Кто должен сообщить в Роскомнадзор о сборе данных

Кто обязан информировать Роскомнадзор

Роскомнадзор ведет реестр всех действующих операторов персданных. Указанный реестр является открытым и общедоступным: каждый желающий может проверить, кто является оператором данных, где и когда он начал работать с персональной информацией.

Соответственно, каждый оператор обязан состоять в этом реестре. Сведение об операторе данных Роскомнадзор вносит на основании полученного уведомления. Кто должен сообщить о себе Роскомнадзору как об операторе персданных? Все, кто так или иначе работает с личной информацией граждан. Личными являются такие сведения как ФИО, телефон/email, адрес проживания, место работы и т. д. Данную информацию используют:

• все работодатели без исключения (даже если нанят всего один сотрудник и это директор);
• компании/предприниматели, имеющие службу доставки или пропускной режим (даже если выдан один единственный пропуск, где указано только ФИО клиента);
• иные лица, подписавшие с гражданами договоры (даже если эти граждане выразили свое согласие на распространение персональной информации).

Таким образом, оператором может быть признано и юрлицо (не только ООО/АО, но даже НКО), и предприниматель (ИП), и самозанятый. Являются операторами и компании, которые предоставляют свои облачные хранилища и программы для хранения персданных.

Все указанные лица должны проинформировать Роскомнадзор о факте работы с личной информацией граждан.

Кто может работать с персданными без уведомления?

• Физлица, если эту информацию они используют исключительно для личных/семейных нужд.
• Те лица, чья работа с данными осуществляется полностью вручную (без использования программ и компьютеров).
• Те лица, которые обрабатывают информацию с целью обеспечения безопасности на транспорте, а также в случаях, когда такая информация уже включена в гос. системы по защите государства.

О чем нужно информировать Роскомнадзор

Каждый оператор обязан сообщить в Роскомнадзор, что он планирует работать с личной информацией граждан. То есть уведомление подается о намерениях, до начала фактической обработки данных.

Для данного уведомления предусмотрена специальная форма. Эту форму допускается заполнить как в цифровом виде, так и в бумажном. Направить сообщение в Роскомнадзор можно любым доступным способом, в том числе почтой, через официальный ресурс Роскомнадзора или через госуслуги.

Подается уведомление однократно, так как представленной информации достаточно для внесения в реестр всех необходимых сведений:

• о самом операторе;
• о том, зачем он собирает информацию, как ее использует и защищает;
• где располагаются базы данных;
• какой период обработки информации (начало–конец);
• ответственные лица.

Это важно: указать в уведомлении всю необходимую информацию можно только при наличии полного комплекта локальной документации, разработанной и утвержденной во исполнение 152-ФЗ.

Если какие-либо из указанных ранее сведений поменяются, то необходимо известить Роскомнадзор для актуализации данных в реестре (например, о смене ответственного лица, об изменении названия оператора, о расширении перечня получаемой персональной информации и т. д.). Сделать это нужно до середины следующего месяца. Уведомление заполняется по утвержденной форме.

Если оператор по какой-либо причине прекращает работать с личной информацией граждан, об этом также необходимо направить уведомление, используя соответствующую форму уведомления о прекращении работы с персданными. Отчитаться о данном факте нужно в течение 10 дней.

Также требуется срочно сообщить в Роскомнадзор о произошедшей компрометации данных:

• 24 часа дается на сообщение об утечке информации;
• 72 часа — на предоставление отчета о причинах, последствиях и нарушителях (по результатам проведенной проверки).

И, конечно же, операторы обязаны в течение 10 дней отвечать Роскомнадзору на все его запросы и требования.

Правильно заполнить формы уведомлений и проконтролировать внесение сведений в реестр помогут эксперты «Консалт-групп».

Меры ответственности операторов

С конца мая этого года ответственность операторов в сфере работы с персданными существенно возросла.

• Если раньше неуведомление о начале работы с личной информацией «стоило» юрлицам 5 тыс. руб. (см. ст. 19.7 КоАП), то теперь это уже 100-300 тысяч (см. ч.10 ст.13.11 КоАП).
• Если не сообщить об утечке сведений, то компанию/ИП оштрафуют на сумму 1-3 млн рублей, а ответственных лиц — на 400-800 тысяч (ч.11 ст.13.11 КоАП).
• За допущенную компрометацию данных (передачу третьим лицам) придется заплатить штраф до 15 млн (за биометрию — до 20 млн), а при повторном нарушении — до 3% от годовой выручки (ч.12, 15 и 17 ст.13.11 КоАП). Повторная утечка биометрии может обернуться штрафом до полумиллиарда рублей.

Есть отдельные штрафные санкции за работу с персданными без предварительного получения согласия, за отказ от публикации Политики конфиденциальности и т. д. При этом операторы обязаны также возмещать пострадавшим гражданам весь причиненный вред, материальный и моральный.

Более того, операторы, нарушающие правила работы с компьютерной информацией, подвергаются и уголовному преследованию с лишением свободы на 4- 6 лет и штрафом до 1 млн рублей (см. 272.1 УК).