Уведомление роскомнадзора об обработке персональных данных в 2021 г

Содержание:

На примере системы «1С «Кадры и бухгалтерия»:

  • «Категория персональных данных» — отметить все категории в графе «Персональные данные», кроме «имущественное положение» и «социальное положение». Графу «специальные категории ПДн» и графу «Биометрические ПДн» заполнять не надо. В графе «другие категории ПДн», написать категории персональных данных из проекта уведомления, за исключением тех, что были отмечены знаком «галка»;
  • «Категории субъектов, ПДн которых обрабатываются» — ввести информацию, указанную в аналогичном поле проекта уведомления;
  • «Перечень действий с ПДн, общее описание …» — ввести информацию, указанную в аналогичном поле проекта уведомления. Выбрать тип обработки ПДн, исходя из типа обработки, указанного в проекте уведомления (для описанных 4-ех ИСПДн в проекте уведомления, используется: смешанная обработка ПДн, с передачей ПДн по внутренней сети Оператора, с передачей по сети Интернет);
  • «Осуществление трансграничное передачи» — выбрать «не осуществляется»;
  • «Использование шифровальных средств» — поле не заполняется;
  • «Сведения о местонахождении базы данных…» — выбрать «Россия»;
  • «Адрес ЦОДа» — указать адрес ЦОДа (указывается собственный адрес организации, если база данных, содержащая ПДн, находится на территории организации. Указывается адрес арендуемого ЦОДа, если база данных, содержащая ПДн, находится в арендуемом (ЦОДе));
  • «Собственный ЦОД» — выбрать «да» (если база данных, содержащая ПДн, находится на территории организации), выбрать «нет» (если, база данных, содержащая ПДн, находится в арендуемом (ЦОДе). В случае ответа «нет», необходимо заполнить информацию по организации, ответственной за хранение данных (Информация представлена в проекте уведомления);
  • На примере системы «1С «Кадры и бухгалтерия» заполняется информация по остальным ИСПДн, согласно информации, представленной в проекте уведомления. Новая информационная система добавляется путем нажатия «добавить ИС» в форме уведомления;
  • «Ответственный за организацию обработки ПДн» — указывается физическое лицо, назначенное приказом по организации. Заполняются все поля.

После заполнения электронной формы уведомления, необходимо ввести «Защитный код», ознакомиться с «Порядком подачи уведомления в электронном виде» и нажать «Отправить электронное уведомление и подготовить форму к распечатке».

! ВНИМАНИЕ. После заполнения электронной формы, уведомление будет внесено в реестр рассматриваемых уведомлений

Уведомлению в электронной форме будет присвоен уникальный ключ. Распечатанному уведомлению на бумажном носителе будет присвоен аналогичный уникальный ключ. В связи с этим внимательно заполняйте и проверяйте формы уведомления перед нажатием на следующую кнопку:

Перечень территориальных органов Роскомнадзора: https://rkn.gov.ru/about/territorial/.

Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных Роскомнадзора: https://77.rkn.gov.ru/docs/77/Uvedomlenie_ob_obrabotke_PD.docx.

Виды проверок

Выездные проверки

  • проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами (отсутствие такого журнала, кстати, это уже нарушение);
  • затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
  • бегло ознакомившись с составом документов, проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации и удаляются в свои кабинеты изучать предоставленную вами информацию;
  • в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
  • в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнут на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
  • в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.

случилась

Как зарегистрироваться

Перед началом использования услуг сервиса «Роскомнадзор» необходимо на нем зарегистрироваться. Наличие аккаунта облегчает проведение действий, операций, упрощает подачу заявлений, а также в нем можно подключить услуги сервиса.

