Les activités de toute organisation impliquent inévitablement le traitement de données personnelles dans un système d'information (ISPD). Toute entreprise qui utilise des informations confidentielles sur ses employés, clients, partenaires et autres personnes est tenue de s'enregistrer en tant qu'opérateur de données personnelles.

Procédure de conservation et de protection des données personnelles

L'organisation de la protection des informations confidentielles se déroule en plusieurs étapes :

• Vérifier les premiers travaux sur les traitements de données personnelles (révision du cadre réglementaire local, analyse des flux d'informations sur les données personnelles et de l'ISPD en général, identifier les manquements et les menaces sur la sécurité du système d'information, faire des propositions de correction des manquements, améliorer les systèmes de protection des données).
• Développement d'un cadre réglementaire pour la protection des données personnelles. Cette étape comprend la classification de l'ISPD et l'enregistrement en tant qu'opérateur de données personnelles à Roskomnadzor.
• Conception d'un système de protection des données personnelles - sélection de méthodes, mesures et classes de moyens de protection des données personnelles, élaboration d'une documentation technique pour la création d'un système de protection des données, ainsi que l'élaboration de mesures spécifiques pour protéger les informations dans chaque protection des données spécifique système.
• Mise en œuvre de PDPD – mise en service des systèmes de protection PD et configuration des systèmes de protection ISPD existants.
• Évaluation de la conformité à l'ISPD, dans le cadre de laquelle des tests d'évaluation de l'ISPD sont effectués et le certificat correspondant est délivré.

L'inscription en tant qu'opérateur de données personnelles au registre de Roskomnadzor fait partie du processus global d'organisation du traitement et de la protection des données personnelles.

Étapes d'enregistrement d'un opérateur ISPDn à Roskomnadzor

L'enregistrement d'un opérateur ISPDn comprend les étapes suivantes :

• Élaboration et adoption d'un cadre réglementaire pour le traitement et la protection des données personnelles.
• Remplir le formulaire de notification de l'intention de traiter des données personnelles sur le site Internet de l'organisme territorial de Roskomnadzor.
• Envoi d'une notification au système d'information de l'organisme habilité pour la protection des droits des personnes concernées.
• Imprimez le formulaire complété avec les signatures.
• Envoi d'un formulaire imprimé de notification à l'organisme territorial approprié de Roskomnadzor au lieu d'enregistrement de l'opérateur.

Nous vous invitons à préparer les documents nécessaires à l'inscription en tant qu'opérateur de données personnelles via notre service en ligne. Cette page contient des lois, instructions, règlements, journaux, avis et autres documents.

Souvent utilisé avec ce modèle : Lettre d'information relative à la modification des informations figurant dans le registre des opérateurs traitant des données personnelles Consentement au transfert de données personnelles à des tiers Liste des données personnelles soumises à la protection dans ISPDn Protection des données personnelles dans les établissements d'enseignement

Documents et procédures populaires :

Enregistrement d'un opérateur de données personnelles à usage interne

point 4 - chaque personne morale doit le faire. personne physique ou entrepreneur individuel, s'il s'agit du traitement de données personnelles d'employés et de clients ?

Nous sommes une entreprise qui a créé et discute d'un système où les données personnelles des clients du client sont présentes, un ensemble de ces documents ne nous convient pas, il est plus adapté lorsque l'employeur traite les données de ses salariés, mais le la même chose n’est pas tout à fait vraie.

Bonjour! J'ai quelques questions sur la configuration des modèles. 1) Veuillez me dire comment configurer les modèles du système ISPD afin de classer le système sous les menaces actuelles de type 1 et la nécessité d'assurer le 1er niveau de sécurité. Dans ce cas, les modèles proposés seront-ils cohérents entre eux ? 2.) Est-il possible de pré-remplir tous les documents du système (28 documents) avec les données initialement saisies (nom de la personne morale, catégorie de données personnelles), ou doivent-ils être saisis à chaque fois lors du remplissage d'un document système distinct ?

Veuillez préciser quel est le niveau minimum possible de sécurité PD qui peut être créé sur la base de vos modèles ? (nous souhaitons minimiser les coûts du système. Les données personnelles des employés et des sous-traitants seront traitées. Nous ne traitons pas de catégories particulières de données personnelles et de données biométriques)

Bonjour! Nous souhaitons utiliser le mécanisme de maintenance et d'enregistrement des tâches dans le cadre des tâches de travail de nos employés, en enregistrant un compte (compte personnel) avec le nom de l'employé (nom d'utilisateur) et en fournissant un identifiant unique (login) et un mot de passe pour cet enregistrement. , comme recommandé dans votre modèle « Règlement » propriété intellectuelle", clause 6.2. Parallèlement, l'article 6.4 du Règlement sur la propriété intellectuelle mentionné stipule que toutes les adresses e-mail d'entreprise et tous les identifiants ou noms d'utilisateur dans les Outils Logiciels sont indiqués dans un document interne spécial approuvé par le Directeur Général de la Société, qui est mis à jour et apporté à l'attention de tous les employés de la Société en cas de nécessité, c'est-à-dire. les données sont divulguées à d'autres personnes. Veuillez clarifier les questions suivantes : 1.) les données du compte (compte personnel) avec le nom (nom d'utilisateur) de l'employé et un identifiant unique (login) et un mot de passe de l'employé dans le système interne appartiennent-elles à des données personnelles (et si oui, à quoi catégorie) Opérateur, adresse e-mail de l’employé dans le système interne de l’Opérateur ? 2.) si ces données concernent des données personnelles, leur utilisation dans vos modèles ISPD présentera-t-elle des caractéristiques spécifiques (cela impliquerait-il la nécessité d'acheter des outils de protection cryptographique, etc.) ?

Bonjour! Selon la loi, il n'est pas nécessaire d'informer le régulateur lors du traitement de données personnelles traitées conformément au droit du travail. Qu’en est-il des candidats qui ne sont pas embauchés ? Leurs données demeurent, a-t-on le droit de les stocker sans en avertir le régulateur ? Par exemple, si le candidat n'a pas réussi la période d'essai (il y a ici une relation de travail évidente). Ou, par exemple, n’a-t-il même pas été autorisé à passer le test ? Nous n'avons tout simplement pas besoin de ces données aujourd'hui, mais demain nous créons un profil, invitons une personne et l'embauchons. Serait-ce la disposition de l'article 86 du Code du travail dans la partie « le traitement des données personnelles d'un salarié ne peut être effectué que dans le but d'assurer le respect des lois et autres réglementations, d'aider les salariés à trouver un emploi » et, par conséquent, peut être effectuée à l'insu du régulateur ?

Bonjour. L'ensemble des documents relatifs au traitement des données est-il destiné aux employés ou aux sous-traitants ?

Avez-vous besoin de remplir des documents en ligne ou après téléchargement uniquement dans WORD ?

Bonjour! Si vous traitez les données personnelles de vos collaborateurs ou clients, alors il est impératif de les protéger. Il est nécessaire d'élaborer l'ensemble correct des réglementations locales présentées dans la procédure, ainsi que de prévoir des mesures techniques, si le traitement est effectué de manière automatisée ou partiellement automatisée, et organisationnelles. La seule exception concerne la soumission d'une notification à Roskomnadzor pour l'enregistrement en tant qu'opérateur de données personnelles. Toutes ces exceptions sont prescrites à l'article 22, paragraphe 2 du 152-FZ. Les exceptions les plus courantes sont le traitement des données personnelles des salariés dans le cadre du droit du travail, le traitement des données personnelles des clients dans le cadre de l'exécution d'un contrat (par exemple, pour livrer des marchandises à un client, vous devez connaître son adresse, les détails de son passeport).

Bonjour! Selon le paragraphe 2 de l'art. 3 de la loi n° 152-FZ, par opérateur de données personnelles, on entend notamment une personne morale qui, de manière indépendante ou conjointement avec d'autres personnes, organise et (ou) effectue le traitement de données personnelles. Le traitement des données personnelles désigne toute action (opération) ou ensemble d'actions (opérations) effectuée à l'aide d'outils d'automatisation ou sans l'utilisation de tels outils avec des données personnelles, y compris la collecte, l'enregistrement, la systématisation, l'accumulation, le stockage, la clarification (mise à jour, modification), extraction, utilisation, transfert (diffusion, mise à disposition, accès), dépersonnalisation, blocage, suppression, destruction des données personnelles (clause 3 de l'article 3 de la loi n° 152-FZ). Ainsi, si, lorsque vous effectuez des travaux de maintenance du site , vous effectuez une ou une ou une combinaison des actions énumérées ci-dessus - conformément à la loi, vous êtes l'exploitant des données personnelles, avec toutes les responsabilités qui en découlent. La loi ne fait pas d'exception pour les opérateurs qui n'ont pas collecté de données personnelles directement auprès des sujets, mais ont reçu des données personnelles d'un autre opérateur. Opérateur – celui qui effectue le traitement, c'est-à-dire toute personne exerçant au moins l'une des activités prévues à l'art. 3 actions de la loi fédérale n° 152 avec PD. Et dans ce cas, nous vous recommandons de suivre la procédure : http://www..Merci d'utiliser le service !

