Зарегистрировать оператора по обработке персональных данных. Реестр операторов персональных данных

Закон о персональных данных № 152-ФЗ от 27.07.2006 обязует пройти регистрацию в специальном реестре всех, кто занимается обработкой персональных данных. Что это за реестр, для кого включение в него является обязательным, и как происходит процедура регистрации – об этом наша статья.

Кто является оператором персональных данных

К операторам закон № 152-ФЗ относит госорганы, организации и физлиц, которые собирают персональные данные, а также самостоятельно определяют цели сбора, состав сведений, и совершаемые с ними действия (ст. 3 закона № 152-ФЗ).

Проще говоря, оператор персональных данных, это тот, кто использует личные данные граждан для трудовых и прочих отношений. Их главной задачей является сохранение конфиденциальности полученных персональных данных, т.е. запрет передавать данные третьим лицам и распространять их без согласия самого физлица, если только эти данные не обезличены.

Реестр операторов персональных данных Роскомнадзора

Прежде, чем начать обработку персональных данных, оператор обязан уведомить об этом госорган, уполномоченный вести реестр операторов персональных данных - Роскомнадзор (ч 1 ст. 22 закона № 152-ФЗ). Эта федеральная служба осуществляет надзор за сферой связи, массовых коммуникаций и информационных технологий. Госконтроль за обработкой персональных данных операторами, в соответствии с законом, тоже осуществляет Роскомнадзор. В этих целях он проводит проверки операторов персональных данных, согласно регламенту, утвержденному приказом Минкомсвязи РФ от 14.11.2011 № 312.

Ознакомиться с реестром операторов обработки персональных данных можно на официальном сайте Роскомнадзора, его сведения являются общедоступными.

Уведомление достаточно подать единожды за весь период работы оператора. В то же время, закон содержит перечень исключений, когда работать с личными данными можно без включения в реестр операторов персональных данных (ч. 2 ст. 22 закона № 152-ФЗ):

• когда операторы-работодатели обрабатывают только данные, полученные в соответствии с трудовым законодательством;
• если оператор получил данные от контрагента в связи с заключением договора и не использует их в иных целях, кроме исполнения договора;
• когда оператор персональных данных - религиозная или общественная организация, которая обрабатывает личные данные своих участников для целей, предусмотренных ее уставом;
• если гражданин сам сделал общедоступными свои персональные данные;
• если персональные данные не включают ничего, кроме Ф.И.О.;
• когда данные получают для оформления разового пропуска;
• при обработке персональных данных государственными автоматизированными инфосистемами;
• если личные данные обрабатываются «на бумаге», т.е. без применения автоматизации;
• когда данные используются для обеспечения безопасности транспортных систем.

Все, кто не указан в данном списке, уведомление для включения в реестр операторов персональных данных Роскомнадзора подать обязаны. Многие ИП и организации игнорируют данное требование либо узнают о нем слишком поздно. Но подать уведомление для включения в реестр можно и позже, указав в нем реальную дату начала обработки персональных данных, при этом никаких штрафных санкций за опоздание не последует.

Как уведомить Роскомнадзор

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

• сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
• правовое основание и цели обработки данных согласно уставу;
• описание мер и средств защиты личных данных;
• фактическую дату начала обработки персональных данных оператором;
• условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
• категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
• действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
• данные лица, ответственного за обработку персональных данных.

После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.

На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.

Котенок писал(а):

Всем доброго времени суток. Подскажите должны ли мы регистрировать организацию в роскомнадзоре. Если персональные данные мы обрабатываем только в рамках ТК. Работники получают зп на карты, но работник идет сам в банк оформляет там карту и в бухгалтерию приносит счет на которой перечисляются деньги.

В организацию поступил запрос Роскомнадзора, содержащий указание на необходимость направления в данное ведомство уведомления об обработке персональных данных работников. В обоснование данного требования контролирующий орган ссылается на тот факт, что организация, являясь работодателем, передает персональные данные работников третьим лицам для целей оформления работникам полисов добровольного медицинского страхования, перечисления денежных средств на банковские карты, ведения воинского учета, индивидуального (персонифицированного) учета, а также собирает и хранит анкеты и резюме соискателей.
Правомерны ли требования Роскомнадзора? Обязан ли работодатель направить Роскомнадзору соответствующее уведомление?

Действительно, по общему правилу, установленному частью 1 ст. 22 Федерального закона от 27.08.2006 N 152-ФЗ (далее - Закон N 152-ФЗ), оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Соответствующим органом в настоящее время является Роскомнадзор (п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства РФ от 16.03.2009 N 228).
Согласно ст. 3 Закона N 152-ФЗ под оператором персональных данных понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; а обработкой персональных данных является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Каждый работодатель, в силу требований законодательства, в любом случае обязан собирать, хранить, передавать персональные данные, то есть вести их обработку. В связи с этим на практике он признается оператором персональных данных независимо от прочих обстоятельств (смотрите, например, постановление Четвертого арбитражного апелляционного суда от 01.10.2012 N 04АП-3907/12, решение Центрального районного суда г. Сочи от 02.03.2012 N 12-40/2012, решение Арбитражного суда Еврейской автономной области от 22.02.2012 N А16-1291/2011, решение Северодвинского городского суда Архангельской области от 26.02.2015 N 12-207/2015, решение Чкаловского районного суда г. Екатеринбурга Свердловской области от 26.03.2015 N 12-57/2015)*(1).
Таким образом, требование части 1 ст. 22 Закона N 152-ФЗ распространяется в том числе и на работодателей. Вместе с тем частью 2 ст. 22 Закона N 152-ФЗ установлен перечень случаев, когда оператор персональных данных не обязан уведомлять Роскомнадзор об обработке персональных данных. Одним из таких случаев является обработка персональных данных в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона N 152-ФЗ). Необходимо обратить внимание, что из буквального толкования данной нормы следует, что ее действие распространяется не на все случаи обработки работодателем персональных данных работников, а лишь на те, которое предусмотрены трудовым законодательством (сравните с редакцией п. 1 ч. 2 ст. 22 Закона N 152-ФЗ, действовавшей до 30.06.2011). Иными словами, сам по себе факт наличия между субъектом персональных данных и оператором трудовых отношений не освобождает последнего от обязанности по уведомлению Роскомнадзора об обработке персональных данных. Необходимо, чтобы обработка таких данных была предусмотрена трудовым законодательством (постановление Ейского городского суда Краснодарского края от 22 мая 2013 г.). В связи с этим необходимо отметить, что п. 1 части первой ст. 86 ТК РФ предусматривает, что обработка персональных данных возможна, в частности, в целях обеспечения соблюдения законов и иных нормативных правовых актов. Обязанность работодателя по передаче персональных данных работников соответствующим военным комиссариатам для целей ведения воинского учета, Пенсионному фонду РФ для целей ведения индивидуального (персонифицированного) учета прямо предусмотрена действующим законодательством (пп. 3 п. 2 ст. 12 Федерального закона от 16.08.1999 N 165-ФЗ "Об основах обязательного социального страхования", п. 7 ст. 8 Федерального закона от 28.03.1998 N 53-ФЗ "О воинской обязанности и военной службе", п. 32 Положения о воинском учете, утвержденного постановлением Правительства РФ от 27.11.2006 N 719). Следовательно, такая передача персональных данных, по нашему мнению, не приводит к возникновению у работодателя обязанности по уведомлению Роскомнадзора об обработке персональных данных.
Обработка персональных данных соискателей на занятие вакантных должностей сама по себе, по нашему мнению, также необязательно влечет за собой необходимость уведомлять Роскомнадзор. Так, ТК РФ прямо устанавливает обязанность лица, поступающего на работу, еще до заключения трудового договора представить работодателю документы, содержащие персональные данные (ст. 65 ТК РФ). В отдельных случаях также до принятия решения о заключении трудового договора работодателю необходимо располагать определенной информацией о состоянии здоровья кандидата (смотрите, например, ст.ст. 69, 213, 266, 328, 330.3, 324, 348.3 ТК РФ, определение Верховного Суда РФ от 14.11.2007 N 83-Г07-7). Кроме того, из ст. 64 ТК РФ следует право работодателя при решении вопроса о возможности заключения трудового договора с конкретным лицом опираться на информацию о его деловых качествах (смотрите также п. 10 постановления Пленума Верховного Суда РФ от 17.03.2004 N 2). Следовательно, получение работодателем информации, необходимой для оценки деловых качеств кандидата (например об образовании, опыте работы), не приводит к возникновению обязанности по уведомлению Роскомнадзора. Однако необходимо отметить, что чаще всего работодатели получают от кандидатов гораздо больший объем информации, чем тот, который можно счесть необходимым в соответствии с трудовым законодательством. Так, например, в анкетах работодателей, которые заполняют соискатели, зачастую содержится информация об их контактных данных, членах семьи, доходах, увлечениях, месте рождения и так далее. Получение таких персональных данных, очевидно, трудовым законодательством не предусмотрено, и, как следствие, их обработка под действие п. 1 ч. 2 ст. 22 Закона N 152-ФЗ не подпадает. Более того, в силу ч. 4 ст. 21 Закона N 152-ФЗ после принятия решения о приеме на работу или об отказе в заключении трудового договора с соискателем работодатель обязан уничтожить полученные от него персональные данные, которые не требуются ему для иных целей (смотрите также п. 5 разъяснений Роскомнадзора от 14.12.2012). В связи с этим правомерность хранения анкет и резюме кандидатов за рамками этого срока в принципе вызывает сомнение.
