Оператор обработки персональных данных. Положение о ведении реестра операторов, осуществляющих обработку персональных данных

Требования закона к оператору персональных данных

Оператор обязан обеспечивать конфиденциальность персональных данных. В статье 7 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее ФЗ-152) написано, что оператор не обязан защищать персональные данные, если они являются обезличенными или общедоступными. Оператор персональных данных не имеет права обрабатывать данные без согласия субъекта персональных данных , то есть человека, кому эти данные принадлежат. Однако, в ст. 6 ч.2 ФЗ-152 предусмотрен ряд случаев, когда согласие субъекта не требуется.
В частности, не требуется согласие субъекта, если его персональные данные обрабатываются на основании Федерального закона, определяющего цель и содержание такой обработки (ст. 6, п.2, ч.2). Например, согласно Федеральному закону № ФЗ-3266-1 «Об образовании», у выпускников средних общеобразовательных учреждений не обязательно брать согласие на обработку их персональных данных для допуска к ЕГЭ. Органы и организации, привлекаемые к проведению ЕГЭ, осуществляют «…передачу, обработку и предоставление полученных в связи с проведением единого государственного экзамена <…> персональных данных обучающихся, участников единого государственного экзамена <…> в соответствии с требованиями законодательства Российской Федерации в области персональных данных без получения согласия этих лиц на обработку их персональных данных» (ст. 15, п. 5.1). В апрельском номере журнала «Персональные данные» есть большой материал , посвященный именно этой проблеме.
Еще один случай, когда для обработки персональных данных не требуется согласие субъекта: исполнение договора, одной из сторон которого является субъект персональных данных. Для примера подойдет любой договор компании с физическим лицом на оказание услуг. Массу полезной информации по этой теме можно найти в специализированной прессе. Оператор также должен обеспечивать необходимые организационные и технические меры для пресечения попытки незаконного доступа к персональным данным.

Необходимые документы

Каждый оператор персональных данных обязан иметь пакет документов, подтверждающих защищенность Пдн сотрудников и клиентов.

Перечень необходимых документов может меняться в зависимости от специфики обработки персональных данных, орг.структуры и других особенностей каждого отдельно взятого предприятия.

В соответствии с данным пакетом документов на предприятии должны быть внедрены технические средства защиты персональных данных.

Подготовка документов, необходимых для защиты персональных данных

Существует несколько способов подготовить документы в соответствии с требованиями 152-ФЗ «О персональных данных» :

Средства защиты

Практически в каждой организации имеется информационная система персональных данных (сокращённо ИСПДн), которая может содержать, например, фамилию, имя работника, его паспортные данные, ИНН и т. д. С этой информационной системой работает оператор. В зависимости от того, какие данные содержатся в ИСПДн конкретной организации, эта ИСПДн может относится к одному из четырёх классов, каждый из которых предусматривает различные средства для защиты персональных данных.

См. также

Ссылки

• www.rsoc.ru Реестр операторов, осуществляющих обработку персональных данных
• www.pd.rsoc.ru Портал персональных данных Уполномоченного органа по защите прав субъектов персональных данных
• www.privacy-journal.ru Информационно-аналитический журнал "Персональные данные"

Wikimedia Foundation . 2010 .

Смотреть что такое "Оператор персональных данных" в других словарях:

Оператор персональных данных - 2) оператор государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки… … Официальная терминология

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение,… … Википедия

Субъект персональных данных физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. Содержание 1 Взаимодействие с субъектом персональных данных … Википедия

Комплекс мероприятий технического, организационного и организационно технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных… … Википедия

Эта статья или раздел описывает ситуацию применительно лишь к одному региону. Вы можете помочь Википедии, добавив информацию для других стран и регионов. Содержание 1 Определение … Википедия

Номер: 152 ФЗ Принятие: Государственной думой 26 июля 2006 года Вступление в силу: 26 января 2007 г. Федеральный закон РФ от 27 июля 2006 года № 152 ФЗ «О персональных данных» федеральный закон, регулирующий деятельность по обработке (использ … Википедия

Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) - Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… …

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ПРИНЯТИИ РЕШЕНИЙ НА ОСНОВАНИИ ИСКЛЮЧИТЕЛЬНО АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ИХ ПЕРСОНАЛЬНЫХ ДАННЫХ - согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, заключаются в запрещении принятия на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении… …

