регистрация в Роскомнадзоре

     Согласно Федеральному закону № 152 (ФЗ-152) «О персональных данных»   юридические лица всех организационно-правовых форм и форм собственности, а также  все физические лица (в т.ч. индивидуальные предприниматели), использующие персональные данные в своей профессиональной деятельности, обязаны подать заявление в Федеральную службу по надзору в сфере связи, информационных технологий и коммуникаций (Роскомнадзор) и зарегистрироваться в «Реестре операторов, осуществляющих обработку персональных данных».
  

Оператор персональных данных

     Согласно ФЗ-152 «оператор государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данным.»

Т.е. операторы – это любые организации, ООО, ИП и даже физические лица, которые собирают, хранят или обрабатывают персональные данные (e-mail, телефоны и пр.).

 

 Персональные данные

     В ФЗ-152 сказано, что «…персональные данные любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)…». Законодательно список персональных данных не утвержден. Но, если разобраться, то это абсолютно любые данные о человеке, по которым его можно идентифицировать. Вы смело можете приравнять себя к операторам персональных данных, если используете  данные:

  • е-mail;
  • телефон;
  • ФИО;
  • адрес;
  • дату рождения;
  • фото;
  • ссылку на персональный сайт или профиль в социальных сетях.
     Персональные данные в ФЗ-152 разделены на несколько категорий:
  • Специальные персональные данные:  касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
  • Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
  • Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.
  • Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.
     К обработке специальных и биометрических персональных данных предусмотрены особые требования.
В компаниях  обрабатываются, как минимум, персональные данные:
  • сотрудников;
  • близких родственников сотрудников;
  • кандидатов на вакантную должность;
  • клиентов.

 

Обработка персональных данных

     Согласно ФЗ-152  «…обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;…»

Достаточным основанием для выполнения требований ФЗ-152  является наличие в организации одного сотрудника (генерального директора).

     Невыполнение требований  закона влечет за собой  административную ответственность и штрафные санкции. Раньше, в статье 13.11 КоАП были предусмотрены штрафы в 10 тысяч рублей, а теперь суммы штрафов возросли в несколько раз — до 300 тысяч рублей!   В Приморье уже многие компании оштрафованы. Правда, пока штрафы минимальные. 

Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных

Требования, предъявляемые к операторам, осуществляющим обработку персональных данных, при осуществлении государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных

 

Проверьте наличие Вашей организации в «Реестре операторов, осуществляющих обработку персональных данных»  (Роскомнадзор)

 

     Если Вы не нашли свою компанию в реестре Роскомнадзора, Вам необходимо срочно заполнить уведомление на сайте Роскомнадзора самостоятельно или обратиться к нашим специалистам. Мы подадим электронное заявление в Роскомнадзор, а также отправим в Роскомнадзор оригинал почтой.

 

Стоимость регистрации (электронная + письменная) в реестре Роскомнадзора — 1 500  руб.

 

Вы испытываете затруднения при оформлении указанных выше или других документов?   Звоните: тел. +7(423)2-715-888 или пишите.  Специалисты нашей компании ООО «Русь Востока»  помогут Вам.
 

 

Что нужно ещё сделать, чтобы не получить штраф?

 

требования к сайтам

 
     В наше время трудно представить организацию, компанию, любое дело без собственного сайта. В 2017 году к сайтам были ужесточены требования со стороны Роскомнадзора.  Многие владельцы бизнеса уже столкнулись с изменениями в законе о персональных данных и получили первые штрафы.
     С 1 июля 2017 года в силу вступили изменения в 152-ФЗ «О персональных данных». Этот закон обязывает владельца сайта, занимающегося сбором и хранением информации, иметь на сайте страницу, содержащую Политику конфиденциальности и обеспечивать безопасность данных.
 

Персональные данные

     В ФЗ 152 сказано, что «…персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)…». Законодательно список персональных данных не утвержден. Но, если разобраться, то это абсолютно любые данные о человеке, по которым его можно идентифицировать. Вы смело можете приравнять себя к операторам персональных данных, если используете  данные:
  • е-mail;
  • телефон;
  • ФИО;
  • адрес;
  • дату рождения;
  • фото;
  • ссылку на персональный сайт или профиль в социальных сетях.
      Если Вы не уведомляете о сборе персональных данных и целях хранения такой информации посетителей сайта, клиентов, подписчиков, участников форума, то Вы нарушаете закон.

 

 Оператор персональных данных 

     Согласно ФЗ 152 «оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данным.»
Т.е. операторы – это любые организации, ООО, ИП и даже физические лица, которые собирают, хранят или обрабатывают персональные данные (e-mail, телефоны и пр.).
Это касается всех сайтов, на которых есть:
  • форма заказа обратного звонка;
  • форма обратной связи;
  • форма заказа товара или услуги;
  • данные систем аналитики от Яндекса, Google и др., если Вы занимаетесь таргетированной или контекстной рекламой своей компании;
  • сбор сведений о действиях пользователей на сайте для персональных предложений товаров и услуг;
  • сбор сведений о посетителях сайта, хранение их для передачи веб-разработчикам и рекламным агентствам;
  • прием онлайн оплаты.

 

Обработка персональных данных 

      Русь ВостокаСогласно ФЗ 152, «…обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;…»   Невыполнение требований  закона влечет за собой  административную ответственность и штрафные санкции. Раньше, в статье 13.11 КоАП были предусмотрены штрафы в 10 тысяч рублей, а теперь суммы штрафов возросли в несколько раз — до 295 тысяч рублей!   Если на сайте компании присутствует форма обратной связи, но нет Соглашения на обработку персональных  — организация будет оштрафована на 50 тысяч рублей. Если на сайте нет Политики конфиденциальности — готовьтесь заплатить: до 10 000 рублей  (для ИП) и до 30 000 рублей (для ООО).

 

 Что сделать ИП, ООО, физ. лицу, чтобы не получить штраф?

  1. Ваша база с персональными данными должна  быть расположена на территории Российской Федерации. Если нет, срочно переносите в Россию;
 
  1. Разработайте конкретно для Вашего сайта «Политику конфиденциальности» , содержащую описание условий сбора, хранения и обработки данных пользователей;
 
  1. Создайте отдельную страницу и разместите на ней «Политику конфиденциальности». Под каждой формой сбора данных на своем сайте поставьте следующий текст: «Нажимая на кнопку, Вы даете согласие на обработку своих персональных данных». Здесь же сделайте ссылку на Пользовательское соглашение, договор и, конечно, Согласие на обработку персональных данных. Для размещения данных документов вполне подойдет и подвал сайта;
 
  1. Вы должны уведомить новых посетителей Вашего сайта о том, что собираете метаданные: cookie, данные об IP-адресе и местоположении. Вы должны дать посетителю выбор: если он не хочет раскрывать свои данные, то пусть лучше покинет сайт прямо сейчас.
 
  1. Подайте уведомление о внесении Вашей компании в реестр операторов персональных данных. Распечатайте уведомление в двух экземплярах, один из них пошлите по почте в Роскомнадзор. Все — Вы стали оператором персональных данных.
 
  1. Проверьте, есть ли Вы в списке операторов  на сайте  Роскомнадзора.
Специалисты Роскомнадзора ответили на самые частые вопросы субъектов персональных данных.
 
 
Не нужно подавать уведомление в Роскомнадзор, если:
 
  • Вы используете персональные данные только в рамках требований трудового законодательства и не передаете их даже в банк, например, для оформления з/п проекта;
  • с каждым клиентом или работником заключаете Согласие на обработку персональных данных и не  передаете из данные третьим лицам.
  • обрабатываете персональные данные только на бумажных носителях.

 

 Стоимость:
— разработка Политики конфиденциальности для Вашего сайта    1000 руб.
— разработка  Пользовательского соглашения для Вашего сайта    1000 руб.

 

Если Вы испытываете затруднения при оформлении указанных выше или других документов,  звоните: тел. +7(423)2-715-888 или пишите.  Специалисты нашей компании ООО «Русь Востока»  помогут Вам.
 
 Что нужно ещё сделать, чтобы не получить штраф?

 

документация по защите персональных данных

     Если на данный момент  Ваша компания не зарегистрирована в «Реестре операторов, совершающих обработку персональных данных» в  Роскомнадзоре,  не разработан и  не внедрен пакет документов по защите персональных данных, Вы не можете законно продолжать свою деятельность. При получении уведомлений или запросов от контролирующих органов (Роскомнадзор, Государственная Инспекция Труда) или во время  внеплановой проверки на предмет невыполнения Вами требований ФЗ-152,   при отсутствии необходимой документации,  Вашей компании будет вынесено предупреждение и наложен штраф. Размер штрафа, в зависимости от количества выявленных нарушений, предусмотрен Законодательством  до 300 000 руб. с возможным приостановлением деятельности предприятия до 90 суток (блокировка расчетного счета).

Основные требования ФЗ-152

1. Разработка пакета организационно-распорядительной документации.

Операторы персональных данных должны иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. (ст. 18.1). Законодательно такой перечень не утвержден, поэтому каждый оператор персональных данных составляет их самостоятельно.
Юристы нашей компании «Русь Востока» разработали пакет необходимой документации, соответствующий требованиям ФЗ-152.

 

2. Организация работы с персональными данными в соответствие с требованиями ФЗ-152.

Персональные данные необходимо правильно собирать, обрабатывать и передавать.
Со всеми физическими лицами, у которых Вы собираете персональные данные (например, через сайт клиента),  должен быть заключен договор или взято согласие на их обработку.
С каждым контрагентом, которому Вы передаете, предоставляете в доступ (например,  другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.
Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.
В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

 

3. Обеспечение технической защиты персональных данных в информационных системах.

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.
Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.
После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.
Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.

 

4. Проверка местонахождения Ваших баз с персональными данными.

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации. Поэтому проверьте местонахождение Ваших информационных баз, т.е. уточните, где географически находятся  сервера. Если за рубежом, срочно переносите в Россию.
О месторасположении баз данных необходимо уведомить Роскомнадзор. Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.

 

Кем проверяется выполнение требований закона?

Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.
ФСТЭК России. Проверяет выполнение требований по технической защите.
ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.
Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.
Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.
При проверке локализации баз персональных данных Роскомнадзор  запрашивает договор с российским хостинг-провайдером.
Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?
Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.

 

Основные риски при невыполнении закона

По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.
Основные риски:
С 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.
С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

 

Выполнить требования ФЗ-152 можно:

  • собственными силами;
  • привлечь специалиста нашей компании ООО «Русь Востока».

 

Выполнение закона собственными силами
Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации. На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у Вас или Вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.

 

Выполнение закона с помощью специалиста юридической компании:
  • мы проведем цикл работ по анализу Вашей компании,  разработке необходимой документации, адаптированной под Вашу организацию;
  • в разработке пакета документации по ФЗ-152  «О персональных данных»  будут участвовать несколько специалистов нашей компании ООО «Русь Востока», знающие сам закон,  подзаконные акты, умеющие регламентировать технические моменты, обладающие знаниями по информационной безопасности, имеющие опыт работы с Роскомнадзором;
  •  Вы сможете предоставлять клиентам, партнерам (особенно иностранным)  не только учредительные документы, но и документы по персональным данным, чтобы подтвердить Вашу законопослушность, деловую репутацию;
  • наши специалисты ответят на все Ваши вопросы по выполнению требований законодательства в области персональных данных;
  • наши специалисты проверят подготовленные документы для максимальной их персонализации под клиента;
  • ООО «Русь Востока» предоставляет финансовую гарантию на качество подготавливаемых  документов и помощь в прохождении проверок Роскомнадзора;
  • Ваши нервы и репутация останутся  в порядке: Вы соблюдаете требования законодательства, избегаете штрафов и не боитесь проверок и уведомлений Роскомнадзора.

 

Стоимость разработки пакета организационно-распорядительных  документов для выполнения ФЗ-152 «О персональных данных» (33 документа)   — 9 800 руб.

Стоимость полного комплекса документации: регистрация компании в Роскомнадзоре, пакета организационно-распорядительных документов (33 документа), разработка Политики конфиденциальности и Пользовательского соглашения    12 000 руб.

Звоните: тел. (423)2715-888 или пишите, наши специалисты помогут Вам!    

Какой способ Вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.