Главная » Советы

Нужно ли регистрироваться как оператор персональных данных

Советы

Рекомендации: Если ваша организация собирает или хранит любые идентификаторы — имя, электронную почту, биометрические данные, записи камер видеонаблюдения, — относящиеся к лицам, не являющимся членами вашей семьи, оплатите обязательный сбор и пройдите онлайн самооценку ICO. Этот шаг поможет вам не нарушить Закон о защите данных 2018 года и GDPR Великобритании.

Согласно разделу 137 Закона, Комиссар по вопросам информации ведет открытый список плательщиков сборов. Плата варьируется от 40 до 2 900 фунтов стерлингов в год в зависимости от оборота и численности персонала. Обработка начинается с момента просмотра идентификатора на экране, сохранения его в CRM или отправки в облачное хранилище; размер предприятия не имеет значения. Неуплата может повлечь за собой гражданский денежный штраф в размере до 4 350 фунтов стерлингов плюс расходы на восстановление за каждый пропущенный год.

Исключения узки: благотворительные организации, небольшие клубы и микропредприятия, чьи цифровые записи никогда не покидают помещений и используются исключительно для администрирования персонала или бухгалтерского учета, могут не платить. Все остальные должны заполнить анкету ICO, оплатить счет в течение 14 дней и указать ссылку на платеж в уведомлениях о конфиденциальности.

Необходимо ли регистрироваться в качестве оператора персональных данных

Рекомендация: Подавать уведомление в Роскомнадзор до начала любой автоматизированной обработки персональных данных, если только не действует законодательное исключение.:contentReference[oaicite:0]

Статья 22 Федерального закона 152-ФЗ обязывает каждого контролера подавать электронную форму ПД-1; Роскомнадзор вносит организацию в государственный реестр в течение 30 дней с момента получения.:contentReference[oaicite:1]

Уведомление может быть пропущено, если обработка ведется вручную, касается бытовых целей или связана исключительно с государственной безопасностью, криминальной разведкой или обезличенными данными о персонале. Список исключений был резко сокращен с 1 сентября 2022 года, поэтому базы данных HR теперь обычно требуют уведомления.:contentReference[oaicite:2]

Чтобы соответствовать правилу, необходимо: (1) составить карту потоков индивидуальных сведений; (2) заполнить форму ПД-1 на портале Роскомнадзора или через «Госуслуги» с квалифицированной электронной подписью; (3) обновить запись в реестре в течение десяти дней после любого изменения; (4) хранить копии поданных документов в течение шести лет.:contentReference[oaicite:3]

За непредставление данных теперь предусмотрен административный штраф до 18 млн по закону 420-ФЗ, а повторные нарушения увеличивают сумму вдвое и грозят блокировкой соответствующих информационных систем.:contentReference[oaicite:4]

Документируйте правовую основу каждого набора данных и храните доказательства для проверок: Инспекторы Роскомнадзора обращают внимание на то, соответствуют ли объем, назначение и срок хранения данным, указанным в реестре.:contentReference[oaicite:5]

::contentReference[oaicite:6]

Как определить, связана ли ваша деятельность с обработкой персональных данных

Начните с инвентаризации информационных потоков: перечислите каждую часть персонально идентифицируемой информации (PII), которая может выделить живого человека — имена, контактные данные, идентификаторы, IP-адреса. Если таковые имеются, значит, ваша организация работает с регламентированными записями.

Примените тест «цель-средство-субъект»: укажите цель каждого вида деятельности (например, расчет заработной платы, маркетинг), отметьте используемые инструменты (CRM, облачное хранилище, электронные таблицы) и подтвердите, что живые люди могут быть идентифицированы. Три утвердительных ответа подтверждают регламентированную обработку.

Ищите четыре общих триггера: сбор данных через веб-формы или системы видеонаблюдения, организация или хранение в базах данных или папках, раскрытие информации аутсорсерам или поставщикам аналитических услуг, а также профилирование, например, поведенческая реклама. Наличие любого триггера означает наличие регулируемой обработки.