Bonjour! Vous devez répondre aux questions du questionnaire sur le côté gauche de la page - un ensemble de documents nécessaires sera généré automatiquement. Si la valeur saisie dans un document est identique à un autre document du package général, alors elle sera automatiquement renseignée dans ce document. Les modèles de documents conviennent pour assurer le 1er niveau de sécurité des données personnelles. Nous attirons votre attention sur le fait qu'outre l'élaboration de la documentation, il est également nécessaire d'élaborer et de mettre en œuvre des mesures techniques de protection. La composition et le contenu de ces mesures « de base » sont définis dans l'arrêté FSTEC n° 21 du 18 février 2013 « portant approbation de la composition et du contenu des mesures organisationnelles et techniques visant à assurer la sécurité des données personnelles lors du traitement dans les systèmes d'information sur les données personnelles. ." Merci d'utiliser notre service !

voir la réponse ci-dessous

Bonjour Les données personnelles sont toute information permettant d'identifier avec précision une personne (au sens de la loi fédérale n° 152-FZ du 27 juillet 2006 « sur les données personnelles »). Dans ce cas, les adresses e-mail et identifiants individuels d'entreprise ou les noms d'utilisateur sont des données personnelles des salariés qui sont nécessaires à l'employeur dans le cadre des relations de travail, ce qui n'entraîne pas en soi l'application spécifique d'un régime de protection particulier (sous réserve du respect des exigences établies par le chapitre 14 du Code du travail de la Fédération de Russie). Nous vous recommandons de vous familiariser avec la procédure située sur le lien : http://www.. Merci d'utiliser notre service !

Bonjour. L'employeur a le droit, sans en informer Roskomnadzor, de traiter les données personnelles des candidats à des postes, de sauvegarder leurs curriculum vitae, en constituant à la fois une base de données papier et électronique des candidats, s'ils ont leur consentement écrit. Cette conclusion est basée sur le fait que, selon l'article 1, partie 2, art. 22 de la loi fédérale du 27 juillet 2006 n° 152-FZ "sur les données personnelles", sans en informer l'organisme autorisé, les données traitées conformément à la législation du travail peuvent être traitées. Les données personnelles des candidats peuvent être stockées dans la base de données du l'employeur, s'il est donné par écrit, le consentement du candidat et la durée de ce stockage sont indiquées. Quant aux anciens employés (comme ceux qui n'ont pas réussi le test), nous pensons que si le Code du travail de la Fédération de Russie ou d'autres lois n'imposent pas à l'employeur l'obligation de traiter les données des anciens employés, alors ce traitement devrait être effectué uniquement avec notification du Roskomnadzor (sauf s'il existe d'autres motifs pour le traitement des données personnelles sans dépôt de notifications, par exemple le traitement des données personnelles sans l'utilisation d'outils d'automatisation). Nous vous recommandons de clarifier ce problème avec l'organisme autorisé. Merci pour votre requête.

22 Article 152-FZ lu. Mais comme nous n'entrons pas de relations de travail avec tous les candidats dont nous collectons les données personnelles (nous les acceptons pour des tests ou au moins les invitons à des entretiens), Roskomnadzor doit encore être informé dans ce cas.

Bonjour. Le traitement des données personnelles des candidats est également effectué dans le cadre de la législation du travail. Selon la position de la quatrième cour d'appel d'arbitrage, la base prévue au paragraphe 1 de la partie 2 de l'art. 22 de la loi fédérale n° 152-FZ du 27 juillet 2006 « sur les données personnelles » s'applique également aux activités de sélection du personnel (Résolution n° 04AP-127/2018 du 7 février 2018 dans l'affaire n° A19-17054/2017). Cela est dû au fait que la législation du travail est régie non seulement par le Code du travail de la Fédération de Russie, mais également par d'autres réglementations. Ainsi, la loi fédérale n° 1032-1 du 19 avril 1991 « sur l'emploi dans la Fédération de Russie » stipule que les employeurs promeuvent la politique de l'emploi, notamment par l'emploi. Nous pensons que le consentement écrit du demandeur pour conserver certaines de ses données pendant la durée spécifiée dans le consentement sera suffisant pour se conformer à la loi en la matière. Il n'est pas nécessaire d'en informer Roskomnadzor. Cependant, afin d'éviter des litiges, nous vous recommandons de clarifier cette question avec l'organisme habilité. Merci pour votre requête.

Merci! J'ai lu la décision du tribunal. C'est une question délicate. Cette décision de justice suggère que la position de Roskomnadzor est de notifier, mais l'administration de la région d'Irkoutsk, ainsi que l'appel, s'est rangée du côté de la personne morale. Compte tenu de la position bien connue de Roskomnadzor, on ne sait pas si les AS de notre région prendront notre parti. C'est pourquoi nous avons envoyé une lettre avec une question.

Bonjour. Merci pour votre réponse. Il serait intéressant et utile de voir le résultat de votre message sur notre page de discussion. Cordialement, société FreshDoc.

Je ne manquerai pas de publier comment ils répondent ! Vos conseils m'ont beaucoup aidé à élaborer une position juridique sur cette question)

A écrit. Que pensez-vous qu’ils ont répondu ? Rien! C'est bien sûr, ont-ils répondu, mais pour rien. L'essence de la lettre se résume au fait que c'est à vous de soumettre ou non un avis. Je voulais m’assurer qu’en cas de vérification j’aurais leur réponse, mais ça n’a pas marché. Et se cacher derrière une décision de justice dans une autre région. Nous n'avons pas encore un système juridique anglo-saxon, mais un système continental, et pour moi la principale conclusion du raisonnement de la décision de justice est la vision de Roskomnadzor, et notre tribunal régional sera-t-il de notre côté, comme il l'était à Irkoutsk, inconnu

Bonjour. Merci pour votre réponse. La présence d'une réponse de Roskomnadzor ne constitue pas une protection garantie contre les poursuites. Pour le tribunal, l'avis du ministère, quel qu'il soit, n'est pas non plus déterminant. Nous vous recommandons de vous forger votre propre opinion motivée et, si possible, d'obtenir des décisions judiciaires adaptées au cas. Cordialement, société FreshDoc.

Dans tous les cas, qu'il y ait une notification ou non, tout opérateur doit se conformer aux exigences des articles 18.1, 19 de la loi fédérale n° 152 lors du traitement des données personnelles : nommer une personne responsable, élaborer et approuver une politique et une réglementation sur les données personnelles. , etc. De plus, Roskomnadzor effectue des inspections programmées auprès de tous les opérateurs, et pas seulement auprès de ceux inscrits dans le registre de Roskomnadzor conformément à la notification.

Bonjour. Oui, il appartient à l'opérateur PD de prendre les mesures nécessaires et suffisantes pour assurer le respect des obligations prévues par la loi fédérale du 27 juillet 2006 n° 152-FZ « sur les données personnelles », quelle que soit leur présence/ absence dans le registre des opérateurs (envoi d'une notification à Roskomnadzor). Parallèlement, afin de remplir les exigences prévues à l'art. 22 Loi fédérale du 27 juillet 2006 n° 152-FZ « Sur les données personnelles », l'opérateur, avant de commencer le traitement des données personnelles, est tenu d'informer Roskomnadzor de son intention de traiter les données personnelles, faute de quoi il s'expose à une amende en vertu de l'art. . 19.7 Code des infractions administratives de la Fédération de Russie.

Bonjour. L'éventail des sujets de données personnelles est établi dans la section 3 « Données personnelles traitées dans l'ISPD » du Règlement sur le traitement et la protection des données personnelles, qui est inclus dans l'ensemble des documents et peut être consulté sur le lien https:// www.site/?oid=7086347. Il établit notamment que les données des sujets suivants sont traitées : les employés de l'Opérateur ; actionnaires/fondateurs de l'Exploitant, personnes liées aux salariés, actionnaires, fondateurs (enfants bénéficiant d'une pension alimentaire, épouses, etc.) ; les clients (consommateurs des services de l’Opérateur) ; entrepreneurs individuels - contreparties de l'Opérateur ; clients des organisations, contreparties de l'Opérateur (au service des entreprises clientes). Il est également établi que cette liste pourra être révisée. Merci de nous avoir contactés.

Vous pouvez remplir les documents directement sur le site Internet.

Ce portail a été créé pour fournir aux citoyens des informations sur les activités de Roskomnadzor dans divers domaines. De plus, via ce site Web, il est facile d'accéder à tout autre processeur de données.

Ce que c'est

Le portail de données personnelles de Roskomnadzor est un outil qui permet un contrôle approfondi à la fois des citoyens ordinaires, des entrepreneurs individuels et des organisations commerciales. Toute entreprise traitant des données personnelles doit d'abord s'inscrire auprès de Roskomnadzor, et ensuite seulement commencer les activités pertinentes.

À quoi sert-il

Toute information pouvant être utilisée pour identifier une personne spécifique est considérée comme une information personnelle.. Le portail est nécessaire pour permettre aux utilisateurs d'interagir plus facilement avec les opérateurs qui traitent toutes les données et effectuent diverses actions à cet effet.

Vous pouvez également signaler à l'organisation de surveillance elle-même si des violations sont identifiées. Dans ce cas, des sanctions appropriées sont appliquées.