оператор - 4.22 оператор (operator): Какой либо объект, осуществляющий работу системы. Примечание 1 Роль оператора и роль пользователя могут возлагаться одновременно или последовательно на одно и то же лицо или организацию. Примечание 2 В контексте данного… … Словарь-справочник терминов нормативно-технической документации

ОПЕРАТОР - согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и/или осуществляющие обработку персональных данных, а также определяющие цели … Делопроизводство и архивное дело в терминах и определениях

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ :

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

• самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
• определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

• работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;
• компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
• общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
• организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
• любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;
• системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
• граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687 ;
• организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

• полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
• цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
• категории ПД, которые будут обрабатываться;
• субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
• основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
• описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
• сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
• информация о шифровальных (криптографических) средствах;
• дата начала, а также условия и сроки прекращения обработки ПД;
• сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
• сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям сайт доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Буквально через пару дней, 1 июля 2017 года, вступят в силу поправки, внесенные в Кодекс об административных нарушениях и ужесточающие ответственность за несоблюдение (далее по тексту – Закон №152-ФЗ). Достаточно на эту тему было информации, писал об этом и "Клерк".

Но все еще остаются вопросы.

Такое ощущение, что вокруг этой темы просто нагоняется ажиотаж. А что, собственно, произошло-то? В целом, закон не изменился. В него внесли изменения только в части штрафов.

Сейчас по ст. 13.11 КоАП есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему за персональные данные власти взялись именно сейчас? Все штрафы, которые вступают в силу с 1 июля - это самые частые нарушения, выявляемые Роскомнадзором в течение последних пяти лет.

Один из главных вопросов: действительно ли всем сайтам нужно регистрироваться как оператор персональных данных в Роскомнадзоре?

Оказывается, нет. Есть возможность избежать такой необходимости. А как? Данные, которые поступают от пользователей, должны обрабатываться на основании пользовательского соглашения. Подпункт 2 пункта 2 статьи 22 закона №152-ФЗ предусматривает следующее.

Цитируем:

«…2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

…2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;»

Если на сайте организации или физического лица есть форма для сбора данных посетителей - например, форма обратной связи, строка для подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

1. Настоящее Положение о ведении реестра операторов, осуществляющих обработку (далее - Положение), разработано в соответствии с Федеральным законом от 27.07.2006 N "О персональных данных" (далее - Закон) (Собрание законодательства Российской Федерации, 31.07.2006, N 31 (1 ч.), ст. 3451), для реализации полномочий по ведению реестра операторов, осуществляющих обработку персональных данных (далее - Оператор), возложенных на Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - Служба) в соответствии с Положением о Службе, утвержденным Постановлением Правительства Российской Федерации от 06.06.2007 года N 354 (Собрание законодательства Российской Федерации, 11.06.2007, N 24, ст. 2923; N 52, ст. 6462).

2. Настоящее Положение устанавливает порядок ведения реестра операторов, осуществляющих обработку персональных данных (далее - Реестр).

3. Понятия, используемые в настоящем Положении:

реестр - перечень, список операторов, осуществляющих обработку персональных данных;

ведение реестра операторов - деятельность Службы, включающая сбор, фиксацию, обработку, хранение и предоставление данных, составляющих систему ведения реестра операторов, осуществляющих обработку персональных данных;

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

II. Состав сведений, включаемых в реестр

4. Реестр содержит следующие сведения об Операторах:

а) регистрационный номер;

б) наименование (фамилия, имя, отчество), адрес оператора;

в) адреса филиалов (представительств) оператора, осуществляющих обработку персональных данных (при наличии);

г) дата направления уведомления;

д) цель обработки персональных данных;

з) правовое основание обработки персональных данных;

и) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

к) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

л) дата начала обработки персональных данных;

м) срок или условие прекращения обработки персональных данных;

н) дата и основания включения в реестр операторов;

о) дата и основание исключения из реестра операторов;

п) внесенные изменения.

III. Условия включения операторов в реестр

5. Операторы включаются в Реестр при выполнении следующих условий:

Направление в территориальное управление Службы уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее - Уведомление). Сведения, указанные в Уведомлении, должны соответствовать части 3 статьи 22 Закона;

Регистрация полученного Уведомления в территориальном управлении Службы, его обработка для принятия решения по утверждению или отклонению;

Подписание приказа руководителем Службы или заместителем руководителя о включении Оператора в Реестр.

6. Оригинал направленного Оператором Уведомления с приложением всех поступивших документов должен храниться в соответствующем территориальном управлении Службы.

IV. Порядок включения операторов в реестр

7. Служба по результатам анализа обработанных территориальными управлениями Службы Уведомлений вправе осуществлять проверку достоверности и полноты представленной Операторами информации, содержащейся в Уведомлении, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий. Также Служба вправе запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию, в том числе в случае необходимости уточнения или дополнения недостающих сведений.

8. По результатам проверки сведений, содержащихся в обработанном Уведомлении, Служба в течение тридцати дней с даты поступления Уведомления, принимает решение о включении Оператора в Реестр, которое оформляется в виде приказа руководителя Службы или заместителя руководителя Службы о включении Оператора в Реестр.

9. На основании изданного приказа в Реестр вносится запись об Операторе, которой присваивается регистрационный номер.

10. Датой внесения Оператора в Реестр считается дата подписания приказа.

11. Информация о внесении Оператора в Реестр должна быть опубликована на официальном сайте Службы в сети не позднее трех дней с даты подписания приказа.

V. Порядок ведения Реестра

12. Ведение Реестра осуществляется с применением единой информационной системы (далее - ЕИС) в электронном виде.

13. Ведение Реестра осуществляет Служба, которая при наличии условий, определенных настоящим Положением, включает Операторов в Реестр путем внесения в Реестр соответствующих записей, изменяет сведения, содержащиеся в указанных записях, исключает Операторов из Реестра путем дополнения ранее внесенных записей сведениями об исключении Операторов из Реестра.

14. В случае изменения сведений, содержащихся в Уведомлении после включения Оператора в Реестр, он обязан уведомить об изменениях Службу в течение десяти рабочих дней с даты возникновения таких изменений. Внесение указанных изменений в Реестр производится на основании приказа руководителя Службы или заместителя руководителя и не приводит к изменению регистрационного номера соответствующей записи в Реестре.

15. Сведения, содержащиеся в Реестре, за исключением подпункта "к" пункта 4 настоящего Положения, являются общедоступными.

16. Информация о Реестре публикуется на официальном сайте Службы.

17. Операторы, включенные в Реестр, вправе получить выписку из Реестра по письменному обращению в Службу в срок не позднее тридцати дней.

VI. Порядок исключения операторов из Реестра

18. Вопрос об исключении Оператора из Реестра рассматривается в следующих случаях:

Поступление в Службу или ее территориальные управления письменного заявления (обращения) от Оператора, включенного в Реестр, об исключении с приложением обоснований;

Принятие Службой или ее территориальными управлениями мер по приостановлению или прекращению Оператором обработки персональных данных, осуществляемой с нарушением требований Закона.

19. Операторы исключаются из Реестра при наступлении одного из следующих условий:

Ликвидация Оператора;

Прекращение деятельности Оператора в результате его реорганизации, за исключением реорганизации в форме преобразования;

Аннулирование лицензии на осуществление лицензируемой деятельности Оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

Наступление срока или условия прекращения обработки персональных данных, указанных в Уведомлении;

Решение суда о прекращении оператором деятельности по обработке персональных данных;

Иные, установленные законодательством Российской Федерации в области персональных данных.

20. Решение об исключении Оператора из Реестра оформляется приказом руководителя Службы или заместителя руководителя Службы.

На основании изданного приказа в Реестр вносятся сведения об исключении Оператора из Реестра. После исключения Оператора из Реестра регистрационный номер соответствующей записи в дальнейшем не используется.

21. Информация об исключении Оператора из Реестра должна быть опубликована на официальном сайте Службы в сети Интернет не позднее трех дней с даты подписания приказа.

На сайте Консультанта

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Збагойно: 152-ФЗ — в «Деле»

Персональные данные — это любые данные о человеке, по которым его можно определить. Например:

• электронная почта;
• телефон,
• имя и фамилия;
• дата рождения;
• адрес;
• ссылка на сайт.

Ник без других данных не считается персональными данными, по нему нельзя определить человека.

С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Данные из социальных сетей

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями Вконтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными Вконтакте можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы Вконтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

• обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.

Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

• обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
• использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

Проверка Роскомнадзора

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

Реестр операторов персональных данных на сайте Роскомнадзора

В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:

Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

• устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
• карт лояльности;
• рекламных рассылок;
• оказания услуг;
• регистрации на сайтах;
• звонков потенциальным клиентам.

Штрафы за нарушение закона о персональных данных в КоАП РФ на сайте Консультанта

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.