Роскомнадзор отправить уведомление

Роскомнадзор отправить уведомление

Содержание

Уведомление Роскомнадзора об обработке персональных данных в 2020 г

Роскомнадзор отправить уведомление

Перед тем, как начать собирать персональные данные, оператору необходимо уведомить об этом Роскомнадзор в соответствии ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Без уведомления Роскомнадзора можно обойтись если вы:

  • Обрабатываете данные в соответствии с трудовым законодательством.
  • Данные получены в связи с заключением договора, стороной которого является субъект персональных данных. При этом сведения должны не распространятся и не передаваться третьим лицам без согласия субъекта. Только использование для исполнения договора и заключения договоров с субъектом.
  • Сделанных субъектом ПДн общедоступными.
  • Полученных для однократного пропуска субъекта ПДн на территорию, на которой находится оператор.
  • Включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.
  • Обрабатываемых без использования средств автоматизации.

Бумажный носитель vs электронный документ: форма уведомления об обработке персональных данных в Роскомнадзор

При отправке уведомлений об обработке персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций у операторов часто возникает вопрос: нужно ли отправлять письмо с распечатанным уведомлением или достаточно заполнить электронную форму уведомления на портале Роскомнадзора.
ФЗ-152, как и п. 3.2 Методических рекомендаций по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 разрешают отправлять уведомление на бумажном носителе или в форме электронного документа. Несмотря на это полностью исключить бумажные носители из документооборота не удалось – так как правовым основанием для совершения регистрационных действий являются бумажные варианты документов, операторы обязаны направлять бумажные носители независимо от того, подавались ли они в электронном виде. На практике направление уведомления о персональных данных в Роскомнадзор происходит в два этапа:

  1. заполнение формы уведомления Роскомнадзора в электронном виде – необходимо для ускорения работы по внесению данных в реестр и получения готовой заполненной формы для печати на бумажном носителе;
  2. отправка формы уведомления на бумажном носителе – является основанием для совершения Роскомнадзором регистрационных действий (уведомление регистрируется в уполномоченном органе и является основанием для внесения оператора в реестр).

В будущем планируется полный переход на электронный документооборот, но до этого момента операторы не могут избежать бумажной работы и должны направлять оформленные и подписанные уведомления на бумажном носителе.

Форма уведомления Роскомнадзора об обработке персональных данных в 2020 г.

ФЗ-152 не утверждает обязательную форму или бланк уведомления об обработке персональных данных. По закону главное – предоставить сведения, которые указаны в норме.

Форма уведомления об обработке персональных данных, рекомендуемая к использованию Роскомнадзором, содержится в Приложении № 1 к Методическим рекомендациям по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017.

Данная форма содержит сведения, требуемые ст. 22 ФЗ-152 и необходимые для включения в реестр операторов.

На практике самый простой и быстрый способ получить заполненное уведомление о персональных данных в Роскомнадзор – заполнить форму, предложенную на портале персональных данных и без изменений распечатать её на бумажном носителе для направления в Роскомнадзор. Далее мы рассмотрим, как заполнить форму уведомления Роскомнадзора об обработке персональных данных.

Заполнение уведомления в Роскомнадзор: подпись, оформление и отправка уведомлений об обработке персональных данных

При оформлении и отправке уведомлений об обработке персональных данных у операторов часто возникают вопросы, связанные с подписанием и оформлением уведомлений. Ниже приведены самые популярные из них.

Кто может подписывать уведомление о персональных данных в Роскомнадзор?

Согласно ФЗ-152 уведомление в Роскомнадзор должны быть подписано уполномоченным лицом. Специальных требований к подписанию уведомлений не установлено.Исходя из общих положений законодательства здесь возможно несколько вариантов:

  • Подписание уведомления лицом, имеющим право подписи без доверенности – к ним чаще всего относятся руководители (можно проверить в ЕГРЮЛ).
  • Подписание уведомления по доверенности – может подписывать иное лицо. В таком случае к уведомлению нужно приложить доверенность на право подписи.

Есть ли дополнительные требования к оформлению уведомлений? Оператору необходимо распечатать, подписать уведомление, проставить на нем печать и направить в территориальное отделение Роскомнадзора. В уведомлении на бумажном носителе необходимо указать текущую дату отправки уведомления в бумажном виде. Если уведомление подписано по доверенности, необходимо также приложить к нему оформленную доверенность или надлежащим образом заверенную копию. Из дополнительных требований – Роскомнадзор также рекомендует размещать уведомление на фирменном бланке оператора. В то же время важно понимать, что получение Роскомнадзором документа на бумажном носителе является основанием для совершения регистрационных действий, поэтому фиксация факта получения письма Роскомнадзором, находится в интересах оператора.

Заполнение уведомления в Роскомнадзор: сроки и порядок отправки уведомления об обработке персональных данных

ФЗ-152 обязывает операторов персональных данных высылать уведомление о начале обработки персональных данных. Операторам не стоит пренебрегать выполнением этого требования – не уведомление Роскомнадзора может повлечь привлечение к административной ответственности в соответствии с Статьей 19.

7 КоАП РФ
Уведомление в Роскомнадзор подразумевает включение оператора в реестр операторов по обработке персональных данных. Для включения в реестр оператору необходимо заполнить и отправить уведомление по обработке персональных данных.

Срок направления уведомления оператором – до начала обработки персональных данных.

Срок включения в реестр – 30 дней с даты регистрации уведомления Роскомнадзором. Как правило, оператор о включении в реестр не уведомляется. Отслеживать статус уведомления можно самостоятельно по ссылке.

Для проверки статуса уведомления нужно запомнить его номер и ключ – их можно найти в конце каждого электронного уведомления после его заполнения.

Заполнение уведомления в Роскомнадзор: цели обработки уведомления об обработке персональных данных

Направление уведомления об обработке персональных данных является условием начала обработки персональных данных, а его неправильное заполнение может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.

Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.

Определяем цели обработки данных

Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется. При определении целей обработки персональных данных и заполнении уведомления необходимо проанализировать следующее:

  1. Цели деятельности оператора, определённые в его уставе, локальных актах, согласии на обработку персональных данных, анкетах, договорах, предусматривающих передачу персональных данных и пр.
  2. Основания получения персональных данных, деятельность, которую оператор осуществляет при получении и обработке персональных данных на таких основаниях.

Цели, указываемые в уведомлении, должны охватывать все случаи обработки персональных данных. При этом нужно учитывать как внешнюю деятельность компании – работа с клиентами, пользователями, заключение и исполнение договоров, маркетинговая активность и пр., так и внутреннюю – подбор и приём кадров, сбор данных о сотрудниках, организация пропускного режима. Примеры заполнения информации о целях обработки персональных данных в уведомлениях:цель обработки, регистрации сведений, необходимых для оказания услуг учащимся в области образования, персональных данных работников, сведений об их профессиональной служебной деятельности
цель обработки, регистрации сведений, необходимых для оказания жилищно-коммунальных услуг собственникам, жильцам помещений, персональных данных работников, сведений об их профессиональной служебной деятельности При определении целей рекомендуется привлекать специалистов, которые знакомы со всей деятельностью компании, а не заняты в одном отделе – это обеспечит правильность и полноту работы в сфере обработки персональных данных.

Заполняем уведомления об обработке персональных данных: Категории персональных данных

Указание неполного перечня обрабатываемых персональных данных – одно из типовых нарушений в сфере обработки персональных данных. Чтобы избежать сложностей в заполнении уведомления разберёмся, какие сведения о персональных данных нужно указывать в уведомлении об обработке.

Из законодательства следует, что категории персональных данных – это перечень персональных данных, конкретные сведения о субъекте, с помощью которых он идентифицируется или может быть идентифицирован.

Персональные данные группируются в зависимости от их особенностей, на основе чего их относят к специальным, биометрическим и иным видам категорий персональных данных.

Электронная форма уведомления на портале Роскомнадзора предлагает при определении категорий персональных данных указать конкретные сведения, которые будет собирать оператор – ФИО, дата, место рождения, семейное и социальное положение и пр.

Сложность в определении категории персональных данных при заполнении уведомления связана с тем, что сам по себе перечень персональных данных не является исчерпывающим. В электронной форме уведомления есть графа «Другие категории персональных данных, не указанные в данном перечне», в которой оператор самостоятельно вписывает обрабатываемые персональные данные. Операторы указывают не все «иные категории» и, как результат, нарушают требования законодательства. Так, операторы часто не указывают сведения о составе семьи; о трудовом и общем стаже, воинском учете; ИНН; СНИЛС и пр.
Во избежание неверного заполнения уведомления об обработке необходимо чётко определить цели обработки персональных данных, после чего указать, какие именно данные субъектов персональных данных будут обрабатываться для их достижения.

При этом нужно учитывать особенности толкования положений законодательства в части отнесения тех или иных данных к персональным. Так, согласно подходу Роскомнадзора к биометрическим персональным данным могут относиться не только данные изображения отпечатка пальца, радужной оболочки глаза и т.д., но и изображения лица.

Заполняем уведомления об обработке персональных данных: категории субъектов персональных данных

Статья 22 ФЗ-152 обязывает операторов указывать категории субъектов, персональные данные которых обрабатываются.

Логично, что субъектами персональных данных являются физические лица, но остаётся открытым вопрос, как их нужно идентифицировать в уведомлении Роскомнадзора.

Категории субъектов персональных – это указание на правовой статус субъектов персональных данных, определение места физических лиц в отношениях с оператором.

Так, если оператор обрабатывает информацию в целях обработки персональных данных персонала, то такое физическое лицо определяется в уведомлении как «работник», что и является категорией субъектов персональных данных. Контрагентов необходимо идентифицировать как сторону вида заключаемых с ними гражданско-правовых договоров.

Роскомнадзор в Методических рекомендациях по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 рекомендует указывать в уведомлениях виды отношений оператора с субъектами персональных данных, т.е. определять, какие отношения (трудовые, гражданско-правовые и пр.) связывают оператора и физическое лицо-субъекта персональных данных.

Таким образом, для указания полной и достоверной информации об обработке персональных данных, правильного уведомления Роскомнадзора необходимо описывать категории персональных данных по следующему образцу:работники, состоящие в трудовых отношениях с оператором физические лица (абонент, пассажир, заказчик), состоящие в договорных или иных гражданско-правовых отношениях с оператором

Заполнение уведомления в Роскомнадзор: внесение изменений в уведомление об обработке персональных данных

Если в деятельности организации, произошли изменения влияющие на процесс обработки персональных данных, оператору ПД необходимо направить информационное письмо регулятору в течение 10 рабочих дней с момента возникновения поправок для внесения изменений в ранее отправленное уведомление.

Информационное письмо оформляется на бланке оператора по форме, определенной Приложением 2 к Рекомендациям, и направляется в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе. Поля, отмеченные *, обязательны для заполнения.

Если установится факт размещения в реестре операторов недостоверной или неполной информации, сотрудник Роскомнадзора информирует ответственное лицо в компании оператора путем направления в его адрес письма о перечне недостающих или неточных сведений. Решить вопрос необходимо в течение 30 дней со дня получения такого запроса. Далее мы рассмотрим как заполнить информационное письмо.

по заполнению электронной формы уведомления можно посмотреть на ютуб канале ПДМастер, также как и видео по оформлению Согласия на обработку персональных данных и другие полезные материалы по тематике «Персональные данные»

Хабы:

  • Информационная безопасность
  • 16 марта 2019 в 21:13
  • 23 сентября 2015 в 16:38
  • 10 июня 2015 в 22:01

Источник: https://habr.com/ru/post/506392/

Разъяснения по вопросам уведомления об обработке персональных данных

Роскомнадзор отправить уведомление

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами.

Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.

Здесь важно учесть, что запрос Роскомнадзора – это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Возможны две ситуации:

  1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
  2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.

В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок.

Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».

Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления – она находится на сайте Роскомнадзора.

Изучив форму, вы поймете, что заполнение уведомления – это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

  • категории персональных данных,
  • категории субъектов персональных данных,
  • цель обработки персональных данных,
  • правовое основание обработки персональных данных,
  • перечень действий с персональными данными,
  • описание способов обработки,
  • осуществление трансграничной передачи персональных данных,
  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
  • ответственный за организацию обработки персональных данных,
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.

Если вам удалось провести полноценное обследование, и вы выявили самое главное – цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа.

Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.

Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

Важно понимать – наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации.

Чтобы уложиться в отведенные для ответа на запрос сроки – в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора.

Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

https://www.youtube.com/watch?v=Up1h8Jf4csU

И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации.

Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе.

Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706.

В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

Большинство вопросов связано со следующими пунктами:

  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1.

Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации – исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

  • назначить ответственного за организацию обработки;
  • издать политику оператора в отношении обработки персональных данных;
  • издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
  • и так далее…

В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.

В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры… И так далее.

С 19 статьей делаем то же самое.

Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

  • Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 “Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных”;
  • Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;
  • Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 “Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”;
  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.

Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления.

В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие – прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

Напомним – Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.

Удачной Вам работы в сфере обработки и защиты персональных данных!

Источник: https://centr.expert/mnenie/uvedomlenie-operatora-ob-obrabotke-personalnih-dannih

Что делать, если пришло письмо от Роскомнадзора — Право на vc.ru

Роскомнадзор отправить уведомление

Очень часто люди, получившие запрос от Роскомнадзора, начинают волноваться и готовиться, что всё, приплыли, — сейчас будет стук в дверь, проверка, вызов в суд, «прощай, бизнес». Это далеко не всегда так.

Есть сообщения и письма, которые все любят получать, к примеру, о зачислении денег на счёт. Лично мне они нравятся.

А есть письма, которые все мы однозначно не любим. Особенно это письма от государственных органов. В этой статье поговорим о том, как реагировать, если вы получили письмо от Роскомнадзора, и что вообще представляет собой такое письмо.

Законные основания для отправки письма от Роскомнадзора и правильные формы ответа на него: ответить придётся в любом случае.

Хоть и банально, зато эффективно в решении любых вопросов. Главное: ответить на письмо в срок, указанный в запросе или установленный законом.

В письме однозначно будет указано, почему Роскомнадзор пишет вам и что требует, по какой причине начал проверку. Изучите письмо, «поднимите» свои документы по этим вопросам и определите, все ли документы имеются и совершали ли вы то, о чём говорится в письме.

Роскомнадзор не имеет права писать письма без правового основания, поэтому в запросе будут указаны эти основания. Перед тем как что-то делать, прочитайте в законах эти основания и проанализируете, применимы ли к вам они, нет ли ошибки в запросе.

Если Роскомнадзор требует предоставить документы, сделайте скан, а если нет документов, их надо составить. Если выявлено нарушение, выясните, при каких обстоятельствах, и примите меры, чтобы таких нарушений не было.

А если на предыдущем шаге поняли, что запрос Роскомнадзора никак к вам не относится, можете порадоваться и посетовать на работу чиновников.

На полученное письмо в любом случае надо ответить. Неважно, как вы получили письмо — бумагой или по электронной почте, — на него надо дать официальный ответ. Составляйте его в спокойном деловом тоне, обосновывая свои позиции и объясняя ситуации, указывая, что требует закон и какие меры вы приняли.

Если получили по электронной почте, ответ следует отправить и по электронной почте, и «Почтой России» — заказным ценным письмом с описью и уведомлением о вручении (кстати, если кто не в курсе, всегда отправляйте официальные письма почтой именно так).

Если всё в порядке, то ответа вы не получите.

Деятельность и полномочия Роскомнадзора основываются прежде всего на постановлением «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» и одноимённым Положением.

Так, Роскомнадзор осуществляет надзор и правовое регулирование в следующих сферах:

  • Сфере СМИ и массовых коммуникаций, телевизионного вещания и радиовещания.
  • Сфере связи.
  • Сфере информационных технологий.
  • Сфере защиты детей от информации, причиняющей вред их здоровью или развитию.

Это вкратце и по вопросам нас интересующим: перепечатывать целый закон не вижу смысла, с полномочиями можете подробнее ознакомиться во втором разделе Положения.

Если вы как-то связаны с одной из вышеуказанных сфер, Роскомнадзор может направить вам официальное письмо. Оно может быть как в бумажном виде, так и в электронном (в таком случае оно будет подписано электронной квалифицированной подписью исполнителя). В любом случае, как указано было выше, на него надо отвечать.

Чтобы эффективно взаимодействовать с государственными органами, надо не только иметь опыт общения с ними, но и опыт самой работы в госорганах, — чтобы чувствовать дух и понимать логику функционирования этого бюрократического механизма.

Как человек, который занимается юриспруденцией со стороны защиты бизнеса, то есть на другой стороне баррикад, я был очень рад, что смог привлечь в свою команду бывшего сотрудника госорганов, который помог наладить работу с ними. Что же такое письмо от Роскомнадзора?

Любое письмо или запрос Роскомнадзора — это прежде всего правоприменительный акт государственного органа, который должен иметь правовое основание и мотивировку, то есть это результат некоторой внутренней работы государственного органа.

В этом письме, запросе, представлении РКН может просить вас предоставить сведения, данные, документы, материалы, скриншоты, однако часто бывает, что мотивировка или основание для этого отсутствуют.

Несмотря на то что правовая грамотность населения растёт, должностные лица бывают убеждены в том, что если есть право запрашивать документы и информацию, какие-либо основания и их доказательства для запроса не требуются. А это не так.

Правовое основание означает, что у должностного лица Роскомнадзора должны быть законом установленные полномочия совершать определённые действия: проверку, запрос сведений и документов.

Как вы понимаете, эту внутреннюю работу Роскомнадзора (проверку) должны запустить, чтобы весь механизм начал работать и вам пришло это треклятое письмо.

В данном случае мотивировка — тот самый толчок, который запустил механизм работы Роскомнадзора на законных основаниях для того, чтобы написать вам письмо. Примеры таких толчков:

  • Мониторинг сайтов, информации в интернете.
  • Плановая проверка лиц, осуществляющих предпринимательскую деятельность.
  • Получение обращений, жалоб, заявлений от третьих лиц или иные основания внеплановой проверки.

Если в ходе этого мероприятия выявлены нарушения закона, должностные лица Роскомнадзора принимают в пределах своей компетенции меры по пресечению таких нарушений, а также направляют письменное мотивированное представление с информацией о выявленных нарушениях, которое служит основанием для проведения внеплановой проверки согласно 294-ФЗ.

Если с точки зрения Роскомнадзора что-то пошло не так и нарушения не устранены, они могут инициировать внеплановую проверку.

Плановая проверка проводится на основании и в сроки, указанные в плане проверок, утверждённом Роскомнадзором и одобренным прокуратурой.

Вы всегда можете посмотреть планируются ли проверки в отношении вашей организации или ИП, а также следить за ходом её проведения по единому реестру проверок.

По общему правилу плановые проверки проводятся не чаще чем один раз в три года в соответствии с положениями девятой статьи 294-ФЗ, к тому же Роскомнадзор должен уведомить о начале проведения проверки в срок не позднее чем за три рабочих дня до начала её проведения, направив копии распоряжения или приказа, который в письме и будет.

Теперь по заявлению, обращению или жалобе граждан, которые могут запустить внеплановую проверку.

Основным правовым регламентом для РКН по этому вопросу служит инструкция по работе с обращениями. Обратите внимание: оснований для отказа в приёме документов, необходимых для начала Роскомнадзором рассмотрения обращения, и оснований для приостановления или отказа в рассмотрении обращений граждан законодательством не предусмотрено.

И не предоставлять ответ Роскомнадзор может только в общих случаях, которые вполне логичны:

  • Обращение анонимно.
  • В обращении обжалуется решение суда.
  • Содержит оскорбления, нецензурную лексику и угрозы.
  • Нельзя прочесть обращение.
  • Роскомнадзор неоднократно давал ответ по этому обращению этому лицу
  • При ответе может быть разглашена охраняемая тайна.

И всё! В остальных случаях, какая бы чепуха там ни была написана, должностное лицо должно выполнить проверку по заявлению. А значит, если вы, к примеру, получите персональные данные через форму обратной связи на сайте, такой гражданин может написать через сайт РКН жалобу, и там должны будут отреагировать.

Хочу обратить внимание, что какое бы письмо вы ни получили от Роскомнадзора, это, скорее всего, свидетельствует о начале проверки, а законом установлено, что срок проведения любой проверки не может превышать 20 рабочих дней, но может быть продлён приказом руководителя управления Роскомнадзора ещё на 20 рабочих дней при наличии серьёзных оснований.

В соответствии с положениями части 4 статьи 20 закона «О персональных данных», при запросе информации в части соблюдения законодательства по персональным данным надо отправить ответ в течение 30 календарных дней с даты получения.

В соответствии с положениями части 5 статьи 11 закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», при проведении уже документарной проверки надо отправить ответ в течение 10 рабочих дней с даты получения запроса.

Возьмём для примера ситуацию, когда есть продающий сайт, собирающий контактные данные (ФИО, электронка, номер телефона) для обратной связи и оставления заявки.

Роскомнадзор проводит мониторинг и видит нарушение: нет политики по обработке персональных данных и отсутствует согласие на предоставление своих персональных данных при оставлении заявки (в соответствии с частями 3, 4, 5 статьи 13 пункта 11 «Нарушение законодательства Российской Федерации в области персональных данных»).

Тогда Роскомнадзор через Whois узнаёт, кто администратор сайта, и пишет ему письмо, что вот оно, правонарушение. Дальше всё зависит от целей и самого должностного лица, осуществляющего проверку: может сразу вызвать на составление протокола об административном правонарушении, а может просто дополнительно запросить сведения или попросить устранить нарушение, предоставив время.

Но в любом случае он уведомляет администратора сайта о том, что выявлено нарушение. При этом, хочу обратить внимание, что совсем не важно, в каком регионе находится администратор сайта и в каком регионе находится управление Роскомнадзора.

Непредоставление ответа, документов и сведений Роскомнадзору в ответ на его письмо попадает под два состава административных правонарушений.

Статья 19.7 КоАП РФ предусматривает такую ответственность:

  • Для граждан — предупреждение или административный штраф от 100 до 300 рублей.
  • Для должностных лиц — от 300 до 500 рублей.
  • Для юридических лиц — от 3000 до 5000 рублей.

Статья 17.7 КоАП РФ предусматривает:

  • Для граждан — административный штраф от 1000 до 1500 рублей.
  • Для должностных лиц — административный штраф от 2000 до 3000 рублей либо дисквалификацию на срок от шести месяцев до года.
  • Для юридических лиц — административный штраф от 50 тысяч до 100 тысяч рублей либо административное приостановление деятельности на срок до 90 суток.

Ответственность за непредоставление документов наступает, только если запрос был законным (имеет правовые основания) и обоснованным (имеет мотивировку).

Помните, что результаты любой проверки и другие действия инспекторов Роскомнадзора могут быть обжалованы как в вышестоящем органе (Федеральной службе), так в прокуратуре и суде.

Вообще, полномочиями направлять письма, запросы и представления наделены практически все государственные органы.

Соответственно, вы также можете получить письма от Роспотребнадзора, если работаете с физическими лицами, от ФАС, органов внутренней деятельности и других. Не надо бояться, если получили, — лучше пройдитесь по пунктам, указанным в начале статьи, а если будет что-то не понятно — обращайтесь, мы поможем.

Источник: https://vc.ru/legal/80797-chto-delat-esli-prishlo-pismo-ot-roskomnadzora

Отправка уведомления в Роскомнадзор

Роскомнадзор отправить уведомление

В той или иной мере в поле информационных и коммуникационных технологий работают практически все предприниматели, ЮЛ и ФЛ, получающие, хранящие и обрабатывающие персональные данные (ПД).

Законодательство в этой сфере регулярно обновляется и совершенствуется, вводя новые правила. К одному из них относится обязанность отправлять уведомление о намерении вести обработку персональных данных в Роскомнадзор.

Что это за документ, расскажем ниже.

Информационная справка

Правила защиты в сфере обработки персональных данных обязуют всех, кто ими оперирует, проходить регистрацию в качестве оператора персональных данных. Эти вопросы находятся в юрисдикции Роскомнадзора (РКН), который в случае неисполнения закона вводит штрафные санкции против юридического лица или ИП.

Ведя деятельность в сфере обработки персональных данных, необходимо руководствоваться следующими нормативными актами:

Персональные данные можно представить в виде информации, по которой легко устанавливается личность того или иного человека. В перечень входят:

  • идентификационные данные общего порядка;
  • семейное положение;
  • образование и не только.

Регистрация в качестве оператора происходит через отправку уведомления об обработке в РКН. При этом перед обработкой персональных данных предприниматель должен убедиться, что документ принят контролирующим органом.

Согласно закону, базы персональных данных должны храниться только на территории России в бумажном или электронном виде. Принятие мер по защите данных в процессе обработки ложится целиком и полностью на оператора. Также он обязан:

  • получить согласие на обработку данных от лица, предоставляющего их;
  • прекращать хранение персональной информации после потери ею актуальности или по факту не востребованности.

За все нарушения, связанные с обработкой персональных данных и выявленные в результате проверок, Роскомнадзор наложит финансовые взыскания.

Обязательства и исключения

Под определение оператора обработки данных подпадают частные хозяйствующие субъекты, а также государственные и муниципальные структуры, которые производят обработку персональных данных в рамках своей основной деятельности.

Обязательства наступают для них автоматически в соответствии с законодательными актами. Но существует и перечень исключений. В него включены ЮЛ и ФЛ, которые:

  • получают и обрабатывают данные в рамках трудовых отношений;
  • не автоматизировали процесс работы с данными;
  • оформляют договора с ФЗ без передачи ПД третьей стороне;
  • собирают и производят обработку персональных данных для внутреннего пользования (актуально для религиозных и общественных организаций);
  • манипулируют открыто выложенными для всеобщего пользования данными;
  • имеют пропускную систему;
  • берут данные из государственных инфосистем;
  • включают в себя только фамилию, имя и отчество субъекта ПД;
  • оформляют проездные документы (что невозможно осуществить без обработки данных).

Перечисленные субъекты могут не беспокоиться об отправке уведомления об обработке данных в надзорный орган. Но списки периодически корректируются и их актуальность рекомендуется проверять один раз в 6 месяцев.

Штрафные санкции

Роскомнадзор регулярно проводит проверки, связанные с контролем за исполнением законов, затрагивающих информационное поле. Надзорный орган в первую очередь интересуют следующие нюансы:

  • наличие или отсутствие статуса оператора ПД;
  • система хранения данных;
  • актуальность предоставляемых данных и не только.

Если хозяйствующий субъект имеет законное право не присылать уведомление в РКН о намерении производить обработку данных, то во время проверки он должен аргументированно доказать это.

В среднем штрафы за разные виды нарушений составляют от 700 до 75000 рублей.

Кто и когда: просто о сложном

Обязанность заполнения и отправки уведомления об обработке персональных данных может быть возложена на разных сотрудников:

  • руководитель компании;
  • юрист;
  • кадровик;
  • представитель администрации.

Чаще всего заботы о получения статуса оператора ПД возлагаются на лицо, которое будет в дальнейшем заниматься обработкой полученных данных.

Сроки подачи уведомлений законодательством не оговорены. Но в любом случае сделать это нужно до начала обработки персональных данных. Чтобы обезопасить себя, рекомендуется отправлять уведомление об обработке персональных данных сразу же после регистрации в качестве частного предпринимателя или юридического лица.

Способы уведомления Роскомнадзора

На сегодняшний момент предприниматели имеют возможность уведомить Роскомнадзор о своих намерениях работать с данными разными способами. Каждый имеет свои особенности и тонкости, о которых нужно знать заранее.

Отправка почтой или курьерской службой

Этот вариант, как основной, с каждым годом выбирают все реже. Он включает в себя несколько этапов:

  • войти на сайт Роскомнадзора;
  • скачать форму уведомления;
  • распечатать документ;
  • внести в графы данные;
  • подать на подпись руководителю и уполномоченному работать с ПД лицу;
  • заверить печатью.

Далее клиенту нужно отправить бумагу в Роскомнадзор (местное отделение) и ожидать его приемки. Только после этого можно заниматься обработкой данных.

Почтовая отправка, несмотря на кажущуюся простоту, имеет массу минусов:

  • сложности с заполнением формы;
  • большие временные затраты;
  • необходимость лично ехать на почту;
  • невозможность сразу увидеть данные по статусу заявки и не только.

Чаще всего отправка уведомления почтой используется как вспомогательный способ, отмеченный в законодательном акте.

Отправка через сайт Роскомнадзора

Этот вариант выбирают гораздо чаще. Он довольно удобен и понятен:

  • зайти на официальный ресурс Роскомнадзора;
  • найти форму уведомления;
  • в онлайн режиме внести нужные данные;
  • после нажать на вкладку «Отправить электронное уведомление и подготовить форму к распечатке»;
  • распечатать документ в бумажном виде;
  • заверить (таким же образом, как указано в прошлом разделе).

Уведомление на бумажном носителе в качестве подтверждения отправляется почтой. На рассмотрение заявки надзорному органу дан месяц со дня отправки в электронном варианте.

Основным минусом способа считаются сложности с внесением данных в уведомление.

Обращение через сайт Госуслуг

Алгоритм действий аналогичен предыдущему варианту, но зайти необходимо на ресурс Госуслуги. После отправки электронной формы уведомления также понадобится подтверждение в бумажном виде.

Отправка с помощью Контура

Все предыдущие варианты имеют один существенный недостаток – пользователь редко представляет, как подступиться к уведомлению. Процесс заполнения занимает от 2-3 часов до нескольких дней, так как форма изобилует специфическими и профессиональными терминами, ошибаться в которых нельзя.

Контур решает эту проблему в один клик. Чтобы отправить уведомление в Роскомнадзор достаточно войти в сервис и нажать на одну вкладку «Отправить уведомление». Данные вносятся в автоматическом режиме без участия пользователя.

При этом на экране будет доступна информация следующего характера:

  • номер, присвоенный уведомлению;
  • цифровой ключ.

Проверить текущий статус по отправленному уведомлению можно не выходя из программы, нажав вкладку «Проверить состояние». Теперь бумагу можно распечатывать и отправлять почтой в качестве подтверждения в Роскомнадзор.

После того, как РКН примет решение по отправленному уведомлению, Контур вышлет электронное письмо с данными на мэйл пользователя. Теперь можно браться за обработку сведений.

Получить более подробную информацию о сервисе можно связавшись со специалистами нашего удостоверяющего центра.

Обработка персональных данных – это стандартный процесс, с которым ЮЛ и ФЛ сталкиваются ежедневно. Но узаконить его без Роскомнадзора и уведомления об обработке персональных данных невозможно.

Источник: https://www.a-practic.ru/articles/otpravka_uvedomleniya_v_roskomnadzor/

Заполняем уведомление об обработке персональных данных в Роскомнадзор. Как избежать ошибок? – Шортрид

Роскомнадзор отправить уведомление

Если неправильно заполнить уведомление об обработке персональных данных, то впоследствии со стороны Роскомнадзора могут последовать штрафы.

Например, бывает, что не указывают все информационные системы персональных данных или не могут предоставить договор с арендуемым дата-центром.

Между тем, Роскомнадзор уделяет уведомлению большое внимание на проверках, сверяя описанный в нем порядок обработки персональных данных с фактическим.

Павел Новожилов,

руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет»

Компания до начала обработки персональных данных (ПДн) обязана уведомить Роскомнадзор о своем намерении обрабатывать ПДн (кроме некоторых исключительных ситуаций). Это указано в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон № 152-ФЗ).

Если компания направит уведомление с ошибками, представители регулятора могут не отреагировать сразу на все несоответствия, заметив только наиболее грубые.

Но когда в компании будет проверка, от внимания проверяющих не ускользнут даже мелкие ошибки.

Обнаружив, что сведения в уведомлении не соответствуют фактическому порядку обработки ПДн, Роскомнадзор может выдать предписание об устранении нарушений, а в случае невыполнения этих требований в установленный срок и оштрафовать.

Форма для заполнения уведомления об обработке персональных данных

Правовыми основаниями для обработки ПДн могут быть нормативные правовые акты:

  • Гражданский и Трудовой кодексы,
  • Федеральный закон «Об исполнительном производстве»,
  • Приказы Минздравсоцразвития,
  • положения и инструкции Банка России и т.д.

Кроме этого, к основаниям относятся учредительные документы оператора ПДн, договоры с субъектами ПДн и их согласия на обработку. О последних при заполнении уведомления часто забывают.

Многие указывают в качестве правового основания в уведомлениях и во внутренних документах сам Закон № 152-ФЗ. Это ошибка.

Для начала рекомендуем определиться с перечнем информационных систем персональных данных (ИСПДн). Ими могут быть, например, SAP HR, 1C ЗУП, Siebel и другие. Как правило, организации оформляют такой перечень документально.

Затем следует обратить внимание на группу ИСПДн. Как таковые группы нигде не определены, поэтому каждая компания самостоятельно принимает решение о группировке. На практике группировка выполняется по системам, имеющим схожую архитектуру и единую категорию обработки ПДн.

Хотя Закон № 152-ФЗ и допускает деление ИСПДн на группы, важно учитывать, что указываемые о них данные могут применяться не ко всем информационным системам. Приведем простой пример: трансграничная передача ПДн может осуществляться только в двух информационных системах из восьми, входящих в ИСПДн.

Не так давно появилось требование вносить в уведомление сведения о местонахождении базы данных ПДн граждан РФ (подп. 10.1 п. 3 ст. 22 Закона № 152-ФЗ). На практике это значит, что организация должна указать, какой использует центр обработки данных (ЦОД, дата-центр): собственный или арендованный.

Если организация арендует ЦОД, то нужно убедиться в наличии договора с арендованным дата-центром, так как в ходе проверки его придется предоставить специалистам Роскомнадзора. Информацией о размещении ЦОД обладают ИТ-специалисты.

Важно разобраться, где происходит первичный сбор ПДн россиян. При проверке представители Роскомнадзора будут обращать внимание на зарубежные дата-центры, указанные в уведомлении, и к этому стоит подготовиться заранее.

Напомним, что за первичный сбор ПДн граждан РФ с использованием базы данных за пределами России компаниям грозят штрафы от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. за повторное (ч. 8 ст. 13.

11 КоАП РФ).

Если организация собирает ПДн граждан РФ с использованием базы данных действительно через иностранный ЦОД, то тогда будет штраф по ч. 8 ст. 13.11 КоАП РФ.

Но бывает, что организации собирают ПДн на территории РФ, а потом выполняется их передача в информационные системы, размещенные в зарубежном ЦОД.

То есть нарушения не будет, если актуализация данных и ввод осуществлялся в базах данных на территории РФ, так как дальнейшая передача в иностранные ЦОД не запрещена при соблюдении данного условия.

В случае трансграничной передачи персональных данных при заполнении уведомления необходимо обратить внимание на два важных нюанса.

Во-первых, нужно убедиться в наличии договора с компанией, куда они передаются, поскольку он может понадобиться представителям Роскомнадзора во время проверки.

Во-вторых, следует проверить, какие именно страны в нем указаны. Дело в том, что в договоре могут быть прописаны как конкретные страны, так и указана их группа, объединенная по какому-либо признаку: СНГ, страны всего мира, страны Европы и т.

д. Если в договоре используется общая формулировка, например, «страны Европы», то в уведомлении их необходимо перечислить. В противном случае проверяющие могут расценить это как нарушение и выписать организации соответствующее предписание.

Источник: https://shortread.ru/zapolnyaem-uvedomlenie-ob-obrabotke-personalnyh-dannyh-v-roskomnadzor-kak-izbezhat-oshibok/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.