Qui peut utiliser

Un portail spécialisé fonctionne dans le domaine public. Ainsi, tout citoyen peut profiter de ses capacités et des informations publiées. Il suffit de saisir le nom de l'opérateur qui vous intéresse ou d'utiliser son NIF. Le résultat de la recherche sera des informations relatives à un acteur du marché particulier.

Registre des opérateurs

Les informations personnelles peuvent inclure un grand nombre de phénomènes, notamment:

1. Adresse e-mail.
2. Une description précise de votre lieu de résidence actuel.
3. Numéros de téléphone portable.
4. Informations provenant des certificats.
5. Nom complet du citoyen.

Toute information relative à une personne en particulier peut être considérée comme personnelle. Dans certains cas, votre nom complet et votre numéro de voiture suffisent pour vous identifier. Dans d'autres circonstances, une adresse d'enregistrement et des informations sur le permis de conduire sont requises.

1. Ils traitent les données personnelles de manière indépendante ou font équipe à cette fin avec d'autres personnes.
2. Ils déterminent eux-mêmes les opérations avec les données, leur composition et les objectifs du travail.

Sera considéré comme opérateur toute personne qui utilise des données personnelles et envoie des demandes pertinentes. Ces sociétés opèrent dans tous les domaines. Ce sont les données les concernant qui sont inscrites au registre. Les clients peuvent étudier eux-mêmes le NIF et la documentation relative aux permis et ainsi de suite.

Vidéo montrant comment s'inscrire au registre des opérateurs de traitement de données personnelles de Roskomnadzor.

inscription sur le site

L'inscription sur le portail n'est pas obligatoire, toutes les informations sont accessibles au public, aucune action supplémentaire n'est requise. Il en va de même pour divers documents consacrés à la protection des informations des visiteurs.

Interface, utilisation

Il n'y a rien de compliqué ici. Le bouton de recherche du registre est situé tout en haut de la page principale du portail. Dans cette ligne, vous saisissez toutes les données connues pour une entreprise particulière. Juste en dessous se trouve un lien avec une recherche avancée. Autrement dit, vous pouvez saisir non seulement le nom, mais également le NIF et le numéro d'enregistrement, si disponibles.

Réglementation réglementaire

Régule les activités de Roskomnadzor liées au contrôle de la mise en œuvre de la législation sur les données personnelles des citoyens. Mais le texte de l'article lui-même ne contient pas le nom exact de l'organisme investi des pouvoirs concernés. Par conséquent, il est également permis d'utiliser comme support le décret du gouvernement de la Fédération de Russie n° 228 « Sur le registre des personnes licenciées pour perte de confiance », publié en 2009. C'est dans ce texte que les pouvoirs sont attribués spécifiquement à Roskomnadzor.

Selon la loi, les représentants de cette institution ont les pouvoirs et droits suivants:

1. Indépendant engageant la responsabilité administrative lorsque des violations liées aux données personnelles sont détectées.
2. Faire appel aux forces de l'ordre et aux tribunaux afin de protéger les intérêts des citoyens. La même chose peut être faite si des violations sont détectées.
3. Restriction de l'accès à l'information en présence de violations de la part de l'opérateur. Ou émettre des demandes avec des demandes de blocage, de destruction ou de clarification de certaines informations.
4. Demande d'informations relatives au traitement des données personnelles.

Effectuer des inspections par Roskomnadzor

Il existe des réglementations spéciales pour de tels événements. Il a été approuvé par l'arrêté pertinent du ministère des Communications n° 312 de 2011. L'article 32 de ce règlement est consacré aux situations où des contrôles programmés doivent être effectués concernant les opérateurs :

1. Lorsqu’une entreprise commence tout juste à traiter des données personnelles.
2. Trois ans se sont écoulés depuis l'inspection précédente. Ou dès le début de l’activité.

L'organisation doit être informée du prochain contrôle au moins 3 jours avant l'organisation effective de l'événement.

Roskomnadzor a le droit de procéder à des inspections imprévues. Par exemple, s'il y a des demandes de citoyens et d'autres organisations concernant des violations de droits. Ou lorsqu'il existe une menace pour la vie ou la santé. Dans ce cas, la notification doit être reçue 24 heures avant l'événement.

Selon les résultats de l'inspection, des spécialistes rédiger l'acte correspondant. En cas de violations, celles-ci sont décrites en détail dans le document d'accompagnement. Les personnes responsables de certaines violations doivent être indiquées. Une description des fondements juridiques permettant de demander des comptes aux citoyens ou aux entreprises est fournie.

Lorsque le consentement au traitement des données est requis

Le traitement des informations ne peut être effectué que si le propriétaire précédent donne son consentement ou lorsqu'il existe d'autres motifs juridiques. Chaque cas individuel est considéré individuellement:

1. Dans le secteur du logement et des services communaux, le consentement des résidents n'est pas requis lorsque les sociétés de gestion engagent des agents payeurs pour payer l'utilisation des services.
2. Certaines situations nécessitent une autorisation écrite. Cela est particulièrement vrai pour des catégories particulières de données personnelles. Par exemple, lorsqu’il s’agit d’informations biométriques.

Responsabilité des violations

- le document principal qui, jusqu'à récemment, prévoyait des sanctions pour les violations dans ce domaine. Les personnes morales s'exposent à des amendes de 5 000 à 10 000 roubles ou à un avertissement émis par les autorités compétentes.

Pour identifier les violations, des mesures de contrôle ont été mises en œuvre sous forme d'inspections. Concernant les violations, des messages spéciaux ont été envoyés aux représentants du parquet. Si la demande est approuvée, une procédure judiciaire est organisée.

Mais récemment, la situation a changé. Aujourd’hui, les lois ont commencé à décrire plus en détail les procédures pertinentes. Les changements concernent les domaines suivants:

1. Augmentation des amendes.
2. L'émergence de pouvoirs permettant d'établir des protocoles et d'engager des poursuites sans recourir au parquet.

À propos de l'inscription en tant qu'opérateur

Cet événement n'est pas obligatoire pour les catégories suivantes de la population et des acteurs du marché:

1. Entreprises demandant des données, par exemple, pour acheter des billets. Cela s'applique à tous les transporteurs opérant en ligne.
2. Ceux qui traitent les données sans recourir à la technologie informatique.
3. Systèmes ayant reçu le statut de systèmes d'information automatisés de l'État. Ou des organisations créées pour protéger la société et l’ordre.
4. Toutes les entreprises disposant d'un système de pass valide. Il n'est pas nécessaire de s'inscrire si les informations du citoyen ne sont lues qu'une seule fois pour recevoir un laissez-passer.
5. Entreprises et particuliers utilisant les informations divulguées par les citoyens eux-mêmes.
6. Ceux qui utilisent les informations pour atteindre les objectifs décrits dans les documents fondateurs.
7. Entreprises de téléphonie mobile qui ont besoin de données uniquement pour fournir des services.
8. Chefs d'entreprises.

Par conséquent, de nombreuses entreprises peuvent ne pas figurer dans le registre situé sur le site officiel de Roskomnadzor. Pour terminer la procédure d'inscription, il suffit de soumettre une demande en suivant les exigences établies. Il est recommandé de soumettre les candidatures par voie électronique ou sur papier à en-tête.

Depuis l'adoption de la loi fédérale « sur les données personnelles » en 2006, certaines de ses dispositions et concepts restent encore flous pour les employés des opérateurs. L’ambiguïté apparente de la formulation devient parfois l’objet de spéculations de la part de citoyens actifs individuels qui se donnent pour objectif de prouver l’absurdité ou l’incohérence de la loi.

En manipulant certaines formulations du Droit (parfois sorties de leur contexte), en s'appuyant sur les principes de la logique formelle (pas toujours juste lorsqu'il s'agit du droit en tant que science), en modélisant d'éventuels conflits, certains analystes arrivent à des conclusions inattendues et incorrectes.

Le danger de ces conclusions réside dans la désorientation des acteurs des relations juridiques de l'information, ainsi que dans le fait que l'adoption de déclarations douteuses entrave le travail des opérateurs pour mettre leurs activités en conformité avec la loi et crée les conditions pour qu'ils violent la loi. exigences de la loi.

Ces questions problématiques incluent la définition de l'opérateur de données personnelles. Un opérateur est un État, un organisme municipal, une personne morale ou une personne physique qui organise et (ou) effectue le traitement des données personnelles, ainsi que détermine les finalités et le contenu du traitement des données personnelles (article 3 de la loi fédérale 152) . Cette définition apparemment évidente, qui ne permet pas une libre interprétation, induit parfois en pratique les opérateurs en erreur. L’essence de cette idée fausse est la suivante : « la personne qui effectue le traitement n’est pas toujours l’opérateur ». La raison de cette idée fausse réside dans l’expression « et aussi ». Dans ce « et aussi », certains voient le grain de vérité qui permettra aux différents opérateurs d'échapper à l'obligation de se conformer aux exigences de la loi fédérale 152. Paradoxalement, de nombreux opérateurs sont encore convaincus qu'ils ne sont pas des opérateurs. Pour étayer cette affirmation, les arguments suivants sont avancés : la nécessité de traiter les données personnelles est déterminée par la loi fédérale (ou « établie par des organisations supérieures »), par conséquent, les finalités du traitement ne sont pas déterminées de manière indépendante ou ne devraient pas être déterminées par la personne effectuer le traitement (il n'est pas nécessaire de déterminer les finalités ou il n'y a pas d'autorité).

Essayons de comprendre ce problème dont l'essence réside dans la question : la détermination de la finalité du traitement des données personnelles est-elle un signe ou une responsabilité de l'opérateur ?

Ainsi, il existe une opinion selon laquelle un opérateur est uniquement et exclusivement quelqu'un qui répond simultanément aux deux critères suivants :
Cette personne doit soit organiser, soit effectivement réaliser un traitement de données personnelles (ou les deux à la fois) ;
Cette personne doit déterminer de manière indépendante les finalités et le contenu du traitement des données personnelles.

Ainsi, l’exigence de déterminer la finalité du traitement des données personnelles est considérée comme la principale caractéristique de l’opérateur.

Au cours de la préparation de cet article, les philologues ont procédé à une analyse linguistique de la définition en question. Les résultats de l’analyse sont présentés ci-dessous.

Déterminer le but ne peut pas être la fonction principale, puisque cette fonction est nommée parmi les membres homogènes de la phrase et la ferme. De plus, à ce membre homogène de la phrase est jointe la conjonction « et aussi », qui a un sens adjonctif, par exemple : j'ai paisiblement apprécié mon travail, mon succès, ma gloire, ainsi que les œuvres et les succès de mes amis" (P ). - voir Valgina N.S., Rosenthal D.E., Fomina M.N. Langue russe moderne. Manuel. : M., Logos, 2006.

La grammaire russe écrit également à propos de ce sens (M, 1980, vol. II) :

§ 2079. Les relations de connexion sont basées sur les relations de connexion : le deuxième membre de la série est de nature supplémentaire ; il est souvent séparé en un syntagme distinct ; l'ordre des membres de la série est strictement obligatoire. Les relations de connexion (avec des nuances d'addition ou d'intensification) s'expriment par des conjonctions composées et des combinaisons d'une conjonction avec un concrétiseur : et aussi, et aussi, et de plus (en plus) : Une dame âgée était assise dans la voiture, et même une jeune fille (Tyn.); Les rapports ont été livrés en parfait état et dans les délais (gaz).

Note. Conjonctions et aussi, les deux... et ont la capacité d'exprimer des relations graduelles et de connexion, mais sont souvent utilisées dans un sens plus large - conjonctif ou comparatif : Ce Loach est exceptionnellement respectueux et affectueux, regardant avec la même tendresse les siens et les étrangers, mais n'utilise pas de crédit (tchèque) ; L'usine a atteint des niveaux élevés tant en quantité qu'en qualité de produits (gaz) ; Les élèves de l'école de musique donnent souvent des concerts dans les écoles, les centres culturels, ainsi que dans les ateliers des entreprises (gaz).

Mais les conjonctions « et (ou) », indiquées ensemble, signifient que les membres d'une série homogène reliés par eux peuvent soit coexister ensemble (« organiser et réaliser le traitement »), soit être sélectionnés (l'une des séries : « organiser ou réaliser le traitement »). hors transformation» ).

L'analyse linguistique ci-dessus montre le manque de fondement de l'affirmation selon laquelle la détermination de la finalité du traitement des données personnelles est une caractéristique indispensable de l'opérateur. En même temps, cette analyse n’est pas la seule preuve de la fausseté de cette affirmation.

Du contenu de divers types de publications et, sur la base de la pratique émergente en matière d'application de la loi, on peut tirer une conclusion sur l'attitude de l'organisme autorisé à protéger les droits des personnes concernées (ci-après dénommé Roskomnadzor) face au problème considéré. . Roskomnadzor estime que l'opérateur est celui qui effectue en premier lieu toute opération avec des données personnelles. Parallèlement, du fait même du traitement, le « sous-traitant » a également l'obligation de déterminer les finalités d'un tel traitement. Ceux. en fait, la détermination de la finalité du traitement est plus probablement une conséquence du traitement, ou la nécessité d'un tel traitement, une partie intégrante du traitement, la responsabilité première découlant du traitement des données personnelles, et non « la caractéristique principale de l'opérateur ».

L'équité de l'opinion exprimée est confirmée par une analyse systématique des normes de la loi fédérale n° 152. Il faut commencer par l'article 1 de la loi, qui définit le champ de son action. Cet article précise que la loi réglemente les relations liées au traitement des données personnelles effectué par divers organismes, personnes morales et personnes physiques. La notion de traitement est donnée au paragraphe 3 de l'article 3 de la loi fédérale 152. Il s'agit d'actions (opérations) avec des données personnelles, y compris la collecte, la systématisation, l'accumulation, le stockage, la clarification (mise à jour, modification), l'utilisation, la distribution (y compris le transfert) , dépersonnalisation, blocage, destruction des données personnelles. Il résulte de ce qui précède que si une personne déterminée accomplit l'une des actions énumérées, elle devient alors a priori participant aux relations sociales qui font l'objet d'une réglementation par la loi fédérale n° 152 (à moins qu'elle ne relève des exceptions prévues à Partie 2 de l'article 1 de la loi). Comment cette personne doit-elle être appelée au sens de la loi fédérale « sur les données personnelles » ? Le choix est restreint. Cette personne doit être appelée l'opérateur.

Ainsi, une certaine personne effectue (ou a l'intention d'effectuer) un traitement de données personnelles. Selon l'article 5 de la loi fédérale 152, le traitement des DP doit être effectué conformément aux principes définis par la loi. L'analyse du contenu des principes conduit à la conclusion que la base fondamentale du traitement des données personnelles est la détermination des finalités du traitement. Sans même entrer dans l'essence de chaque principe, mais simplement après une lecture rapide de l'article 5, dans chaque paragraphe de l'article on voit le terme « finalité » (« légitimité des finalités », « correspondance aux finalités », « suffisance aux finalités »). ", etc.). Cette concentration d’attention n’a pas été appliquée par le législateur par hasard. La loi exige que la personne traitant des données personnelles informe l'organisme habilité à protéger les droits des personnes concernées des finalités du traitement des données personnelles. La loi s'efforce de rendre les activités liées au traitement des données personnelles transparentes et compréhensibles tant pour la personne - titulaire des droits et libertés constitutionnels protégés par la loi, que pour les organismes gouvernementaux assurant la mise en œuvre de mécanismes de protection des droits de l'homme en tant que sujet. de données personnelles. Le fil conducteur de la loi est l'idée de l'inadmissibilité du traitement « sans but » des données personnelles (traitement des données personnelles « comme ça », « pour ses propres besoins indéterminés », pour le « développement général », « pour soi-même »). ", etc.).

Selon le deuxième principe, énoncé à l'article 5 de la loi, si une personne a l'intention de traiter des données personnelles, les finalités d'un tel traitement doivent être déterminées et indiquées à l'avance (avant le début du traitement). Le raisonnement logique inverse conduit à la conclusion que la réalisation de toute action avec des données personnelles en l'absence de finalité spécifique de traitement constitue une violation des principes du traitement et, par conséquent, une violation de la loi, condition préalable à la violation. les droits et libertés constitutionnels de l’homme et du citoyen.

Interprétation de la norme énoncée au paragraphe 2. L'article 3 de la loi fédérale 152, dans le contexte selon lequel la détermination de l'objectif ne relève pas de la responsabilité de l'opérateur, mais d'un élément intégral l'identifiant comme tel, entraîne inévitablement la conclusion paradoxale suivante. Sont exclus du champ d'application de la loi des organismes tels que la Caisse de retraite de la Fédération de Russie, la Caisse d'assurance maladie obligatoire, le Service fédéral des impôts, le Service fédéral des migrations et de nombreux autres organismes gouvernementaux, dont les responsabilités sont directement définies et détaillées par la législation fédérale. , y compris dans le cadre de transactions avec des données personnelles. . La prémisse considérée conduit également à la conclusion que les opérateurs de télécommunications ne sont pas des opérateurs de PD, puisque l'objectif de la collecte des PD des abonnés est prévu dans la loi « sur les communications » et les statuts - c'est-à-dire déterminé par l’État, et non par une personne spécifique fournissant des services de communication. Il en va de même pour les établissements de crédit, les assurances et autres organisations qui collectent et prennent d'autres mesures avec des données personnelles afin de lutter contre la légalisation (blanchiment) des produits du crime, c'est-à-dire aux fins directement prévues par la loi « sur la lutte contre la légalisation (blanchiment) des produits du crime », et non par ces organisations elles-mêmes. La liste peut être longue à l’infini, absolutisant une seule norme du droit et atteignant le point de l’absurdité en tentant d’en essayer l’interprétation littérale sur les relations sociales réelles.

L’article 18 de la loi fédérale n° 152 établit les responsabilités de l’opérateur lors de la collecte de données personnelles. Il s’agit tout d’abord de l’obligation de l’opérateur de fournir à la personne concernée, à sa demande, des informations (article 14 de la loi fédérale 152), y compris des informations sur les finalités du traitement de ses données personnelles. En établissant cette obligation, la loi ne fait pas d'exceptions pour les opérateurs traitant des données personnelles sur la base d'une quelconque loi fédérale.

Ainsi, compte tenu de ce qui précède, il devient clair que dans le contexte de la loi, la détermination de la finalité du traitement des DP relève en fait de la responsabilité de la personne qui traite les DP, plutôt que d'une des caractéristiques dont la possession fait de cette personne un opérateur.

Quelle est la « définition » d’un objectif ? Comprendre le sens du mot « définition » est important pour comprendre le contenu d’une règle de droit, sans lequel l’application de cette règle est impossible. Puisque le législateur n'a pas jugé nécessaire de divulguer la notion de « détermination du but » dans la loi elle-même, tournons-nous vers l'une des méthodes d'interprétation reconnues dans la théorie du droit - l'interprétation lexicale (linguistique).

D'après le dictionnaire explicatif de la langue russe édité par le prof. D.N.Ushakova, pour déterminer les moyens
Renseignez-vous avec précision, informez ;
Donner une description scientifique et logique, une formulation d'un concept, révéler son contenu ;
Décider, prendre une décision à propos de quelque chose ;
Servir de raison au développement, à la formation de quelque chose, de prédétermination, de condition ;
Attribuer, indiquer.

Par conséquent, en déterminant la finalité du traitement PD, on peut comprendre sa clarification, sa sélection, son isolement d'une variété de finalités possibles, sa définition ou sa désignation en tant que telle, en indiquant cette finalité spécifique (objectifs) comme raison du traitement PD.

L'analyse contextuelle du contenu de la loi fédérale 152, l'identification de ses liens sémantiques avec d'autres sources du droit nous permettent de conclure que pour les opérateurs individuels de PD et (ou) concernant certaines catégories de sujets PD, les finalités du traitement PD peuvent en réalité être prédéterminées ou même directement précisées dans des lois ou des règlements (le Code du travail, par exemple, indique spécifiquement aux employeurs les finalités du traitement des données personnelles des salariés). La finalité du traitement de certaines DP par d'autres opérateurs découle de leurs obligations découlant d'obligations contractuelles. Dans certains cas, les finalités du traitement des données personnelles peuvent être déterminées simultanément à la fois par le contenu des activités commerciales de l'opérateur et par les exigences de la loi (les opérateurs de communication, afin d'exercer leurs propres activités statutaires visant à réaliser un profit, traitent des données personnelles données dans le but de fournir des services de communication et conformément à la loi « sur les communications »).

Ainsi, la tâche première de la personne traitant des données personnelles est précisément de verbaliser les finalités du traitement des données personnelles, de comprendre par elle-même ce qui détermine exactement le traitement des données personnelles des individus spécifiquement pour lui. Formuler une réponse à cette question constituera en réalité la définition de la finalité du traitement des DP.

Dans le contexte du problème abordé dans cet article, l'opinion exprimée par le gouvernement de la Fédération de Russie concernant les modifications de la loi fédérale 152 semble intéressante. Le 5 mai 2010, un projet de loi soumis à la Douma d'État par son député V.M. Reznik a été adopté. en première lecture. Ce projet de loi propose entre autres une nouvelle formulation de la notion d’« opérateur », à savoir :

« l'opérateur est un organisme public, un organisme municipal, une personne morale ou une personne physique qui traite des données personnelles et qui détermine les finalités, le contenu et la procédure du traitement des données personnelles. » Comme nous pouvons le constater, le mot « organiser » a été exclu de la formulation actuelle. Dans sa réponse officielle à ce projet de loi, le gouvernement de la Fédération de Russie indique qu'« un tel changement ne peut être soutenu, car les personnes qui traitent des données personnelles, mais ne déterminent pas les finalités et le contenu du traitement, ne peuvent être considérées comme des opérateurs ». Du commentaire ci-dessus du gouvernement de la Fédération de Russie, il résulte qu'aujourd'hui (alors que le texte de la loi n'a pas encore été modifié), de l'avis du gouvernement de la Fédération de Russie, un opérateur est toute personne qui traite des données personnelles, indépendamment de la présence ou de l'absence du fait qu'il a déterminé les finalités d'un tel traitement.

Ainsi, l’analyse réalisée dans cet article permet de tirer plusieurs conclusions.
La détermination de la finalité du traitement des DP relève de la responsabilité de l'opérateur et ne constitue pas une caractéristique d'identification obligatoire de l'opérateur.
La détermination de la finalité du traitement PD est le processus de compréhension, de clarification, de précision et de verbalisation de la finalité du traitement PD par l'opérateur, y compris dans les cas où ces finalités sont prédéterminées et (ou) découlent des dispositions de la loi ou des pouvoirs dont il est investi. l'opérateur.

Roskomnadzor tient un registre des opérateurs - des entreprises qui se conforment aux exigences de la loi « sur les données personnelles ». Pour être inscrite au registre, l'entreprise soumet une notification concernant le traitement des données personnelles. Cela peut être difficile à faire : on ne sait pas exactement quand soumettre la notification, comment la remplir et comment garantir que les informations parviennent à Roskomnadzor.

Est-il possible de ne pas soumettre de notification ?

La loi sur les données personnelles oblige chaque entreprise à déposer une notification.

Il existe plusieurs exceptions dans la loi qui permettent à certaines entreprises d'éviter cela. Dans ce cas, vous devez être prêt à prouver légalement à l’autorité de régulation que les exceptions s’appliquent à l’entreprise. Ce n'est pas si simple à faire : le manque de notification est l'une des violations les plus courantes identifiées lors des inspections du Roskomnadzor.

La meilleure option est de déposer une notification et de protéger l'entreprise des questions de l'autorité de régulation quant aux raisons pour lesquelles cela n'a pas été fait.

Parfois, les entreprises craignent que la soumission d'une notification n'attire indûment l'attention de Roskomnadzor et qu'elle s'accompagne d'une inspection. En pratique, cela ne se produit pas.

Quand dois-je envoyer la notification ?

La notification est soumise avant le début du traitement des données personnelles. Sur la base de la lettre de la loi, cela doit être fait dans les premiers jours suivant l'enregistrement public d'une personne morale ou d'un entrepreneur individuel.

Souvent, la décision de déposer un avis est prise lorsque l'entreprise est en activité depuis plusieurs mois ou plusieurs années. Il n’y a pas lieu de craindre une amende ou d’autres sanctions en cas de « retard » dans la soumission d’une notification. Mais si Roskomnadzor s'intéresse à l'entreprise (elle vient avec une inspection ou envoie une « lettre de bonheur » dans laquelle elle demande de soumettre une notification), alors une amende ne sera pas évitée.

Une nuance importante : même si la notification est soumise « tardivement », il est préférable d'indiquer la date d'enregistrement public de l'entreprise comme « date de début du traitement des données personnelles ».

Comment remplir une notification ?

L'avis doit être soumis en ligne (par voie électronique) et envoyé par courrier (copie papier).

Le formulaire de notification électronique est rempli sur le site Internet de Roskomnadzor. Il y a beaucoup d'informations requises, et ce n'est pas facile à faire, malgré la présence d'indices. Vous devez être prêt à formuler les fondements juridiques et les finalités du traitement des données personnelles, à décrire les actions effectuées avec celles-ci et à indiquer comment leur sécurité est assurée.

Après avoir soumis le formulaire électronique, le site Web de Roskomnadzor proposera de télécharger le formulaire imprimé déjà rempli. Il devra être imprimé, signé et certifié avec le sceau de l'entreprise, puis envoyé par courrier à la collectivité territoriale de Roskomnadzor. Ceci est nécessaire pour confirmer les informations soumises en ligne.

Vous pouvez également remplir la notification par voie électronique sur le Portail des services publics, mais c'est une méthode moins pratique.

Comment savoir si une notification a été acceptée ?

Après avoir rempli la notification sur le site Web de Roskomnadzor, l'entreprise recevra un numéro de notification et une clé secrète. Avec leur aide, sur une page spéciale, vous pouvez clarifier le statut de la notification et savoir quand ses informations seront inscrites au registre des opérateurs.

Toutes les informations contenues dans le registre des opérateurs sont accessibles au public, à l'exception des informations relatives à la garantie de la sécurité des données personnelles. Vous pouvez trouver une notification de n'importe quel opérateur.

Combien de fois dois-je donner un préavis ?

La notification n'est donnée qu'une seule fois.

Il existe cependant une nuance importante : la loi « sur les données personnelles » exige que Roskomnadzor soit informé des modifications apportées aux informations spécifiées dans la notification dans les 10 jours suivant ces modifications. L'avis contient de nombreuses informations sur l'entreprise et des changements peuvent survenir assez fréquemment. Malheureusement, il peut être difficile de les surveiller et de réagir à temps.

Il est préférable de soumettre la notification le plus tôt possible et de veiller soigneusement à ce que les informations sur l'entreprise figurant dans le registre des opérateurs soient à jour. C'est très simple à faire en utilisant notre service.

Comment devenir opérateur de données personnelles dans le registre Roskomnadzor

Toutes les entreprises et tous les entrepreneurs individuels ne savent pas s'ils sont des opérateurs de données personnelles et s'ils doivent transférer des informations les concernant à Roskomnadzor. Voyons qui le service surveille de plus près et comment informer les citoyens du début du traitement des informations personnelles.