Также не предусмотрена трудовым законодательством и обработка персональных данных работников в целях добровольного медицинского страхования работников или в целях перечисления заработной платы на их счета. Как следствие, на передачу работодателем персональных данных работников в указанных целях соответствующим медицинской и кредитной организациям действие нормы п. 1 ч. 2 ст. 22 Закона N 152-ФЗ также не распространяется. Из этого Роскомнадзор делает преждевременный, на наш взгляд, вывод об обязанности работодателя в такой ситуации направлять уведомление об обработке персональных данных (смотрите, например, информацию Управления Роскомнадзора по Кировской области от 06.04.2012). Вместе с тем перечень исключений, предусмотренных частью 2 ст. 22 Закона N 152-ФЗ, не ограничивается лишь тем, которое приведено в пункте 1. Так, в частности, работодателям в данной ситуации следует обратить внимание на пункт 2 ч. 2 ст. 22 Закона N 152-ФЗ, в соответствии с которым уведомление Роскомнадзора не требуется также и в случаях, когда персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Таким образом, если условия о добровольном медицинском страховании работников, о перечислении заработной платы на указанный работником счет предусмотрены трудовым договором, то сама по себе передача работодателем необходимых для исполнения таких условий персональных данных работников третьим лицам не свидетельствует о необходимости уведомления Роскомнадзора об обработке персональных данных. Однако избежать такой обязанности даже в этом случае можно, только если такая передача персональных данных происходит с согласия работника, несмотря на тот факт, что такое согласие не является обязательным для признания передачи персональных данных в рассматриваемом случае правомерной (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).
Кроме того, в соответствии с п. 8 ч. 2 ст. 22 Закона N 152-ФЗ не требуется уведомление об обработке персональных данных без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Согласно п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение), обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. При этом обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения). Указанный нормативный акт также устанавливает требования к порядку такой обработки персональных данных.
Следует обратить внимание, что каждое из приведенных исключений является самостоятельным обстоятельством, обуславливающим отсутствие у работодателя необходимости по уведомлению Роскомнадзора об обработке персональных данных. Иными словами, если, например, работодатель ведет обработку персональных данных с использованием средств автоматизации, но делает это исключительно в соответствии с трудовым законодательством, то уведомление не требуется (постановление Четвертого арбитражного апелляционного суда от 01.10.2012 N 04АП-3907/12). Верно и обратное: если даже работодатель ведет не предусмотренную трудовым законодательством обработку персональных данных, но без применения средств автоматизации, уведомление также не требуется. При этом в отношении различной обрабатываемой работодателем информации могут применяться различные основания для ее исключения из состава тех персональных данных, об обработке которых работодатель должен уведомлять Роскомнадзор. Так, работодатель может одновременно вести автоматизированную обработку персональных данных на основании трудового законодательства и неавтоматизированную обработку иных персональных данных - в этом случае уведомление Роскомнадзора также не требуется (определение Владимирского областного суда от 20.01.2015 N 33-139/2015).
Если же обработка работодателем персональных данных не подпадает ни под одно из исключений, приведенных в части 2 ст. 22 Закона N 152-ФЗ, работодателю необходимо уведомить Роскомнадзор об обработке персональных данных. Уведомление должно отвечать требованиям, предусмотренным частью 3 ст. 22 Закона N 152-ФЗ. Форма уведомления содержится в Приложении 2 к Административному регламенту Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных", утвержденному приказом Министерства связи и массовых коммуникаций РФ от 21.12.2011 N 346 (смотрите также рекомендации Роскомнадзора от 29.01.2016 по заполнению данной формы).
Если случаи обработки работодателем персональных данных все же подпадают под исключения, предусмотренные частью 2 ст. 22 Закона N 152-ФЗ, необходимо учесть, что на сегодняшний день в судебной практике не сформировалось единого мнения по вопросу о том, обязан ли работодатель в такой ситуации отвечать на требование Роскомнадзора о направлении уведомления. Согласно ч. 4 ст. 20 Закона N 152-ФЗ оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса. Ссылаясь на данную норму, некоторые суды приходят к выводу о наличии в действиях работодателя, полностью проигнорировавшего запрос Роскомнадзора, состава административного правонарушения, предусмотренного ст. 19.7 КоАП РФ, даже в том случае, если работодатель не обязан был направлять в Роскомнадзор уведомление об обработке персональных данных (смотрите, например, постановление Калужского областного суда от 27 сентября 2012 г., решение Центрального районного суда г. Тюмени Тюменской области от 23.06.2014 N 12-325/2014, решение Фрунзенского районного суда г. Владивостока от 18.04.2013 N 12-304/2013, решение Волгодонского районного суда Ростовской области от 23.09.2014 N 12-268/14, решение Октябрьского районного суда г. Мурманска по делу N 12-21/2011, решение Крымского районного суда Краснодарского края от 02.09.2015 N 12-110/2015). Существует, однако, в судебной практике и такой подход, согласно которому в таком случае работодатель не обязан направлять какой-либо ответ в Роскомнадзор (решение Амурского городского суда Хабаровского края от 19.08.2013 N 12-73/2013, решение Таганрогского городского суда Ростовской области от 20.03.2015 N 12-114/2015, решение Центрального районного суда г. Сочи от 02.03.2012 N 12-40/2012). Тем не менее наиболее безопасным для работодателя в такой ситуации представляется направление Роскомнадзору ответа с указанием на то, что оператор в данном случае имеет право на обработку персональных данных без уведомления данного органа со ссылкой на соответствующие основания, предусмотренные законом. Направление оператором такой информации рассматривается судами как надлежащий ответ на запрос Роскомнадзора (постановление Семикаракорского районного суда Ростовской области от 17.02.2015 N 12-4/2015, решение Майкопского городского суда Республики Адыгея от 01.11.2012 N 12-237/2012).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Сутулин Павел

Ответ прошел контроль качества

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. Для получения подробной информации об услуге обратитесь к обслуживающему Вас менеджеру.

────────────────────────────────────────────────────────────────────────
*(1) По данному вопросу рекомендуем Вам также ознакомиться со следующим материалом, размещенным в сети "Интернет": Шмелев П.В. Оператор персональных данных - кто он? // http://www.secur.ru/article.php?id_catalog=13&id_position=176.

Не могу найти в 152-ФЗ этого требования.

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее - ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ :

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных - это государственный или муниципальный орган, юридическое или физическое лицо, которое:

• самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
• определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работает с ПД и несет ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД - повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

• проводить разъяснительную работу с субъектом ПД, а также получать его предварительное согласие на обработку личной информации;
• публично представлять политику в отношении обработки ПД;
• обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения;
• уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели;
• блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя).

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются организации и частные лица, которые имеют дело с информацией, которая:

• собирается и хранится в соответствии с трудовым законодательством;
• получена исключительно для оказания услуг связи по заключенному договору, она не распространяется и не предоставляется третьим лицам без согласия субъекта ПД;
• относится к членам (участникам) общественного объединения или религиозной организации для достижения целей, предусмотренных их учредительными документами;
• сделана субъектом ПД общедоступной;
• включает в себя только фамилии, имена и отчества субъектов ПД;
• необходима для оформления однократного пропуска на территорию организации;
• включена в системы со статусом государственных автоматизированных информсистем, а также в государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатывается без использования средств автоматизации (компьютера);
• обрабатывается для обеспечения безопасного функционирования транспортного комплекса.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. То есть работодатели, компании, оказывающие услуги связи, религиозные организации, лица, получающие ПД только для исполнения договоров, и многие другие уведомлять о сборе и обработке ПД не должны. Те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

• полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
• цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
• категории ПД, которые будут обрабатываться;
• субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
• основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
• описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
• сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
• информация о шифровальных (криптографических) средствах;
• дата начала, а также условия и сроки прекращения обработки ПД;
• сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
• сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатные.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 до 75 тысяч рублей, а для ИП - от 5 до 20 тысяч рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим - от 3000 до 5000 рублей.