Rzdfine.ru

РЖД Финанс
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Департамент защиты персональных данных – прислал письмо: что это такое

Департамент защиты персональных данных – прислал письмо: что это такое?

Начиная с 2019 года в сети появилась масса отзывов от людей, которым пришло письмо от «Департамента защиты персональных данных» с требованием сообщить ряд персональных данных. Подобные рассылки осуществляются мошенниками, поэтому стоит проявлять предельную внимательность перед тем, как передавать кому-либо конфиденциальную информацию.

электронные письма от мошенников

Когда ждать проверки Роскомнадзора

Проверки Роскомнадзора бывают двух видов: плановые и внеплановые. Последние чаще всего проводятся в случаях выявления нарушений в действиях оператора (организации, осуществляющей обработку персональных данных) и поступления в Роскомнадзор обращений и жалоб граждан на незаконную обработку персональных данных (динамику их поступления смотрите на графике 1). Роскомнадзор предупреждает о ней всего за 24 часа до начала проверки, поэтому готовым нужно быть всегда.

График 1. Динамика поступления обращений граждан по вопросам защиты персональных данных

Плановая проверка проводится на основании утверждённого Плана проверок, который публикуется на сайте регионального Управления Роскомнадзора в Плане деятельности управления. В случае плановой проверки Роскомнадзор присылает предупреждение не позднее чем за 3 рабочих дня до даты ее начала.

Чтобы проверить, запланирована ли плановая проверка в отношении Вашей организации, зайдите на сайт Управления Роскомнадзора Вашего региона и найдите План деятельности управления на 2017 год. Как правило, план проверок публикуется в пункте 5 раздела I Плана деятельности.

С 2016 года Роскомнадзор стал активно проводить мероприятия систематического наблюдения. Под систематическим наблюдением следует понимать, что сайт вашей организации будет периодически проверяться на отсутствие нарушений требований ФЗ-152: например, опубликована ли Политика в отношении обработки персональных данных или не размещены ли личные данные сотрудников без их согласия (ФИО, фотография, должность). Роскомнадзор не публикует список конкретных организаций, которые попадают под такие мероприятия, но выделяет сферы деятельности таких организаций (государственные и муниципальные органы, образовательные учреждения, финансово-кредитные учреждения, учреждения здравоохранения и другие). Если в ходе систематического наблюдения будут выявлены нарушения, то регулятор выдаст учреждению предписание об устранении нарушений в трехдневный срок и, возможно, организует внеплановую проверку.

Заполняем уведомление об обработке персональных данных в Роскомнадзор. Как избежать ошибок?

Если неправильно заполнить уведомление об обработке персональных данных, то впоследствии со стороны Роскомнадзора могут последовать штрафы. Например, бывает, что не указывают все информационные системы персональных данных или не могут предоставить договор с арендуемым дата-центром. Между тем, Роскомнадзор уделяет уведомлению большое внимание на проверках, сверяя описанный в нем порядок обработки персональных данных с фактическим.

Рассказывает:

Павел Новожилов шортрид

Павел Новожилов,

руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет»

К омпания до начала обработки персональных данных (ПДн) обязана уведомить Роскомнадзор о своем намерении обрабатывать ПДн (кроме некоторых исключительных ситуаций). Это указано в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон № 152-ФЗ).

Если компания направит уведомление с ошибками, представители регулятора могут не отреагировать сразу на все несоответствия, заметив только наиболее грубые. Но когда в компании будет проверка, от внимания проверяющих не ускользнут даже мелкие ошибки. Обнаружив, что сведения в уведомлении не соответствуют фактическому порядку обработки ПДн, Роскомнадзор может выдать предписание об устранении нарушений, а в случае невыполнения этих требований в установленный срок и оштрафовать.

Что не стоит указывать в качестве правового основания для обработки ПДн?

Правовыми основаниями для обработки ПДн могут быть нормативные правовые акты:

  • Гражданский и Трудовой кодексы,
  • Федеральный закон «Об исполнительном производстве»,
  • Приказы Минздравсоцразвития,
  • положения и инструкции Банка России и т.д.

Кроме этого, к основаниям относятся учредительные документы оператора ПДн, договоры с субъектами ПДн и их согласия на обработку. О последних при заполнении уведомления часто забывают.

Многие указывают в качестве правового основания в уведомлениях и во внутренних документах сам Закон № 152-ФЗ. Это ошибка.

Как заполнить раздел об информационных системах персональных данных?

Для начала рекомендуем определиться с перечнем информационных систем персональных данных (ИСПДн). Ими могут быть, например, SAP HR, 1C ЗУП, Siebel и другие. Как правило, организации оформляют такой перечень документально.

Затем следует обратить внимание на группу ИСПДн. Как таковые группы нигде не определены, поэтому каждая компания самостоятельно принимает решение о группировке. На практике группировка выполняется по системам, имеющим схожую архитектуру и единую категорию обработки ПДн.

Хотя Закон № 152-ФЗ и допускает деление ИСПДн на группы, важно учитывать, что указываемые о них данные могут применяться не ко всем информационным системам. Приведем простой пример: трансграничная передача ПДн может осуществляться только в двух информационных системах из восьми, входящих в ИСПДн.

Читать еще:  Передаточный акт к договору купли

Что указать о месте размещения базы данных?

Не так давно появилось требование вносить в уведомление сведения о местонахождении базы данных ПДн граждан РФ (подп. 10.1 п. 3 ст. 22 Закона № 152-ФЗ). На практике это значит, что организация должна указать, какой использует центр обработки данных (ЦОД, дата-центр): собственный или арендованный.

Если организация арендует ЦОД, то нужно убедиться в наличии договора с арендованным дата-центром, так как в ходе проверки его придется предоставить специалистам Роскомнадзора. Информацией о размещении ЦОД обладают ИТ-специалисты.

Важно разобраться, где происходит первичный сбор ПДн россиян. При проверке представители Роскомнадзора будут обращать внимание на зарубежные дата-центры, указанные в уведомлении, и к этому стоит подготовиться заранее. Напомним, что за первичный сбор ПДн граждан РФ с использованием базы данных за пределами России компаниям грозят штрафы от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. за повторное (ч. 8 ст. 13.11 КоАП РФ).

На заметку

Если организация собирает ПДн граждан РФ с использованием базы данных действительно через иностранный ЦОД, то тогда будет штраф по ч. 8 ст. 13.11 КоАП РФ. Но бывает, что организации собирают ПДн на территории РФ, а потом выполняется их передача в информационные системы, размещенные в зарубежном ЦОД. То есть нарушения не будет, если актуализация данных и ввод осуществлялся в базах данных на территории РФ, так как дальнейшая передача в иностранные ЦОД не запрещена при соблюдении данного условия.

Как быть с трансграничной передачей ПДн?

В случае трансграничной передачи персональных данных при заполнении уведомления необходимо обратить внимание на два важных нюанса.

Во-первых, нужно убедиться в наличии договора с компанией, куда они передаются, поскольку он может понадобиться представителям Роскомнадзора во время проверки.

Во-вторых, следует проверить, какие именно страны в нем указаны. Дело в том, что в договоре могут быть прописаны как конкретные страны, так и указана их группа, объединенная по какому-либо признаку: СНГ, страны всего мира, страны Европы и т.д. Если в договоре используется общая формулировка, например, «страны Европы», то в уведомлении их необходимо перечислить. В противном случае проверяющие могут расценить это как нарушение и выписать организации соответствующее предписание.

Что указывать в описании мер и средств обеспечения безопасности?

Если смотреть раздел уведомления «Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ», то тут указываются меры из постановлений Правительства от 06.07.2008 № 512, от 01.11.2012 № 1119, от 15.09.2008 № 687. Например, могут быть указаны следующие меры:

  • в компании разработана модель угроз;
  • определены уровни защищенности ПДн при их обработке в ИСПДн;
  • определен перечень лиц, осуществляющих обработку ПДн неавтоматизированным и автоматизированным способами.

Если смотреть раздел «Описание мер, предусмотренных статьями 18.1. и 19 Закона № 152-ФЗ», то необходимо указать выполняемые оператором меры защиты, указанные в данных статьях. Например:

  • назначено ответственное лицо за организацию обработки ПДн;
  • в компании проводится оценка вреда субъектам ПДн;
  • установлены правила доступа к ПДн.

В части подраздела «средства обеспечения безопасности» перечисляют подсистемы обеспечения защиты ПДн. Например, средства управления доступом, средства межсетевого экранирования, средства антивирусной защиты и др.

БЛИЦ-ОПРОС

Какую указывать дату начала обработки персональных данных в уведомлении? Если указать реальную дату, то есть позже начала работы, не будет ли это поводом для проверки Роскомнадзора из-за того, что компания не сразу подала уведомление?

— Как правило, указывается дата, с которой компания начала работать и, как следствие, обрабатывать ПДн. Если организация отправит уведомление гораздо позже, Роскомнадзор может сразу обратить на это внимание, расценить как несоответствие Закону № 152-ФЗ и выдать предписание о его устранении. В большинстве же случаев поводом для проверки становятся публикации об утечках в СМИ и обращения граждан, по которым выявлено нарушение.

Если компания обрабатывает cookies, то нужно ли указывать об этом в разделе «Другие категории персональных данных, не указанные в данном перечне»?

— Да, такую информацию необходимо указывать.

Что делать, если процесс обработки ПДн изменился после отправки уведомления?

Операторы персональных данных обязаны сообщать в Роскомнадзор обо всех изменениях, которые происходят после подачи уведомления (п. 7 ст. 22 Закона № 152-ФЗ). Для внесения изменений в ранее поданное уведомление я рекомендую выполнить следующее:

  • зайти на сайт Роскомнадзора;
  • заполнить обязательные поля информационного письма;
  • заполнить поля информационного письма, в которые внесены изменения;
  • после заполнения полей информационного письма отправить его в информационную систему Роскомнадзора;
  • распечатать заполненную форму информационного письма и подписать внутри своей организации;
  • направить по почте подписанную форму информационного письма в территориальный орган Роскомнадзора по месту регистрации организации.
Читать еще:  Невыплата зарплаты – как законно приостановить работу и получить компенсацию?

Когда можно не подавать уведомление в Роскомнадзор?

Существует девять исключений, когда уведомление в Роскомнадзор можно не заполнять (п. 2 ст. 22 Закона № 152-ФЗ). Однако в большинстве случае воспользоваться ими и не отправлять уведомление в Роскомнадзор не получится.

  1. Компания обрабатывает ПДн только своего персонала. Но на практике компании зачастую обрабатывают персональные данные соискателей, посетителей, клиентов, пользователей личного кабинета, контрагентов и т.д. Поэтому большинству организаций это исключение не подойдет.
  2. Компания получает ПДн при заключении договора и использует их исключительно для его исполнения, а сами данные при этом не распространяются и не передаются третьим лицам без согласия субъекта. На деле выполнить эти условия не так просто. Ведь организация может передавать ПДн значительному количеству третьих лиц, а наличие согласий на такие действия не всегда отслеживает. ПДн могут обрабатываться и в целях, отличных от тех, что указаны в договоре, например, для рассылки в маркетинговых целях. В подобных случаях применить это исключение не получится.
  3. Общественные объединения и религиозные организации обрабатывают ПДн своих участников для достижения законных целей, предусмотренных в их учредительных документах. Здесь, как и в предыдущем примере, есть важное и вместе с тем трудновыполнимое условие: персональные данные не должны распространяться или раскрываться третьим лицам без письменного согласия субъектов. Так что и это исключение применимо не для каждой общественной или религиозной организации.
  4. Субъект сам сделал свои персональные данные общедоступными. Сложность здесь заключается в том, что наряду с общедоступными данными компании, как правило, обрабатывают и другие категории ПДн, в том числе специальные и биометрические. Поэтому практически для всех организаций это исключение не применимо.
  5. Персональные данные включают только ФИО. Как подсказывает опыт подготовки организаций к проверкам Роскомнадзора, зачастую компании обрабатывают гораздо больше сведений о гражданах, поэтому это исключение также не применимо в большинстве случаев.
  6. ПДн обрабатываются для однократного пропуска человека на территорию оператора. Здесь также есть подводные камни, ведь организации могут обрабатывать ПДн и в других целях, например, при подборе кадров, оказании материальной помощи персоналу и т. д.
  7. ПДн обрабатывают государственные информационные системы (ГИС), созданные для защиты безопасности государства и общественного порядка. Часть информационных систем действительно может иметь такой статус. При этом в организации могут быть и другие системы, для которых данное исключение не действует. Например, если в них обрабатываются персональные данные для внутренних целей: ПДн соискателей, контрагентов и т. д.
  8. Компания обрабатывает ПДн без использования средств автоматизации при их защите по всем нормативным требованиям. Однако сегодня сложно представить себе компании, которые могли бы обойтись без информационных систем для обработки ПДн.
  9. ПДн обрабатываются для обеспечения транспортной безопасности. Организации транспортного комплекса, например, ж/д или авиаперевозчики, как и компании из других отраслей, могут обрабатывать персональные данные в других целях, и в этом случае данное исключение для них будет не применимо.

Таким образом, практически всем операторам ПДн необходимо направлять уведомление в Роскомнадзор.

Согласие на обработку

Вслед за масштабными мартовскими изменениями, касающимися порядка распространения персональных данных, с 1 сентября 2021 года вступили в действие обязательные требования к содержанию согласия на обработку персональных данных, разрешенных к распространению. Требования разработаны Роскомнадзором (Приказ от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»).

Обработка персональных данных включает в себя:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ), уничтожение и др.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Обрабатываемые персданные не должны быть избыточными по отношению к заявленным целям их обработки.

Согласие на обработку персональных данных необходимо оформлять практически с каждым субъектом персональных данных: кандидатом на замещение вакантной должности, работником, а также и с родственниками работника, клиентами, контрагентами, третьими лицами и др.

Получение работодателем согласия на обработку персональных данных не требуется в случаях, описанных в Разъяснениях Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» от 24.12.2012.

