Нужно ли переносить сервер в Россию при обработке персональных данных граждан РФ

Как зарегестрироваться в реестре операторов осуществляющих обработку персональных данных в 2019 году

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Регистрация оператора персональных данных на сайте Роскомнадзора

Даже при небольшом объеме обрабатываемых ПДн компания или ИП обязана сообщить о намерении осуществить те или иные операции с ПДн. Действующее российское законодательство предусматривает подачу уведомления в компетентный орган заблаговременно. То есть если в списке фирма отсутствует, то в некоторых случаях законно использовать ПДн она не может.

Предусмотрено два варианта, как зарегистрироваться оператору персональных данных в реестре РКН:

  1. Воспользоваться онлайн-формой на официальном сайте госструктуры — pd.rkn.gov.ru.
  2. Самостоятельно составить и подписать документ в письменном виде и отправить в территориальный департамент ведомства.

Большинство организаций подает обращение в контролирующий орган на сайте, что экономит время и избавляет от возможных ошибок и уточнений со стороны Роскомнадзора.

Со дня регистрации уведомления как правило проходит 2 недели, однако максимальный срок для включения оператора в реестр может составить до 30 дней с момент получения уведомления Роскомнадзором. В случае подачи неполных сведений, отправитель получает сообщение о необходимости их уточнения — на это дается 1 месяц. Организации, нарушившие требование об информировании РКН, попадают в отдельный список, и в дальнейшем находятся под особенно пристальным вниманием проверяющих, не говоря уже о том, что за нарушения им придется платить штраф в сумме до пяти тысяч рублей.

Обойтись без подачи письменного или электронного уведомления можно, если речь идет об использовании сведений работодателем, обработке общедоступных ПД и оформлении пропусков для однократного входа на предприятие. Полный список исключений указан в ФЗ № 152, но чтобы окончательно убедиться в необходимости (или её отсутствии) выполнения регистрационных действий, есть смысл проконсультироваться у специалистов нашего центра.

Что это за процедура?

Регистрация – это добровольное предоставление сведений физическим или юридическим лицом, которое планирует заниматься обработкой персональных данных. Те компании и учреждения, что вели подобную деятельность до выхода соответствующего закона, регистрируются по факту.

Закон отводит Роскомнадзору до месяца на рассмотрение информации, представленной в уведомлении оператора. Права на отказ у ведомства нет, но оно имеет право запросить дополнительные данные, если указанные в уведомлении покажутся сотрудникам неполными или недостоверными.

Если у зарегистрированного оператора происходит

изменение

каких-либо данных, опубликованных в реестре (получение новой или лишение лицензии, внесение изменений в устав и прочее), он обязан уведомить надзорный орган в течение 10 рабочих дней.

Как убедиться, что вы зарегистрировались и представлены в реестре операторов персональных данных Роскомнадзора?

После отправки заполненного документа в РКН нужно ожидать, пока информация не будет внесена в единую электронную базу. Удостовериться в успешности процесса несложно — достаточно открыть сайт федеральной службы, перейти в реестр и совершить поиск:

  • по ИНН либо регистрационному номеру;
  • по наименованию компании.

После нажатия кнопки «Найти» на страничке появится запись о типе оператора, основании включения в список, дате поступления уведомления и начале совершения операций с ПДн, а также других общедоступных сведениях.

Кто имеет на нее право?

Буква закона определяет «оператора» как любой орган власти, юридическое лицо любой формы собственности и даже физическое лицо, которые собирают и обрабатывают персональные данные граждан, имеют определенные цели этой деятельности и выбранный состав информации, необходимой для обработки (подробнее о том, что такое персональные данные и кто является их оператором, читайте тут).

Проще говоря, потенциальные операторы – это банки, бухгалтерские и адвокатские агентства, операторы связи и жилищно-коммунальные предприятия, банки, торговые сети, собирающие данные клиентов для предоставления программ скидок, Интернет-магазины и сайты, имеющие формы для регистрации, более сложные, чем пара «логин+пароль», и ряд других структур.

Исключения законодатель оставил для использования персональных данных в личных и семейных целей, архивной работы, информации о деятельности судов и работы с гостайной. Кроме того, не подпадают под действие закона правовые отношения, наступающие в случаях, перечисленных в части 2 статьи 22 закона «О персональных данных». Все остальные лица и структуры регистрироваться в Роскомнадзоре обязаны.

2.Читайте также:

  1. Является ли номер телефона персональными данными
  2. Является ли адрес электронной почты персональными данными
  3. Форма согласия на обработку персональных данных
  4. Является ли законным сбор персональных данных с сайтов объявлений или социальных сетей
  5. Законно ли создание общедоступных баз персональных данных?

   Алгоритм действий при обработке персональных данных

2dd515d53291a622278019ca4ad9e2ba   В случае если по роду деятельности вашей организации Вы должны обрабатывать персональные данные, то необходимо подготовить всю документацию, перечень которой утвержден законодательно.

   Список документов, которые должны быть составлены юридически верно, включает в себя:

  • Приказ о формировании комиссии отвечающей за соблюдение законодательно утвержденных требований при обработке ПД.

  • План запланированных дел по согласованию законодательных требований в области персональных данных.

  • Список официально утвержденных работников, участвующих в процессинге ПД.

  • Утвержденная форма с указанием обязательств и должностных инструкций о неразглашении персональной информации клиентов.

  • Утвержденный образец Соглашения о конфиденциальности и не разглашении, полученных для обработки данных.

  • Список полученных достоверных персональных сведений клиентов для обработки.

  • Утвержденная форма документа о добровольном согласии на обработку ПД.

  • Утвержденная форма согласия на предоставление и обработку личных данных для конкретного веб-ресурса.

  • Список используемых в работе компьютеризованных информационных систем и программ для обработки данных.

  • Список внедренных программ и технологий для охраны личных данных пользователей.

  • Подробный отчет о расположении офиса, оснащенного всем необходимым для обработки ПД.

  • Техпаспорт на используемые в работе с персональной базой данных информационные технологии, системы и программы.

  • Приказ об окончательном утверждении ответственных лиц за обработку ПД, а также их защиту и безопасность.

  • Свод обязанностей и правил касающийся курирующей деятельности ответственного лица, как правило, администратора.

  • Руководство по работе для менеджера обработки ПД.

  • Должностной регламент по обработке персональных данных клиентов и пользователей.

  • Разъяснения политика фирмы или веб-ресурса по отношению к обработке ПД своих клиентов.

  • Утвержденный регламент о гарантировании защиты и безопасности персональных данных.

  • Письмо-уведомление об обработке персональных данных клиента.

  • Официальное распоряжение об утверждении Инструкции для клиентов организации или веб-площадки, касающейся предоставления личных данных.

  • Предписания по оформлению, регистрации, содержания и ликвидации всех видов носителей ПД.

  • Распоряжение, касающееся определенного круга лиц, имеющих доступ к персональной базе данных клиентов.

  • Распоряжения и порядок действий в ситуациях, когда поступают запросы от физических лиц.

  • Инструкция по взаимному сотрудничеству с госслужбами, координирующими работу по обработке информации о гражданах.

  • Разъяснения, касающиеся обязательного резервного копирования ПД.

  • Распоряжения относительно проведения контролирующих мероприятий в области информационной безопасности.

   Также, если ваша фирма вынуждена обрабатывать персональные данные клиентов, то об этом понадобится поставить в известность ответственную службу – Роскомнадзор. Сразу после рассмотрения полученного уведомления от оператора ПД, Федеральная служба должна занести Вашу компанию в государственный Реестр операторов персональных данных. Пренебрежение этим правилом и несвоевременное уведомление о старте работы по обработке персональных данных грозит нарушителям штрафами.

   Компания-оператор вынуждена следить за законодательным процессом в сфере обработки ПД, своевременно выявлять изменения в законодательных документах и применять новые правила в своей работе. Это связано с тем, что фирме-оператору регулярно необходимо отсылать в Роскомнадзор обновленные отчеты с персональными данными своих клиентов. Каждое новое уведомление должно соответствовать недавно принятым законодательным актам, поскольку незнание как всегда не освобождает от ответственности.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Типовая форма согласия на обработку персданных

Форма уведомления о включении в реестр

Форма письма о внесении изменений в сведения об операторе

Форма заявления об исключении из реестра

Подготовить документы по персданным для сайта онлайн

Возможности до и после проведения

До регистрации в Роскомнадзоре вы:

  1. по закону не имеете права заниматься обработкой персональных данных;
  2. подпадаете под действие положений Кодекса об административных правонарушениях;
  3. ваш сайт может быть заблокирован в любой момент по жалобе частного лица, в том числе, инспирированной конкурентами.

После регистрации компания:

  1. застрахована от претензий надзорного ведомства во время проверки;
  2. может предоставлять услуги сторонним организациям по сбору обработке и персональных данных (при наличии соответствующей лицензии);
  3. может использовать законопослушание и открытость в рекламных целях.

Подтвердить или опровергнуть бытующее в профильных сообществах мнение о том, что подача уведомления о регистрации привлекает внимание и, соответственно, проверки Роскомнадзора, невозможно.

Однако, как утверждает ряд пользователей и экспертов, чем крупнее ваш бизнес или популярней Интернет-ресурс, тем выше вероятность, что ведомство само вами заинтересуется. А относительно невысокие штрафы за нарушение законодательства в сфере персональных данных легко компенсируются количеством нарушений, которые способна найти тщательная инспекция.

Быть или не быть?

С точки зрения юриста ответ на вопрос очевиден: если компания занимается обработкой персональных данных и не в состоянии свести это обработку к исключениям, указанным в статьях 1 и 22 Закона, то обязательно нужно подготовить все необходимые документы и направить соответствующее уведомление в Роскомнадзор. В таком случае юрист может быть уверен, что риски связанные с проверкой регулирующего органа снижены до минимальных.

