В списке обязанностей операторов персональных данных согласно ФЗ-152 одним из первых пунктов указана необходимость регистрации в Реестре Роскомнадзора. При этом есть исключения, когда подавать уведомление про обработку ПДн не нужно, — из-за этого многие предприниматели и руководители компаний не понимают, нужно им регистрироваться или нет, а если да, то что требуется делать. Некоторые вообще предпочитают игнорировать федеральный закон и в итоге вынуждены нести административную ответственность в виде штрафа, накладываемого Роскомнадзором.
Если вы заинтересованы в том, чтобы бизнес был успешным, а проверки не выявляли нарушений, то нужно как можно раньше урегулировать взаимоотношения с Федеральной службой по надзору в сфере связи, массовых коммуникаций и информационных технологий. Именно этот государственный орган формирует перечень операторов ПДн, вносит в него изменения и удаляет сведения из реестра. Цель создания единой базы — обеспечение доступа всем заинтересованным лицам к информации об операторах, осуществляющих обработку персональных данных.
Направляя в ведомство уведомление о запланированных операциях с ПДн, организация попадает в реестр персональных данных, что позволяет обосновать свои действия с полученными от человека сведениями при появлении у него вопросов относительно их использования.
Регистрация оператора персональных данных на сайте Роскомнадзора
Даже при небольшом объеме обрабатываемых ПДн компания или ИП обязана сообщить о намерении осуществить те или иные операции с ПДн. Действующее российское законодательство предусматривает подачу уведомления в компетентный орган заблаговременно. То есть если в списке фирма отсутствует, то в некоторых случаях законно использовать ПДн она не может.
Предусмотрено два варианта, как зарегистрироваться оператору персональных данных в реестре РКН:
- Воспользоваться онлайн-формой на официальном сайте госструктуры — pd.rkn.gov.ru.
- Самостоятельно составить и подписать документ в письменном виде и отправить в территориальный департамент ведомства.
Большинство организаций подает обращение в контролирующий орган на сайте, что экономит время и избавляет от возможных ошибок и уточнений со стороны Роскомнадзора.
Со дня регистрации уведомления как правило проходит 2 недели, однако максимальный срок для включения оператора в реестр может составить до 30 дней с момент получения уведомления Роскомнадзором. В случае подачи неполных сведений, отправитель получает сообщение о необходимости их уточнения — на это дается 1 месяц. Организации, нарушившие требование об информировании РКН, попадают в отдельный список, и в дальнейшем находятся под особенно пристальным вниманием проверяющих, не говоря уже о том, что за нарушения им придется платить штраф в сумме до пяти тысяч рублей.
Обойтись без подачи письменного или электронного уведомления можно, если речь идет об использовании сведений работодателем, обработке общедоступных ПД и оформлении пропусков для однократного входа на предприятие. Полный список исключений указан в ФЗ № 152, но чтобы окончательно убедиться в необходимости (или её отсутствии) выполнения регистрационных действий, есть смысл проконсультироваться у специалистов нашего центра.
Как убедиться, что вы зарегистрировались и представлены в реестре операторов персональных данных Роскомнадзора?
После отправки заполненного документа в РКН нужно ожидать, пока информация не будет внесена в единую электронную базу. Удостовериться в успешности процесса несложно — достаточно открыть сайт федеральной службы, перейти в реестр и совершить поиск:
- по ИНН либо регистрационному номеру;
- по наименованию компании.
После нажатия кнопки «Найти» на страничке появится запись о типе оператора, основании включения в список, дате поступления уведомления и начале совершения операций с ПДн, а также других общедоступных сведениях.
Особенности заполнения уведомления
Что это такое уведомление в Роскомнадзор для регистрации в реестре персональных данных, не все операторы четко себе представляют, поэтому в первый раз испытывают сложности с заполнением. Но ошибка или неточность чреваты серьезными проблемами, вплоть штрафных санкций при проверках, поэтому нужно четко понимать, что и где вписывать. Все поля со звездочкой в форме регистрации обязательны для заполнения — если их пропустить, то онлайн-обращение не будет отправлено, а письменную форму не будут рассматривать.
Чтобы регистрация прошла успешно, в документе предстоит указать:
- территориальное управление РКН и тип оператора;
- наименование согласно официальным документам (или Ф.И.О. для предпринимателей);
- фактический и юридический адрес, а также регионы, на территории которых ведется коммерческая или некоммерческая деятельность, подразумевающая обработку ПДн;
- сведения о филиалах (если имеются);
- ИНН и ОГРН — в форме есть и другие поля для кодов организации, но они не являются обязательными для заполнения;
- правовое обоснование — тут должно быть указано правовое обоснование для обработки персональных данных, для работодателей обязательно упоминание Трудового Кодекса;
- цель совершения операций — основной пункт, над которым необходимо серьезно задуматься, чтобы в дальнейшем не возникли противоречия с ФЗ-152 и подзаконными актами;
- категории субъектов, чьи данные собираются и используются, а также список видов ПДн, с которыми вы будете иметь дело;
- принятые меры для обеспечения информационной безопасности в ИСПДн — здесь требуется ввести все применяемые организационные и технические средства защиты;
- условия окончания процесса обработки либо конкретные сроки;
- перечень совершаемых операций;
- способ обработки сведений;
- наличие или отсутствие трансграничной передачи ПДн;
- информация о центре обработки данных — указываются отдельно для каждой ИС;
- ответственное за организацию обработки персональных данных лицо и исполнитель.
В самом конце от того, кто заполняет форму, требуется поставить отметки о согласии на использование полученных сведений, ввести проверочный код и подтвердить отправку. Далее в обязательном порядке требуется распечатать документ, поставить печать и переслать в территориальное подразделение РКН нарочным способом или почтой.
Внесение изменений и удаление сведений из Реестра операторов персональных данных (ПД) Роскомнадзора
Через какое-то время после отправки уведомления у предприятия или ИП может возникнуть необходимость откорректировать информацию или удалить компанию из списка. Чаще всего изменения вносятся в:
- название организации, адрес местонахождения или регистрации;
- методы обработки ПДн;
- категории субъектов ПДн;
- цели использования;
- меры по обеспечению безопасности ИСПДн;
- наличие/количество филиалов;
- сведения, с которыми осуществляются операции, и виды действий;
- условия прекращения обработки;
- графу, где указан ответственный сотрудник, если он изменился;
- сервера, на которых хранятся данные.
Максимальный срок сообщения об изменения — 10 дней с момента их возникновения. Аналогическое время дается на подачу обращения с просьбой исключить из реестра РКН после того, как вступили в силу обстоятельства, предусматривающие условия прекращения обработки ПДн.