Регистрация в сервисе проводится так:

  • Открывается портал заявителей https://service.rkn.gov.ru/activity;
  • На странице нужно найти вкладку «Личный кабинет», она находится вверху справа;
  • Откроется окошко с вариантами авторизации. Нажимается вход через ЕСИА;
  • Загрузится страница для авторизации https://esia.gosuslugi.ru/idp/rlogin?cc=bp, на ней кликается «Зарегистрируйтесь»;
  • Регистрация личного кабинета может быть проведена при помощи нескольких способов – онлайн через банк, через центр обслуживания;
  • Если два варианта не подходят, то пользователь может нажать на вкладку «Другой способ регистрации»;
  • Загрузится форма для регистрации https://esia.gosuslugi.ru/registration/;
  • Клиент должен указать полные инициалы;
  • Указывается номер мобильного телефона;
  • Ниже вводится Email;
  • Кликается кнопка «Зарегистрироваться».

Подробные требования к содержанию согласия

Согласие должно включать в себя следующую информацию:

1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.

2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)

3) Сведения об операторе персональных данных

Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ

Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.

Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.

4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных

5) Цель (цели) обработки персональных данных

Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных

Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

  • общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
  • специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
  • биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов

Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.

Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.

Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников

9) Срок действия согласия

Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.

Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

Кем оформляется документ

Нормы того, как необходимо обрабатывать персональную информацию населения, и какие еще обязанности есть у компаний, выполняющих роль операторов, изложены в законе 152-ФЗ “О персональных данных”.

В нем говорится о том, что прежде чем начинать такую деятельность, компания должна известить об этом Роскомнадзор.

При этом есть определенные нормы того, как это сделать верно, найти их можно в Методических рекомендациях по уведомлению уполномоченного органа.

Нюансы, которые действовали с 2011 года, больше недействительны, как и рекомендации от 2016 года, ведь датой последних изменений стало 21 августа 2017 года.

Согласно законодательства, произвести оповещение Роскомнадзора о деятельности, связанной с обработкой персональных данных, должен любой оператор.

Компания получает такой статус, если как-либо работает с информацией, запрашиваемой у граждан и относящейся к разряду личной.

Так, при получении фирмой сведений о месте проживания клиентов, их паспортных реквизитов или иных сведений, которые могут связать их с конкретной личностью, следует обязательно отправлять документацию в контролирующую организацию.

Но есть и исключения из этой нормы, например в следующих ситуациях:

  • если компания собирает и производит обработку информации только среди своих сотрудников;
  • личные сведения применяются только для формирования договоров, например, когда в соглашении указываются данные представителя другой компании;
  • обработка не связана с использованием автоматизационных методов.

Во всех остальных ситуациях Роскомнадзор должен получать соответствующую информацию о ведении подобной деятельности.

Делать это следует путем формирования документа, созданного по утвержденной в правовых нормах форме. На сайте РКН можно увидеть, как выглядит уведомление, и какие данные в него следует включать.

Это ведомство формирует реестр операторов личных данных граждан, и после отсылки уведомления туда, за месяц документ обработают и внесут сведения в реестр всех распорядителей. А об успешном внесении можно узнать непосредственно на официальном ресурсе.

Можно использовать не только стандартный способ передачи документа, то есть бумажный, но и задействовать электронный метод.

Для этого нужно произвести заполнение уведомления, взятого на сайте, далее документ распечатывается. На нем ставится электронная цифровая подпись ответственного лица и отсылается через электронную почту.

Также для этого подойдет функционал ресурса “Госуслуги”, что будет самым быстрым и удобным способом.

При заполнении бумажного документа его можно как отнести лично, так и использовать почтовые услуги, создав заказное письмо с описью содержимого и уведомлением о прибытии получателю.

Если этого не сделать вовремя, то компания будет привлечена к административной ответственности согласно КоАПа РФ.

Граждане по этим нормам будут вынуждены заплатить от 100 до 300 рублей взыскания, должностные лица будут оштрафованы на сумму 300-500 рублей, а компания в целом, как юрлицо, получит санкцию на уровне 3-5 тыс. рублей.

Управление Роскомнадзора по Амурской области приостанавливает все очные форматы взаимодействия из-за угрозы распространения коронавируса

В соответствии с поручением председателя Правительства Российской Федерации от 18 марта 2020 года № ММ-П36-1945, распоряжением Роскомнадзора от 20 марта 2020 года № 7:

В части разрешительной работы в сфере массовых коммуникаций, в сфере связи прием заявлений, а также направление оформленных документов заявителям будут осуществляться на адрес электронной почты. В случае наличия в соответствующих заявлениях просьбы о выдаче документов на руки, оформленные документы по таким обращениям будут направлены посредством почтовой связи.

С 23 марта 2020 года приостанавливается личный прием документов от граждан.

Для организации взаимодействия рекомендуем обращаться в Управление Роскомнадзора по Амурской области:

  • Портал государственных услуг gosuslugi.ru;
  • в письменной форме через АО «Почта России».

___________________________________________

____________________________________________

____________________________________________

о НЕДОПУСТИМОСТИ ПОЛУЧЕНИЯ от физических и юридических лиц ПОДАРКОВ государственными гражданскими служащими в связи с выполнением ими служебных обязанностей

____________________________________________

____________________________________________

____________________________________________

____________________________________________

____________________________________________

____________________________________________

 ВНИМАНИЕ!

Управление Роскомнадзора по Амурской области проводит онлайн-опрос граждан на странице сайта 28.rkn.gov.ru:

В разделе «Противодействие коррупции»  открыт онлайн-опрос для граждан: «Как вы оцениваете работу, проводимую подразделением по противодействию коррупции, в Управлении Роскомнадзора по Амурской области в 2020г.?». 

____________________________________________

Уполномоченный по правам ребёнка в Амурской области и Управление Роскомнадзора по Амурской области просит неравнодушных пользователей сети «Интернет» направить усилия на выявление в Сети материалов о способах совершения самоубийства, призывов к совершению самоубийства среди несовершеннолетних.  

В случае обнаружения таких материалов, просим заполнить форму, размещенную по адресу https://eais.rkn.gov.ru/feedback/ для блокировки доступа к негативному контенту.

Одним «кликом» Вы можете спасти ЖИЗНЬ РЕБЁНКА!

____________________________________________

ПОРТАЛ ДЛЯ ДЕТЕЙ  И ПОДРОСТКОВ

ПЕРСОНАЛЬНЫЕ ДАННЫЕ.ДЕТИ (http://персональныеданные.дети)

____________________________________________

____________________________________________

ВНИМАНИЮ ВЛАДЕЛЬЦЕВ ФРАНКИРОВАЛЬНЫХ МАШИН.

О результатах тестовых испытаний франкировальных машин.

24 мая 2021 года

ООО «РМГ» привлечено к административной ответственности за нарушение лицензионных требований

17 мая 2021 года

Журнал «СОВЕТ ДА ЛЮБОВЬ НА АМУРЕ» прекратил свою деятельность

17 мая 2021 года

Главный редактор газеты «Победа» привлечен к административной ответственности

14 мая 2021 года

ИП Мухачев М. В. привлечен к административной ответственности за несвоевременное предоставление сведений о базе расчета обязательных отчислений (неналоговых платежей) в резерв универсального обслуживания

11 мая 2021 года

О порядке размещения информации о некоммерческих организациях, ликвидированных в соответствии с Федеральным Законом «О противодействии экстремистской деятельности»

30 апреля 2021 года

Роскомнадзор разъясняет требования к СМИ и вещателям относительно иноагентов

30 апреля 2021 года

Учредитель и главный редактор сетевого издания «АСН24.РУ-Амурская служба новостей» привлечены к административной ответственности

29 апреля 2021 года

Управлением Роскомнадзора по Амурской области Общества с ограниченной ответственностью «Амуржилсервис «Благовещенск» привлечено к административной ответственности

29 апреля 2021 года

Управлением Роскомнадзора по Амурской области Общества с ограниченной ответственностью «Мастер строй+» повторно привлечено к административной ответственности

28 апреля 2021 года

Управление Роскомнадзора по Амурской области формирует региональный блок Молодежной палаты по вопросам защиты прав субъектов персональных данных

“Письмо счастья” от Роскомнадзора

Поскольку большинство компаний не стремились и не стремятся направлять уведомления, Роскомнадзор в свое время начал активно пополнять реестр операторов путем направления таких вот писем.

Уведомление Роскомнадзора о необходимости включения в реестр операторов персональных данных

В чем смысл таких действий в целом понятен из текста. Выборка компаний делается по ОКВЭДам, и та деятельность, которая потенциально связана с обработкой персданных физических лиц, является поводом для направления письма. 

РКН вроде как и не заставляет включаться в реестр, но в противном случае просит предоставить пояснение с указанием правовых оснований обработки ПД без направления уведомления. Для принятия решения предоставляется 30 дней.

Оставить без внимания такое письмо нельзя: нужно включиться в реестр или написать, что деятельность компании попадает под исключения, предусмотренные статьей 22 Закона “О персональных данных”.

В случае игнорирования может последовать привлечение к административной ответственности по статье 19.7 КоАП “Непредставление сведений (информации)”. Штраф, конечно, невелик (до 5 000 руб. на юрлицо), но потенциально игнор — это повод для последующего проведения внеплановой проверки* и вынесения предписания об устранении нарушения законодательства. 

За неисполнение предписания уже последует административка по статье 19.5 КоАП “Невыполнение в срок законного предписания…”.

*Справка: поводы, основания, сроки и т.п. моменты, связанные с проведением проверок в сфере персональных данных, установлены Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных (утв.Постановлением Правительства РФ от 13 февраля 2019 г. № 146).

Вместо заключения

Зачем это все нам (как компании) и зачем я писал всю эту статью (кроме того, что никто не любит мошенников и нужно их выводить на чистую воду)?

Дело в том, что когда наши добросовестные коллеги предлагают людям свои услуги, нам потом не пишут и не звонят с вопросами «Нам позвонил лицензиат ФСТЭК, предлагает свои услуги по защите информации, подскажите, стоит ли с ними работать?». И совершенно другая картина, когда людей заваливает спамом от рос-гос-чего-то-там со словами «предписание» и «штраф до 6 млн. рублей», вот тогда мы можем терять много драгоценного рабочего времени на такие консультации, за которые мы денег не берем.

В конце концов, мы установили, что «Россертификация» и «Росконтроль» это одна и та же лавочка, поэтому все их грехи можно суммировать, давайте подытожим, какие признаки мошенничества можно выделить:

  • регистрация и использование СДС с приставкой «Рос-», что вводит незадачливых пользователей в заблуждение, причем в случае с «Россертификацией» спамеры даже не добавляли «СДС» в начале, видимо потом им дали понять, что так делать нехорошо;

  • грубая эксплуатация страха адресата манипулятивными методами: «вам выдано предписание», «вас оштрафуют», «к вам придет проверка». Напоминаю, что никаких предписаний эти жулики выдавать не имеют права;

  • попытка замещения функций государственных органов с помощью несуществующих «Федеральных программ» и «Федеральных центров»;

  • притягивание за уши санкций для операторов персональных данных (штраф 6 миллионов, статья 137 УК РФ, закрытие организации на 90 суток), абсолютно не применимых или никак не связанных с услугами, предлагаемыми спамерами;

  • фишинговые техники. Вряд ли рядовой пользователь помнит точно домен РКН, в крайнем случае, если он ходил когда-то на их сайт, может помнить, что это rkn.»че-то там». Таким образом, использование доменов rkn.expert и тем более rkn.moscow призваны ввести пользователей в заблуждение;

  • использование безаппеляционного «все организации должны подать уведомление об обработке персональных данных», хотя закон предполагает ряд исключений;

  • безаппеляционное утверждение того, что комплект документов по защите персональных данных должен соответствовать каким-либо ГОСТ, что противоречит действующему законодательству;

  • оказание услуг по разработке проектной документации на систему защиты информации (Модель угроз) без лицензии ФСТЭК России;

  • заверение о проведении какой-то сертификации вашей организации (какой именно сертификации спамеры умалчивают), которая уменьшит риск проведения проверки, что не соответствует действительности (никаких индульгенций от проверок не существует);

  • ну и вишенка на торте — пост и комментарий в Инстаграме причастного лица (я уж не знаю, один ли он работает или в составе группы). Пост о том, что люди не умеют читать документы, сайты, договора говорит о вполне сознательных и намеренных описанных выше манипуляциях.