Qui sont les opérateurs de données personnelles et que font-ils ?

La plupart des gens savent que les données personnelles (ci-après dénommées PD) comprennent des informations sur le nom, le prénom et le patronyme du citoyen, les informations de son passeport, son numéro de téléphone portable, son adresse résidentielle et son e-mail. Quelles autres informations pourraient être incluses dans cette liste ? Il s'avère qu'il n'y en a pas : une liste exhaustive n'est présentée nulle part, et en principe il ne peut y en avoir. Ceci est confirmé par le libellé de la loi fédérale n° 152-FZ du 27 juillet 2006 :

Données personnelles - toute information relative à une personne physique directement ou indirectement identifiée ou identifiable (sujet de données personnelles).

Il s’avère que dans certains cas, le nom, le prénom et le numéro de voiture suffiront à identifier un citoyen, tandis que dans d’autres, vous aurez également besoin de son numéro de permis de conduire et de son adresse d’immatriculation.

Un opérateur de données personnelles est un organisme étatique ou municipal, une personne morale ou une personne physique qui :

organise et/ou effectue, indépendamment ou conjointement avec d'autres personnes, le traitement des données personnelles ;

détermine les finalités du travail avec les informations personnelles, leur composition, ainsi que les actions (opérations) avec celles-ci.

Autrement dit, toute personne qui demande et utilise des données personnelles est son opérateur. Et quiconque a accès et traite les informations permettant d'identifier un citoyen travaille en réalité avec des données personnelles et est responsable du non-respect de la loi sur leur protection.

Imaginons qui pourrait être classé parmi les opérateurs PD. Banques? Oui! Des sites qui collectent des informations sur les abonnés ? Oui! Des sociétés juridiques et comptables fournissant divers services ? Oui! Des magasins et instituts de beauté proposant d'acheter une carte bonus ? Oui encore! Associations de propriétaires, universités, jardins d'enfants, agences de voyages, établissements médicaux, systèmes automatisés, y compris gouvernementaux ? Oui oui oui! Opérateurs PD - partout, dans n'importe quel domaine !

Toute personne traitant des données personnelles est tenue de respecter certaines règles pour collecter, assurer la sécurité, clarifier, bloquer et détruire ce type d'informations. Selon la loi n° 152-FZ, les opérateurs doivent :

Inscription auprès de Roskomnadzor en tant qu'opérateur de données personnelles

La loi stipule qu'avant de commencer à travailler avec des informations personnelles, il est nécessaire de contacter l'autorité de contrôle autorisée et d'informer du début des travaux avec des informations personnelles. Cela ne signifie pas que chaque entreprise doit être inscrite au registre des opérateurs de données personnelles de Roskomnadzor. Cette liste ne comprend pas :

employeurs. Ils collectent et stockent des informations conformément à la législation du travail, par exemple lors de l'établissement des contrats de travail, des divers arrêtés du personnel ;

les sociétés de téléphonie mobile ou fixe, si les données sont obtenues uniquement pour la fourniture de services de communication dans le cadre d'un contrat conclu, ne sont pas distribuées ou fournies à des tiers sans le consentement du sujet des données personnelles ;

les associations publiques ou organisations religieuses qui ont accès aux données de leurs membres (participants) pour atteindre les objectifs prévus dans les documents constitutifs ;

les organisations et les individus utilisant des informations accessibles au public que les sujets des données personnelles ont eux-mêmes divulguées, par exemple sur des sites Web personnels ;

toutes les entreprises qui exploitent un système de laissez-passer. Si les données du passeport d’un citoyen sont copiées pour obtenir un laissez-passer unique sur le territoire de l’organisation, il ne sera pas nécessaire de s’inscrire ;

les systèmes ayant le statut de systèmes d'information automatisés de l'État, ainsi que les systèmes PD de l'État créés pour protéger la sécurité de l'État et l'ordre public. Il y en a beaucoup, parmi lesquels les systèmes Era-Glonass et Management, l'AIS pour la comptabilité des organisations à but non lucratif et religieuses et bien d'autres au niveau fédéral et régional ;

citoyens et organisations qui traitent l'information sans utiliser d'outils d'automatisation (ordinateurs). Parallèlement, ils doivent être guidés par les exigences approuvées par le décret gouvernemental n° 687 du 15 septembre 2008 ;

les organisations qui demandent des données pour assurer le fonctionnement sûr du complexe de transport, par exemple lors de la réservation et de l'achat de billets, y compris via les services en ligne de transporteurs ou d'intermédiaires.

Compte tenu de ces formulations, de nombreuses organisations ne figurent plus dans le registre des opérateurs traitant des données personnelles tenu par Roskomnadzor. Mais ceux auxquels ne s'appliquent pas les exceptions doivent figurer sur la liste de l'autorité de régulation.

La procédure d'enregistrement consiste à soumettre une notification sous une certaine forme. Il est accessible via le registre des données personnelles de Roskomnadzor, le portail des services gouvernementaux ou en utilisant l'arrêté du ministère des Télécommunications et des Communications de masse de Russie du 21 décembre 2011 N 346. Vous pouvez télécharger gratuitement le document requis à la fin de cet article.

Roskomnadzor recommande de soumettre une notification sur papier à en-tête de l'organisation, sur papier ou par voie électronique. La version papier devra être remplie, signée et envoyée à la collectivité territoriale de Roskomnadzor (par courrier ou remise en personne). Un document électronique peut être délivré directement sur le site Internet du département - dans la rubrique « Formulaires de candidature électroniques ».

Quel que soit le mode d'information des fonctionnaires, la notification doit indiquer :

nom complet et abrégé de la société indiquant la forme organisationnelle et juridique, ainsi que les adresses légales et postales, NIF ;

les finalités du traitement mentionnées dans les documents constitutifs ou effectivement réalisées ;

catégories de PD qui seront traitées ;

sujets dont il est prévu de traiter les PD, y compris les relations avec eux, par exemple passager, emprunteur, souscripteur, déposant, preneur d'assurance ;

la base sur laquelle il existe un droit au traitement (par exemple, les articles du Code aérien de la Fédération de Russie ou la loi sur les actes de l'état civil), y compris la présence d'une licence pour le type d'activité exercée ;

description des méthodes de traitement des DP utilisées et leur liste : traitement manuel, automatisé ou mixte ;

des informations sur les personnes responsables de l'organisation du traitement des données personnelles, leurs numéros de téléphone, adresses postales, e-mail ;

informations sur les moyens de cryptage (cryptographiques) ;

la date de début, ainsi que les conditions et modalités de fin du traitement PD ;

des informations sur l'endroit où les données sont stockées lors de leur traitement, y compris sur le pays où se trouvent les bases de données contenant des informations sur les données personnelles des citoyens de la Fédération de Russie ;

des informations sur la garantie de la sécurité des données personnelles conformément aux exigences établies par le décret du gouvernement de la Fédération de Russie du 1er novembre 2012 N 1119.

Veuillez noter que l'enregistrement d'un opérateur de données personnelles sur le site Internet de Roskomnadzor s'effectue dans un délai de 30 jours. En cas de dépôt d'une demande électronique, l'entreprise devra en outre adresser une copie papier de la notification à l'autorité territoriale. Si les informations sont insuffisantes, les responsables enverront une demande de clarification des documents soumis. Il est impossible de refuser d'accepter une notification et de saisir des informations sur une organisation dans le registre.

Si, pour diverses raisons, les finalités du traitement des PD par l'organisation ont changé ou si d'autres modifications doivent être apportées, elle envoie une lettre à Roskomnadzor sous la forme prescrite dans les 10 jours. Le document est à retrouver ci-dessous. De plus, les lecteurs de PPT.ru peuvent télécharger un formulaire du document requis pour exclure une entreprise du registre.

Tous les services fournis par Roskomnadzor dans ce cas sont gratuits.

La législation en vigueur prévoit une responsabilité administrative en cas de violation des exigences en matière de protection des données personnelles. Conformément à la loi fédérale n° 13-FZ du 02/07/2017, entrée en vigueur le 1er juillet 2017, l'article 13.11 du Code des infractions administratives de la Fédération de Russie prévoit plusieurs infractions pour lesquelles les opérateurs de données personnelles peuvent être condamnés à une amende. . Selon l'infraction, les amendes imposées aux personnes morales en vertu de cet article varient de 15 000 à 75 000 roubles et pour les entrepreneurs individuels de 5 000 à 20 000 roubles.

Le refus de s'inscrire au registre peut être considéré comme un défaut de communication d'informations à l'autorité de régulation. La sanction pour cela est prévue à l'article 19.7 du Code des infractions administratives de la Fédération de Russie. Selon lui, les fonctionnaires encourent une amende de 300 à 500 roubles et les personnes morales de 3 000 à 5 000 roubles.

Tenir un registre des opérateurs traitant des données personnelles

Inscription des informations sur l'opérateur dans le registre des opérateurs traitant des données personnelles (Service fédéral de surveillance de la communication, des technologies de l'information et de la communication de masse)

informations générales

Résultats des services

Qui peut bénéficier du service

• A le statut d'entrepreneur
• Personnes
• Entités juridiques

Comment puis-je soumettre des documents ?

• Par mail
• Par l'intermédiaire d'un représentant légal

Comment obtenir les résultats du service ?

• Personnellement

Motifs de refus de fournir des services

• La base de la suspension du délai de saisie des informations sur l'Opérateur dans le Registre (apport de modifications et exclusion des informations sur l'Opérateur du Registre) est la fourniture par l'opérateur d'informations incomplètes ou peu fiables. (La base de la suspension du délai de saisie des informations sur l'Opérateur dans le Registre (modification et exclusion des informations sur l'Opérateur du Registre) est la fourniture par l'Opérateur d'informations incomplètes ou peu fiables.)

Délai de prestation des services

Délai d'exécution du service : La fourniture de services publics s'effectue sans interaction directe avec le demandeur.
Les informations sur l'Opérateur sont inscrites au registre dans les 15 jours à compter de la date de réception de la notification sur la base des résultats de la vérification des informations contenues dans la Notification. La date d'inscription des informations relatives à l'Opérateur au Registre est considérée comme la date de signature de la commande.
Une demande de fourniture d'un service public est enregistrée au plus tard le lendemain du jour de sa réception par Roskomnadzor (l'organisme territorial de Roskomnadzor).
Les informations sur la saisie des informations sur l'opérateur dans le registre sont publiées sur le site officiel de Roskomnadzor au plus tard 3 jours à compter de la date de signature de la commande.

La base pour examiner la question de la saisie des informations sur l'opérateur dans le registre est l'envoi par l'opérateur de la notification directement à Roskomnadzor (l'organisme territorial de Roskomnadzor) ou la réception de la notification dans le système d'information unifié à partir du portail unifié avec l'attribution d'un numéro entrant à celui-ci.
L'avis doit contenir les informations suivantes :

1. Nom (nom, prénom, patronyme), adresse de l'Opérateur.
2. Finalité du traitement des données personnelles.
3. Catégories de données personnelles.
4. Catégories de sujets dont les données personnelles sont traitées.
5. Base juridique du traitement des données personnelles.
6. Liste des actions avec des données personnelles, description générale des méthodes utilisées par l'Opérateur pour traiter les données personnelles.
7. Description des mesures prévues aux articles 18.1 et 19 de la loi fédérale, y compris des informations sur la disponibilité des moyens de cryptage (cryptographiques) et les noms de ces moyens.
8. Nom, prénom, patronyme de la personne physique ou nom de la personne morale responsable de l'organisation du traitement des données personnelles, ainsi que ses numéros de téléphone, adresses postales et adresses électroniques de contact.
9. Informations sur la présence ou l'absence de transfert transfrontalier de données personnelles en cours de traitement.
10. Informations sur la sécurité du personnel

www.gosuslugi71.ru

Articles sur le sujet

Un responsable du traitement des données personnelles est toute personne qui collecte des informations sur les employés et les clients. Découvrez comment introduire une demande auprès de Roskomnadzor pour le traitement des données personnelles, quelles sont les responsabilités de l'opérateur, qui peuvent conduire à une amende

Lisez notre article :

Qui est inscrit dans le registre des opérateurs de données personnelles de Roskomnadzor

Un opérateur de données personnelles est toute personne qui collecte des informations sur les employés et les clients (article 3 de la loi n° 152-FZ « sur les données personnelles »).

Nouvelle responsabilité en cas de violation des données personnelles. Pour quoi et combien seront-ils désormais condamnés à une amende>>>

Une entreprise publique ou municipale, une personne morale, un homme d'affaires ou même une personne ordinaire peut devenir un opérateur (OPD) s'il collecte des informations sur d'autres personnes et détermine de manière indépendante quelles données demander, comment les traiter, puis que faire. avec les informations recueillies.

La loi définit les données personnelles comme toute information se rapportant directement ou indirectement à une personne physique identifiée ou identifiable (objet de données personnelles).

Bien entendu, dans la plupart des cas, les informations demandées se limitent uniquement au nom, prénom, patronyme, données du passeport et numéro de téléphone portable, mais parfois pour identifier une personne il faut connaître le numéro de sa voiture, les détails de son permis de conduire. ou SNILS et autres informations.

Il n'existe pas de liste exhaustive dans la loi, donc absolument toutes les informations nécessaires à l'identification peuvent être considérées comme des données personnelles.

Il s'avère que toute personne qui demande et utilise ces informations et a soumis la demande appropriée est inscrite au registre des opérateurs de données personnelles de Roskomnadzor. On y compte déjà plus de 400 000 postes et de nouveaux visages apparaissent constamment. Parmi eux figurent des banques, des compagnies d'assurance, des agences de voyages, des salons de beauté, des magasins, des associations de propriétaires, des jardins d'enfants, des cliniques et bien d'autres.

Si un site propose un formulaire de commentaires, un abonnement ou un compte personnel dans lequel les visiteurs laisseront des données, les propriétaires du site doivent également s'inscrire dans le registre.

L'opérateur ne peut traiter les informations reçues sans le consentement de la personne à laquelle elles appartiennent.

Mais il y a aussi des exceptions. Si une loi prévoit un tel travail avec des informations (définissant la finalité et le contenu du traitement), le consentement n'est pas requis.

Par exemple, conformément à la loi « sur l'éducation », pour l'admission à l'examen d'État unifié, le transfert, le traitement et la fourniture de données personnelles des étudiants sans leur signature sur leur consentement à travailler avec des informations sont prévus.

Comment soumettre une demande de traitement de données personnelles

La notification peut être soumise sur le site Web de Roskomnadzor et envoyée par courrier.

En remplissant le formulaire de notification électronique, vous devrez indiquer :

• TIN, OGRN et autres données du demandeur ;
• finalités et base juridique du traitement des données ;
• indiquer exactement quelles données seront traitées et comment cela se produira ;
• les détails de la licence (si les activités du demandeur sont autorisées) ;
• les mesures prises pour assurer la sécurité des données reçues ;
• date de début du traitement et bien plus encore (article 22 de la loi n° 152-FZ).

Une fois le formulaire électronique rempli, il peut être téléchargé sur le site Internet de Roskomnadzor, imprimé, signé et envoyé par courrier à l'autorité territoriale. Cela confirmera les informations envoyées via le site.



Il existe la possibilité de remplir une demande via le portail des services de l'État, mais c'est un moyen moins pratique que de communiquer avec Roskomnadzor via son propre site Web.

Si tout est fait correctement, l'entreprise sera inscrite par Roskomnadzor dans le registre des opérateurs traitant des données personnelles.

La loi prévoit des exceptions lorsqu'un tel enregistrement n'est pas requis.

Ne peuvent pas demander à être inscrits au registre :

• les employeurs collectant des informations sur leurs employés ;
• ceux qui traitent uniquement les noms complets des personnes ;
• ceux qui prennent des informations pour permettre à une personne d'entrer une seule fois sur leur territoire, etc.

La liste complète des exceptions est décrite dans la partie 2 de l'art. 22 de la loi n° 152-FZ « sur les données personnelles ». Une entreprise qui estime figurer sur cette liste tant convoitée devra faire valoir que c’est effectivement le cas.

Lors d'une conversation privée avec des inspecteurs, nous avons découvert où ils « creuseraient » lorsqu'une entreprise devait être condamnée à une amende, mais il n'y a aucune raison claire. Préparez-vous à ce qu'ils rechercheront - les projets d'amendes devraient augmenter.

Sur la base des dispositions de la loi, une demande de traitement de données personnelles doit être soumise dans les premiers jours suivant la création d'une personne morale ou d'un entrepreneur individuel, c'est-à-dire avant de commencer à travailler avec les informations.

Mais en pratique, l'opérateur travaille déjà à plein régime depuis plusieurs mois, voire années, lorsque l'idée de s'inscrire vient à la direction. Si cette idée vient à la direction avant l'arrivée de Roskomnadzor, tant mieux, il sera possible d'éviter une amende ou d'autres sanctions.

Et si les inspecteurs arrivent avant la notification, vous devrez payer pour leur lenteur.

Obligations de l'opérateur lors du traitement des données personnelles

Une fois qu'une entreprise ou un homme d'affaires s'est enregistré auprès de Roskomnadzor en tant qu'opérateur de données personnelles, il devra remplir les obligations prescrites au chapitre 4 de la loi n° 152-FZ. L’OPD doit notamment :

• expliquer au sujet de qui ils reçoivent des informations ce qu'ils prennent exactement et pourquoi ;
• expliquer les conséquences d'un refus de fournir des informations ;
• assurer l'enregistrement, la systématisation, l'accumulation, le stockage, la clarification, etc. des informations reçues ;
• fournir des informations sur le traitement des données au sujet si elles n'ont pas été reçues de sa part ;
• prendre des mesures pour se protéger contre l'accès non autorisé (accidentel) aux informations, la destruction, la modification, le blocage ou la copie ;
• nommer une personne responsable.

Les opérateurs doivent obtenir le consentement préalable de la personne concernée pour traiter les informations personnelles. Elle est demandée par écrit - le sujet signe un document attestant que les données sont collectées conformément à la loi n° 152-FZ, après réception elles seront correctement stockées, utilisées, puis détruites. Un formulaire spécial proposé par Roskomnadzor peut être téléchargé sur son site Internet.

Responsabilité du refus d'inscription au registre

Si un opérateur potentiel n'a pas soumis de demande d'inscription au registre des données personnelles de Roskomnadzor, il encourt une responsabilité administrative. Le refus de s'inscrire au registre est considéré comme un défaut de communication d'informations à l'autorité de régulation. Une telle infraction est punie en vertu de l'article 19.7 du Code des infractions administratives de la Fédération de Russie. En vertu de cette clause, une personne peut être condamnée à une amende d'un montant de cent à trois cents roubles ; pour les fonctionnaires - de trois cents à cinq cents roubles ; pour les personnes morales - de trois mille à cinq mille roubles.

Si vous ne voulez pas assumer la responsabilité du refus de vous inscrire au registre et de payer des amendes (même si elles ne sont pas aussi importantes que pour d'autres délits), il est préférable de se conformer aux exigences de la loi et de soumettre une demande à temps.

www.pro-personal.ru

Registre des opérateurs de données personnelles

Ce qui s’est avéré être le plus important tant au niveau comptable que lors de l’examen des demandes de prêt, etc.

Mais de quoi il s’agit et qui a encore le droit de traiter ces informations et qui ne l’a pas est rarement évoqué, même à contrecœur.

De ce fait, il est parfois difficile de comprendre qui est le responsable du traitement des données personnelles.

– il s'agit d'informations sur une personne qui la caractérisent en tant qu'individu spécifique, ne sont pas généralisées et ne peuvent pas être appliquées à un groupe de personnes. Dans la plupart des cas, on parle de nom, prénom, patronyme, date de naissance, adresse où la personne est enregistrée et réside, état civil, etc.

La notion de données personnelles a été introduite dans la circulation des entreprises après l'adoption de « Sur les données personnelles » en 2006. Là, une division des informations en plusieurs catégories a été introduite, ce qui permet de déterminer les niveaux de résolution de traitement pour diverses situations.

1. Informations sur la race et la nationalité, les croyances religieuses, l’état de santé et les détails de la vie intime d’un citoyen.
2. Des informations qui, en plus d'identifier un citoyen, permettent également d'obtenir diverses informations le concernant, par exemple son numéro de téléphone, son lieu de résidence, etc.
3. Informations qui permettent de se démarquer des autres : nom, prénom et date de naissance complète.
4. En règle générale, les informations publiques sont anonymisées, mais parfois aussi les informations qui doivent être rendues publiques par la loi, par exemple les revenus des représentants du gouvernement. Une catégorie distincte comprend les données auxquelles le citoyen lui-même a donné son consentement, par exemple l'adresse et le numéro de téléphone du service d'assistance 09.

De manière générale, la loi « sur les données personnelles » est conçue pour garantir le droit de chaque citoyen à la vie privée et à la protection en cas de violation. Sur la base de la classification ci-dessus, diverses exigences sont imposées pour garantir la sécurité des informations. Pour la première catégorie, les exigences sont plus strictes que pour toutes les autres.

Qui est l'exploitant des données personnelles

L'opérateur de données personnelles est une personne morale qui, de par ses activités, traite des informations sur les clients et employés actuels et potentiels. La taille de l’organisation n’a aucune importance, pas plus que la forme de sa propriété.

En pratique, un opérateur est toute organisation qui emploie de la main d’œuvre salariée. Après tout, l'emploi est impossible sans remplir un formulaire de candidature avec une liste assez détaillée d'informations vous concernant, ainsi que sans soumettre des documents personnels, et des copies sont faites de tous, les informations sont saisies dans des programmes de comptabilité, etc.

La principale exigence de la législation de la Fédération de Russie pour les opérateurs est d'assurer la sécurité des données que l'organisation a reçues dans le cadre de ses activités.

Les normes selon lesquelles la protection est assurée sont établies dans la loi mentionnée ; elles peuvent également être précisées par les règlements des soi-disant régulateurs.

Il existe une certaine procédure qui réglemente les cas où une organisation reçoit le droit de travailler avec des données personnelles sans notification à :

• si l'entreprise traite uniquement les informations nécessaires aux relations de travail ;
• lorsque des données accessibles au public sont traitées ;
• si seuls le nom, le prénom, le patronyme sont traités ;
• lorsqu'ils sont utilisés une seule fois, par exemple pour délivrer un laissez-passer ;
• si la technologie informatique n’est pas utilisée pour le traitement.

Toutes les autres organisations sont tenues de s'enregistrer, ce qui leur permet de recevoir un numéro d'enregistrement unique sous lequel elles sont inscrites dans un registre spécial.

Il peut toujours clarifier si une personne morale spécifique a le droit de demander ou de stocker des données personnelles.

Par exemple, de telles questions se posent souvent en relation avec les établissements de crédit, les opérateurs mobiles, etc.

Par conséquent, il est d'usage d'appeler « opérateurs de traitement de données personnelles » des organisations qui, en raison de leurs activités professionnelles, collectent et traitent non seulement des informations accessibles au public, mais également telles que des séries, des numéros de passeport, des adresses résidentielles, etc.

Obtenir le droit de traiter les données personnelles

Pour assurer la sécurité du stockage et du transfert des données personnelles, une procédure de certification et d'obtention d'une licence est prévue pour les organismes impliqués dans la collecte et le stockage de ces informations.

Pour obtenir une licence, une entreprise doit non seulement former ses employés, mais également acheter des équipements techniques de protection.

La procédure comprend plusieurs étapes, dont les plus importantes peuvent être identifiées.

• informer les autorités compétentes de l'intention de traiter les données à l'aide de moyens (informatiques) ;
• subir un examen préliminaire des systèmes d'information existants;
• concevoir un système de protection prenant en compte l'infrastructure des équipements informatiques et autres équipements d'automatisation ;
• acquérir et mettre en œuvre des équipements de protection ;
• mettre tous les locaux en conformité avec les exigences de sécurité incendie, de sécurité, d'alimentation électrique, etc.
• réaliser la formation avancée des salariés dans le domaine de la protection des données personnelles et leur certification.

De ce fait, il est possible de garantir la présence d'un système fonctionnel de protection des informations lors de leur transmission via les lignes de communication.

Il convient de noter que toutes les actions décrites ci-dessus ne peuvent être appliquées qu'au traitement de données personnelles sous forme électronique, potentiellement dangereuses pour les informations stockées ou transmises.

Vérification des activités des opérateurs de données personnelles

Le travail de tous les opérateurs de données personnelles est non seulement réglementé par des actes législatifs, mais est également soumis à des inspections régulières, planifiées et aléatoires, par exemple à la demande des citoyens concernés par leurs activités.

De nombreux organismes de contrôle et d'application de la loi devraient être impliqués dans le contrôle du respect de la loi sur la protection des données personnelles, mais en raison des spécificités du travail, seuls trois d'entre eux se démarquent (ils sont appelés régulateurs) :

• Roskomnadzor - ses fonctions comprennent la vérification du respect de toutes les exigences réglementaires de la loi, ainsi que la conduite d'inspections ;
• FSTEC (Service fédéral de contrôle technique et des exportations) - ses tâches comprennent tout d'abord la protection des données situées dans les ordinateurs de l'organisation elle-même, ainsi que leurs canaux de transmission, lorsqu'elles sont stockées et transmises sans cryptage ;
• FSB (Service fédéral de sécurité) - contrôle l'utilisation de moyens de cryptage pour le traitement et la transmission d'informations personnelles, y compris leur développement et leur distribution.

Vous pouvez vérifier vous-même l'attitude d'une organisation particulière envers les opérateurs d'informations personnelles.

Le site Internet de Roskomnadzor a accès au registre des opérateurs traitant des données personnelles, il est disponible sur ce lien.

Pour afficher les informations, entrez simplement le nom ou le numéro d'enregistrement de l'entreprise qui vous intéresse, ou son numéro d'identification fiscale (NIF), dans le champ approprié.

De cette façon, vous pouvez savoir si les données ont été demandées légalement ou non. Si l'organisation ne figure pas sur la liste, Roskomnadzor devrait peut-être s'en occuper et soit l'inscrire dans le registre, soit interdire la collecte illégale d'informations sur les citoyens.

La vérification des données personnelles des opérateurs est effectuée soit à la demande des citoyens, soit à l'initiative, par exemple, du parquet, qui peut contacter Roskomnadzor dans le cadre d'un audit des activités de l'organisation.

La responsabilité est prévue pour les violations dans le traitement des informations des citoyens. Selon la gravité des actes commis, des sanctions administratives, disciplinaires ou pénales peuvent être prononcées.

En général, avant d'autoriser le traitement des données personnelles dans un organisme de crédit ou autre organisme demandant un tel droit, il est préférable de s'assurer d'abord qu'il est enregistré en tant qu'opérateur, et qu'il dispose donc de tout pour son stockage en toute sécurité.

Cela peut s’appliquer particulièrement aux petites entreprises, comme celles qui accordent de petits prêts.

Bien sûr, sans donner un tel consentement, ces organisations refusent généralement les services, mais il n'y a rien de mal à cela, car La concurrence est assez forte et vous pouvez toujours trouver une autre option appropriée.