Реестр операторов персональных данных роскомнадзора 2021

Кому необходимо подать уведомление в реестр операторов персональных данных. В 152-ФЗ широкое определение обработки. Практически любое действие с персональными данными (далее – ПДн) – обработка.

Если лицо собирает сведения о гражданине в заранее установленных целях, определяет состав сведений и действия с ними, то такое лицо становится оператором ПДн.

В процессе обработки может участвовать лицо, осуществляющее обработку персональных данных по поручению оператора (далее — Обработчик). Обработчик заключает с оператором договор-поручение и действует только в интересах последнего. Обработчик не преследует свои цели.

Если оператор обрабатывает (собирает, обезличивает, уточняет, использует, хранит и пр.) ПДн с использованием сайта, веб-приложения или мобильного приложения и др.

, работающих в инфраструктуре облачного провайдера или стороннего ЦОДа, тогда в цепочке «субъект ПДн — оператор — провайдер облачных услуг/ЦОД» провайдеры и дата-центры выступают в качестве обработчиков.

Данные таким компаниям поступают не напрямую от субъекта.

Если возникает необходимость в услугах облачных сервисов, проверьте реализуемые меры защиты ПДн и правильно оформите договор-поручение. Как выбрать облачную инфраструктуру, соответствующую 152-ФЗ, можно узнать здесь.

Обязанность подать уведомление об обработке персональных данных

Операторы обязаны сообщить в РКН о своем намерении осуществлять обработку сведений о физических лицах (статья 22 Закона). Заполнить уведомление в Роскомнадзор и привести процессы обработки в соответствие с установленными требованиями рекомендуется до начала взаимодействия с ПДн.

В некоторых ситуациях разрешено не состоять в реестре:

1. Компания обрабатывает информацию только о сотрудниках.
2. Сведения нужны в рамках договорных отношений между оператором и субъектом ПДн (например, для того, чтобы клиент мог сделать заказ и получить его).
3. Общественные объединения, религиозные организации обрабатывают информацию об участвующих в них лицах.
4. В состав собираемых сведений входит только ФИО.
5. Компания собирает ПДн субъекта для оформления разового прохода на территорию.
6. ПДн хранятся в бумажном виде, и вы их не дублируете на электронные носители. При этом бумажные документы должны быть надежно защищены от посторонних лиц.

С 1 марта 2021 года в перечне появился новый пункт — уведомлять не нужно, если гражданин разрешил распространять сведения о себе. Однако для правомерности таких действий оператор обязан получить отдельное согласие.

О чем нужно уведомлять роскомнадзор

Если вы уже являетесь оператором или только имеете намерение осуществлять обработку, то предоставьте следующую информацию в РКН:

• ФИО или название компании, адрес;
• цели, преследуемые при сборе данных;
• перечень собираемых ПДн;
• какие НПА, локальные акты и иные документы (с указанием конкретных статей и пунктов) закрепляют основания и порядок обработки;
• действия с ПДн, применяемые способы обработки;
• меры безопасности;
• кто выступает ответственным за обработку;
• когда вы начали или планируете начать обработку;
• в каких случаях вы планируете завершить обработку;
• передаются ли собранные данные за рубеж;
• где находятся базы данных;
• какой уровень защищенности установлен в вашей компании.

Образец заполнения и рекомендации

Форма уведомления об обработке персональных данных в Роскомнадзор расположена на официальном сайте. Ниже рассмотрен общий порядок заполнения.

Сначала выберите территориальный орган, в который направляется документ. Территориальный орган выбирается на основании местонахождения оператора:

Далее указываются общие сведения о лице, подающем уведомление. Обязательные поля помечены красной отметкой:

Укажите адреса филиалов компании при наличии. Компании часто забывают об этом и приводят сведения только о головной организации.

Далее следует раздел «Общие сведения»:

Под правовым основанием понимаются законы, локальные акты (здесь не забудьте указать внутреннее положение об обработке в компании) и иные документы, в соответствии с которыми вы действуете. Однако не рекомендуется указывать 152-ФЗ — это одна из ошибок, часто отмечаемая РКН в разъяснениях.

Нужно обязательно привести конкретные статьи и пункты. Пример заполнения поля:

Сведения о целях, для достижения которых вы ведете обработку, рекомендуется привести в отношении каждой категории субъектов отдельно. Для начала проверьте, есть ли у вас сведения о:

• работниках;
• заказчиках;
• посетителях сайта;
• соискателях.

Сведения о соискателях не могут быть использованы в тех же целях, что сведения о заказчиках, и наоборот. Если вы укажете цели для всех категорий одной строкой, это будет нарушением.

Вариант заполнения:

При описании предусмотренных Федеральным законом мер желательно перечислить полный список таких мер. Предварительно ознакомьтесь с содержанием соответствующих статей, поскольку важно не только заявлять декларативно о применении мер, но и действительно внедрять их в компании. В противном случае может грозить привлечение к ответственности.

Пример:

В графе о средствах безопасности укажите меры, которые позволяют вам следить за сохранностью ПДн — это могут быть меры как технического, так и организационного характера. В каждой организации в зависимости от вероятности утечек и иных факторов используются свои способы обеспечения информационной безопасности.

Для иллюстрации можно привести следующие:

Для правильного заполнения поля «Сведения об обеспечении безопасности» нужно установить, какие угрозы актуальны для вашей компании. Уровень защищенности можно определить, исходя из:

• типов угроз (1, 2 или 3 типа);
• категорий ПДн (специальные, биометрические, общедоступные, иные);
• количества субъектов ПДн (менее 100000, более 100000).

Для каждого уровня из четырех отдельные требования к безопасности Нужный уровень защищенности ПДн поможет определить калькулятор (см. раздел «определить уровень защищенности»).

Дата начала обработки чаще всего совпадает с датой регистрации компании. Маловероятно, что компания не обрабатывает данные граждан с самого начала своей деятельности. Обычно сразу появляется информация о клиентах, о представителях сторонних организаций (например, курьеров, ремонтных служб, служб доставки).

Дату окончания обработки определить затруднительно. Поэтому лучше укажите условия, при которых вы больше не будете обрабатывать сведения.

Вариант заполнения:

Заполняем категории персональных данных

Создайте отдельную ИСПДн для каждой категории субъектов. Это правило следует из законодательного принципа недопустимости объединения ПДн, которые обрабатываются в несовместимых между собой целях.

Перед заполнением уведомления:

1. Установите категории физических лиц, сведения о которых вы собираете.
2. Установите точный перечень ПДн, которые вы собираете в рамках отдельной категории.
3. Определите цели использования ПДн по каждой категории.
4. Установите, есть ли передача ПДн за границу применительно к отдельной категории.

В разделе уведомления «Сведения об информационных системах» каждую категорию физических лиц укажите отдельно. Например, сначала вы заполняете перечень действий, категории и иные сведения об обработке ПДн клиентов. Если вы также обрабатываете сведения о других субъектах, добавьте новую ИС и заполните раздел для новой категории субъектов ПДн.

В поле «Перечень действий» указываются действия, которые вы осуществляете с данными. Выберите все действия из перечня, закрепленного в законе:

Если ПДн хранятся только в электронной форме, то обработка является автоматизированной.

Смешанная обработка возможна, если данные хранятся как в бумажной форме, так и в электронных базах. Например, сведения о работниках, как правило, хранятся в карточке Т-2, трудовой книжке и одновременно в электронных базах (СКУД, 1С, SAP), следовательно, обработка смешанная.

Также обязательно указать, передаются ли ПДн внутри организации и с использованием сети интернет.

Вариант заполнения формы:

В графе «Категории персональных данных» нужно перечислить личные сведения о субъектах, которые вы обрабатываете. Если вы собираете данные, не перечисленные в форме уведомления, дополнительно сообщите об этом в соответствующем поле.

Вариант заполнения:

Особое внимание уделите при указании специальных категорий и биометрических ПДн. К обработке указанных категорий законодательство устанавливает повышенные требования, в том числе к основаниям сбора(требуется письменное согласие) и защите.

В поле «Категории субъектов» рекомендуется писать только одну категорию (например, работники). Как уже отмечено, каждая отдельная категория указывается при помощи добавления новой ИС путем нажатия кнопки:

Если компания передает данные в другие страны, нужно также уведомить об этом РКН.

Нередки случаи, когда информация передается в организацию, расположенную за рубежом: например, если сайт интернет-магазина имеет направленность на российских потребителей и принадлежит международной компании; компания имеет филиалы по всему миру и данные работников передаются в материнскую компанию; иные ситуации.

Также укажите СКЗИ, которые вы используете, и класс таких средств (если применимо). Если вы не применяете СКЗИ, укажите, что их нет. Вариант заполнения:

Указание адреса ЦОДа

Важно верно указать адреса ЦОДов, в которых размещены ИС со сведениями о субъектах. До передачи информации в ЦОД или облако необходимо заключить договор-поручение на обработку ПДн с ЦОДом или облачным провайдером. Данное требование было отдельно отмечено представителями РКН в ходе публичного семинара по итогам контрольно-надзорной деятельности ведомства за 9 месяцев 2020 года.

ПДн российских граждан должны первично обрабатываться на территории России соответственно. При этом дальнейшая трансграничная передача ПДн не запрещена. Если вы пользуетесь облачным провайдером, расположенным за границами Российской Федерации, то необходимо создавать первичную базу данных на территории России. Штрафы за несоблюдение могут доходить до 18 млн руб.

Перед трансграничной передачей разместите базы данных у российского провайдера. В уведомлении укажите первичный адрес базы данных. Адрес ЦОД обычно указан в договоре-поручении на обработку ПДн, заключаемом между оператором и облачным провайдером.

Ответственный за обработку персональных данных

В конце уведомления укажите сведения о назначенном лице (или компании), ответственном за обработку ПДн, в том числе ФИО (или название компании) и контакты. На практике назначается приказом сотрудник компании. Рекомендуется указывать достоверную контактную информацию, поскольку Роскомнадзор может связаться с представителем оператора для оперативного взаимодействия.

Частые ошибки

Типичные ошибки при заполнении уведомления:

1. Неверно указано правовое основание обработки ПДн. Считается, что для обработки достаточно согласия субъекта. Этот подход неверный, согласие не «панацея» во всех случаях. Важно перечислить перечень законов и подзаконных актов, в соответствии с которыми осуществляется обработка.
2. Неправильно определены цели обработки ПДн. Например, ошибочно указывать в качестве цели «хранение персональных данных». Хранение — это одно из действий по обработке. Кроме того, недопустимо собирать сведения о субъекте только для того, чтобы хранить в базах данных. В 2019 году РКН составил 111 протоколов по данному нарушению.
3. Ошибочно установлен уровень защищенности ПДн. Как следствие, не указаны необходимые меры безопасности. Для правильного определения уровня рекомендуется привлекать специалистов по информационной безопасности.
4. Данные всех категорий субъектов заполнены в рамках одной ИС. Напомним, что сведения о каждой группе физических лиц (сотрудники, посетители сайта и т.п.) в уведомлении лучше выделить отдельно, поскольку недопустимо объединение баз ПДн, обрабатываемых в разных целях.
5. Указаны не все категории субъектов ПДн. Без проведения аудита обработки сложно выявить все группы субъектов. Например, компании забывают про обработку сведений о соискателях.
6. Отсутствуют сведения о первичной базе данных в России.Это прямой повод для проведения проверки Роскомнадзором, по итогам которой компанию могут оштрафовать за отсутствие локализации.

Непредоставление полной информации по данным отчета РКН за 2019 год составляет 17% от общего числа нарушений.

Сроки и порядок отправки уведомления

Подайте уведомление до начала обработки в бумажном или в электронном виде. Роскомнадзор включает в реестр по истечении 30 дней с момента регистрации уведомления. Для проверки статуса уведомления и факта включения в реестр достаточно в поисковой строке указать ИНН.

Форма уведомления: бумажный носитель или электронный документ.

Есть три способа подачи уведомления:

• в бумажном варианте;
• в электронном виде с применением усиленной электронной подписи;
• электронно с использованием портала Госуслуг.

Для подачи на бумажном носителе можно заполнить форму на сайте Роскомнадзора. После заполнения автоматически сформируется документ с уникальным номером и ключом. Заполненный бланк нужно распечатать и направить по адресу выбранного органа.

Появилась возможность электронной подачи. Однако потребуется усиленная квалифицированная ЭП или подтвержденная учетная запись на портале Госуслуг.

Подпись, оформление и отправка уведомления

Если уведомление подается в бумажном виде, его необходимо оформить на бланке организации (но если бланка нет, то можно без него). Затем подпишите и поставьте печать.

Подписать может либо генеральный директор, либо лицо по доверенности — в таком случае должна быть приложена доверенность. Оформленное уведомление направьте по адресу территориального органа заказным письмом.

Это позволит в дальнейшем отследить получение.

Последствия неуведомления

Даже если оператор уже давно обрабатывает данные и не состоит в реестре, целесообразно подать уведомление (на практике операторов не привлекали к ответственности, если уведомление подано позже начала обработки). Существует ошибочное мнение, что в поле зрения уполномоченного органа только компании в реестре. Роскомнадзор вправе направить запрос о подаче уведомления в любую организацию.

За несообщение предусмотрен штраф (статья 19.7. КоАП РФ):

для граждан	100-300 рублей
для должностных лиц	300-500 рублей
для юридических лиц	3000-5000 рублей

Штрафовать могут неоднократно. В 2019 году РКН составил 5191 протокол по статье 19.7. и наложил штрафы в размере 4 231 430 рублей.

Необходимость внесения изменений в реестр операторов

При изменении процессов обработки или общих сведений оператор должен уведомить об этом. Например, если компания:

• стала получать информацию о новой группе субъектов ПДн;
• переехала в другое место или изменила название;
• назначила новое ответственное лицо.

Помимо уведомления Роскомнадзора не забудьте внести изменения в поручения на обработку ЦОДам или провайдерам облачных сервисов.

Сведения об изменениях сообщаются путем отправки информационного письма:

• форма письма размещена на сайте РКН, совпадает с уведомлением;
• заполнить нужно только те разделы, в которые вносятся изменения;
• порядок оформления и отправки аналогичен действиям с уведомлением.

План проверок Роскомнадзора на 2021 год

2 декабря 2020 года Управление Роскомнадзора по ЦФО опубликовало план проверок операторов персональных данных Москвы и Московской области на 2021 год.

План проверок операторов персональных данных Москвы и Московской области на 2021 год

Месяц Наименование ИНН Январь

Февраль

Март

Апрель

Май

Июнь

Июль

Август

Сентябрь

Октябрь

Ноябрь

Декабрь

Департамент транспорта и развития дорожно-транспортной инфраструктуры города Москвы	7704786030
Главное контрольное управление города Москвы	7701107851
Фонд капитального ремонта многоквартирных домов города Москвы	7701090559
Федеральное государственное унитарное предприятие «ЗащитаИнфоТранс Министерства транспорта Российской Федерации»	7708083600
Государственное бюджетное учреждение города Москвы “Многофункциональные центры предоставления государственных услуг города Москвы”	7731419456
Акционерное общество «Страховая компания «Югория-Жизнь»	8601027509
Общество с ограниченной ответственностью «Боксберри»	5029190794
Общество с ограниченной ответственностью «Северный ветер»	7733646084
Публичное акционерное общество «Аэрофлот — российские авиалинии»	7712040126
Общество с ограниченной ответственностью «Страховая Компания «Согласие»	7706196090
Общество с ограниченной ответственностью «Мэйл.Ру»	7743001840
«Сетелем Банк» Общество с ограниченной ответственностью	6452010742
Акционерное общество «ОТП Банк»	7708001614
Акционерное общество Банк «Северный морской путь»	7750005482
Акционерное общество «Банк Русский Стандарт»	7707056547
Общество с ограниченной ответственностью микрофинансовая компания «Вэббанкир»	7733812126
Общество с ограниченной ответственностью Микрофинансовая компания «Мани Мен»	7704784072
Акционерное общество «Каршеринг»	7704871840
Общество с ограниченной ответственностью «Каршеринг Руссия»	9705034527
Общество с ограниченной ответственностью «Т2 Мобайл»	7743895280
Публичное акционерное общество «Московская городская телефонная сеть»	7710016640
Акционерное общество «МаксимаТелеком»	7703534295
Акционерное общество «Московская акционерная страховая компания»	7709031643
Закрытое акционерное общество «Объединенное Кредитное Бюро»	7710561081
Акционерное общество «Негосударственный пенсионный фонд «Открытие»	7704300571
Акционерное общество Негосударственный пенсионный фонд «Альянс»	7703379402
Закрытое акционерное общество «Сбербанк — Автоматизированная система торгов»	7707308480
Общество с ограниченной ответственностью «РТС-тендер»	7710357167

Белгородская область

1 декабря 2020 года Управление Роскомнадзора по Белгородской области опубликовало план проверок операторов персональных данных Белгородской области на 2021 год.

Брянская область

1 декабря 2020 года Управление Роскомнадзора по Брянской области опубликовало план проверок операторов персональных данных Брянской области на 2021 год.

Владимирская область

30 ноября 2020 года Управление Роскомнадзора по Владимирской области опубликовало план проверок операторов персональных данных Владимирской области области на 2021 год.

Ивановская область

1 декабря 2020 года Управление Роскомнадзора по Ивановской области опубликовало план проверок операторов персональных данных Ивановской области на 2021 год.

Воронежская область

1 декабря 2020 года Управление Роскомнадзора по Воронежской области опубликовало план проверок операторов персональных данных Воронежской области на 2021 год.

Калужская область

2 декабря 2020 года Управление Роскомнадзора по Калужской области опубликовало план проверок операторов персональных данных Калужской области на 2021 год.

Костромская область

1 декабря 2020 года Управление Роскомнадзора по Костромской области опубликовало план проверок операторов персональных данных Костромской области на 2021 год.

Курская область

1 декабря 2020 года Управление Роскомнадзора по Курской области опубликовало план проверок операторов персональных данных Курской области на 2021 год.

Липецкая область

30 ноября 2020 года Управление Роскомнадзора по Липецкой области опубликовало план проверок операторов персональных данных Липецкой области на 2021 год.

Орловская область

1 декабря 2020 года Управление Роскомнадзора по Орловской области опубликовало план проверок операторов персональных данных Орловской области на 2021 год.

Рязанская область

1 декабря 2020 года Управление Роскомнадзора по Рязанской области опубликовало план проверок операторов персональных данных Рязанской области на 2021 год.

Тверская область

1 декабря 2020 года Управление Роскомнадзора по Тверской области опубликовало план проверок операторов персональных данных Тверской области на 2021 год.

Смоленская область

1 декабря 2020 года Управление Роскомнадзора по Смоленской области опубликовало план проверок операторов персональных данных Смоленской области на 2021 год.

Тамбовская область

2 декабря 2020 года Управление Роскомнадзора по Тамбовской области опубликовало план проверок операторов персональных данных Тамбовской области на 2021 год.

Тульская область

1 декабря 2020 года Управление Роскомнадзора по Тульской области опубликовало план проверок операторов персональных данных Тульской области на 2021 год.

Ярославская область

30 ноября 2020 года Управление Роскомнадзора по Ярославской области опубликовало план проверок операторов персональных данных Ярославской области на 2021 год.

1 декабря 2020 года Управление Роскомнадзора по Архангельской области и Ненецкому АО опубликовало план проверок операторов персональных данных Архангельской области и Ненецкого АО на 2021 год.

Калининградская область

1 декабря 2020 года Управление Роскомнадзора по Калининградской области опубликовало план проверок операторов персональных данных Калининградской области на 2021 год.

Псковская область

Новгородская область

1 декабря 2020 года Управление Роскомнадзора по Новгородской области опубликовало план проверок операторов персональных данных Новгородской области на 2021 год.

Мурманская область

1 декабря 2020 года Управление Роскомнадзора по Мурманской области опубликовало план проверок операторов персональных данных Мурманской области на 2021 год.

Вологодская область

30 ноября 2020 года Управление Роскомнадзора по Вологодской области опубликовало план проверок операторов персональных данных Вологодской области на 2021 год.

Республика Коми

27 ноября 2020 года Управление Роскомнадзора по Республике Коми опубликовало план проверок операторов персональных данных Республики Коми на 2021 год.

Республика Карелия

20 ноября 2020 года Управление Роскомнадзора по Республике Карелия опубликовало план проверок операторов персональных данных Республики Карелия на 2021 год.

26 ноября 2020 года Управление Роскомнадзора по Республике Крым и городу Севастополь опубликовало план проверок операторов персональных данных Республики Крым и города Севастополь на 2021 год.

Астраханская область

27 ноября 2020 года Управление Роскомнадзора по Астраханской области опубликовало план проверок операторов персональных данных Астраханской области на 2021 год.

Республика Калмыкия и Волгоградская область

26 ноября 2020 года Управление Роскомнадзора по Волгоградской области и республике Калмыкия опубликовало план проверок операторов персональных данных Волгоградской области и республики Калмыкия на 2021 год.

Ростовская область

30 ноября 2020 года Управление Роскомнадзора по Ростовской области опубликовало план проверок операторов персональных данных Ростовской области на 2021 год.

30 ноября 2020 года Управление Роскомнадзора по Ростовской области опубликовало план проверок операторов персональных данных Ростовской области на 2021 год.

Кабардино-Балкарская республика

30 ноября 2020 года Управление Роскомнадзора по Кабардино-Балкарской Республике опубликовало план проверок операторов персональных данных Кабардино-Балкарской Республики на 2021 год.

Республика Дагестан

Республика Ингушетия

30 ноября 2020 года Управление Роскомнадзора по Республике Ингушетия опубликовало план проверок операторов персональных данных Республике Ингушетия на 2021 год.

Карачаево-Черкесская республика

30 ноября 2020 года Управление Роскомнадзора по Карачаево-Черкесской Республике опубликовало план проверок операторов персональных данных Карачаево-Черкесской Республики на 2021 год.

Республика Северная Осетия-Алания

Чеченская Республика

27 ноября 2020 года Управление Роскомнадзора по Чеченской Республике опубликовало план проверок операторов персональных данных Чеченской Республики на 2021 год.

27 ноября 2020 года Управление Роскомнадзора по Республике Башкортостан опубликовало план проверок операторов персональных данных Республики Башкортостан на 2021 год.

Республика Марий Эл

26 ноября 2020 года Управление Роскомнадзора по Республике Марий Эл опубликовало план проверок операторов персональных данных Республики Марий Эл на 2021 год.

Республика Мордовия

27 ноября 2020 года Управление Роскомнадзора по Республике Мордовия опубликовало план проверок операторов персональных данных Республики Мордовия на 2021 год.

Республика Татарстан

26 ноября 2020 года Управление Роскомнадзора по Республике Татарстан опубликовало план проверок операторов персональных данных Республики Татарстан на 2021 год.

Удмуртская Республика

27 ноября 2020 года Управление Роскомнадзора по Удмуртской Республике опубликовало план проверок операторов персональных данных Удмуртской Республики на 2021 год.

Чувашская Республика

27 ноября 2020 года Управление Роскомнадзора по Чувашской Республике опубликовало план проверок операторов персональных данных Чувашской Республики на 2021 год.

Пермский край

27 ноября 2020 года Управление Роскомнадзора по Пермскому краю опубликовало план проверок операторов персональных данных Пермского края на 2021 год.

Кировская область

27 ноября 2020 года Управление Роскомнадзора по Кировской области опубликовало план проверок операторов персональных данных Кировской области на 2021 год.

Самарская область

27 ноября 2020 года Управление Роскомнадзора по Самарской области опубликовало план проверок операторов персональных данных Самарской области на 2021 год.

Оренбургская область

27 ноября 2020 года Управление Роскомнадзора по Оренбургской области опубликовало план проверок операторов персональных данных Оренбургской области на 2021 год.

Пензенская область

27 ноября 2020 года Управление Роскомнадзора по Пензенской области опубликовало план проверок операторов персональных данных Пензенской области на 2021 год.

Саратовская область

1 декабря 2020 года Управление Роскомнадзора по Саратовской области опубликовало план проверок операторов персональных данных Саратовской области на 2021 год.

Ульяновская область

27 ноября 2020 года Управление Роскомнадзора по Ульяновской области опубликовало план проверок операторов персональных данных Ульяновской области на 2021 год.

1 декабря 2020 года Управление Роскомнадзора по Челябинской области опубликовало план проверок операторов персональных данных Челябинской области на 2021 год.

Курганская область

27 ноября 2020 года Управление Роскомнадзора по Курганской области опубликовало план проверок операторов персональных данных Курганской области на 2021 год.

Тюменская область, Ханты-Мансийский АО и Ямало-Ненецкий АО

20 ноября 2020 года Управление Роскомнадзора по Тюменской области, Ханты-Мансийскому АО и Ямало-Ненецкому АО опубликовало план проверок операторов персональных данных Тюменской области, Ханты-Мансийского АО и Ямало-Ненецкого АО на 2021 год.

20 ноября 2020 года Енисейское управление Роскомнадзора опубликовало план проверок операторов персональных данных Енисейского управления на 2021 год.

Республика Алтай и Алтайский край

30 ноября 2020 года Управление Роскомнадзора по Алтайскому краю и Республике Алтай опубликовало план проверок операторов персональных данных Алтайского края и Республики Алтай на 2021 год.

Иркутская область

27 ноября 2020 года Управление Роскомнадзора по Иркутской области опубликовало план проверок операторов персональных данных Иркутской области на 2021 год.

Кемеровская область

26 ноября 2020 года Управление Роскомнадзора по Кемеровской области опубликовало план проверок операторов персональных данных Кемеровской области на 2021 год.

Омская область

26 ноября 2020 года Управление Роскомнадзора по Омской области опубликовало план проверок операторов персональных данных Омской области на 2021 год.

Томская область

27 ноября 2020 года Управление Роскомнадзора по Томской области опубликовало план проверок операторов персональных данных Томской области на 2021 год.

Забайкальский край

2 декабря 2020 года Управление Роскомнадзора по Республике Бурятия опубликовало план проверок операторов персональных данных Республики Бурятия на 2021 год.

Хабаровская область

Сахалинская область

Республика Саха (Якутия)

Приморский край

27 ноября 2020 года Управление Роскомнадзора по Приморскому краю опубликовало план проверок операторов персональных данных Приморского края на 2021 год.

Амурская область

27 ноября 2020 года Управление Роскомнадзора по Амурской области опубликовало план проверок операторов персональных данных Амурской области на 2021 год.

Камчатский край

Магаданская область, Чукотский АО

• Роскомнадзор формирует план самостоятельно, включает организации в план с учётом собственных критериев, без какой-либо очевидной системы. Обычно в план включают несколько представителей следующих областей экономики:
• Также в план включаются операторы персональных данных, в отношении которых поступают массовые жалобы и замечания (например, коллекторские агентства).
• Наличие или отсутствие уведомления об обработке персональных данных не является определяющей причиной попадания в план.
• С 2015 года (с момента вступления в силу требований об обработке ПДн в базах данных на территории России) можно отметить увеличение количества проверяемых транснациональных компаний.

Реестр операторов персональных данных Роскомнадзора — регистрация операторов, осуществляющих обработку ПД в РКН

В списке обязанностей операторов персональных данных согласно ФЗ-152 одним из первых пунктов указана необходимость регистрации в Реестре Роскомнадзора.

При этом есть исключения, когда подавать уведомление про обработку ПДн не нужно, — из-за этого многие предприниматели и руководители компаний не понимают, нужно им регистрироваться или нет, а если да, то что требуется делать.

Некоторые вообще предпочитают игнорировать федеральный закон и в итоге вынуждены нести административную ответственность в виде штрафа, накладываемого Роскомнадзором.

Если вы заинтересованы в том, чтобы бизнес был успешным, а проверки не выявляли нарушений, то нужно как можно раньше урегулировать взаимоотношения с Федеральной службой по надзору в сфере связи, массовых коммуникаций и информационных технологий.

Именно этот государственный орган формирует перечень операторов ПДн, вносит в него изменения и удаляет сведения из реестра.

Цель создания единой базы — обеспечение доступа всем заинтересованным лицам к информации об операторах, осуществляющих обработку персональных данных.

Направляя в ведомство уведомление о запланированных операциях с ПДн, организация попадает в реестр персональных данных, что позволяет обосновать свои действия с полученными от человека сведениями при появлении у него вопросов относительно их использования.

Регистрация оператора персональных данных на сайте Роскомнадзора

Даже при небольшом объеме обрабатываемых ПДн компания или ИП обязана сообщить о намерении осуществить те или иные операции с ПДн. Действующее российское законодательство предусматривает подачу уведомления в компетентный орган заблаговременно. То есть если в списке фирма отсутствует, то в некоторых случаях законно использовать ПДн она не может.

Предусмотрено два варианта, как зарегистрироваться оператору персональных данных в реестре РКН:

1. Воспользоваться онлайн-формой на официальном сайте госструктуры — pd.rkn.gov.ru.
2. Самостоятельно составить и подписать документ в письменном виде и отправить в территориальный департамент ведомства.

Большинство организаций подает обращение в контролирующий орган на сайте, что экономит время и избавляет от возможных ошибок и уточнений со стороны Роскомнадзора.

Со дня регистрации уведомления как правило проходит 2 недели, однако максимальный срок для включения оператора в реестр может составить до 30 дней с момент получения уведомления Роскомнадзором.

В случае подачи неполных сведений, отправитель получает сообщение о необходимости их уточнения — на это дается 1 месяц.

Организации, нарушившие требование об информировании РКН, попадают в отдельный список, и в дальнейшем находятся под особенно пристальным вниманием проверяющих, не говоря уже о том, что за нарушения им придется платить штраф в сумме до пяти тысяч рублей.

Обойтись без подачи письменного или электронного уведомления можно, если речь идет об использовании сведений работодателем, обработке общедоступных ПД и оформлении пропусков для однократного входа на предприятие.

Полный список исключений указан в ФЗ № 152, но чтобы окончательно убедиться в необходимости (или её отсутствии) выполнения регистрационных действий, есть смысл проконсультироваться у специалистов нашего центра.

Как убедиться, что вы зарегистрировались и представлены в реестре операторов персональных данных Роскомнадзора?

После отправки заполненного документа в РКН нужно ожидать, пока информация не будет внесена в единую электронную базу. Удостовериться в успешности процесса несложно — достаточно открыть сайт федеральной службы, перейти в реестр и совершить поиск:

• по ИНН либо регистрационному номеру;
• по наименованию компании.

После нажатия кнопки «Найти» на страничке появится запись о типе оператора, основании включения в список, дате поступления уведомления и начале совершения операций с ПДн, а также других общедоступных сведениях.

Особенности заполнения уведомления

Что это такое уведомление в Роскомнадзор для регистрации в реестре персональных данных, не все операторы четко себе представляют, поэтому в первый раз испытывают сложности с заполнением.

Но ошибка или неточность чреваты серьезными проблемами, вплоть штрафных санкций при проверках, поэтому нужно четко понимать, что и где вписывать.

Все поля со звездочкой в форме регистрации обязательны для заполнения — если их пропустить, то онлайн-обращение не будет отправлено, а письменную форму не будут рассматривать.

Чтобы регистрация прошла успешно, в документе предстоит указать:

• территориальное управление РКН и тип оператора;
• наименование согласно официальным документам (или Ф.И.О. для предпринимателей);
• фактический и юридический адрес, а также регионы, на территории которых ведется коммерческая или некоммерческая деятельность, подразумевающая обработку ПДн;
• сведения о филиалах (если имеются);
• ИНН и ОГРН — в форме есть и другие поля для кодов организации, но они не являются обязательными для заполнения;
• правовое обоснование — тут должно быть указано правовое обоснование для обработки персональных данных, для работодателей обязательно упоминание Трудового Кодекса;
• цель совершения операций — основной пункт, над которым необходимо серьезно задуматься, чтобы в дальнейшем не возникли противоречия с ФЗ-152 и подзаконными актами;
• категории субъектов, чьи данные собираются и используются, а также список видов ПДн, с которыми вы будете иметь дело;
• принятые меры для обеспечения информационной безопасности в ИСПДн — здесь требуется ввести все применяемые организационные и технические средства защиты;
• условия окончания процесса обработки либо конкретные сроки;
• перечень совершаемых операций;
• способ обработки сведений;
• наличие или отсутствие трансграничной передачи ПДн;
• информация о центре обработки данных — указываются отдельно для каждой ИС;
• ответственное за организацию обработки персональных данных лицо и исполнитель.

В самом конце от того, кто заполняет форму, требуется поставить отметки о согласии на использование полученных сведений, ввести проверочный код и подтвердить отправку. Далее в обязательном порядке требуется распечатать документ, поставить печать и переслать в территориальное подразделение РКН нарочным способом или почтой.

Внесение изменений и удаление сведений из Реестра операторов персональных данных (ПД) Роскомнадзора

Через какое-то время после отправки уведомления у предприятия или ИП может возникнуть необходимость откорректировать информацию или удалить компанию из списка. Чаще всего изменения вносятся в:

• название организации, адрес местонахождения или регистрации;
• методы обработки ПДн;
• категории субъектов ПДн;
• цели использования;
• меры по обеспечению безопасности ИСПДн;
• наличие/количество филиалов;
• сведения, с которыми осуществляются операции, и виды действий;
• условия прекращения обработки;
• графу, где указан ответственный сотрудник, если он изменился;
• сервера, на которых хранятся данные.

Максимальный срок сообщения об изменения — 10 дней с момента их возникновения. Аналогическое время дается на подачу обращения с просьбой исключить из реестра РКН после того, как вступили в силу обстоятельства, предусматривающие условия прекращения обработки ПДн.

Уведомление Роскомнадзора об обработке персональных данных

Неправильное заполнение уведомления об обработке персональных данных может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.

Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.

Определяем цели обработки данных

• Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.
• При определении целей обработки персональных данных и заполнении уведомления необходимо проанализировать следующее:
• 1) Цели деятельности оператора, определённые в его уставе, локальных актах, согласии на обработку персональных данных, анкетах, договорах, предусматривающих передачу персональных данных и пр.
• 2) Основания получения персональных данных, деятельность, которую оператор осуществляет при получении и обработке персональных данных на таких основаниях.

Цели, указываемые в уведомлении, должны охватывать все случаи обработки персональных данных.

При этом нужно учитывать как внешнюю деятельность компании – работа с клиентами, пользователями, заключение и исполнение договоров, маркетинговая активность и пр., так и внутреннюю – подбор и приём кадров, сбор данных о сотрудниках, организация пропускного режима.

Примеры заполнения информации о целях обработки персональных данных в уведомлениях:

1. «цель обработки, регистрации сведений, необходимых для оказания услуг учащимся в области образования, персональных данных работников, сведений об их профессиональной служебной деятельности»
2. «цель обработки, регистрации сведений, необходимых для оказания жилищно-коммунальных услуг собственникам, жильцам помещений, персональных данных работников, сведений об их профессиональной служебной деятельности»
3. При определении целей рекомендуется привлекать специалистов, которые знакомы со всей деятельностью компании, а не заняты в одном отделе – это обеспечит правильность и полноту работы в сфере обработки персональных данных.
4. Специалисты ПДМастер смогут задать правильные вопросы и определить цели обработки данных, актуальные для вашей компании.

Определяем категории обрабатываемых персональных данных

Указание неполного перечня обрабатываемых персональных данных – одно из типовых нарушений в сфере обработки персональных данных. Чтобы избежать сложностей в заполнении уведомления разберёмся, какие сведения о персональных данных нужно указывать в уведомлении об обработке.

Из законодательства следует, что категории персональных данных – это перечень персональных данных, конкретные сведения о субъекте, с помощью которых он идентифицируется или может быть идентифицирован.

Персональные данные группируются в зависимости от их особенностей, на основе чего их относят к специальным, биометрическим и иным видам категорий персональных данных.

Как внести уведомление Роскомнадзора корректные категории персональных данных?

• Электронная форма уведомления на портале Роскомнадзора предлагает при определении категорий персональных данных указать конкретные сведения, которые будет собирать оператор – ФИО, дата, место рождения, семейное и социальное положение и пр.
• Сложность в определении категории персональных данных при заполнении уведомления связана с тем, что сам по себе перечень персональных данных не является исчерпывающим.
• В электронной форме уведомления есть графа «Другие категории персональных данных, не указанные в данном перечне», в которой оператор самостоятельно вписывает обрабатываемые персональные данные.

Операторы указывают не все «иные категории» и, как результат, нарушают требования законодательства. Так, операторы часто не указывают сведения о составе семьи; о трудовом и общем стаже, воинском учете; ИНН; СНИЛС и пр.

Во избежание неверного заполнения уведомления об обработке необходимо чётко определить цели обработки персональных данных, после чего указать, какие именно данные субъектов персональных данных будут обрабатываться.