Используйте правило уведомления о нарушении за 72 часа в качестве быстрого индикатора: если потеря информации обязывает вас проинформировать надзорный орган в течение трех дней в соответствии со статьей 33 GDPR, информация подпадает под этот режим.

Советуем прочитать:  Примерная форма иска о признании права собственности на земельный участок по истечении пятнадцатилетнего срока (подготовлено экспертами компании Гарант)

Зафиксируйте результаты в живой карте данных и пересматривайте ее каждый год или при изменении бизнес-процессов; хорошо структурированная документация сокращает сроки аудита и демонстрирует подотчетность.

Какие критерии являются основанием для регистрации в качестве оператора данных

Подайте уведомление в ICO, как только ваша организация начнет обрабатывать информацию о конкретном человеке в небытовых целях.

Обязанность возникает, если применяется хотя бы одно из следующих условий: вы собираете идентификаторы клиентов или сотрудников (имена, электронные письма, номера телефонов); вы отслеживаете поведение с помощью файлов cookie, систем видеонаблюдения или геолокации; вы создаете маркетинговые профили; вы ведете учет особых категорий (здоровье, биометрические данные, криминальная история); вы перемещаете информацию за пределы Великобритании-ЕЭЗ; или вы определяете цели и способы обработки от своего имени.

Микропредприятия освобождаются от этой обязанности только в том случае, если все виды деятельности подпадают под ограниченные исключения, такие как управление персоналом, почтовый маркетинг собственных товаров и требуемое законом ведение бухгалтерского учета, без наблюдения или публикации в Интернете.

Для большинства британских компаний уровни пошлин следующие: 40 (оборот 632 тыс. или 10 сотрудников), 60 ( 36 млн или 250 сотрудников) и 2 900 (сверх этих лимитов). Благотворительные организации и небольшие клубы обычно платят самый низкий уровень; государственные органы всегда платят 60.

Прежде чем подавать документы, составьте перечень информации, определите законные основания, назначьте контактное лицо, спрогнозируйте международные передачи и установите сроки хранения; эти данные формируют запись в публичном реестре.

Только чисто личное или бытовое использование, не выходящее за пределы частной собственности, остается за пределами компетенции уведомления.

Какие типы предприятий чаще всего обязаны регистрироваться

Любая организация, которая обрабатывает личную информацию, не ограничиваясь внутренним управлением персоналом или ведением бухгалтерского учета, должна незамедлительно подать уведомление о контроле в Управление комиссара по информации (ICO), чтобы избежать штрафов.

Сектора с высоким уровнем риска

  • Онлайн-ритейл и платформы подписки — сбор платежных реквизитов, адресов, поведенческая аналитика для выполнения заказов и прямого маркетинга.
  • Финансовые и финтех-услуги — обработка кредитных историй, документов, удостоверяющих личность, проверка на предмет отмывания денег.
  • Поставщики медицинских и оздоровительных услуг — хранение медицинских карт, генетических данных, показателей образа жизни из приложений или носимых устройств.
  • Рекрутинговые агентства и аутсорсинг HR — ведение обширных баз данных соискателей, резюме, рекомендательных отчетов.
  • Образовательные учреждения и поставщики образовательных технологий — обработка записей несовершеннолетних, оценок, информации о защите.

Рутинные, но упускаемые из виду случаи

  1. Операторы систем видеонаблюдения в магазинах, гостиничных комплексах или на автостоянках — видеозаписи связывают людей со временем и местом.
  2. Маркетинговые консультанты, проводящие кампании по электронной почте, — используют инструменты профилирования и сегментации.
  3. Поставщики B2B-услуг, хранящие списки контактов клиентов в облачных CRM, — наборы данных включают прямые телефоны и рабочие электронные письма.
  4. Программные стартапы, предлагающие аналитические панели — отслеживайте IP-адреса, показатели вовлеченности, журналы согласия.
  5. Прокат автомобилей и менеджеры автопарков — сохраняют сканы водительских удостоверений и телематические данные.

Исключения действуют только в тех случаях, когда обработка данных осуществляется вручную или носит эпизодический характер; большинство современных предприятий не подпадают под эти исключения, поэтому следует выделить средства на оплату установленного законом сбора (40-60 фунтов стерлингов для микро- и малых организаций) и заполнить онлайн-уведомление перед началом масштабного сбора данных.

Советуем прочитать:  Кто вам звонил? Узнайте, кому принадлежит номер

Как проверить, считаетесь ли вы оператором данных

Немедленно сопоставьте свою деятельность с установленными законом критериями: Сбор, хранение, просмотр или передача информации, которая может идентифицировать человека — например, полное имя, идентификационный номер, контактная информация, IP-адрес — для целей, связанных с бизнесом, подводит вашу организацию под определение оператора информации.

Проанализируйте каналы получения информации. Получение такой информации через онлайн-формы, мобильные приложения, системы видеонаблюдения, схемы лояльности, кадровые файлы или системы взаимоотношений с клиентами подтверждает постоянную работу с идентифицируемыми записями.

Проанализируйте внутренний доступ. Если сотрудники, подрядчики или автоматизированные инструменты регулярно получают доступ к этим записям в ходе выполнения повседневных задач, ваша организация осуществляет прямой контроль и тем самым приобретает статус контролера.

Проверьте соглашения об аутсорсинге. Договоренности с поставщиками облачных вычислений, платежными шлюзами или партнерами по логистике, которые обмениваются индивидуальными профилями, свидетельствуют о косвенной обработке, которая все равно возлагает ответственность на ваше предприятие.

Обратитесь к публичному реестру регулирующего органа. Многие органы публикуют списки юридических лиц, которые уже признаны, с возможностью поиска; проверьте, не фигурирует ли ваше юридическое лицо в них в связи с ранее поданными заявками, аудиторскими проверками или жалобами.

Изучите пункты договора. Разделы о конфиденциальности, обработке информации или обязанностях по передаче данных в соглашениях с поставщиками, клиентами или трудовых договорах обычно свидетельствуют о признании обязательств контролера.

Пошаговое руководство по регистрации в органе по защите данных

Подайте официальное заявление через официальную платформу надзорного органа, отвечающего за надзор за конфиденциальностью информации в вашей юрисдикции. Обычно предпочтительнее подавать заявление в электронном виде, при этом может потребоваться заверенная цифровая подпись.

  1. Зайдите на официальный сайт надзорного органа, контролирующего деятельность, связанную с конфиденциальностью информации.
  2. Найдите раздел, посвященный подаче уведомлений о предполагаемом обращении с информацией.
  3. Скачайте или заполните утвержденный шаблон, содержащий сведения о вашей организации, сфере деятельности, категориях записей, целях обработки и способах хранения.
  4. Четко укажите, будет ли информация передаваться третьим лицам или за границу, с обоснованием и правовыми причинами.
  5. Предоставьте контактную информацию о назначенном лице, ответственном за соблюдение внутреннего законодательства.
  6. Приложите документы, подтверждающие юридический статус (например, свидетельство о регистрации, уставные документы, доверенность, если заявление подается представителем).
  7. Проверьте все записи и подпишите заявку с помощью аккредитованного средства электронной подписи.
  8. Подайте заполненную форму через онлайн-портал или лично, если электронные средства недоступны.

После подачи отслеживайте свою электронную почту или личный кабинет на платформе ведомства на предмет запросов на подтверждение или уточнение. Срок рассмотрения заявки может варьироваться в зависимости от региона, но обычно составляет от 10 до 30 рабочих дней.

После получения разрешения сохраните письмо с подтверждением и регистрационный номер. Эти данные могут быть запрошены во время проверок или аудитов.

Какие юридические риски возникают в случае пропуска регистрации

Подайте обязательное уведомление в Роскомнадзор до начала обработки персональных данных — отказ от регистрации может повлечь за собой санкции уже при первой проверке.

Если инспекторы обнаружат, что уведомление так и не было подано, то за первое нарушение по статье 13.11 КоАП РФ на саму компанию налагается административный штраф в размере от 100 000 до 300 000 рублей, а на ответственных руководителей — от 30 000 до 50 000 рублей.

Советуем прочитать:  Оформление декретного отпуска: Полное руководство для будущих матерей

Повторное нарушение в течение одного года влечет наложение штрафа в размере 500 000 рублей на компанию и 100 000 рублей на руководителей, а также прямое предписание о приостановлении всей деятельности по обработке данных до завершения проверки и предоставления доказательств соответствия.

Роскомнадзор также может блокировать общедоступные веб-ресурсы, собирающие PII, без предварительного уведомления. Такие ограничения доступа вводятся на уровне операторов связи и действуют до тех пор, пока орган не подтвердит принятие мер по устранению нарушений.

Уголовная ответственность становится реальной, если бездействие приводит к масштабному незаконному доступу или нарушению, причиняющему существенный вред; статья 272 Уголовного кодекса предусматривает наказание в виде лишения свободы на срок до двух лет для ответственного лица.

Гражданская ответственность наступает быстро: субъекты данных могут подать иск о возмещении нематериального ущерба, и российские суды присудили от 5 000 до 50 000 рублей на одного истца в недавних делах о защите частной жизни. Коллективные иски увеличивают этот риск.

Трансграничные потоки добавляют еще один уровень. Если вы работаете с PII резидентов ЕС без российской регистрации и учета обработки в соответствии с GDPR, вы предлагаете регулирующим органам ЕС наложить штраф в размере до 20 млн евро или 4 % от годового глобального оборота, в зависимости от того, что больше.

Контрольный список мер по снижению рисков: (1) подать уведомление Роскомнадзора до начала сбора данных; (2) вести актуальный реестр обработки; (3) назначить ответственного за защиту данных с правом принятия решений; (4) провести документированные DPIA для обработки данных с высоким риском; (5) ежеквартально проводить учения по реагированию на нарушения; (6) хранить доказательства согласия или других законных оснований не менее трех лет.

Выполнение этих шагов обойдется в сумму, равную потенциальным штрафам, и защитит как корпоративный баланс, так и ответственность руководителей.

Как обновить или отменить регистрацию в качестве оператора данных

Подайте запрос на внесение изменений через надзорный портал в течение пяти рабочих дней после любого изменения цели обработки, объема информации, продолжительности хранения, трансграничной передачи или правовой основы.

Приложите пересмотренные внутренние правила, обновленные шаблоны согласия и обновленную оценку воздействия, если изменился уровень риска. Портал выдает токен отслеживания — сохраняйте его до получения письменного подтверждения.

Прекращение любой работы с идентифицируемой информацией требует уведомления о снятии с регистрации с указанием причины — отказ от услуг, аутсорсинг или корпоративная реструктуризация. Будьте готовы предоставить подтверждающие документы, такие как свидетельства о прекращении деятельности или новые уведомления о конфиденциальности.

Ожидайте официального решения в течение тридцати календарных дней. Сохраняйте доказательства подачи и утверждения; просроченные уведомления влекут за собой административные штрафы в размере от 10 000 до 100 000 канадских долларов в соответствии с разделом 91 Положения о конфиденциальности.

Рекомендуем прочитать:

  1. Муниципальное учебное заведение Школа № 57 в Самаре
  2. МБУ ОИЦ Игарские новости
  3. Теперь доступ к выпискам об иностранных филиалах и представительствах через интерактивный сервис госреестра
  4. Где взять номер исполнительного производства по алиментам для заявления на пособие от 8 до 16 лет
  5. Проверка больничного листа в ФСС по номеру онлайн в 2021 году
  6. Как получить ипотеку в Сбербанке: подробная инструкция и рекомендации
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector