Роскомнадзор персональные данные

Наша компания осуществляет полный комплекс услуг связанных с защитой персональных данных, включая разработку стратегии и выбора способов и средств защиты персональных данных, а так же защиты информационных систем персональных данных (ИСПДН), проверку соответствия требованиям и уровня защиты персональных данных, а так же консультирование на любом из этапов защиты.

Прежде чем подробнее рассмотреть указанные услуги, разберем основные понятия.

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Защита персональных данных – это комплекс мероприятий, позволяющий выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан.

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Законодательная база

Согласно требованию Федерального закона №152 от 27 июля 2006 г. «О персональных данных», а так же Федерального Закона №261 от 25 июля 2011 года «О внесении изменений в федеральный закон «О персональных данных» оператор персональных данных обязан выполнить ряд организационных и технических мер касающихся процессов обработки персональных данных.

Закон «О персональных данных» обязывает оператора принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, изменения, уничтожения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

После вступления в силу Закона, перед большинством Российских компаний встала сложная и требующая незамедлительного решения задача. Компании (операторы), обрабатывающие персональные данные в информационных системах, обязаны обеспечить:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных. (Назначение ответственного лица)

Обеспечить реализацию указанных выше требований возможно множеством разных способов в зависимости от деятельности организации, характера и объема данных которые обрабатываются в организации. В связи с чем любая работа по защите персональных данных начинается с постановки задач и рассмотрения вариантов их реализации. Наши специалисты обладают обширным опытом в реализации проектов по защите персональных данных в организациях любого масштаба. Начиная от малого бизнеса и до крупных фирм с распределенной по всей стране филиальной сетью. На этом этапе Вы получаете консультации лучших в стране специалистов по защите персональных данных совершенно бесплатно! И только когда выбрана оптимальная стратегия действий, её реализация осуществляется на договорной основе.

Наши специалисты, проведут полный комплекс мероприятий по привидению в соответствие с актуальным законодательством Вашей организации! Подготовят организационно — распорядительную документацию по защите персональных данных, зарегистрируют Вашу организацию в Роскомнадзоре, подготовят проект защиты информации, и реализуют его в соответствии с самыми современными стандартами качества.

Основные этапы Аттестации

  • Консультирование по выбору оптимальной стратегии по защите персональных данных, в зависимости от поставленных в организации целей;
  • Проведение анализа (аудита) объекта информатизации на предмет оценки возможных каналов утечки информации;
  • Подготовка технического задания;
  • Подготовка документации по защите персональных данных;
  • Регистрация Вашей организации в Роскомнадзоре, как оператора персональных данных;
  • Проектирование, поставка, монтаж и ввод в эксплуатацию средств защиты информации;
  • Подтверждение соответствия Оператора требованиям законодательства по защите персональных данных;
  • Рассылка комплекта документов: Аттестат и материалы Аттестационных испытаний (Осуществляется в Государственных организациях или по желанию заказчика);
  • Проведение Аттестационных испытаний объектов. Автоматизированных рабочих мест (АРМ), выделенных помещений (ВП), средств изготовления и размножения документов (СИРД), защищенных локально-вычислительных сетей (ЗЛВС). (Осуществляется в Государственных организациях или по желанию заказчика).

Отчетная документация

После проведения комплекса мероприятий Вы получаете полный комплект документации по защите персональных данных, регистрацию в Роскомнадзоре, системы защиты информации соответствующие самым последним требованиям, и полное спокойствие за свои бизнес процессы.

Если у вас есть вопросы по защите персональных данных звоните +7 (495) 926-38-58

Заказать услугу

< Специальное обследование помещений (СО)Услуги ∧Защита конфиденциальной информации >

Деятельность по  оказанию услуг в области связи и телекоммуникаций является одной из тех, где государство придерживается политики активного контроля и надзора. Во- первых указанная деятельность в соответствии  с Федеральным законом от 04.05.2011 N 99-ФЗ  «О лицензировании отдельных видов деятельности», Федеральным законом от 7 июля 2003 г. N 126-ФЗ «О связи» является лицензируемой.

Получение необходимых лицензий является первым этапом для легального осуществления деятельности по оказанию услуг связи юридическим и физическим лицам.

После получения соответствующей лицензии оператору связи необходимо подготовить проект объекта связи и произвести государственную экспертизу указанного проекта в ФГБУ «МИР ИТ» в соответствии со статьей 49 Градостроительного кодекса РФ и Положением «О порядке организации и проведения государственной экспертизы проектной документации и результатов инженерных изысканий», утвержденным Постановлением Правительства РФ от 05.03.2007 N 145.