С точки зрения руководителя или собственника бизнеса ситуация не на столько очевидная. Те, кто управляют компаниями, обычно делят риски на допустимые и недопустимые (даже если они это так не называют). И в данном случае степень риска и его допустимость зависят от многих факторов. Во-первых, это так скажем заметность компании на рынке, во-вторых, способы обработки персональных данных, в-третьих, ценность юридического лица и его репутации, в-четвертых, политика работы с клиентами.

Поясню на примерах, что я имею в виду. Вероятность того, что Роскомнадзор заинтересуется форумом муромских садоводов-любителей стремится к нулю. А вот у крупного портала или интернет-магазина шансов попасть под пристальный взгляд регулирующего органа значительно больше. На мой взгляд это даже скорее вопрос времени. Поэтому чем крупнее бизнес, тем вероятнее назначение проверки Роскомнадзора.

Способы обработки персональных данных тоже играют большую роль. Сильнее всего рискуют компании, у которых есть сайты, содержащие персональные данные (причем не важно: пользователей или третьих лиц), или позволяющие через формы вносить персональные данные (опять же не важно: пользователей или третьих лиц). Равно высоки риски у компаний регулярно производящих e-mail-рассылки по более или менее крупной базе адресов. Главная проблема и первых, и вторых в том, что Роскомнадзор имеет большой опыт работы именно с интернетом, а также имеет дополнительный способ воздействия на нарушителя — блокировка сайта.

Кроме того, сильно рискуют компании обрабатывающие персональные данные офлайн, но способами, которые легко установить и доказать. Например, ведение клиентской базы в CRM или аналогах, постоянная работа с документами, содержащими данные граждан (так работают регистраторы, реестродержатели, внешние бухгалтеры, банки, МФО, турагентства, третейские суды и некоторые другие).

Третий фактор — ценность юридического лица и его репутации. С одной стороны, это то, о чем обычно не принято говорить вслух. Но мы с вами юристы и прекрасно знаем, что относительно устоявшийся способ решения половины проблем бизнеса — это «закрыть старое ООО, открыть новое». Хозяева бизнеса, которые придерживаются такой философии, редко всерьез заботятся о «безупречности» юридической стороны своего дела, поэтому и риски проверок Роскомнадзора их вряд ли будут волновать.

С другой стороны вопрос репутации становится крайне важен для компаний, заработавших себе определенное имя. И особенно это важно владельцам популярных сайтов. Блокировка сайта на 90 дней способна не только на долгое время выбросить сайт из топ-10 Яндекса или Гугла, но и сильно пошатнуть отношение клиентов или пользователей сайта.

Агрессивная политика работы с клиентами или потенциальными клиентами также может сильно увеличить риск проверок. Кому не звонил в выходной день на сотовый телефон бойкий менеджер какой-то неизвестной компании с «отличным предложением»? Кому не приходилось маниакально по сотому разу добавлять в спам и черный список ненужные рассылки от интернет-магазинов?

Не знаю, как вы, а я очень люблю таким менеджерам напомнить, что их компания нарушает Закон «О рекламе» и Закон «О персональных данных», и порекомендовать исключить мои данные из их базы, а то «мне же придется писать на вас жалобы, а так не хочется…». Но ладно я — я только пугаю, а писать жалобы у меня действительно желания мало. Есть же и более решительные юристы (и не только юристы), которые с удовольствием ввяжутся в это дело, еще и компенсацию морального вреда потребуют. Напомню, что свои проверки Роскомнадзор может производить на основании поступивших жалоб.

Ещё один фактор я не упомянула — это юридическая чистота бизнеса. К сожалению, в нашей стране частично в силу качества законов, частично из-за устоявшейся привычки, этот фактор не очень популярен. Особенно это бросается в глаза, когда сталкиваешься с представителями крупных иностранных компаний, для которых нарушить закон — это экстраординарная ситуация. Хочется верить, что и наш бизнес рано или поздно обратится к этой философии, а пока вам решать, обращать на это внимание или нет.

Собственно, на основании этих факторов и стоит принимать решение по вопросу официальной регистрации в качестве оператора персональных данных.

Кстати, дополнительный бонус для законопослушных компаний — появляется реальный способ борьбы с бывшими сотрудниками, прихватившими с собой клиентскую базу. «Натрави́те» на них Роскомнадзор — у них ведь не будет даже согласия об обработке персональных данных от клиентов, не говоря уже о полноценной строчке в Реестре операторов персональных данных.

Коллеги, мне интересно ваше мнение по проблеме нелегитимной обработки персональных данных!

Полезная рассылка для бизнеса

Рассказываем про налоги, законы, чужой опыт и полезные инструменты для бизнеса. Оставьте свою почту и получите в подарок книгу «Сила эмоционального интеллекта».

Рейтинг
( 1 оценка, среднее 5 из 5 )
Загрузка ...