Кто-то может сказать, что несведущие люди сами виноваты, что их обманывают, но это уже самый настоящий victim-blaming (насильник тоже не виноват, это девушка надела короткую юбку). В наше время невозможно быть специалистом во всем. Я, например, плохо разбираюсь в бухгалтерии и хорошо в защите персональных данных, а есть люди, у которых все наоборот и это не означает, что можно пудрить им голову.

Если у вас есть знакомые бухгалтеры, руководители небольших фирм (или даже больших) и другие лица, которым могла быть интересна эта статья, покажите им её.

Возможности личного кабинета

На главной странице пользователи могут рассмотреть последние новости, узнать изменения в сервисе, узнать о нововведениях. Ниже можно воспользоваться меню «Актуально», оно поможет получить полную характеристику организации.

Для заявителей нужно зарегистрировать личный кабинет, он обеспечит полноценный доступ к сервису. В нем можно выполнять следующие действия:

  • Просматривать услуги организации;
  • Подавать заявления;
  • Проверять статус заявления;
  • Смотреть образец заполнения заявления в зависимости от требуемой услуги;
  • Смотреть историю поданных заявлений и их состояние;
  • Скачивать документы, отправлять их на распечатку;
  • Пользоваться услугами компании;
  • При необходимости можно подключать платные услуги. Оплату можно провести безналичными способами через банковскую карту;
  • Проверять отчеты;
  • При возникновении проблем можно воспользоваться помощью технической поддержки.

Контрольная и надзорная деятельность в сфере персональных данных

     В январе 2007 года вступил в силу Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006г. Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.    Согласно п.1. статьи 23 Федерального закона «О персональных данных» уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.     В соответствии с Постановлением Правительства РФ от 16 марта 2009г. № 228 «Об утверждении Положения о Федеральной службе по надзору в сфере связи, информационных технологий  и массовых коммуникаций » указанным органом является Федеральная служба по надзору в сфере связи, информационных технологий  и массовых коммуникаций (Роскомнадзор).    В связи с этим, государственным, муниципальным органам, юридическим или физическим лицам, организующим и (или) осуществляющим обработку персональных данных на территории Владимирской необходимо направить в Управление Роскомнадзора по Владимирской области Уведомления об обработке персональных данных (в соответствии с ч.1.ст. 22 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006г.).     Уведомление должно быть подписано уполномоченным лицом и направлено в территориальное управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Владимирской области в письменной форме по адресу 600000, г. Владимир, ул. 1-я Пионерская, д. 92, по факсу +7 (4922) 37-72-41 или по электронной почте по адресу rsockanc33@rkn.gov.ru в форме электронного документа, подписанного электронной цифровой подписью в соответствии с законодательством Российской Федерации.

   Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года (зарегистрированные Роскомнадзором в Реестре), обязаны направить в Роскомнадзор через его территориальные органы сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 Федерального закона «О персональных данных», не позднее 1 января 2013 года (Информационное письмо о внесении изменений в сведения об операторе в Реестре операторов ОПД).

    Подробная информация по вопросам защиты прав субъектов персональных данных (конфиденциальной информации) размещена на Интернет-сайте (страницах) Роскомнадзора (http://www.rsoc.ru, http://33.rkn.gov.ru), в том числе образцы форм уведомления об обработке персональных данных и информационного письма, рекомендации с примерами по их заполнению (http://33.rkn.gov.ru/personal-data/p19300/).

    По вопросам, связанным с направлением Уведомления (Информационного письма), другим вопросам по защите  прав субъектов персональных данных просим обращаться в Управление Роскомнадзора по Владимирской области по телефону +7 (4922) 37-72-39.

 Служебные контакты: 

 Городской номер служебного телефона

Внутренний номер телефона

Адрес электронной почты

Начальник отдела

37 72-38

324

opd-rkn33@mail.ru

Сотрудники отдела

37-72-39

325

326

327

opd-rkn33@mail.ru


Время публикации: 03.10.2009 Последнее изменение: 25.06.2019 10:40

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Вот я в реестре, а дальше что?

Да ничего особенного. В текущей деятельности нет вообще никаких изменений. Ну можете присоединиться к Кодексу добросовестных практик https://pd.rkn.gov.ru/code/  Дополнительным фактором для назначения проверки наличие или отсутствие компании в реестре не является, хотя если в ходе проверки будет установлено, что деятельность оператора не попадает под исключения, то может быть наложен более высокий штраф уже по ст. 13.11 КоАП.

Своевременно вносите изменения

Если у вас меняются какие-либо сведения, включенные ранее в реестр, то требуется внести изменения в течение 10 дней со момента их возникновения (часть 7 статьи 22 ФЗ “О персональных данных”). За несвоевременное направление или не направление этих сведений — опять административный штраф по ст. 19.7 КоАП.

Документация к проверке

комплект шаблонову нас на сайте

Содержание документов

здесь

  • Описания ИСПДн, систем защиты, технологических процессов обработки ПДн и прочих индивидуальных вещей должны быть конкретными, отражающими реальную картину происходящего. Если это все будет описано слишком общими и абстрактными фразами, можно получить претензию от проверяющего.
  • Различные перечни (субъектов ПДн, самих ПДн) должны соответствовать действительности.
  • Документы должны быть актуальными. Если ответственным за организацию обработки персональных данных назначен давно уволившийся сотрудник, то это гарантированное предписание.
  • Журналы должны быть хотя бы минимально заполнены. Хотя бы те журналы, по которым не получится обосновать их абсолютную чистоту. Например, есть журнал учета обращений субъектов ПДн. На самом деле не такая уж и редкая ситуация когда к оператору никто никогда не обращался с подобными запросами. А есть журнал учета инструктажей по информационной безопасности. И вот уже если этот журнал чистый – могут быть вопросы.
  • Письменное согласие субъекта на обработку его персональных данных должно соответствовать статье 9 закона «О персональных данных». Так, например, многие забывают указать в согласии юридический адрес оператора, которому дается согласие. Также нужно помнить, что согласие должны быть сознательным и конкретным. Раньше многие любили добавлять фразу «даю свое согласие на передачу моих персональных данных третьим лицам». Сейчас такая практика пресекается, необходимо указать какие именно ПДн будут передаваться, кому именно и с какой целью.
  • Все причастные сотрудники к тому или иному документу должны быть ознакомлены с этим документом. Например, все допущенные к обработке персональных данных должны быть под роспись ознакомлены с приказом, утверждающим соответствующий список.

Вывод

Без лишней необходимости направлять в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных не нужно, но и сопротивляться и уклоняться от этого никакого смысла нет. Безусловно, каждая ситуация индивидуальна и эта статья написана мной исключительно для помощи в принятии самостоятельного решения, правильного конкретно для вас.

Обязательно прочитайте материал о том, как Роскомнадзор будет применять законодательство о персональных данных в 2021 году

Остаюсь с вами на связи. Все вопросы по статье можно задать в чате Телеграм или. Следить за обновлениями контента удобнее в основном Телеграм-канале

Поделитесь в соцсетях

Заключение

Сейчас никто не удивляется, когда законодательство содержит в себе неконкретные формулировки, допускающие различные, несовместимые друг с другом трактовки. В этой статье мы показали, что есть и другая проблема – когда требование четкое и понятное, но по факту невыполнимое.

Почти 10 лет рассматриваемое требование было невыполнимо для веб-сайтов с неограниченной аудиторией из-за банального отсутствия каких-либо подходящих технических решений. Когда же эти технические решения появились на стороне порталов, появились проблемы со стороны пользователей, которые хотят, чтобы им было быстро и удобно, а не устанавливать на свой компьютер какие-то дополнительные браузеры, плагины и тем более платное клиентское ПО.

Сделать что-то с этой ситуацией может только ФСБ России, изменив свои требования. Путей тут может быть много. Можно конкретизировать требования для разных весовых категорий операторов персональных данных, для госструктур – одни, для крупных частных организаций – другие, для мелких частных организаций – третьи. Можно отложить введение требований до тех пор, пока ГОСТ-шифрование не начнет работать во всех браузерах из коробки. Можно много чего придумать, чтобы требования были своевременны, адекватны и выполнимы, но скорее всего всё останется как есть.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector