Полномочия роскомнадзора в сфере персональных данных

Проверки и планы Роскомнадзора на 2018 год

Полномочия роскомнадзора в сфере персональных данных

Дед Роскомнадзор весь год ищет операторов персональных данных, которые с точки зрения закона «плохо себя ведут», и выписывает им предписания. В этой статье мы хотели бы рассказать о том, как это происходит, а ещё немного раскрыть планы «дедушки» на 2018 год. Чудесно, если это кому-то поможет подготовиться заранее и избежать проблем.

Статья 23 федерального закона от 27.07.2006 «О персональных данных» №152-ФЗ выделяет два направления деятельности Роскомнадзора: защита прав субъектов персональных данных; контроль и надзор за соответствием обработки персональных данных требованиям законодательства. Для выполнения этих функций указанная статья закона наделяет Роскомнадзор определенными полномочиями. Рассмотрим самые, на наш взгляд, важные из них. Роскомнадзор:

  • проверяет сведения, указанные организацией в Уведомлении;
  • может требовать от оператора уничтожения недостоверных или полученных незаконным путем персональных данных;
  • может ограничивать доступ к информации, обрабатываемой с нарушением законодательства;
  • вправе обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять их в суде;
  • наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении настоящего Федерального закона;
  • обязан рассматривать жалобы и обращения по вопросам, связанным с обработкой персональных данных, а также принимать по ним решения в пределах своих полномочий.

На практике основные действия Роскомнадзора в соответствии с федеральным законом «О персональных данных» следующие:

  • работа с обращениями и жалобами граждан;
  • проведение контрольных и надзорных мероприятий;
  • ведение Реестра операторов персональных данных.

Роскомнадзор рассматривает жалобы по закону от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Жалобы могут быть направлены как в письменном виде, так и через специальную форму на сайте Роскомнадзора или портала Госуслуг. Срок рассмотрения обращения — 30 календарных дней, за исключением случаев, установленных в законе. Сейчас в Правительстве ждет утверждения проект нового Административного регламента. Но на данный момент Роскомнадзор проводит проверочные мероприятия на основании Административного регламента, утвержденного приказом Министерства связи и массовых коммуникаций РФ № 312 от 14.11.2011 года. В рамках деятельности по контролю и надзору за порядком обработки персональных данных Роскомнадзор осуществляет плановые и внеплановые проверки.
Плановые проверки проводятся на основании ежегодного плана, с ним можно ознакомиться по ссылке rkn.gov.ru/plan-and-reports, а также в ежегодных планах деятельности территориальных управлений на следующий год. План проверок на следующий год обычно размещают на сайтах территориальных управлений в середине декабря текущего года. Так как с 1 сентября 2015 года Роскомнадзор не согласовывает планы проверок по персональным данным с Прокуратурой, то на сайте последней в сводном плане проверок по всем органам проверок по данной тематике нет. В действующем Административном регламенте сказано, что о проведении плановой проверки территориальное управление Роскомнадзора обязано уведомить вас не позднее, чем в течение трех рабочих дней до начала ее проведения. Мы проанализировали данные уже размещенные и доступные на сайте Роскомнадзора. Вот некоторые интересные результаты: Всего запланированы мероприятия по организации и проведению контроля (надзора) в отношении около 900 операторов ПДн. По географическому признаку — это самые различные организации «от Клининграда до Владивостока». Для выявления наиболее «проверяемых» отраслей мы воспользовались сведениями об основном виде деятельности компаний по ОКВЭД.
В планах лидируют «традиционные» для проверок РКН отрасли: образование, медицина, туризм, финансовые услуги и управляющие компании. Около 38% операторов в планах проверок — государственные организации. Соответственно на долю коммерческих организаций приходится более 62% мероприятий. Практически 99,8% — это юридические лица, а не индивидуальные предприниматели. Чтобы как-то описать размеры компаний, которые в 2018 году попадут под проверки, мы воспользовались информацией об размерах их уставного капитала как косвенным признаком.
В планах РКН компании всех размеров Предметом проверки Роскомнадзора являются:

  • деятельность по обработке персональных данных;
  • документы, характер информации в которых предполагает или допускает включение в них персональных данных;
  • информационные системы персональных данных.

Соответственно, Роскомнадзор не проверяет наличие и состояние технической защиты информационных систем персональных данных. Его главная задача — проверка правовых оснований обработки персональных данных. Вопреки расхожему мнению, положения, инструкции, приказы и прочие документы не являются самым главным объектом проверок. Уполномоченный орган больше интересуют сами персональные данные и соответствие объема этих данных целям обработки. В уведомлении о плановой проверке, как правило, написано, что проверяемое лицо должно представить:

  • копию документа о назначении должностного лица или уполномоченного представителя, которое будет представлять интересы юридического лица на проверке;
  • документы, характер информации в которых предполагает или допускает включение в них персональных данных. К таким документам Роскомнадзор обычно относит заявления, анкеты, журналы и пр.;
  • документы, подтверждающие уничтожение персональных данных по достижению цели обработки. К сожалению, не все операторы персональных данных понимают, что в каждом случае обработки персональных данных есть (или должна быть) цель обработки, по достижению которой данные необходимо уничтожить; письменные согласия субъектов персональных данных на обработку их персональных данных;
  • документы, подтверждающие соблюдение требований законодательства РФ при обработке персональных данных, в том числе специальных категорий и биометрических персональных данных;
  • документы, подтверждающие место размещения баз (информационных систем) персональных данных. Это требование появилось, когда в законодательство внесли поправки о локализации персональных данных россиян; документы, подтверждающие ознакомление работников, непосредственно осуществляющих обработку персональных данных, с законодательством и локальными актами оператора по вопросам обработки персональных данных;
  • локальные акты оператора, регламентирующие порядок и условия обработки персональных данных.

Всего запрашивается примерно 31 документ, из основных и значимых можно выделить следующие (пункты касались как автоматизированной обработки, так и неавтоматизированной):

  • Уведомление об обработке ПДн
  • Документ, определяющий ответственного за организацию обработки ПДн
  • Перечень сотрудников, допущенных к обработке ПДн
  • Документ, определяющие места хранения ПДн
  • Справка об обработке специальных и биометрических категорий ПДн
  • Справка об осуществлении трансграничной передачи ПДн
  • Типовые формы документов с ПДн
  • Порядок уничтожения ПДн
  • Порядок передачи ПДн третьим лицам
  • Типовая форма согласия на обработку ПДн
  • Порядок учета обращений субъектов ПДн
  • Перечень информационных систем персональных данных (ИСПДн)
  • Документы, регламентирующие резервирование данных в ИСПДн
  • Перечень используемых средств защиты информации
  • Матрица доступа
  • Модель угроз
  • Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработки в информационных системах персональных данных»
  • Журнал учета машинных носителей ПДн

В план проверок включают юридических лиц, которые подали Уведомление об обработке персональных данных в реестр операторов, и тех, кто этого не сделал. То есть могут проверить всех. Срок проведения как плановой, так и внеплановой проверки не может превышать 20 рабочих дней. Внеплановые проверки бывают документарные и выездные. Документарные проводятся в форме запроса Роскомнадзором необходимых документов и предоставления вами этих документов в срок, указанный в запросе. О проведении внеплановой проверки оператор уведомляется не позднее, чем за 24 часа до ее начала любым доступным способом. Обычно это делается по телефону или по факсу. Такие проверки могут проводиться в большинстве случаев по следующим основаниям:

  • если истек срок исполнения оператором ранее выданного предписания об устранении выявленного нарушения. Обычно после плановой проверки Роскомнадзор проводит внеплановую, чтобы выяснить, как устранено нарушение. Такая проверка редко бывает выездной. Она проводится в документарной форме, то есть Роскомнадзор запросит у вас сведения об устранении нарушений, а вы должны предоставить необходимые документы;
  • если в службу или ее территориальные органы поступило обращение от граждан, юридических лиц, индивидуальных предпринимателей, информация от органов государственной власти, органов местного самоуправления, из средств массовой информации. В 2011 году в службу поступило примерно 1500 жалоб. В 2016 году — примерно 33 000;
  • по приказу руководителя Роскомнадзора или руководителя территориального управления.
  • по факту выявления в результате систематического наблюдения нарушений обязательных требований

Еще один вид контроля — мероприятия систематического наблюдения. Основное отличие — мероприятия осуществляются без взаимодействия с проверяемыми лицами. В последние годы это самый популярный вид контроля за порядком обработки персональных данных. Популярность таких мероприятий вызвана тем, что трудозатраты территориальных управлений на их проведение куда меньше плановых проверок, а эффективность намного больше. За небольшой период времени каждое территориальное управление Роскомнадзора может проверить десятки или даже сотни организаций, начав как правило с проверки их интернет-сайтов. Понятие «мероприятия по систематическому наблюдению» добавилось в 2015 году. Систематическое наблюдение опасно тем, что оповещать о нём компанию никто не обязан. По результатам, если выявлены нарушения, проводится внеплановая проверка в соответствии с «Административным регламентом». Мероприятия систематического наблюдения проводятся на основании приказа руководителя территориального органа и закрепляются в ежегодном плане деятельности территориального управления на следующий год. Самым популярным нарушением, выявляемым в ходе мероприятий систематического наблюдения, является отсутствие на сайте документа, определяющего политику оператора в отношении обработки персональных данных, если на сайте выявлен случай сбора персональных данных (например, формы заявки, регистрации или обратной связи с определенным набором запрашиваемых сведений).

Также Роскомнадзор может запросить правовые основания для размещения чьих-либо персональных данных. Такие запросы уже поступали, например, в образовательные организации, когда на их сайте размещали персональные данные о школьниках и их успехах в олимпиадах. Так что, размещая персональные данные своих работников или иных лиц на сайте, проконтролируйте соблюдение требований закона.

Обработка персональных данных — это каждодневная деятельность любого юридического лица. Мы постоянно работаем с данными наших работников и клиентов (пациентов, студентов, покупателей, заявителей, пользователей сайта, заемщиков, страхователей, посетителей зрителей и пр.). Одни и те же данные одного и того же человека мы обрабатываем в разных случаях. И взятое в одном случае согласие — на другой может не распространяться. Соответственно, чтобы предотвратить негативные последствия, мы должны обратить внимание на правовую основу обработки персональных данных в каждом конкретном случае обработки, т. е. понять, есть ли у нас договоры, согласия или даже нормативные акты, которые Роскомнадзор признает при проверке законным основанием для обработки персональных данных. А проверка может возникнуть в любой момент. Например, у вас есть сайт. Вы собираете на нем данные через различные формы. Соответственно, вас могут проверить в ходе мероприятий систематического наблюдения, или в случае, если какой-нибудь посетитель вашего сайта подаст на вас жалобу. Также вами может быть недоволен ваш клиент или работник (бывший тоже может), которые имеют возможность пожаловаться в Роскомнадзор, и тот в свою очередь обязан на такие жалобы реагировать. Так что ваша задача — обеспечить правовую основу для каждого случая обработки.

Административная ответственность за нарушение законодательства в области персональных данных установлена статьей 13.11 КоАП РФ. Штрафы для юридических лиц за каждое нарушение, установленное статьей 13.11, варьируются от 15 000 до 75 000 рублей.

В Трудовом Кодексе РФ 14 глава называется: «Защита персональных данных работника». Государственная инспекция труда проводит контрольно-надзорные мероприятия по поводу выполнения требований всего Трудового кодекса и, соответственно, не может обойти стороной главу 14. На проверках обращают внимание на требование пункта 8 статьи 86: «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области». Таким образом, проверяют наличие такого документа и факт ознакомления с ним всех работников. Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП — штраф в размере от 30 000 до 50 000 рублей. Статья 19 федерального закона «О персональных данных» устанавливает меры по обеспечению безопасности персональных данных при их обработке. В части 3 статьи 19 сказано, что Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных (далее — ИСПДн) и требования к защите персональных данных в ИСПДн. Таким образом, у нас появилось Постановление Правительства №1119 от 01.11.2012, определяющее эти требования. В части 4 статьи 19 установлено, что состав и содержание необходимых для выполнения установленных Правительством требований, организационных и технических мер по обеспечению безопасности персональных данных, при их обработке в ИСПДн устанавливают ФСТЭК и ФСБ в рамках их полномочий. Во исполнение этого требования у нас появились:

  • приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

Источник: https://habr.com/ru/company/cloud4y/blog/345928/

Полномочия Роскомнадзора

Полномочия роскомнадзора в сфере персональных данных
Версия для печати

Положение о Роскомнадзоре

II. ПОЛНОМОЧИЯ

5. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций осуществляет следующие полномочия:

5.1. осуществляет:

5.1.1. государственный контроль и надзор:

5.1.1.1. за соблюдением законодательства Российской Федерации в сфере средств массовой информации и массовых коммуникаций, телевизионного вещания и радиовещания;

5.1.1.2. в сфере связи:

5.1.1.2.1. за соблюдением требований к построению сетей электросвязи и почтовой связи, требований к проектированию, строительству, реконструкции и эксплуатации сетей и сооружений связи;

5.1.1.2.2. за соблюдением операторами связи и владельцами сетей связи специального назначения требований к пропуску трафика и его маршрутизации;

5.1.1.2.3. за соблюдением порядка распределения ресурса нумерации единой сети электросвязи Российской Федерации;

5.1.1.2.4. за соответствием использования операторами связи и владельцами сетей связи специального назначения выделенного им ресурса нумерации установленному порядку использования ресурса нумерации единой сети электросвязи Российской Федерации;

5.1.1.2.5.

за исполнением организациями федеральной почтовой связи и операторами связи, имеющими право самостоятельно оказывать услуги подвижной радиотелефонной связи, а также операторами связи, занимающими существенное положение в сети связи общего пользования, которые имеют право самостоятельно оказывать услуги связи по передаче данных и оказывают услуги связи на основании договоров с абонентами — физическими лицами, Федерального закона

«О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» в части фиксирования, хранения и представления информации об операциях, подлежащих обязательному контролю, а также за организацией и осуществлением ими внутреннего контроля;

5.1.1.2.6. за соблюдением пользователями радиочастотного спектра порядка, требований и условий, относящихся к использованию радиоэлектронных средств или высокочастотных устройств, включая надзор с учетом сообщений (данных), полученных в процессе проведения радиочастотной службой радиоконтроля;

5.1.1.2.7. за выполнением правил присоединения сетей электросвязи к сети связи общего пользования, в том числе условий присоединения;

5.1.1.2.8. за обеспечением доступности для инвалидов объектов, предусмотренных абзацем первым части 1 статьи 15.1 Федерального закона «О социальной защите инвалидов в Российской Федерации», и предоставляемых услуг;

5.1.1.3. в сфере информационных технологий:

5.1.1.3.1. за соблюдением требований обязательной сертификации или декларирования соответствия информационных технологий, предназначенных для обработки государственного банка данных о детях, оставшихся без попечения родителей;

5.1.1.4. утратил силу. — Постановление Правительства Российской Федерации от 29.06.2017 N 769;

5.1.1.5. за представлением обязательного федерального экземпляра документов в установленной сфере деятельности Службы;

5.1.1.6.

в сфере защиты детей от информации, причиняющей вред их здоровью и (или) развитию, — за соблюдением требований законодательства Российской Федерации в сфере защиты детей от информации, причиняющей вред их здоровью и (или) развитию, к производству и выпуску средств массовой информации, вещанию телеканалов, радиоканалов, телепрограмм и радиопрограмм, а также к распространению информации посредством информационно-телекоммуникационных сетей (в том числе информационно-телекоммуникационной сети «Интернет») и сетей подвижной радиотелефонной связи (за исключением контроля и надзора за соответствием требованиям законодательства Российской Федерации в сфере защиты детей от информации, причиняющей вред их здоровью и (или) развитию, информационной продукции, реализуемой потребителям, в части указания в сопроводительных документах на информационную продукцию сведений, полученных в результате классификации информационной продукции, и размещения в соответствии с указанными сведениями знака информационной продукции с соблюдением требований технических регламентов, а также за соблюдением образовательными и научными организациями требований законодательства Российской Федерации в сфере защиты детей от информации, причиняющей вред их здоровью и (или) развитию, к информационной продукции, используемой как в образовательном процессе, так и при предоставлении образовательными и научными организациями доступа к информационно-телекоммуникационным сетям, в том числе информационно-телекоммуникационной сети «Интернет»);

5.1(1). обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов;

5.1.2. присвоение (назначение) радиочастот или радиочастотного канала для радиоэлектронных средств на основании решения Государственной комиссии по радиочастотам;

5.1.3. регистрацию присвоения (назначения) радиочастот и радиочастотных каналов;

5.1.4. лицензирование деятельности, в том числе контроль за соблюдением лицензиатами лицензионных условий и требований:

5.1.4.1. в области телевизионного вещания и радиовещания;

5.1.4.2. в области оказания услуг связи;

5.1.4.3.

по изготовлению экземпляров аудиовизуальных произведений, программ для электронных вычислительных машин (программ для ЭВМ), баз данных и фонограмм на любых видах носителей (за исключением случаев, если указанная деятельность самостоятельно осуществляется лицами, обладающими правами на использование указанных объектов авторских и смежных прав в силу федерального закона или договора) в соответствии с законодательством Российской Федерации;

5.1.5. присвоение позывных сигналов для опознавания радиоэлектронных средств гражданского назначения и регистрацию присвоения позывных сигналов;

5.1.6. аккредитацию экспертов и экспертных организаций для проведения экспертизы информационной продукции в целях обеспечения информационной безопасности детей;

5.1.7. создание, формирование и ведение единой автоматизированной информационной системы «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» (далее — единый реестр);

5.1.7(1). принятие мер по ограничению доступа к информационным ресурсам в информационно-телекоммуникационных сетях, в том числе в информационно-телекоммуникационной сети «Интернет», в пределах компетенции, установленной Федеральным законом «Об информации, информационных технологиях и о защите информации»;

5.1.8.

направление в Евразийскую экономическую комиссию предложений, содержащих сведения о радиоэлектронных средствах и (или) высокочастотных устройствах гражданского назначения, в том числе встроенных либо входящих в состав других товаров, при ввозе которых на таможенную территорию Евразийского экономического союза не требуется представление лицензии или заключения (разрешительного документа), а также рассмотрение полученных из Евразийской экономической комиссии предложений от государственных органов государств — членов Евразийского экономического союза, содержащих сведения о радиоэлектронных средствах и (или) высокочастотных устройствах гражданского назначения, в том числе встроенных либо входящих в состав других товаров, при ввозе которых на таможенную территорию Евразийского экономического союза не требуется представление лицензии или заключения (разрешительного документа);

5.2. ведет:

5.2.1. реестр операторов, занимающих существенное положение в сети связи общего пользования;

5.2(1). устанавливает:

5.2(1).1. порядок представления лицензиатом в лицензирующий орган сведений об операторах связи, осуществляющих трансляцию телеканала, радиоканала по договору с вещателем таких телеканала или радиоканала, и о лицах, распространяющих телеканал, радиоканал в неизменном виде по договору с вещателем таких телеканала или радиоканала;

5.2(1).2. порядок ведения регистрирующим органом реестра зарегистрированных средств массовой информации;

5.2(1).3. порядок формирования и ведения лицензирующим органом реестра лицензий на телевизионное вещание, радиовещание;

5.2(1).4. порядок представления в лицензирующий орган оператором связи, осуществляющим трансляцию телеканалов и (или) радиоканалов по договору с вещателем, сведений о таком вещателе;

5.2(1).5. утратил силу. — Постановление Правительства Российской Федерации от 27.01.2018 N 76;

5.2(1).6. форму разрешения на распространение продукции зарубежного периодического печатного издания;

5.2(1).7. порядок аккредитации экспертов и экспертных организаций на право проведения экспертизы информационной продукции, включая выдачу аттестатов аккредитации, приостановление или прекращение действия выданных аттестатов аккредитации, ведение реестра аккредитованных экспертов и экспертных организаций и контроль за деятельностью аккредитованных им экспертов и экспертных организаций;

5.2(1).8. порядок взаимодействия оператора единого реестра с провайдером хостинга и порядок получения доступа к содержащейся в едином реестре информации оператором связи, оказывающим услуги по предоставлению доступа к информационно-телекоммуникационной сети «Интернет»;

5.2(1).9. порядок подачи заявления о регистрации средства массовой информации, продукция которого предназначена для распространения преимущественно на территориях двух и более субъектов Российской Федерации;

5.2(1).10. форму выписки из реестра зарегистрированных средств массовой информации;

Источник: https://rkn.gov.ru/about/credentials/

Приняты новые правила государственного надзора за операторами персональных данных

Полномочия роскомнадзора в сфере персональных данных

С 23 февраля 2019 года вступило в силу Постановление Правительства РФ от 13.02.

2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».

Правила вводят новый вид контрольного мероприятия – наблюдение за оператором персональных данных, а также конкретизируют многие аспекты контрольно-надзорной деятельности Роскомнадзора.

До появления новых Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее – «Правила») Роскомнадзор применял Административный регламент, утвержденный Приказом Минкомсвязи России от 14.11.2011 № 312. Ниже представлены основные новеллы, важные для коммерческих компаний – операторов персональных данных.

Наблюдение за деятельностью оператора персональных данных

Пункт 54 Правил предусматривает проведение мероприятий по контролю без непосредственного взаимодействия с операторами. Ранее подобные формы контроля в области персональных данных не были установлены на нормативном уровне.

К ним относятся:

  • наблюдение за выполнением требований о персональных данных при размещении информации в Интернете и СМИ; и
  • наблюдение посредством анализа информации о деятельности оператора, предоставленной самим оператором в Роскомнадзор в соответствии с нормами законодательства или полученной Роскомнадзором, в том числе в рамках межведомственного взаимодействия.

Во втором случае речь может идти о соответствии реальной деятельности оператора тому, что он указал в своем уведомлении об обработке персональных данных. За редкими исключениями подача уведомления является обязательной согласно ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон»).

Роскомнадзор сможет, к примеру, получить сведения об операторе из других государственных органов (налоговая инспекция, трудовая инспекция).

Исходя из буквального прочтения Правил, необходимую для контроля информацию Роскомнадзор может собирать и самостоятельно, но пределы и условия осуществления подобных действий не обозначены.

Указанные мероприятия проводятся на основании обращения гражданина, юридического лица, государственного органа, публикации в СМИ или Интернете о нарушении оператором законодательства, а также в других случаях.

По результатам контроля может быть назначена выездная проверка (пп. Д) п.8 Правил).

Кроме того, оператор персональных данных может получить требование об уточнении, блокировании или уничтожении недостоверных или незаконно полученных данных и/или сразу протокол об административном правонарушении.

Основания и сроки внеплановой проверки

В соответствии с п. 8 Правил внеплановая проверка может быть назначена по результатам наблюдения за оператором персональных данных. По согласованию с прокуратурой проверка проводится и по результатам обращения граждан.

К таким обращениям должны быть приложены материалы, подтверждающие нарушение прав субъектов персональных данных, предусмотренных в ст. 14 – 17 Закона (право на доступ к своим персональным данным, права при обработке данных в целях продвижения товаров, работ и услуг и т.д.).

Остальные основания для назначения проверки остались без существенных изменений. К ним относятся требования прокуратуры, неисполнение предписания Роскомнадзора и некоторые другие.

Срок проведения внеплановой проверки не может превышать 10 рабочих дней (с возможностью продления еще на 10 рабочих дней). Согласно п. 25 Правил, внеплановые документарные проверки больше не осуществляются.

Сроки назначения и проведения плановой проверки

Согласно п. 6 и 7 Правил, плановая проверка оператора персональных данных может проводиться не чаще одного раза в три года.

Этот интервал сокращается до двух лет, если оператор:

  • работает с персональными данными в государственных информационных системах;
  • обрабатывает биометрические данные (например, отпечаток пальца) и специальные категории данных (например, сведения о состоянии здоровья);
  • передает персональные данные на территорию иностранного государства, не обеспечивающего их адекватную защиту (например, в США, Индию или Китай);
  • обрабатывает персональные данные по поручению иностранной компании, государственного органа или физического лица, которые не зарегистрированы в России.

Срок проведения проверки не должен превышать 20 рабочих дней. Допускается продление еще на 20 рабочих дней.

Полномочия проверяющих

В п.21 Правил перечислены полномочия должностных лиц Роскомнадзора.

В частности, они получили право во время контрольных мероприятий или надзорной проверки использовать принадлежащие Роскомнадзору технику и оборудование без взаимодействия с оператором.

Иными словами, проверяющие смогут свободно проносить в офис проверяемой компании, в том числе в серверную комнату, любые имеющиеся у них технические средства, что создает риски информационной безопасности.

Объем проверки

Под проверку подпадают:

  • деятельность оператора по обработке персональных данных с использованием и/или без использования средств автоматизации;
  • документы, локальные акты и предпринятые меры по выполнению обязанностей оператора (согласно ч.1 ст.18.1 Закона);
  • информационные системы (например, 1С или CRM-системы), но только в части, касающейся процессов обработки персональных данных.

При этом Правила не регламентируют контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности информационных систем персональных данных. Подобные меры предусмотрены в ст.19 Закона и в основном предполагают защиту компьютерных систем от неправомерного доступа, утечек или повреждения информации.

Последствия для бизнеса

  • Новые Правила должны применяться даже к тем плановым проверкам, которые назначены на 2019 год (кроме уже прошедших). Это обстоятельство целесообразно учитывать при подготовке к проверке.
  • В связи с внедрением процедуры наблюдения за деятельностью операторов, компаниям следует уделять особое внимание своевременной подаче уведомлений об обработке персональных данных в Роскомнадзор и поддержанию сведений в Реестре операторов в актуальном состоянии.
  • Интернет-компаниям необходимо убедиться, что их сайты отвечают всем законодательным требованиям и тенденциям в правоприменительной практике, в том числе содержат политики в отношении обработки персональных данных, сведения о реализуемых требованиях к защите персональных данных и согласия пользователей на обработку их данных.
  • Для международных компаний, их филиалов и представительств в России особое значение имеет правильное оформление отношений по обмену данными с материнской компанией и другими иностранными офисами. Теперь от этого будет зависеть периодичность (а возможно и вероятность) плановых проверок.

Настоящий обзор подготовлен в справочных целях и не отражает всех нововведений. Для получения более подробной информации, пожалуйста, свяжитесь с нами по следующим контактным данным:
Станислав Румянцев, к.ю.н., CIPP/E
старший юрист тел: +7 495 937 61 16

RumyantsevS@gorodissky.ru

Источник: http://www.gorodissky.ru/publications/law_news/prinyaty-novye-pravila-gosudarstvennogo-nadzora-za-operatorami-personalnykh-dannykh/

Что делать, если пришло письмо от Роскомнадзора — Право на vc.ru

Полномочия роскомнадзора в сфере персональных данных

Очень часто люди, получившие запрос от Роскомнадзора, начинают волноваться и готовиться, что всё, приплыли, — сейчас будет стук в дверь, проверка, вызов в суд, «прощай, бизнес». Это далеко не всегда так.

Есть сообщения и письма, которые все любят получать, к примеру, о зачислении денег на счёт. Лично мне они нравятся.

А есть письма, которые все мы однозначно не любим. Особенно это письма от государственных органов. В этой статье поговорим о том, как реагировать, если вы получили письмо от Роскомнадзора, и что вообще представляет собой такое письмо.

Пошаговое резюме для тех, кто торопится

Законные основания для отправки письма от Роскомнадзора и правильные формы ответа на него: ответить придётся в любом случае.

Не волнуйтесь

Хоть и банально, зато эффективно в решении любых вопросов. Главное: ответить на письмо в срок, указанный в запросе или установленный законом.

Оцените требования

В письме однозначно будет указано, почему Роскомнадзор пишет вам и что требует, по какой причине начал проверку. Изучите письмо, «поднимите» свои документы по этим вопросам и определите, все ли документы имеются и совершали ли вы то, о чём говорится в письме.

Изучите нормы

Роскомнадзор не имеет права писать письма без правового основания, поэтому в запросе будут указаны эти основания. Перед тем как что-то делать, прочитайте в законах эти основания и проанализируете, применимы ли к вам они, нет ли ошибки в запросе.

Примите меры

Если Роскомнадзор требует предоставить документы, сделайте скан, а если нет документов, их надо составить. Если выявлено нарушение, выясните, при каких обстоятельствах, и примите меры, чтобы таких нарушений не было.

https://www.youtube.com/watch?v=STX8SpbADnw

А если на предыдущем шаге поняли, что запрос Роскомнадзора никак к вам не относится, можете порадоваться и посетовать на работу чиновников.

Грамотно напишите письмо

На полученное письмо в любом случае надо ответить. Неважно, как вы получили письмо — бумагой или по электронной почте, — на него надо дать официальный ответ. Составляйте его в спокойном деловом тоне, обосновывая свои позиции и объясняя ситуации, указывая, что требует закон и какие меры вы приняли.

Отправьте письмо

Если получили по электронной почте, ответ следует отправить и по электронной почте, и «Почтой России» — заказным ценным письмом с описью и уведомлением о вручении (кстати, если кто не в курсе, всегда отправляйте официальные письма почтой именно так).

Вы великолепны

Если всё в порядке, то ответа вы не получите.

Для тех, кто любит знать, что к чему и как работает

Деятельность и полномочия Роскомнадзора основываются прежде всего на постановлением «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» и одноимённым Положением.

Так, Роскомнадзор осуществляет надзор и правовое регулирование в следующих сферах:

  • Сфере СМИ и массовых коммуникаций, телевизионного вещания и радиовещания.
  • Сфере связи.
  • Сфере информационных технологий.
  • Сфере защиты детей от информации, причиняющей вред их здоровью или развитию.

Это вкратце и по вопросам нас интересующим: перепечатывать целый закон не вижу смысла, с полномочиями можете подробнее ознакомиться во втором разделе Положения.

Если вы как-то связаны с одной из вышеуказанных сфер, Роскомнадзор может направить вам официальное письмо. Оно может быть как в бумажном виде, так и в электронном (в таком случае оно будет подписано электронной квалифицированной подписью исполнителя). В любом случае, как указано было выше, на него надо отвечать.

Чтобы эффективно взаимодействовать с государственными органами, надо не только иметь опыт общения с ними, но и опыт самой работы в госорганах, — чтобы чувствовать дух и понимать логику функционирования этого бюрократического механизма.

Как человек, который занимается юриспруденцией со стороны защиты бизнеса, то есть на другой стороне баррикад, я был очень рад, что смог привлечь в свою команду бывшего сотрудника госорганов, который помог наладить работу с ними. Что же такое письмо от Роскомнадзора?

Любое письмо или запрос Роскомнадзора — это прежде всего правоприменительный акт государственного органа, который должен иметь правовое основание и мотивировку, то есть это результат некоторой внутренней работы государственного органа.

В этом письме, запросе, представлении РКН может просить вас предоставить сведения, данные, документы, материалы, скриншоты, однако часто бывает, что мотивировка или основание для этого отсутствуют.

Несмотря на то что правовая грамотность населения растёт, должностные лица бывают убеждены в том, что если есть право запрашивать документы и информацию, какие-либо основания и их доказательства для запроса не требуются. А это не так.

Правовое основание означает, что у должностного лица Роскомнадзора должны быть законом установленные полномочия совершать определённые действия: проверку, запрос сведений и документов.

Как вы понимаете, эту внутреннюю работу Роскомнадзора (проверку) должны запустить, чтобы весь механизм начал работать и вам пришло это треклятое письмо.

В данном случае мотивировка — тот самый толчок, который запустил механизм работы Роскомнадзора на законных основаниях для того, чтобы написать вам письмо. Примеры таких толчков:

  • Мониторинг сайтов, информации в интернете.
  • Плановая проверка лиц, осуществляющих предпринимательскую деятельность.
  • Получение обращений, жалоб, заявлений от третьих лиц или иные основания внеплановой проверки.

Мониторинг сайта и информации интернете

Если в ходе этого мероприятия выявлены нарушения закона, должностные лица Роскомнадзора принимают в пределах своей компетенции меры по пресечению таких нарушений, а также направляют письменное мотивированное представление с информацией о выявленных нарушениях, которое служит основанием для проведения внеплановой проверки согласно 294-ФЗ.

Если с точки зрения Роскомнадзора что-то пошло не так и нарушения не устранены, они могут инициировать внеплановую проверку.

Плановая проверка

Плановая проверка проводится на основании и в сроки, указанные в плане проверок, утверждённом Роскомнадзором и одобренным прокуратурой.

Вы всегда можете посмотреть планируются ли проверки в отношении вашей организации или ИП, а также следить за ходом её проведения по единому реестру проверок.

По общему правилу плановые проверки проводятся не чаще чем один раз в три года в соответствии с положениями девятой статьи 294-ФЗ, к тому же Роскомнадзор должен уведомить о начале проведения проверки в срок не позднее чем за три рабочих дня до начала её проведения, направив копии распоряжения или приказа, который в письме и будет.

Обращения, жалобы, заявления от третьих лиц

Теперь по заявлению, обращению или жалобе граждан, которые могут запустить внеплановую проверку.

Основным правовым регламентом для РКН по этому вопросу служит инструкция по работе с обращениями. Обратите внимание: оснований для отказа в приёме документов, необходимых для начала Роскомнадзором рассмотрения обращения, и оснований для приостановления или отказа в рассмотрении обращений граждан законодательством не предусмотрено.

И не предоставлять ответ Роскомнадзор может только в общих случаях, которые вполне логичны:

  • Обращение анонимно.
  • В обращении обжалуется решение суда.
  • Содержит оскорбления, нецензурную лексику и угрозы.
  • Нельзя прочесть обращение.
  • Роскомнадзор неоднократно давал ответ по этому обращению этому лицу
  • При ответе может быть разглашена охраняемая тайна.

И всё! В остальных случаях, какая бы чепуха там ни была написана, должностное лицо должно выполнить проверку по заявлению. А значит, если вы, к примеру, получите персональные данные через форму обратной связи на сайте, такой гражданин может написать через сайт РКН жалобу, и там должны будут отреагировать.

Хочу обратить внимание, что какое бы письмо вы ни получили от Роскомнадзора, это, скорее всего, свидетельствует о начале проверки, а законом установлено, что срок проведения любой проверки не может превышать 20 рабочих дней, но может быть продлён приказом руководителя управления Роскомнадзора ещё на 20 рабочих дней при наличии серьёзных оснований.

Срок ответа на письмо государственного органа

В соответствии с положениями части 4 статьи 20 закона «О персональных данных», при запросе информации в части соблюдения законодательства по персональным данным надо отправить ответ в течение 30 календарных дней с даты получения.

В соответствии с положениями части 5 статьи 11 закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», при проведении уже документарной проверки надо отправить ответ в течение 10 рабочих дней с даты получения запроса.

Как это происходит на практике

Возьмём для примера ситуацию, когда есть продающий сайт, собирающий контактные данные (ФИО, электронка, номер телефона) для обратной связи и оставления заявки.

Роскомнадзор проводит мониторинг и видит нарушение: нет политики по обработке персональных данных и отсутствует согласие на предоставление своих персональных данных при оставлении заявки (в соответствии с частями 3, 4, 5 статьи 13 пункта 11 «Нарушение законодательства Российской Федерации в области персональных данных»).

Тогда Роскомнадзор через Whois узнаёт, кто администратор сайта, и пишет ему письмо, что вот оно, правонарушение. Дальше всё зависит от целей и самого должностного лица, осуществляющего проверку: может сразу вызвать на составление протокола об административном правонарушении, а может просто дополнительно запросить сведения или попросить устранить нарушение, предоставив время.

Но в любом случае он уведомляет администратора сайта о том, что выявлено нарушение. При этом, хочу обратить внимание, что совсем не важно, в каком регионе находится администратор сайта и в каком регионе находится управление Роскомнадзора.

Что будет, если вы не дадите ответ на письмо

Непредоставление ответа, документов и сведений Роскомнадзору в ответ на его письмо попадает под два состава административных правонарушений.

Статья 19.7 КоАП РФ предусматривает такую ответственность:

  • Для граждан — предупреждение или административный штраф от 100 до 300 рублей.
  • Для должностных лиц — от 300 до 500 рублей.
  • Для юридических лиц — от 3000 до 5000 рублей.

Статья 17.7 КоАП РФ предусматривает:

  • Для граждан — административный штраф от 1000 до 1500 рублей.
  • Для должностных лиц — административный штраф от 2000 до 3000 рублей либо дисквалификацию на срок от шести месяцев до года.
  • Для юридических лиц — административный штраф от 50 тысяч до 100 тысяч рублей либо административное приостановление деятельности на срок до 90 суток.

Ответственность за непредоставление документов наступает, только если запрос был законным (имеет правовые основания) и обоснованным (имеет мотивировку).

Помните, что результаты любой проверки и другие действия инспекторов Роскомнадзора могут быть обжалованы как в вышестоящем органе (Федеральной службе), так в прокуратуре и суде.

Вообще, полномочиями направлять письма, запросы и представления наделены практически все государственные органы.

Соответственно, вы также можете получить письма от Роспотребнадзора, если работаете с физическими лицами, от ФАС, органов внутренней деятельности и других. Не надо бояться, если получили, — лучше пройдитесь по пунктам, указанным в начале статьи, а если будет что-то не понятно — обращайтесь, мы поможем.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: https://vc.ru/legal/80797-chto-delat-esli-prishlo-pismo-ot-roskomnadzora

Роскомнадзор на страже персональных данных

Полномочия роскомнадзора в сфере персональных данных

Роскомнадзор запустил сервис по разъяснению вопросов о защите персональных данных.

В ведомстве отметили, что он призван способствовать эффективной обратной связи между Роскомнадзором и представителями операторского сообщества, а также формированию правовой модели поведения операторов, направленной на соблюдение требований законодательства РФ в области персональных данных.

Как уточнили в пресс-службе ведомства, Роскомнадзор запустил сервис «Задай тему Роскомнадзору», реализуя Стратегию институционального развития и информационно-публичной деятельности в области защиты прав субъектов персональных данных на период до 2020 г.

«Сервис предоставляет возможность получить разъяснения по наиболее актуальным вопросам в сфере защиты прав субъектов персональных данных. Он содержит перечень тем, на которые Роскомнадзор даст пояснения.

Каждый посетитель портала может проать за любую размещенную тему или предложить свою», — рассказали в ведомстве.

При этом ание по предложенным темам идет в интерактивном режиме, итоги которого подводятся в конце каждого месяца. По теме, получившей наибольшее количество , специалисты Роскомнадзора готовят разъяснения, которые размещаются в электронной библиотеке портала.

«Сервис призван способствовать обеспечению эффективного механизма обратной связи между Роскомнадзором и представителями операторского сообщества, формированию правовой модели поведения операторов, направленной на соблюдение требований законодательства Российской Федерации в области персональных данных», — отметили в пресс-службе ведомства.

В беседе с корреспондентом ComNews представитель пресс-службы ПАО «ВымпелКом» (бренд «Билайн») сообщил, что в компании внедрен целый комплекс мер по работе с персональными данными клиентов, в том числе для их защиты. «Все решения соблюдают требования законодательства Российской Федерации в области персональных данных», — подчеркнули в компании.

По словам генерального директора юридической и консалтинговой компании «ОрдерКом», кандидата юридических наук Дмитрия Галушко, действующее законодательство в области защиты персональных данных имеет ряд пробелов, неточностей и неясностей в формулировках, просто устаревших и не согласованных положений.

«В связи с этим разногласия в трактовках тех или иных положений федерального закона №152-ФЗ от 27 июля 2006 г. «О персональных данных» присутствуют даже у разных территориальных управлений Роскомнадзора, у Центрального аппарата и региональных отделений, не говоря уже об операторах и субъектах персональных данных.

Практика применения закона судами скудна или отсутствует вовсе», — отметил он.

Дмитрий Галушко считает, что в сложившихся обстоятельствах единственным действенным способом подстраховаться и узнать позицию надзорного органа по тому или иному вопросу является возможность обращения с запросом в Роскомнадзор (его отдельное структурное подразделение) напрямую. «В соответствии с полномочиями Роскомнадзор вправе давать разъяснения законодательства, в том числе применительно к конкретному случаю из практики», — пояснил глава «ОрдерКома».

В то же время, добавил он, когда обращение подается в соответствии с федеральным законом РФ от 2 мая 2006 г. №59-ФЗ «О порядке рассмотрения обращений граждан РФ», у надзорного органа имеется масса возможностей уклониться от ответа или дать формальный ответ, в подавляющем большинстве случаев такой ответ дается в последний возможный день рассмотрения обращения.

«В сложившихся обстоятельствах появление отдельного сервиса по разъяснению положений профильного законодательства — в данном случае о персональных данных, — за который будут отвечать профильные специалисты, видится максимально эффективным и полезным для операторов», — заявил Дмитрий Галушко.

По его словам, иногда нарушение законодательства о персональных данных происходит не из-за игнорирования норм действующего законодательства в этой области, а из-за их некорректности или неправильности их толкования как оператором персональных данных, так и контролирующим органом или судом.

На взгляд Дмитрия Галушко, появление квалифицированных и продуманных разъяснений позволит сократить число нарушений, связанных с обработкой персональных данных, однако исключительно в части добросовестных операторов, которые уже предприняли определенные шаги по обеспечению безопасности обработки персональных данных и следят за ситуацией.

Глава «ОрдерКома» напомнил, что на сегодняшний день существует два официальных способа получить разъяснения как по количеству нарушений в области персональных данных, так и по их сущности.

Во-первых, уточнил он, любое заинтересованное лицо может обратиться в Роскомнадзор, который имеет статус уполномоченного органа по защите прав субъектов персональных данных, с обращением в порядке, предусмотренном Федеральным законом РФ от 2 мая 2006 г.

№59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».

Во-вторых, можно самостоятельно изучить практику судебных органов по спорам, связанным с обработкой персональных данных.

«В настоящее время публикуется большинство судебных решений, начиная с постановлений мировых судей и заканчивая постановлениями президиума Верховного суда РФ и актами Конституционного суда РФ», — заметил Дмитрий Галушко.

Наконец, добавил он, имеется возможность получить неофициальные разъяснения по вопросам обработки персональных данных.

В пресс-службе Роскомнадзора корреспонденту ComNews сообщили, что в прошлом году наибольшее количество жалоб, касающихся нарушений с персональными данными, пришлись на банки и кредитные организации. В ведомство поступило 9667 жалоб, из которых 244 были подтверждены.

На втором месте — интернет-сайты: Роскомнадзор получил в 2017 г. 5850 жалоб. При этом из 5850 жалоб, связанных с интернет-сайтами, подтвердилось лишь 454. Третье место — это коллекторские агентства: поступило 2734 письма, а 89 подтвердились.

Меньше всего жалоб коснулось СМИ: в ведомство поступило 286 писем, 36 из которых подтвердились.

Источник: http://www.comnews.ru/content/112401/2018-03-26/roskomnadzor-na-strazhe-personalnyh-dannyh

ГуруПрава
Добавить комментарий