Что будет если не уведомить роскомнадзор о начале обработки персональных данных
Что будет если не уведомить роскомнадзор о начале обработки персональных данных
Статья 22. Уведомление об обработке персональных данных
Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных:
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
(п. 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;
(п. 4 в ред. Федерального закона от 30.12.2020 N 519-ФЗ)
(см. текст в предыдущей редакции)
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
(п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
(п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
(п. 7.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
(п. 10 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
(п. 10.1 введен Федеральным законом от 21.07.2014 N 242-ФЗ)
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
(п. 11 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
(часть 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
Что будет если не уведомить роскомнадзор о начале обработки персональных данных
Ответственность за непредставление информации об обработке персональных данных
Уважаемые операторы, осуществляющие обработку персональных данных
Информация, запрашиваемая Управлением должна представляться в сроки, определенные ч. 4 ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Ниже приводятся выдержки из выше перечисленных нормативных документов.
1. Кодекс Российской Федерации об административных правонарушениях.
Статья 19.7. Непредставление сведений (информации).
Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьей 6.16, частью 2 статьи 6.31, частями 1, 2 и 4 статьи 8.28.1, статьей 8.32.1, частью 1 статьи 8.49, частью 5 статьи 14.5, частью 2 статьи 6.31, частью 4 статьи 14.28, частью 1 статьи 14.46.2, статьями 19.7.1, 19.7.2, 19.7.2-1, 19.7.3, 19.7.5, 19.7.5-1, 19.7.5-2, 19.7.7, 19.7.8, 19.7.9, 19.7.12, 19.7.13, 19.7.14, 19.8, 19.8.3 настоящего Кодекса.»;
«Частью 1 статьи 19.4 КоАП РФ предусмотрена ответственность за неповиновение законному распоряжению или требованию должностного лица органа, осуществляющего государственный надзор (контроль), должностного лица организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора.
Частью 5 статьи 13.11 КоАП РФ предусмотрена ответственность за невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Согласно части 1 статьи 19.5 КоАП РФ предусмотрена ответственность за невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства.».
(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)
2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
Как начинающему бизнесу работать с персональными данными?
Я решил открыть небольшой интернет-магазин, но узнал, что бизнес должен строго соблюдать закон о персональных данных, в том числе разработать документацию по их защите.
Законодательство в сфере персональных данных действительно строгое, за его нарушение могут оштрафовать на несколько десятков и даже сотен тысяч рублей. Если компании и предприниматели собирают информацию о клиентах, они считаются операторами персональных данных и должны работать с этими данными по определенным правилам.
Одно из правил — разработать и утвердить как минимум четыре документа, которые должны соответствовать закону и зачастую содержать технические сведения. Разработка каждого документа — кропотливая работа, и, скорее всего, обойтись без помощи юристов или специалистов в сфере информационной безопасности не получится.
Расскажу основные правила, о которых нужно знать.
Что такое персональные данные
Персональные данные — это любая информация, которая прямо или косвенно относится к определенному человеку и позволяет его идентифицировать.
Проблема в том, что в законе нет точного списка, что считать персональными данными. Некоторые суды полагают, что ими могут быть ФИО человека, его паспортные данные, адрес, номера телефонов. При этом сами по себе ФИО, адрес и номер телефона могут не быть персональными данными: ФИО могут повторяться, по адресу могут регистрироваться разные люди, номер телефона может перейти к другому абоненту, если расторгнут договор на оказание абонентских услуг.
Персональные данные человека собирают, например, когда проводят опросы, оформляют договоры или открывают доступ к сервисам на сайте.
Те, кто собирает данные, считаются операторами персональных данных, а люди, чьи данные собрали, — субъектами персданных. Оператором может быть кто угодно: физлицо, ИП, организация, государственный орган.
Просто так собирать, хранить или передавать данные третьим лицам нельзя. Сначала нужно подготовить условия, чтобы информация накапливалась в безопасном месте и никуда не утекала. А еще получить у субъекта персональных данных разрешение на сбор и обработку информации о нем. Без его согласия никакую персональную информацию хранить нельзя, иначе оператора привлекут к ответственности.
Все свои действия — что будут собирать и как будут работать с данными — операторы описывают в документах.
Как победить выгорание
Какие документы нужны для сбора персданных
Чтобы собирать и работать с персональными данными, оператор должен разработать и ввести в действие довольно большой пакет документов. Вот только базовые:
В разработке документов участвует тот, кто отвечает за обработку персональных данных. Это необязательно должен быть сотрудник компании — к обработке данных можно привлекать и приглашенных специалистов.
После того как вы разработаете и утвердите все документы, нужно уведомить контролирующий орган о том, что вы будете собирать и обрабатывать персональные данные. За тем, как бизнес исполняет закон об обработке персональных данных, следит Роскомнадзор. Операторы отправляют ему уведомления, а ведомство заносит их в реестр операторов.
Можно ли работать с персональными данными и не уведомлять об этом Роскомнадзор
Есть ситуации, когда компания или физлицо работает с персональными данными, но уведомлять об этом Роскомнадзор не нужно. Вот несколько примеров:
Просто собирать информацию о клиентах в системе — даже сертифицированной и защищенной — не получится. Вам придется зарегистрироваться в качестве оператора персональных данных, а для этого нужно разработать документацию и отправить уведомление в Роскомнадзор.
Как подать уведомление в Роскомнадзор
Уведомление подает тот, кто отвечает за обработку персональных данных. Его можно отправить обычной почтой или через сайт Роскомнадзора, если есть усиленная квалифицированная электронная подпись или регистрация на госуслугах.
В уведомлении нужно подробно описать:
Необходимых мер по закону больше — все не перечислить. Чтобы их соблюсти и ничего не нарушить, как раз и понадобятся юристы или специалисты в сфере ИТ и информационной безопасности.
В уведомлении нужно указать полный адрес с почтовым индексом места, где расположены серверы компаний, на которых хранятся базы персональных данных. Роскомнадзор зарегистрирует уведомление и внесет оператора в реестр в течение 15 дней. Платить за это не нужно.
Что нужно сделать перед отправкой уведомления в Роскомнадзор
После того как вы разработаете документацию, я рекомендую перепроверить несколько вещей перед тем, как уведомлять Роскомнадзор. Ведомство требует максимально актуальную информацию, поэтому лучше перестраховаться.
Просмотрите и обновите списки. Вот они:
Проверьте информационные системы по обработке данных. Сервисы, которые собирают и хранят данные ваших клиентов, должны быть оснащены средствами защиты информации — СЗИ. Это может быть антивирусная программа или электронный замок.
СЗИ должны быть сертифицированы Федеральной службой по техническому и экспортному контролю России. Если Роскомнадзор придет с проверкой, он будет запрашивать сертификат на СЗИ.
Что будет, если не отправить уведомление в Роскомнадзор
Если оператора нет в реестре, Роскомнадзор рано или поздно сам его найдет. Ведомство регулярно просматривает сайты, где собирают персональные данные, выясняет, кому они принадлежат, и отправляет владельцам письма-запросы.
На такое письмо нужно ответить в течение 10 дней: отправить в ведомство уведомление о включении в реестр или обоснованный отказ.
Если владелец сайта не ответит на запрос Роскомнадзора, его могут оштрафовать:
Что делать? Читатели спрашивают — эксперты Т—Ж отвечают
Как ужесточились требования к работе с персональными данными в 2021 году
С 1 марта 2021 года действуют новые правила, которые обеспечивают дополнительную защиту персональных данных граждан. Теперь не допускается получение согласия на распространение таких данных «по умолчанию». А с 27 марта в два раза увеличиваются штрафы.
Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ.
Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.
В этой статье рассмотрим следующие вопросы:
Что изменилось в обработке персональных данных с 1 марта
Как прекратить передачу данных, разрешенных для распространения
Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.
Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:
Указанные ПД могут обрабатываться только оператором, которому оно направлено.
Требования к обработке персональных данных
На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.
В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.
Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.
За что и на какие суммы штрафуют в 2021 году
27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.
Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.
Обратите внимание на следующие нововведения:
1. За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.
2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.
Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.
3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.
При повторном нарушении
При повторном нарушении
При повторном нарушении
Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.
В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?
Что делать владельцу сайта, чтобы избежать штрафов
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.
Например, на сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.
Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):
Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.
Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.
Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.
За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Случаи, когда уведомление Роскомнадзора не требуется
Уведомлять Роскомнадзор не нужно, если ПД:
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.
Конфиденциальность персональных данных: когда ее не нужно обеспечивать
В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:
Когда не нужно получать согласие на обработку персональных данных
Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:
Что такое портал персональных данных
Сегодня все новости, аналитические материалы, важные документы, рекомендации по обработке персональных данных, реестр операторов и другую необходимую информацию можно найти на портале персональных данных. Ответственность за ресурс возложена на Роскомнадзор.
Как еще планируют ужесточить обработку персональных данных
Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.
Министерство предлагает запретить операторам:
Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.
Более детальная информация об обработке персональных данных — в материалах наших экспертов:
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Что будет если не уведомить роскомнадзор о начале обработки персональных данных
(1).jpg "Что будет если не уведомить роскомнадзор о начале обработки персональных данных. Смотреть фото Что будет если не уведомить роскомнадзор о начале обработки персональных данных. Смотреть картинку Что будет если не уведомить роскомнадзор о начале обработки персональных данных. Картинка про Что будет если не уведомить роскомнадзор о начале обработки персональных данных. Фото Что будет если не уведомить роскомнадзор о начале обработки персональных данных")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Рекомендуем также ознакомиться с материалом:
— Энциклопедия решений. Направление уведомления в Роскомнадзор о начале обработки персональных данных.
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса
Ответ прошел контроль качества
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
© ООО «НПП «ГАРАНТ-СЕРВИС», 2021. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.
Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.
Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.
ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, info@garant.ru.
8-800-200-88-88
(бесплатный междугородный звонок)
Редакция: +7 (495) 647-62-38 (доб. 3145), editor@garant.ru
Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), adv@garant.ru. Реклама на портале. Медиакит
Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter