Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как заполнить Уведомление в Роскомнадзор». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно , который начал действовать с 1 июля 2017 года, в предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.
Как получить информацию, является ли организация оператором, осуществляющим обработку персональных данных
Вы можете проверить любую организацию на предмет ее наличия в списке операторов РКН. Это можно сделать на сайте ведомства Роскомнадзор или прямо здесь. Для этого введите ИНН компании и ее название.
Роскомнадзор ведет реестр операторов персональных данных, формируемый из государственных органов власти, коммерческих компаний, индивидуальных предпринимателей и даже физических лиц. Сбор и обработка личных сведений регулируется Федеральным законом № 152-ФЗ. За его нарушение операторы несут административную ответственность в виде штрафа. Вы можете проверить прямо здесь или на сайте РКН, состоит ли интересующее вас ведомство или организация в списке хранителей личных сведений, с правом их использования (оборота).
Внесение изменений и удаление сведений из Реестра операторов персональных данных (ПД) Роскомнадзора
Через какое-то время после отправки уведомления у предприятия или ИП может возникнуть необходимость откорректировать информацию или удалить компанию из списка. Чаще всего изменения вносятся в:
- название организации, адрес местонахождения или регистрации;
- методы обработки ПДн;
- категории субъектов ПДн;
- цели использования;
- меры по обеспечению безопасности ИСПДн;
- наличие/количество филиалов;
- сведения, с которыми осуществляются операции, и виды действий;
- условия прекращения обработки;
- графу, где указан ответственный сотрудник, если он изменился;
- сервера, на которых хранятся данные.
Как уведомить Роскомнадзор
Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:
- сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
- правовое основание и цели обработки данных согласно уставу;
- описание мер и средств защиты личных данных;
- фактическую дату начала обработки персональных данных оператором;
- условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
- категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
- действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
- данные лица, ответственного за обработку персональных данных.
После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.
На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.
Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.
Как уведомить Роскомнадзор о сборе персональных данных
Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- наименование компании (ФИО ИП) и ее адрес;
- цель обработки персональных данных (например, заключение трудовых договоров);
- категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
- категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
- сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
- ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
- предполагаемая дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
- сведения об обеспечении безопасности персональных данных.
Направить уведомление можно следующими способами:
- в бумажном виде,
- в электронном виде с использованием усиленной квалифицированной электронной подписи,
- в электронном виде с использованием средств аутентификации ЕСИА.
Как уведомить Роскомнадзор
Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:
- сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
- правовое основание и цели обработки данных согласно уставу;
- описание мер и средств защиты личных данных;
- фактическую дату начала обработки персональных данных оператором;
- условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
- категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
- действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
- данные лица, ответственного за обработку персональных данных.
Как говорилось выше, при обработке персональных данных оператор должен уведомить об этом компетентный орган. Но помимо этого у него ещё есть ряд обязательств, которые он должен соблюдать:
- Издать приказ о назначении ответственного лица или группы лиц за обработку ПДн, а также осуществлять контроль или проводить аудит обработки данных в редакции.
- Разработать и принять меры для обеспечения конфиденциальности и безопасности полученной информации. Сюда можно отнести установку антивирусных программ и информирование сотрудников об административной и уголовной ответственности в случае разглашения третьим лицам.
- Прекратить обработку данных, если цель сбора достигнута или субъект отозвал своё разрешение на обработку.
- Соблюдать локализацию и предоставлять данные о месте расположения базы, указывая страну и фактический адрес.
- Информировать о сборе ПДн потенциальных и/или действующих клиентов и сотрудников, разъясняя для чего и какая информация обрабатывается, а также о сроках хранения. Для этого создать и опубликовать для общего доступа форму согласия на обработку данных и политику конфиденциальности.
- Удалить информацию, если будет доказано, что личные данные были получены незаконно или не являются обязательными для достижения заявленной цели, и лицо, чьи сведения использовались, потребует о её извлечении из базы.
Внимание. Информация должна быть уничтожена в течение 10 дней с момента подачи письменного заявления лица, чьи данные были собрана с нарушениями.
Поможем подать уведомление об обработке персональных данных — ООО «ЦБИС»
Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор уведомил Роскомнадзор о намерении обрабатывать персональные данные до начала их обработки. Сам порядок уведомления и перечень сведений, которые оператор должен сообщить в Роскомнадзор, указаны в статье 22 закона.
В теории все просто: уведомление подается на бумажном носителе или в электронной форме за подписью руководителя организации. Роскомнадзор рассматривает уведомление в течение 30 дней и принимает решение о регистрации оператора в реестре.
Если сведения в уведомлении не соответствуют требованиям закона, то оператор получает отказ с правом повторной регистрации.
Сведения, содержащиеся в реестре операторов, за исключением сведений об обеспечении безопасности персональных данных, являются общедоступными.
Но на практике все сложнее. Чтобы правильно зарегистрироваться в реестре операторов персональных данных, необходимо сначала выполнить требования: осуществить правовую и техническую подготовку организации в соответствии со статьями 18.1 и 19 закона. А это требует немало времени и средства.
Бизнес: • Банки • Богатство и благосостояние • Коррупция • (Преступность) • Маркетинг • Менеджмент • Инвестиции • Ценные бумаги: • Управление • Открытые акционерные общества • Проекты • Документы • Ценные бумаги — контроль • Ценные бумаги — оценки • Облигации • Долги • Валюта • Недвижимость • (Аренда) • Профессии • Работа • Торговля • Услуги • Финансы • Страхование • Бюджет • Финансовые услуги • Кредиты • Компании • Государственные предприятия • Экономика • Макроэкономика • Микроэкономика • Налоги • Аудит
Промышленность: • Металлургия • Нефть • Сельское хозяйство • Энергетика
Строительство • Архитектура • Интерьер • Полы и перекрытия • Процесс строительства • Строительные материалы • Теплоизоляция • Экстерьер • Организация и управление производством
Последствия неуведомления
Даже если оператор уже давно обрабатывает данные и не состоит в реестре, целесообразно подать уведомление (на практике операторов не привлекали к ответственности, если уведомление подано позже начала обработки). Существует ошибочное мнение, что в поле зрения уполномоченного органа только компании в реестре. Роскомнадзор вправе направить запрос о подаче уведомления в любую организацию.
За несообщение предусмотрен штраф (статья 19.7. КоАП РФ):
| для граждан | 100-300 рублей |
| для должностных лиц | 300-500 рублей |
| для юридических лиц | 3000-5000 рублей |
Необходимость внесения изменений в реестр операторов
При изменении процессов обработки или общих сведений оператор должен уведомить об этом. Например, если компания:
- стала получать информацию о новой группе субъектов ПДн;
- переехала в другое место или изменила название;
- назначила новое ответственное лицо.
Помимо уведомления Роскомнадзора не забудьте внести изменения в поручения на обработку ЦОДам или провайдерам облачных сервисов.
Сведения об изменениях сообщаются путем отправки информационного письма:
- форма письма размещена на сайте РКН, совпадает с уведомлением;
- заполнить нужно только те разделы, в которые вносятся изменения;
- порядок оформления и отправки аналогичен действиям с уведомлением.
Критерии попадания в реестр
В реестре будет содержаться информация об информационных ресурсах, посредством которых осуществляется:
-
трансграничная передача специальных персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных;
-
обработка биометрических и (или) генетических персональных данных;
-
обработка персональных данных более 100 тыс. физических лиц;
-
обработка персональных данных более 10 тыс. физических лиц, не достигших возраста 16 лет.
ОГРН — основной государственный регистрационный номер
о создании юридического лица. Государственный регистрационный номер записи, вносимой в Единый государственный реестр юридических лиц, состоит из 13 цифр, расположенных в следующей последовательности: С (1-й знак) — признак отнесения государственного регистрационного номера записи: к основному государственному регистрационному номеру (ОГРН)* — 1, 5 к иному государственному регистрационному номеру записи — 2 к основному государственному регистрационному номеру индивидуального предпринимателя (ОГРНИП) — 3 ГГ (со 2-го по 3-й знак) — две последние цифры года внесения записи в государственный реестр КК (4-й, 5-й знаки) — порядковый номер субъекта Российской Федерации по перечню субъектов Российской Федерации, установленному статьей 65 Конституции Российской Федерации ХХХХХХХ (с 6-го по 12-й знак) — номер записи, внесенной в государственный реестр в течение года Ч (13-й знак) — контрольное число: остаток от деления предыдущего 12-значного числа на 11, если остаток от деления равен 10, то контрольное число равно 0 (нулю).
(Приложение № 1 к Правилам ведения Единого государственного реестра юридических лиц).
ОГРНИП — основной государственный регистрационный номер индивидуального предпринимателя.
Состоит из 15 цифр, последняя — контрольная. От ОГРН отличается тем, что: под номер записи в реестре выделено семь, а не пять цифр; контрольная цифра равна последней цифре остатка от деления на 13,а не на 11, предыдущего 14-значного числа; Статья написана и размещена 18 ноября 2012 года.
Что такое регистрационный номер
Данный регистрационный номер имеет вид последовательности из 13 цифр, первая из которых — признак отнесения к основному или иному государственному номеру записи, либо номеру ИП (физического лица). ОГРНИП (или основной государственный регистрационный номер индивидуального предпринимателя) содержит не 13, а 15 цифр.
Применительно к юридическим и физическим лицам, зарегистрированным в качестве налогоплательщиков, речь идет об основном государственном регистрационном номере (сокращенно ОГРН). Так расшифровывается государственный регистрационный номер записи о создании данного юридического лица согласно ФЗ № 129-ФЗ от 8.08.2001 г. Присвоение ОГРН как вновь созданным, так и зарегистрированным ранее юридическим лицам, ведется с 1.07. 2002 года на основании данных о регистрации его в налоговых органах.
Номер записи в егрюл где посмотреть
Федеральной налоговой службой определено, что сведения и документы, хранящиеся в Едином государственном реестре юридических лиц, в большинстве своем являются общедоступными для широкого круга пользователей. Полностью закрыты лишь отдельные персональные данные физических лиц (учредителей и директоров компаний), оглашение которых может привести к неблагоприятным последствиям.
ИНН обязательно привязывается к ЕГРЮЛ или ЕГРИП. Это позволяет на официальном сайте налоговой службы получить данные о свидетельстве организации или индивидуального предпринимателя просто после ввода в отдельное поле ИНН. Информация находится в открытом доступе, в том числе облегчая проведение контроля выплаты налогов определенным физическим или юридическим лицом.
Где найти номер записи в едином государственном реестре юридических лиц
Поиск по справочнику Для облегчения работы предпринимательского сектора на сайте ФНС существует электронный сервис, позволяющий провести через интернет оперативный поиск сведений из ЕГРЮЛ. Чтобы узнать ЕГРЮЛ по ИНН контрагента в поисковую строку следует ввести этот идентификационный номер, а затем и капчу. После этого перед пользователем откроется вся история вносимых изменений по указанному юридическому лицу. ОГРН), нужный в дальнейшей деятельности юридического лица. Первая выдача свидетельства осуществляется бесплатно, повторная – на возмездной основе.
Выписка Зачем она нужна? Выписка из ЕГРЮЛ является документом, который позволяет получать сведения, нужные самим юридическим лицам, их контрагентам и различным органам с которыми организация сотрудничает или подконтрольна им. Различают два вида подобных выписок:На платной основе она делается за одни сутки. Выписка составляется регистрирующим органом по месту нахождения компании – ФНС. Причем заявитель может получить ее не только на свою фирму, но и на любую другую компанию, только эта услуга является платной.
Для подачи заявки на получение выписки необходимо составить заявление-запрос от имени юридического лица, на которое требуется оформить выписку. Выписка выдается бесплатно самому юридическому лицу, либо органу государственной власти. Всем остальным надо вносить плату, составляющую 200 рублей, если заявителя устраивает срок в 5 дней, и 400 рублей, если выписка нужна на следующий рабочий день. КБК для ЕГРЮЛ (для оплаты) можно узнать в налоговой инспекции или на сайте регионального управления.
Копии документов выдаются всем за такую же плату и в аналогичные сроки.
Правила проверки организаций, обрабатывающих персональные данные
Чтобы привлечь оператора персональных данных к ответственности, Роскомнадзор должен соблюдать правила проведения проверок, утвержденные весной 2019 года. Ранее действовал только ведомственный регламент, позволяющий отступать от строгих правил. Теперь ответственность ведомства устанавливается за соблюдение регламента проверок в полной мере.
Регламент проверок соблюдения требований законодательства о персональных данных следующий:
- плановая проверка проводится раз в три года, срок ее проведения без продления составляет 20 рабочих дней. Узнать о планируемых проверках по защите персональных данных можно на сайте Генпрокуратуры, о конкретной дате визита инспекторов организацию предупредят за три дня;
- срок предоставления документов организацией в рамках плановой проверки сокращен до пяти дней, ранее оператору предлагали подготовить запрошенные материалы за 20 дней;
- внеплановая проверка проводится вне графика в случае получения жалобы. Срок ее проведения составляет 10 рабочих дней, организацию предупредят за сутки;
- внеплановая проверка не может быть документарной, для нее предусмотрена только выездная форма;
- добавились дополнительные основания для продления срока проверки, например, разветвленность организационной структуры компании, обработка персональных данных в нескольких информационных системах;
- запрос документов в связи с обращениями граждан проверкой не считается;
- Роскомнадзор вправе следить за деятельностью операторов в Интернете и при выявлении нарушений проводить внеочередные выездные проверки.
Регулирующая деятельность ведомства усилилась. Возможно, это связано с участившимися случаями утечек персональных данных российских граждан, особенно когда они публикуются на зарубежных сайтах. Операторы, являющиеся российскими организациями, должны уделить повышенное внимание соблюдению требований законодательства. Это поможет избежать ответственности и обеспечить надлежащую защиту персональных данных.
Когда уведомление не нужно
По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:
- обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.
- обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
- использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.
Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;
Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.