Для некоторых сооружений связи не требуется проектная документация, перечень таких объектов связи установлен в Приложении А «Правил ввода в эксплуатацию сооружений связи», утвержденных Приказом Минсвязи РФ от 09.09.2002 N 113.

Например, без разработки проектной документации, подлежащей государственной экспертизе, возможно ввести в эксплуатацию распределительные системы приема телевидения и КТВ до 2500 абонентов, сооружения связи всех видов телематических служб, АТС емкостью до 512 номеров на городских телефонных сетях с линейными и межстанционными сооружениями. Вместо нее могут быть представлены такие документы как типовые проекты, заводская документация оборудования или иные технические документы.

После разработки проектной документации и получения положительного заключения экспертизы оператор связи приступает к строительству сооружения связи в соответствии с проектной документации. Срок строительства объекта связи ограничен  датой начала оказания услуг согласно выданной лицензии связи, т.е. 2 годами. Для соблюдения требований законодательства оператору необходимо направить уведомление в территориальный орган Роскомнадзора о начале строительства объекта связи. Построенное сооружение связи необходимо ввести в эксплуатацию, для этого оператор уведомляет территориальное управление Роскомнадзора (по местонахождению сооружения связи) о завершении строительства объекта связи.

В течение 10 дней, после получения уведомления, территориальный орган Роскомнадзора принимает решение о целесообразности проведения выездной приемочной комиссии, и в случае положительного решения согласовывает с оператором точную дату.

В случае, если принято решение о вводе в эксплуатацию без выезда приемочной комиссии, оператор в течение указанного срока, предоставляет в территориальный орган Роскомнадзора необходимый для ввода сооружения связи пакет документов, предусмотренный нормативно-правовыми актами Минкомсвязи РФ.

После проверки приложенной документации, оператор получает Акт КС-14 с приложением, свидетельствующие о разрешении ввода объекта связи в эксплуатацию. 

В случае принятия территориальным органом Роскомнадзора решения о приме сооружения связи с выездом приемочной комиссии, в назначенный день на объект прибывает выездная комиссия. Специалисты Роскомнадзора проводят измерения, сверяют фактические данные  с данными в заявленной документации, изучению подвергаются, также, схема построения и присоединения сети электросвязи.

Ввод в эксплуатацию сооружения связи также оформляется Актом КС-14.

После получения разрешения на ввод в эксплуатацию, оператор связи может полностью легально оказывать услуги связи.

Плановые проверки Роскомнадзора.

По истечении двух лет оператору связи предстоит пройти плановую проверку соблюдения оператором лицензионных условий.

О времени проведения можно узнать из плана проверок, публикуемого на сайте Роскомнадзора или в более удобной форме с поиском — у нас на сайте. Кроме того, о проведении плановой проверки соблюдения лицензионных требований оператор связи письменно уведомляется Роскомнадзором.

Согласно ч. 4 ст. 27 Федерального закона «О связи» от 7 июля 2003 г. N 126-ФЗ плановая проверка проводится не чаще одного раза  в два года.

Помимо этого, Роскомнадзор или его территориальные органы имеют право провести внеплановую проверку. Основанием для проведения внеплановой проверки в соответствии с ч. 5 ст. 27 Федерального закона «О связи» от 7 июля 2003 г. N 126-ФЗ является:

  1. истечение срока исполнения выданного органом государственного надзора предписания об устранении выявленного нарушения обязательных требований;
  2. поступление в орган государственного надзора обращений и заявлений граждан, в том числе индивидуальных предпринимателей, юридических лиц, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о фактах нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации по перечню таких нарушений, установленному Правительством Российской Федерации;
  3. выявление органом государственного надзора в результате систематического наблюдения, радиоконтроля нарушений обязательных требований;
  4. наличие приказа (распоряжения) руководителя (заместителя руководителя) органа государственного надзора о проведении внеплановой проверки, изданного в соответствии с поручением Президента Российской Федерации или Правительства Российской Федерации либо на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.

Кроме того, в соответствии с п. 8 ч. 2 ст. 10 Федерального закона от 26.12.2008 N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», общим для всех органов государственной власти основанием проведения внеплановой проверки является нарушение прав потребителей (в случае обращения граждан, права которых нарушены).

Порядок осуществления государственного надзора за деятельностью в области связи регламентируется Постановлением Правительства от 02.03.2005 г. № 110.

Непосредственной целью надзора является проверка соблюдения лицензионных условий по выданным оператору лицензиям связи, и выявление лиц осуществляющих  деятельность  по возмездному оказанию услуг связи без соответствующих разрешений.  В последнем случае, действия оператора попадают под Статью 171, УК РФ «Незаконное предпринимательство».

В случае выявления нарушения лицензионных условий  оператор связи несет ответственность в соответствии с ч.

3 ст. 14.1 КоАП РФ за осуществление предпринимательской деятельности с нарушением условий, предусмотренных специальным разрешением (лицензией), указанные действия влекут ответственность в виде предупреждения (при отсутствии отягчающих обстоятельств, таких как повторное совершение однородного правонарушения в течение одного года) либо  наложение административного штрафа на юридических лиц — от тридцати тысяч до сорока тысяч рублей.

Кроме того, при проведении проверок, как плановых так и внеплановых,  выявляются нарушения иные нарушения законодательства в сфере связи, такие как самовольное подключение к сети электрической связи оконечного оборудования, самовольные проектирование, строительство, изготовление, приобретение, установка или эксплуатация радиоэлектронных средств и (или) высокочастотных устройств, нарушение правил проектирования, строительства, установки, регистрации или эксплуатации радиоэлектронных средств и (или) высокочастотных устройств, нарушение правил охраны линий или сооружений связи, использование несертифицированных средств связи либо предоставление несертифицированных услуг связи, несоблюдение установленных правил и норм, регулирующих порядок проектирования, строительства и эксплуатации сетей и сооружений связи, самовольные строительство или эксплуатация сооружений связи, которые влекут административную ответственность в соответствии с главой 13 КоАП РФ.

Необходимо знать, что контрольные мероприятия на объекте связи могут быть проведены не ранее чем через год после сдачи объекта в эксплуатацию. Но при этом, время проведения может быть скорректировано, с учетом даты начала действия лицензий оператора. Так, проверка на объекте может быть проведена в течении 3 месяцев  с начала действия лицензии при условии, что объект связи не был сдан в эксплуатацию.   

По итогам, плановой или внеплановой проверки комиссия, в случае выявления нарушений законодательств в сфере связи, выдается  предписание об устранении выявленных правонарушений и составляет протокол об административном правонарушении, который  либо передается на рассмотрение в Арбитражный суд либо рассматривается Роскомнадзором самостоятельно в зависимости от того, какое правонарушение выявлено.

Срок выполнения предписания об устранении правонарушения обычно составляет 30 дней.

В случае если оператор не исполнит предписание в установленный срок, Роскомнадзор имеет право инициировать  процедуру приостановления лицензии и последующего аннулирования, а также составляет протокол об административном правонарушении в соответствии со ст. 19.5 КоАП РФ, которой предусмотрено наложение административного штрафа в размере от десяти тысяч до двадцати тысяч рублей.

В качестве документа о прохождении проверки, как плановой, так и внеплановой, как документарной, так и выездной, оператор получает акт проверки (в двух экземплярах). При этом заключение по результатам  по каждой лицензии, выдается отдельно. 

Вы можете проверить ожидает ли вашу организацию плановая проверка на официальном сайте Роскомнадзора или в нашем реестре составленном на основе открытых данных. 

Если вам предстоит плановая проверка мы можем вам помочь с ее прохождением, свяжитесь с нами прямо сейчас: 

Напишите нам, мы в онлайне!

На конференциях и семинарах по защите персональных данных всегда поднимается тема проверок операторов. Слушателей интересуют возможные последствия проверок, суммы штрафов, длительность мероприятий и, разумеется, наилучший сценарий подготовки к проверке. Информацию по этой теме найти самостоятельно достаточно сложно: в последнее время на официальном сайте регулятора редко появляются сведения о прошедших проверках, хотя раньше такая информация выкладывалась регулярно. Можно было увидеть, какие нарушения выявлены, с указанием проверяемой организации и суммы штрафа. Теперь все, что нам доступно, — отчеты о деятельности Роскомнадзора и судебные решения. О том, что представляют собой проверки, и как к ним подготовиться, мы поговорим в этом цикле статей.

 Актуальная для многих тема. Мы разместим на сайте так же инфомрацию об этом, а пока только это.

Давайте разберемся для начала: кто может проводить проверки по персональным данным. Для этого обратимся к положениям Федерального закона № 152-ФЗ «О персональных данных». Статья 19 п. 8 гласит, что контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных в государственных информационных системах персональных данных осуществляется ФСТЭК России и ФСБ России в пределах их полномочий. Для остальных организаций ФСТЭК России и ФСБ России могут быть наделены полномочиями по проверке только в случае особой значимости обрабатываемых ПДн (ст. 19 п. 9). Для коммерческих организаций такое развитие событий крайне маловероятно, а вот проверка Роскомнадзора вполне возможна (согласно статье 23, уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области ПДн).

Роскомнадзор имеет право:

  • запрашивать и безвозмездно получать информацию, необходимую для реализации своих полномочий;
  • осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных;
  • требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
  • ограничивать доступ к информации, обрабатываемой с нарушением законодательства;
  • принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства;
  • обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов в суде;
  • направлять во ФСТЭК России и ФСБ России описание мер защиты, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»;
  • направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии;
  • направлять в правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
  • вносить предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
  • привлекать к административной ответственности лиц, виновных в нарушении Федерального закона № 152-ФЗ.

Безусловно, операторов больше всего волнует п.

11 о привлечении к ответственности. С 1 июля этого года была переработана статья 13.11 КоАП, по которой обычно классифицируют нарушения в сфере персональных данных. Теперь штрафы не только повышены, но и дифференцированы по видам нарушений. Чтобы не запутаться в новой классификации, мною была составлена таблица-шпаргалка, где кратко описаны нарушения и наказания по категориям нарушителей (граждане, должностные лица, индивидуальные предприниматели и юридические лица).

Оператора часто интересует также, каким нарушениям регулятор уделяет особое внимание. По результатам анализа отчетов о деятельности Роскомнадзора мною была составлена таблица наиболее часто встречающихся нарушений. Таблица содержит краткое описание нарушаемой нормы, ее присутствие в отчетах за 2016 и/или 2017 год и ссылку на положение законодательства, которое было нарушено.

Обе таблицы можно использовать совместно. Например, обработка персональных данных в случаях, не предусмотренных законодательством, что соответствует нарушению № 5 из второй таблицы, предполагает согласно первой строке первой таблицы наказание в виде предупреждения или наложения административного штрафа в размере до 50 000 рублей. С помощью представленных таблиц можно наглядно показать руководству, сколько будут стоить те или иные недочеты в организации защиты персональных данных.

Какова вероятность проведения в отношении вас проверок, как они проходят и чем регламентируются — все это мы рассмотрим в следующих статьях.

По материалам www.allcio.ru

Контрольно – надзорная деятельность за соблюдением обязательных требований СМИ проводится территориальными органами Роскомнадзора без взаимодействия с представителями СМИ в форме:

  1. Систематического наблюдения
  2. Мониторинга

Мероприятия по контролю проводятся в отношении печатных изданий, электронных периодических изданий, телепрограмм, телеканалов, радиопрограмм, радиоканалов, сетевых изданий, а также в отношении СМИ других форм распространения.

Такие формы контрольно-надзорных мероприятий не являются проверками в смысле Федерального закона от 26.12.2008 N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»

Также следует отличать мероприятия по контролю систематического наблюдения в отношении СМИ от аналогичных мероприятий в отношении лицензиатов-вещателей.

Мероприятия систематического наблюдения в отношении СМИ могут быть плановые и внеплановые. Плановые мероприятия систематического наблюдения проводятся в соответствии с ежегодным планом, утверждаемым по усмотрению Роскомнадзора. Актуальный перечень запланированных мероприятий систематического наблюдения в отношении СМИ отражается территориальным управлением Роскомнадзора в плане деятельности, публикуемом на сайте Управления. Для того, чтобы узнать включено ли ваше СМИ в План, необходимо обратиться к сайтам территориальных управлений Роскомнадзора по месту регистрации СМИ и по месту нахождения редакции СМИ.

Основные требования, проверяемые при СН

Соблюдение (выполнение) требований Закона РФ «О СМИ»

  1. ст. 8 (регистрация средства массовой информации)
  2. ст. 4 (недопустимость злоупотребления свободой массовой информации) и Федерального закона «О противодействии экстремистской деятельности».
  3. ст. 11 (перерегистрация и уведомление)
  4. ст. 20 (устав редакции)
  5. ст. 27 (выходные данные)
  6. ст. 34 (хранение материалов радио- и телепередач)
  7. ст. 37 (эротические издания) в отношении средств массовой информации, специализирующихся на сообщениях и материалах эротического характера

Соблюдение (выполнение) требований ФЗ «Об обязательном экземпляре документов»

  1. ст. 7 (доставка обязательного экземпляра печатных изданий)
  2. ст. 12 (доставка обязательного экземпляра аудиовизуальной продукции)
  3. ст. 13 (доставка обязательного экземпляра электронных изданий, программ для электронных вычислительных машин и баз данных)

Мониторинг 

Мониторинг СМИ – форма контроля за соблюдением отдельных обязательных требований предъявляемых к СМИ, проводимая без взаимодействия с его представителями. Другими словами, во время мониторинга контролируется выполнение заранее определенных наиболее значимых (с позиции государства) обязательных требований.

В соответствии с распоряжением Роскомнадзора от 29.06.2012 N 21 «Об утверждении методических рекомендаций по организации и проведению государственного контроля и надзора за соблюдением законодательства Российской Федерации о средствах массовой информации» территориальные органы Роскомнадзора проводят мониторинг СМИ по следующим направлениям

  1. По, так называемым, приоритетным направлениям (противодействие экстремизму, выявление случаев пропаганды наркотиков, культа насилия и жестокости, а также порнографии). Стоит отметить, что в различной степени подобные направления контролируют и другие госорганы: Прокуратура, ФСКН, ФСБ.
  2. В конкурсных городах (все города РФ с населением свыше 100 тыс. человек) в отношении телепрограмм, телеканалов, радиопрограмм, радиоканалов. В данном случае проверяются соблюдение как некоторых положений Закона РФ «О СМИ», так и лицензионных условий лицензии на осуществление вещания.

Где берут материал СМИ

Поскольку при проведении мониторинга отсутствуют основания для взаимодействия с представителями СМИ, территориальные управления Роскомнадзора осуществляют контрольные мероприятия по обязательным экземплярам СМИ, переданным получателям документов, осуществляют подписку на печатные издания, закупают в киосках или собирают в местах бесплатного распространения, осуществляют запись теле и радиоканалов (программ), в том числе, с привлечением радиочастотной службы.

Результаты СН и мониторинга

По результатам проведенных мероприятий систематического наблюдения и мониторинга в отношении СМИ уполномоченные сотрудники Роскомнадзора могут составить протокол об административном правонарушении, выдать предупреждение средству массовой информации (СМИ может быть аннулировано по иску Роскомнадзора после двух предупреждений), выдать предписание об устранении нарушений, направить официально требование или запрос, провести внеплановое систематическое наблюдение по другому предмету надзора.

Что учесть

Лучшее решение – соблюдать законодательство, при наличии сомнений проконсультироваться со специалистами, имеющими опыт в данной сфере. Также оптимальным решением может стать проведение аудита соблюдения законодательства СМИ.

В случае, если такой аудит будет заказан у меня, представитель СМИ получит отчет о соблюдении обязательных требований, которые, проверяются Росконадзором, антимонопольной службой, другими госорганами.

Значительно снизить вероятность выявления нарушений в деятельности СМИ поможет мониторинг плана деятельности территориального управления Роскомнадзора по месту регистрации СМИ или нахождения адреса редакции (если регистрация проведена в центральном аппарате Роскомнадзора). За три месяца до начала мероприятия систематического наблюдения рекомендуется принять усиленные меры по контролю соблюдения законодательства в отношении подконтрольных Вам СМИ

В некоторых случаях установить факт нарушения учредителем или редакцией СМИ возможно после взятия объяснений с главного редактора или учредителя СМИ. Если главного редактора или учредителя СМИ приглашают письменно или по телефону в территориальное управление Роскомнадзора для дачи объяснений и (или) составления протокола об административном правонарушении по результатам систематического наблюдения или мониторинга СМИ, перед принятием каких-либо решений лучше всего проконсультировать со специалистом.

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
Здесь важно учесть, что запрос Роскомнадзора — это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Возможны две ситуации:

  1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
  2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.
В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок. Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».
Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления — она находится на сайте Роскомнадзора. Изучив форму, вы поймете, что заполнение уведомления — это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

Прежде всего необходимо выполнить самообследование.

Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

  • категории персональных данных,
  • категории субъектов персональных данных,
  • цель обработки персональных данных,
  • правовое основание обработки персональных данных,
  • перечень действий с персональными данными,
  • описание способов обработки,
  • осуществление трансграничной передачи персональных данных,
  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
  • ответственный за организацию обработки персональных данных,
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.
Если вам удалось провести полноценное обследование, и вы выявили самое главное — цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных».

В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа. Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.

Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

Важно понимать — наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки — в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора. Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации. Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе. Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706. В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

Большинство вопросов связано со следующими пунктами:

  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1. Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации — исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

  • назначить ответственного за организацию обработки;
  • издать политику оператора в отношении обработки персональных данных;
  • издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
  • и так далее…

В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры…

И так далее.

С 19 статьей делаем то же самое.

Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

  • Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
  • Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие — прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

Напомним — Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

Удачной Вам работы в сфере обработки и защиты персональных данных.

Вам также может понравиться

Об авторе admin

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *