператор персональных данных это любое физическое лицо или государственный орган, который обрабатывает ПД в тех или иных целях.

Т.е. если сотруднику предприятия по специфике своей работы приходится запрашивать или пересылать персональные данные, его можно назвать их оператором. Это же относится и к лицам, которые имеют доступ к ПД.

Соответственно оператором можно назвать почти любого человека. К примеру, пользователь ПК ведет свой сайт в интернете и собирает информацию о подписчиках. Про банки и различные компании, которые целенаправленно собирают данные гражданина отдельный разговор.

Даже если продавец в магазине предлагает покупателю приобрести фирменную бонусную карту, он также является оператором ПД.

Обязанности оператора

Граждане, которые сталкиваются с обработкой персональных данных, обязаны соблюдать связанные с этим вопросом законы. Самый главный из них – неразглашение. После того, как ПД клиента больше не нужны, оператор обязан уничтожить их из хранилища. К прочим обязанностям оператора персональных данных относятся:

  1. Разъяснение. Перед тем, как человек сообщит свои данные, оператор обязан объяснить, для чего они нужны и в каких целях будут использоваться. После этого клиент в письменном виде должен дать согласие на обработку ПД. Такое правило регламентируется ФЗ № 152.
  2. Политика обработки. Оператор обязан разработать документ, в котором будет подробно описана политика обработки персональных данных в компании. Документ публикуется любым удобным способом. Чаще всего его помещают на официальный сайт компании. Там с ним может ознакомиться люб ой человек.
  3. Меры защиты. Главное правило для оператора ПД – неразглашение. Кроме этого лицо, отвечающее за обработку, обязано обеспечить защиту персональных данных от похищения третьими лицами. Т.е. если данные хранятся на компьютере, от оператора требуется защитить их от хакерских атак и пр. Если ПД хранятся на бумажных носителях в помещении, доступ туда должен быть только у оператора.
  4. Уничтожение. После того, как ПД больше не нужны (например, клиент прекратил сотрудничество с компанией) данные должны быть уничтожены в отведенные законом сроки. Эта обязанность также лежит на операторе.

Все правила касательно обработки персональных данных закреплены Федеральным законом № 152 от 26 июля 2006 года.

Как зарегистрироваться в качестве ОПД

Перед тем, как оператор начнет обрабатывать персональные данные клиентов, он обязан обратиться в соответствующий государственный орган надзора и сообщить об этом. Однако, согласно все тому же ФЗ № 152 (ч. 2 ст. 22) от постановки на учет освобождаются:

  1. Лица, которые используют для своей работы общедоступные данные, которые люди раскрыли сами. Это может быть информация, которая содержится на личных страницах в соц.сетях или на сайтах.
  2. Операторы государственных информационных систем, которые используются для обеспечения общественного порядка. Их очень много (Эра-Глонасс, Усправление и пр.).
  3. Частные лица и организации, которые используют персональные данные для обеспечения безопасного функционирования транспорта. К примеру, при поездке на междугороднем автобусе или поезде кассир обязан спросить человека ФИО и паспортные данные. Однако регистрироваться в качестве оператора ПД ему не нужно.
  4. Освобождаются от регистрации и организации, которые обрабатывают персональные данные вручную, без каких бы то ни было средств автоматизации.

Однако, даже если организация не попадает в обязательный список регистрации операторов ПД, ей все равно придется сообщить о своей деятельности в Роскомнадзор.

Важно! После внесения поправок в действующее законодательство 01. 09. 2022 любой работодатель обязан быть зарегистрированным в реестре Роскомнадзора в качестве оператора персональных данных.

Это касается как ИП, у которых есть сотрудники, так и глав больших организаций.

Для регистрации человеку необходимо подать заявление в Роскомнадзор. Его образец можно скачать на сайте контролирующего органа или на Госуслугах. Есть он и в Приказе Минкомсвязи России от 21.12.2011 № 346.

Важно! Подать заявление можно как в бумажном, так и в электронном виде. В первом случае человек после заполнения бланка лично относит его в территориальный орган Роскомнадзора или отправляет его по почте.

Во втором – документ оформляется непосредственно на сайте контролирующего органа.

В заявлении необходимо указать следующие данные:

  • название компании (как полное, так и сокращенное);
  • организационно-правовую форму компании;
  • почтовый адрес;
  • юридический адрес;
  • цель обработки персональных данных;
  • какие именно категории персональных данных планирует обрабатывать компания;
  • ПД каких категорий граждан будут обрабатываться (пассажиров, работников и т.д.);
  • законодательная база на основе которой организация считает возможным обработку персональных данных своими сотрудниками;
  • полные сведения о сотрудниках, которые будут заниматься обработкой ПД;
  • информацию о том, какие меры защиты ПД будут использованы в компании;
  • планируемая дата начала обработки ПД;
  • сведения о том, где будут храниться ПД.
Рекомендация  Основания и порядок расторжения договора аренды земельного участка. Как признать недействительным

Рассмотрение вопроса о регистрации может занять до 30 суток. Если заявление было подано в электронном формате, организации все равно придется направить в территориальный орган Роскомнадзора его бумажную копию. В процессе регистрации сотрудники контролирующего органа вправе потребовать у организации документы для уточнения тех или иных сведений.

Если в процессе работы у организации меняются цели или способы обработки персональных данных, ее руководство в 10-дневный срок обязано уведомить об этом Роскомнадзор. При этом в адрес контролирующего органа направляется письмо. Его форму можно посмотреть на сайте Роскомнадзора.

Основные изменения после 1 сентября 2022 года

В сентябре 2022 года в закон об обработке персональных данных был внесен ряд изменений. Основные из них:

  1. Изменился срок ответа на запросы Роскомнадзора (его сократили с 30 до 10 суток);
  2. Расширился список тех, к4то обязан регистрироваться в качестве оператора персональных данных. Теперь эту процедуру должны проходить практически все ИП и организации. Исключение – те компании, которые не используют средств автоматизации. К примеру. Если человеку для того, чтобы попасть на территорию предприятия необходимо получить пропуск, оформленный через специальную компьютерную программу, организации необходимо зарегистрироваться в качестве оператора. А если охранник вручную вносит его данные в журнал учета посетителей, регистрация не нужна.
  3. В заявление на регистрацию теперь необходимо вносить данные о категории ПД, законодательной базе, на основе которой организация будет заниматься обработкой ПД и подробный перечень действий с ПД, способы их обработки и защиты.
  4. Если в компании произошла утечка ПД в течение 24 часов ее руководство должно сообщить об этом в Роскомнадзор. 3 дня дается на проведение внутреннего расследования. Через 72 часа организация должна сообщить Роскомнадзору причину происшествия.
  5. Бланк согласия на обработку ПД должен выглядеть понятно и однозначно. Т.е. прочитав его человек сразу должен понять, куда будут внесены его данные, где они буду храниться, как будут защищены и зачем с него требуют их предоставить.

Что будет если не зарегистрироваться в реестре

Ответственность за отказ регистрироваться в реестре наступает согласно ст. 19.7 КоАП РФ. Нарушителям в статусе должностного лица грозит штраф от 300 до 500 рублей, а юридическим лицам – от 3 до 5 тыс. рублей.

В случае, если оператор нарушил условия обработки персональных данных, он будет нести ответственность согласно ст. 13.11 КоАП РФ. Это штраф. Для юридических лиц он варьируется от 15 до 75 тыс. руб.

Для ИП – от 5 до 20 тыс. руб. Здесь все зависит от тяжести преступления, а также от того, как именно оно повлияло на репутацию клиентов.

Что нужно знать о новых правилах обработки персональных данных

Автор: Татьяна Евдокимова, эксперт сервиса Контур.Бухгалтерия Роскомнадзор разрешил отправлять уведомления о начале обработки персональных данных, не ограничивая компании предельным сроком, которым прежде считалось 1 сентября 2022 года. Эксперт Контур.Бухгалтерии Татьяна Евдокимова поясняет, какое уведомление нужно подать в ведомство, когда придется отправить дополнительно информационное письмо и что изменилось для компаний в работе с персональными данными.

Почему изменились требования к обработке персданных

Утечки информации о личных данных граждан участились в последние годы, и государство намерено тщательнее следить за обработкой и защитой таких сведений. Для этого разработаны новые правила, утвержденные Федеральным законом от 14.07.2022 г. № 266-ФЗ.

Что изменилось для работодателей

  • если персональные данные включены в государственные защищенные информсистемы;
  • если оператор собирает персональные данные строго без средств автоматизации: например, записывает в тетрадь от руки (бухгалтерская программа или таблицы Excel на компьютере — это уже средства автоматизации);
  • если данные обрабатывают в целях устойчивой и безопасной работы транспорта, защиты интересов личности, общества и государства в сфере транспорта согласно законам РФ.

Кто должен отправить уведомление в Роскомнадзор

Прежде всего работодателю нужно проверить, есть ли его компания в реестре Роскомнадзора. Это можно сделать на сайте ведомства в разделе «Реестр операторов». Для поиска достаточно ввести ИНН или ОГРН компании.

Если организация числится в реестре, отправлять уведомление не нужно.

Если компании или ИП нет в реестре, нужно подать уведомление о начале работы с персданными. В течение месяца после получения уведомления Роскомнадзор добавит организацию или ИП в реестр операторов. При отправке письма в бумажном виде отсчет идет с даты его получения территориальным отделением.

В какие сроки и по какой форме подать уведомление

Сейчас уведомить о сборе персданных можно через форму, утвержденную приказом Роскомнадзора от 30.05.2017 № 94, в тексте приказа есть и порядок заполнения формы. Перечень сведений, которые нужно указать в уведомлении, приведен в ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.

Рекомендация  Перевод в пределах одного учреждения 2024

В ведомстве предупредили, что скоро будут утверждены новые формы, но до этого оператор вправе воспользоваться текущей формой (Информация Роскомнадзора от 01.09.2022).

Составить и отправить уведомление нужно в местное отделение Роскомнадзора одним из способов:

  • на бумаге заказным письмом через Почту России;
  • в электронном виде через сайт Роскомнадзора — понадобится сертификат КЭП;
  • в электронном виде через ЕСИА.

В текущей форме уведомления нет некоторых полей, которые появятся в новой форме документа согласно частям 3 и 3.1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. А значит после утверждения новой формы работодателям придется передать уведомление о внесении изменений в ранее внесенные сведения: отдельно указать категории персданных, которые запрашиваете, а еще для каждой цели обработки данных указать категории персданных и категории лиц, которым принадлежат эти данные, и пояснить, что вы делаете с этими данными и на каком правовом основании.

Роскомнадзор сообщил, что предельный срок для отправки уведомления не назван и 1 сентября 2022 — не крайний срок (Информация Роскомнадзора от 01.09.2022). Вероятно, при такой трактовке ведомство не будет штрафовать тех, кто задержался с подачей уведомления. Но все же рекомендуем не откладывать эту задачу и воспользоваться текущей формой уведомления, а после утверждения новой внести дополнения в ранее переданные сведения.

В уведомлении нужно указать дату, с которой оператор начали обработку персданных. Специалисты Роскомнадзора разъяснили, что такой датой считается день государственной регистрации компании или ИП (информация пресс-службы Роскомнадзора от 25.08.2022).

Какие сведения еще нужно передавать

Уведомление подают один раз, не перечисляя в нем сотрудников, поэтому при найме новых работников или получении персданных от новых клиентов не придется отправлять новые уведомления.

В некоторых случаях оператор должен передать дополнительные сведения:

  • при изменении в составе собираемых персональных данных: например, вы начали спрашивать сотрудников об их семейном положении, хотя раньше этого не делали — передайте по форме письма о внесении изменений в сведения (утверждено приказом Роскомнадзора от 30.05.2017 № 94);
  • при смене сотрудника, ответственного за обработку персданных — передайте по форме актуального уведомления;
  • при прекращении обработки персданных: например, закрытии компании — передайте по форме заявления о прекращении обработки данных (утверждено приказом Роскомнадзора от 30.05.2017 № 94).

Сообщить об этих изменениях нужно в течение 10 рабочих дней (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

Также компании обязаны отвечать на запросы сотрудников и Роскомнадзора о том, какие персданные они собирают. На ответ теперь дается 10 рабочих дней, а не 30, как прежде (ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ).

А еще для лучшей защиты данных операторы должны взаимодействовать с ФСБ и подключиться к ГосСОПКА — системе предотвращения кибератак на российские информресурсы. Если происходит утечка персданных, оператор должен в течение суток уведомить об этом ГосСОПКА и назвать возможные причины, а в течение трех суток подготовить отчет о причинах и причастных лицах. Как именно подключаться к ресурсу ФСБ и что еще потребуется от оператора, определено в п. 12 ст.

19 Федерального закона от 27.07.2006 № 152-ФЗ.

Что стоит проверить в персональных данных

Закон разрешает работодателям обрабатывать персданные только в некоторых целях. Это связано с такими ситуациями:

  • заполнение трудового договора, передача сведений в контролирующие органы;
  • содействие карьерному росту и обучению сотрудников;
  • забота о личной безопасности сотрудников;
  • контроль объемов и качества выполняемой работы;
  • сохранность имущества предприятия.

Если личные данные не связаны с этими целями, работодатель не вправе их запрашивать, даже если сотрудник не возражает. Также нельзя обрабатывать данные из особых категорий: о расовой или национальной принадлежности, религиозных и политических убеждений, личной жизни и состояния здоровья, членстве в общественных организациях.

У всех лиц, от которых вы получили персданные, нужно взять согласие на их обработку. В согласии указывают цель сбора данных — ясно и без размытых формулировок.

Итак, прежде всего, важно проверить, числится ли компания в реестре операторов на сайте Роскомнадзора. Если нет — подать уведомление о начале сбора и обработки персональных данных по текущей форме, в качестве даты начала обработки указать дату регистрации компании или ИП. Когда ведомство утвердит новую форму уведомления, стоит воспользоваться ею для отправки дополнительных сведений, которые не удалось указать в первый раз.

Затем подключиться к ГосСОПКА и вовремя уведомлять ведомства об изменениях в обработке данных и утечках.

Похожие записи:

  1. Совмещение обязанностей управляющей организации и регионального оператора по тко 2024
  2. Согласие на обработку персональных данных 2024
  3. Политика обработки персональных данных 2024
  4. Отзыв клиентом согласия на обработку персональных данных 2024
  5. Публикация персональных данных на сайте 2024
  6. Размещение персональных данных 2024