Информационное письмо роскомнадзор персональные данные

Регистрация в реестре Роскомнадзора: когда требуется и как ее провести? | Двитекс

Информационное письмо роскомнадзор персональные данные

1.ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика конфиденциальности в отношении обработки персональных данных пользователей сайта https://www.dvitex.

ru/ (далее – Политика конфиденциальности) разработана и применяется в ООО Юридическая фирма «Двитекс», ОГРН 1107746800490, г. Москва, пер. Голутвинский 1-й, дом 3-5, оф 4-1 (далее – Оператор) в соответствии с пп. 2 ч. 1 ст. 18.

1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – Закон о персональных данных).

1.2.

Настоящая Политика конфиденциальности определяет политику Оператора в отношении обработки персональных данных, принятых на обработку, порядок и условия осуществления обработки персональных данных физических лиц, передавших свои персональные данные для обработки Оператору (далее – субъекты персональных данных) с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

1.3. Политика конфиденциальности разработана с целью обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также с целью установления ответственности должностных лиц Оператора, имеющих доступ к персональным данным субъектов персональных данных, за невыполнение требований и норм, регулирующих обработку персональных данных.

1.4. Персональные данные Субъекта персональных данных – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

1.5. Оператор осуществляет обработку следующих персональных данных Пользователей:

  • Фамилия, Имя, Отчество;
  • Адрес электронной почты;
  • Номер телефона;
  • иные данные, необходимые Оператору при оказании услуг Пользователям, для обеспечения функционирования Сайта.

1.6. Оператор осуществляет обработку персональных данных Субъектов персональных данных в следующих целях:

  • обеспечение возможности обратной связи от Специалистов Оператора по запросам Пользователей;
  • обеспечение возможности онлайн оплаты заказанных на Сайте услуг;
  • обеспечения исполнения обязательств Оператора перед Пользователями;
  • в целях исследования рынка;
  • информирования Субъекта персональных данных об акциях, конкурсах, специальных предложениях, о новых услугах, скидок, рекламных материалов и других сервисов, а также получения коммерческой или рекламной информации и бесплатной продукции, участия в выставках или мероприятиях, выполнения маркетинговых исследований и уведомления обо всех специальных инициативах для клиентов;
  • статистических целях;
  • в иных целях, если соответствующие действия Оператора не противоречат действующему законодательству, деятельности Оператора, и на проведение указанной обработки получено согласие Субъекта персональных данных.

1.7. Оператор осуществляет обработку персональных данных субъектов персональных данных посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. При обработке персональных данных Оператор руководствуется следующими принципами:

  • законности и справедливости;
  • конфиденциальности;
  • своевременности и достоверности получения согласия субъекта персональных данных на обработку персональных данных;
  • обработки только персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;
  • уничтожения либо обезличивания персональных данных по достижению целей, их обработки или в случае утраты необходимости в достижении этих целей.

2.2. Обработка персональных данных Оператором осуществляется с соблюдением принципов и правил, предусмотренных:

  • Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных»;
  • Настоящей Политикой конфиденциальности;
  • Всеобщей Декларацией прав человека 1948 года;
  • Международного пакта о гражданских и политических правах 1966 года;
  • Европейской конвенции о защите прав человека и основных свобод 1950 года;
  • Положениями Конвенции Содружества Независимых Государств о правах и основных свободах человека (Минск, 1995 год), ратифицированной РФ 11.08.1998 года;

Источник: https://www.dvitex.ru/poleznoe/biznes/intellektualnaya-sobstvennost/registratsiya-v-reestre-roskomnadzora-kogda-trebuetsya-i-kak-ee-provesti/

Письмо от Роскомнадзора о персональных данных – как поступить

Информационное письмо роскомнадзор персональные данные

Важно! Права граждан при обработке их персональных данных подлежат защите (ст. 2 закона «О персональных данных» от 27.07.2006 № 152-ФЗ, далее — закон № 152-ФЗ).

Обратите внимание! Под обработкой понимают сбор данных, их запись, накопление, хранение, использование, распространение и т. д.

Точный перечень персональных данных отсутствует. Такими данными считают любую информацию, которая относится к определенному лицу, в частности:

  • Ф. И. О.;
  • реквизиты паспорта;
  • биометрические данные;
  • значимые даты (дата рождения, вступления в брак, развода) и т. д.

Обработка персональных данных возможна:

  • с согласия гражданина;
  • при необходимости достижения целей, предусмотренных законом;
  • в связи с участием лица в судопроизводстве;
  • при исполнении судебного акта и т. д. (полный список см. в ч. 1 ст. 6 закона № 152-ФЗ).

Подробности читайте в нашей статье «Порядок обработки персональных данных».

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Полный и бесплатный доступ к системе на 2 дня.

Если гражданин обнаружит неправомерную обработку его персональных данных, то он имеет право обратиться за защитой своих прав напрямую к владельцу сайта (оператору) или в Роскомнадзор.

Таким образом, письма из Роскомнадзора о персональных данных приходят, если обнаружено неправомерное использование таких данных.

Порядок действий при получении письма из Роскомнадзора

Владельцы сайтов и другие операторы, обрабатывающие данные, при получении письма о неправомерности обработки персональных данных должны:

  • Проверить, не является ли письмо фейком. Роскомнадзор на официальном сайте обращает внимание: подлинными являются только письма с мейл-сервера @rkn.gov.ru.
  • Закрыть проблемную информацию с момента получения письма и найти способ подтвердить законность размещения информации. Например, получить разрешение владельца данных на публикацию.
  • Прекратить обработку данных (удалить информацию с сайта), если в течение 3 рабочих дней выяснится, что владелец данных не давал/не дает на будущее разрешения на публикацию.
  • В течение 10 рабочих дней уничтожить персональные данные в своих базах, если невозможно обеспечить правомерность обработки данных. Например, гражданин отказывается дать согласие на обработку его данных.
  • Если нельзя удалить данные в течение 10 рабочих дней, блокировать данные и удалить их в течение полугода (ч. 6 ст. 21 закона № 152-ФЗ).

Важно! Об устранении нарушений или уничтожении персональных данных нужно уведомить гражданина и Роскомнадзор.

Если вам пришло фейковое письмо якобы от Роскомнадзора, сообщите об этом по адресу rsoc_in@rkn.gov.ru. Обратите внимание: уведомление об обработке персональных данных в Роскомнадзор заполняется на его официальном сайте, письма с требованием выслать документы на почтовый адрес — фейковые (об этом сообщал в том числе сам госорган).

Ответственность владельца сайта

Если указанные выше сроки закрытия и удаления информации будут нарушены, Роскомнадзор имеет право привлечь владельца сайта к ответственности по ч. 5 ст. 13.11 Кодекса РФ об административных правонарушениях. Виновному лицу грозит предупреждение или штраф:

  • 1000–2000 руб. — для физлиц;
  • 4000–10 000 руб. — для должностных лиц;
  • 10 000–20 000 руб. — для индивидуальных предпринимателей;
  • 25 000–45 000 руб. для юрлиц.

Обратите внимание! Если были собраны и разглашены данные, касающиеся частной жизни гражданина и представляющие собой его личную или семейную тайну, а сайт зарегистрирован как СМИ, владельцу сайта грозит уголовная ответственность. Самый явный пример — данные о заболевании гражданина.

Роскомнадзор может ограничить доступ к сайту-нарушителю на основании судебного решения, принятого по иску гражданина, при обработке персональных данных которого были допущены нарушения (чч. 6–10 ст. 15.5 закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ).

Происходит это в следующем порядке:

  • гражданин обращается в Роскомнадзор после вступления в силу судебного решения о защите персональных данных;
  • Роскомнадзор в течение 3 дней определяет провайдера хостинга и направляет ему уведомление о нарушении законодательства о персональных данных;
  • провайдер в течение 1 рабочего дня уведомляет владельца сайта о необходимости принять меры по устранению выявленных нарушений;
  • владелец сайта в течение 1 рабочего дня обязан устранить нарушение.

Важно! Если владелец не примет меры в отведенный срок, провайдер хостинга ограничит доступ к сайту-нарушителю.

Обратите внимание! При нарушении этого правила провайдером хостинга сведения о сайте поступят к операторам связи, которые ограничат доступ к нему своих абонентов.

***

Таким образом, на письмо от Роскомнадзора необходимо реагировать. Нужно незамедлительно блокировать доступ к персональным данным. В дальнейшем либо узаконить их обработку, либо уничтожить. За нарушение сроков блокировки и удаления предусмотрена административная ответственность. Кроме того, на основании судебного решения Роскомнадзор может ограничить доступ к сайту-нарушителю.

Источник: https://rusjurist.ru/biznes-v-internete/chto-delat-esli-poluchili-pismo-ot-roskomnadzora-o-personalnyh-dannyh/

Информационное письмо роскомнадзор

Информационное письмо роскомнадзор персональные данные

Роскомнадзор ведёт реестр операторов — компаний, выполняющих требования закона «О персональных данных». Чтобы попасть в реестр, компания подаёт уведомление об обработке персональных данных. Это может быть непросто сделать: непонятно, когда подавать уведомление, как его заполнить и как убедиться, что информация дошла до Роскомнадзора.

Можно ли не подавать уведомление?

Закон «О персональных данных» требует, чтобы каждая компания подала уведомление.

В законе есть несколько исключений, позволяющих ряду компаний избежать этого. В этом случае нужно быть готовым юридически грамотно доказать контролирующему органу, что исключения на компанию распространяются. Сделать это не так-то просто: отсутствие уведомления — одно из самых частых нарушений, выявляемых в ходе проверок Роскомнадзора.

Самый лучший вариант — подать уведомление и обезопасить компанию от вопросов контролирующего органа, почему это не было сделано.

Иногда компании опасаются, что подача уведомления привлечёт излишнее внимание Роскомнадзора, и он придёт с проверкой. На практике этого не происходит.

Когда отправить уведомление?

Уведомление подаётся до начала обработки персональных данных. Исходя из буквы закона, это нужно сделать в первые дни после государственной регистрации юридического лица или ИП.

Часто решение подать уведомление принимается тогда, когда компания работает уже несколько месяцев или несколько лет. Не стоит опасаться штрафа или других санкций за «опоздание» с подачей уведомления. А вот если компанией заинтересуется Роскомнадзор (придёт с проверкой или пришлёт «письмо счастья», где потребует подать уведомление), тогда штрафа будет не избежать.

Важный нюанс: даже если уведомление подаётся с «опозданием», в качестве «даты начала обработки персональных данных» лучше указать дату государственной регистрации компании.

Как заполнить уведомление?

Уведомление нужно подать через интернет (в электронном виде) и направить по почте (в печатном виде).

Электронная форма уведомления заполняется на сайте Роскомнадзора. Требуется указать достаточно много информации, и это не так-то просто сделать, несмотря на наличие подсказок. Нужно быть готовым сформулировать правовые основания и цели обработки персональных данных, описать совершаемые с ними действия и указать, каким образом обеспечивается их безопасность.

После отправки электронной формы сайт Роскомнадзора предложит скачать уже заполненную печатную форму. Её нужно будет распечатать, подписать и удостоверить печатью компании, после чего отправить по почте в территориальный орган Роскомнадзора.

Роскомнадзор разъяснил правила уведомления об обработке персональных данных

Это необходимо, чтобы подтвердить сведения, поданные через интернет.

Ещё можно заполнить уведомление в электронном виде на Портале государственных услуг, однако это менее удобный способ.

Как узнать, что уведомление принято?

После заполнения уведомления на сайте Роскомнадзора компания получит номер уведомления и секретный ключ. С их помощью на специальной странице можно уточнить статус уведомления и узнать, когда его сведения попадут в реестр операторов.

Вся информация в реестре операторов общедоступна, кроме сведений об обеспечении безопасности персональных данных. Можно найти уведомление любого оператора.

Сколько раз нужно подавать уведомление?

Уведомление подаётся только один раз.

Однако есть важный нюанс: закон «О персональных данных» требует оповещать Роскомнадзор об изменении сведений, указанных в уведомлении, в течение 10 дней после таких изменений. Уведомление содержит много сведений о компании, и изменения могут случаться довольно часто. Увы, следить за ними и вовремя реагировать бывает непросто.

Лучше всего подать уведомление как можно раньше и аккуратно следить за тем, чтобы сведения о компании в реестре операторов были актуальны. Это очень просто сделать с помощью нашего сервиса.

Образец
заполнения формы уведомления об обработке персональных данных 

Уведомление оформляется на бланке органа, осуществляющего обработку персональных данных.Уведомлению присваивается номер и указывается дата составления.

И.о.руководителя Управления Федеральной службы по надзору в сфере связи, информационных технологий и  массовых коммуникаций по Иркутской  области

 И.А. Маковлеву

 ул. Халтурина, д. 7, а/я 169

г. Иркутск, 664011

У В Е Д О М Л Е Н И Е
об обработке персональных данных

1. Тип оператора:
—       юридическое лицо.

2. Наименование, адрес оператора:
—       полное наименование с указанием организационно-правовой формы: Муниципальное общеобразовательное учреждение «Начальная школа-детский сад № __»;

—       сокращенное наименование юридического лица (оператора), осуществляющего обработку персональных данных: МОУ «НШДС №__».

—       место нахождение: 664000, Российская Федерация, Иркутская область, город Иркутск, улица Первая, дом 1, оф. 1. —       ИНН:  3800000000 —       ОГРН: 0000000000000

—       наименование филиала (представительства) юридического лица (оператора), осуществляющего обработку персональных данных с указанием кода субъекта — согласно справочнику “Коды регионов”: Филиал ООО “Первый”, находящийся по адресу: 630000, Российская Федерация, Новосибирская область, г. Новосибирск, ул. Новая, д. 1

(1)-Наименование и место нахождения юридического лица указываются в строгом соответствии со свидетельством о постановке юридического лица на учет в налоговом органе.

3. Цель обработки персональных данных:

Кадровый и бухгалтерский учет сотрудников, оказание услуг в сфере образования, заключение договорных отношений с физическими лицами на оказание услуг, создания информационной базы данных об образовательной системе Иркутской области.

4. Категории персональных данных:

  • непосредственно персональные данные: фамилия, имя, отчество; год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, паспортные данные, данные трудовой книжки, данные военного билета, сведения о пенсионном страховании, ИНН сведения об успеваемости учеников, социальная характеристика, информация о оказании помощи, другая информация.
  • специальные категории персональных данных (состояние здоровья).

5. Категории субъектов,  персональные данные которых обрабатываются:

     Физические лица/работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором). Физические лица (обучающиеся, воспитанники, родители, законные представителя обучающихся (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором).

6. Правовое основание:

  • ст. 23, 24, Конституции Российской Федерации;
  • ст.85-90 Трудового кодекса Российской Федерации;
  • ст. ст 2, 5,6, 7, 9, 18-22 ФЗ «О персональных данных» от 27 июля 2006г. №152-ФЗ,
  • Закон РФ от 10.07.1992 г. № 3266-1 «Об образовании»;
  • Устав МОУ «НШДС №__»;
  • Лицензия №0000001, выдана МОУ «СОШ №__» ______ (кем выдана), на осуществление ________ (указывается лицензируемый вид деятельности).
  • Положение о работе с персональными данными МОУ «СОШ №__»;

Источник: https://bookerlife.ru/informacionnoe-pismo-roskomnadzor/

Как заполнить информационное письмо в роскомнадзор

Информационное письмо роскомнадзор персональные данные

В случае изменения сведений, указанных в части 3 статьи 22 ФЗ “О персональных данных”, Оператор обязан уведомить об изменениях Роскомнадзор в течение 10 рабочих дней с даты возникновения таких изменений.

Такими сведениями являются: 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных; 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Чтобы уведомить Роскомнадзор об изменениях, нужно послать информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных. Такое письмо можно заполнить на официальном сайте Роскомнадзора http://rkn.gov.ru/personal-data/forms/p333/.

После заполнения электронной формы письма нужно подготовить форму к распечатке, скопировать текст в Word, после сведений о трансграничной передаче добавить сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ (адрес сервера). Затем распечатать исправленное письмо на бланке организации, утвердить и отправить почтой в Роскомнадзор.

НазваниеИнформация, при заполнении Информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных далее
ТипДокументы

filling-form.ru > Бланки > Документы

В помощь оператору! Информация, при заполнении Информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных (далее — Информационное письмо) (с учетом, часто встречающихся ошибок)Информационное письмо (так же как и Уведомление) – это визитная карточка оператора, обрабатывающего персональные данные, поэтому:

— Вся информация, содержащаяся в Информационном письме, должна быть достоверной, юридически грамотной. Внимательно и осознано заполняйте данный документ (помните о юридических последствиях подаваемой информации).

При этом рекомендуется заполнение данного документа с участием ответственного должностного лица за организацию обработки персональных данных, при соответствующем контроле представителя единоличного исполнительного органа (Руководителя, Директора).

— Предложения должны быть построены грамматически правильно, в каждом пункте должен быть логический смысл.

— Обязательны для заполнения пункты 5, 7.1, 10 и 11 части 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152), остальные пункты Информационного письма заполняются, если в них вносятся изменения. Если информация в пунктах не изменялась, не следует ее повторно прописывать.

— Не забывайте подписать Информационное письмо. Информационное письмо должно быть подписано уполномоченным лицом юридического лица (генеральный директор, директор, заведующий (МОУ, ДОУ), руководитель и иные).

— Информационное письмо заполняется на фирменном бланке (с угловым штампом) юридического лица, если бланка нет, то в конце Информационного письма рядом с подписью, ставится печать.

— Желательно писать каждый пункт в именительном падеже. Начало каждого пункта с заглавной буквы, всю последующую информацию в конкретном пункте через запятую (и или) точка с запятой.

Кроме того, согласно ч. 6 ст. 22 Федерального закона № 152, в случае предоставления неполных или недостоверных сведений, указанных в ч. 3 ст.

22, уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

Поэтому, следуете нашим рекомендациям по заполнению пунктов в Информационном письме.

N п/пНаименование сведений, в Информационном письме

Примечание

IIIIIIIV1.Полное наименование оператора

Общество с ограниченной ответственностью «Первый»

Указывается наименование юридического лица, согласно записи в Свидетельстве о государственной регистрации юридического лица (ЕГРЮЛ)!2.Сокращённое наименование оператораООО «Первый»Указывается сокращенное наименование юридического лица, согласно записи в Свидетельстве о государственной регистрации юридического лица (ЕГРЮЛ)!3.Адрес местонахождения664000, РФ, Иркутская обл., г. Иркутск, ул. Первая, д. 1, оф. 1.Указывается адрес в соответствии с записью в ЕГРЮЛ.4.Адрес почтовый664000, РФ, Иркутская обл., г. Иркутск, ул. Вторая, д. 2, оф. 2, а/я 2.Указывается адрес по месту фактического нахождения юридического лица, куда направляются почтовые отправления.

Филиалы, представительстваФилиал г.

Усолье, адрес:Для организаций, учреждений, имеющих филиалы (представительства), указываются юридический и почтовый адреса (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных. При этом, необходимо уточнить — обработка персональных данных осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами).

5.Тип оператора— юридическое лицо;

— муниципальный орган.

Выбрать только один из вариантов!
Государственные и муниципальные органы, при определении типа оператора должны руководствоваться Общероссийским классификатором органов государственной власти и управления, юридические лица — ГК РФ.

6.ИНН

Указываются в соответствии с записью в ЕГРЮЛ.

Рекомендуется использовать (указать) также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).

7Регистрационный номер в Реестре операторов ПД

№ 00-0000001Указывается регистрационный номер записи необходимо взять в реестре операторов, осуществляющих обработку персональных данных на Портале персональных данных (http://pd.rsoc.ru/operators-registry/operators-list/), поиск по ИНН.8.Основание внесения изменений

Пункт 2.1 статьи 25 (часть 7 статьи 22) Федерального закона от 27.07.2006 г.

№ 152-ФЗ «О персональных данных»; Изменение наименования оператора, обработка дополнительных категорий персональных данных, дополнительные меры безопасности…Желтым выделенное, указывается только в случае фактических изменений, произошедшие у оператора по обработке персональных данных. Изменения могут вноситься в пункты, подаваемого ранее Уведомления.

В случае изменения сведений, указанных в ч. 3 ст. 22 Федерального закона № 152, оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) в течение десяти рабочих дней, с даты возникновения таких изменений.

Читать дальше:  Где получить накопительную часть пенсии умершего

9.Правовое основание обработки персональных данных

Источник: https://kalibr20.ru/urkons/kak-zapolnit-informacionnoe-pismo-v-roskomnadzor/

Разъяснения по вопросам уведомления об обработке персональных данных

Информационное письмо роскомнадзор персональные данные

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами.

Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.

Здесь важно учесть, что запрос Роскомнадзора – это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Возможны две ситуации:

  1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
  2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.

В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок.

Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».

Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления – она находится на сайте Роскомнадзора.

Изучив форму, вы поймете, что заполнение уведомления – это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

  • категории персональных данных,
  • категории субъектов персональных данных,
  • цель обработки персональных данных,
  • правовое основание обработки персональных данных,
  • перечень действий с персональными данными,
  • описание способов обработки,
  • осуществление трансграничной передачи персональных данных,
  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
  • ответственный за организацию обработки персональных данных,
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.

Если вам удалось провести полноценное обследование, и вы выявили самое главное – цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа.

Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.

Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

Важно понимать – наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации.

Чтобы уложиться в отведенные для ответа на запрос сроки – в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора.

Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации.

Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе.

Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706.

В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

Большинство вопросов связано со следующими пунктами:

  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1.

Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации – исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

  • назначить ответственного за организацию обработки;
  • издать политику оператора в отношении обработки персональных данных;
  • издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
  • и так далее…

В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.

В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры… И так далее.

С 19 статьей делаем то же самое.

Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

  • Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 “Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных”;
  • Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;
  • Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 “Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”;
  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.

Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления.

В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие – прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

Напомним – Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.

Удачной Вам работы в сфере обработки и защиты персональных данных!

Источник: https://centr.expert/mnenie/uvedomlenie-operatora-ob-obrabotke-personalnih-dannih

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.