Чем занимается Роскомнадзор и как реагирует на жалобы граждан

Роскомнадзор – это проверяющая служба, контролирующая деятельность операторов любых персональных данных, в частности речь идет о сотрудниках и клиентах. Проверить сотрудники Роскомнадзора могут любое юридическое лицо, включительно и ИП. Кроме этого, данной службе подконтрольны граждане, обрабатывающие и собирающие персональные данные о сотрудниках и клиентах.

Читать еще:  Образец заявления на возврат денег за туристическую путевку

Федеральная служба по надзору проверяет:

  • все документы, в которых указаны личные данные граждан. Кроме этого, Роскомнадзор может проверить место и условия хранения таких документов;
  • все программы и компьютеры, которые обрабатывают персональные данные граждан;
  • внутреннюю документацию предприятия, в которой указаны условия, касающиеся обработки персональных данных;
  • информационный портал предприятия в интернете. К примеру, Роскомнадзор может применить штрафные санкции, если на портале собирают личные данные, однако не описаны подробности, куда они будут направлены в дальнейшем.

Проверка регистрации и свидетельства СМИ в реестре СМИ РФ

Реестр официальных СМИ ведется Роскомнадзором, поиск сведений о выданных свидетельствах и полученных лицензиях СМИ осуществляется по реестру наименований зарегистрированных средств массовой информации через открытые данные на сайте Роскомнадзора.

В реестре зарегистрированных средств массовой информации Роскомнадзора России указывается:

  • номер свидетельства;
  • дата регистрации;
  • статус свидетельства СМИ;
  • наименование СМИ;
  • форма и территория распространения СМИ;
  • учредитель или соучредители СМИ;
  • адрес редакции;
  • язык СМИ;

Проверить регистрацию и свидетельство сми на сайте РКН В случае, если по имеющимся критериям не найдено средство массовой информации, то это не свидетельствует о том, что данное СМИ не зарегистрировано. Документом, подтверждающим отсутствие регистрации СМИ, может являться исключительно официальный ответ регистрирующего органа. С 1 января 2018 года выписка из реестра зарегистрированных средств массовой информации выдается в качестве документа, подтверждающего регистрации СМИ. Любое средство массовой информации может запросить выдачу выписки из реестра РКН, для этого необходимо направить запрос в произвольной форме в Роскомнадзор. Выписка может быть получена неограниченное количество раз как почтой, так и лично представителем учредителя СМИ или редакцией по доверенности, оформленной надлежащим образом.

Проверка названия СМИ на уникальность

Лицензии сми роскомнадзор реестр Во избежание отказа в государственной регистрации СМИ по причине того, что ранее зарегистрировано средство массовой информации с теми же названием и формой периодического распространения, рекомендуем обратиться к реестру зарегистрированных СМИ. Обращаем особое внимание на тот факт, что газета, журнал, альманах, бюллетень, сборник являются разными видами одной формы периодического распространения массовой информации, в связи с чем регистрация, например, газеты и журнала с идентичным названием не допускается.

Найти СМИ в реестре Роскомнадзора

Реестр лицензий на деятельность по телерадиовещанию

Реестр иностранных средств массовой информации, выполняющих функции иностранного агента

Все предыдущие варианты имеют один существенный недостаток – пользователь редко представляет, как подступиться к уведомлению. Процесс заполнения занимает от 2-3 часов до нескольких дней, так как форма изобилует специфическими и профессиональными терминами, ошибаться в которых нельзя.

Контур решает эту проблему в один клик. Чтобы отправить уведомление в Роскомнадзор достаточно войти в сервис и нажать на одну вкладку «Отправить уведомление». Данные вносятся в автоматическом режиме без участия пользователя.

При этом на экране будет доступна информация следующего характера:

  • номер, присвоенный уведомлению;
  • цифровой ключ.

Проверить текущий статус по отправленному уведомлению можно не выходя из программы, нажав вкладку «Проверить состояние». Теперь бумагу можно распечатывать и отправлять почтой в качестве подтверждения в Роскомнадзор.

После того, как РКН примет решение по отправленному уведомлению, Контур вышлет электронное письмо с данными на мэйл пользователя. Теперь можно браться за обработку сведений.

Получить более подробную информацию о сервисе можно связавшись со специалистами нашего удостоверяющего центра.

Обработка персональных данных – это стандартный процесс, с которым ЮЛ и ФЛ сталкиваются ежедневно. Но узаконить его без Роскомнадзора и уведомления об обработке персональных данных невозможно.

Электронный документооборот напрямую связан с получением счетов. Пользователи Диадок могут оплачивать счета прямо из списка входящих документов. Платежное поручение создается автоматически: назначение платежа, сумма и реквизиты счета получателя подставляются из документа, отправленного в формате XML.

ЭДО ДЛЯ ОБСЛУЖИВАЮЩИХ БУХГАЛТЕРИЙ

Ведение бухгалтерского и налогового учета одновременно для нескольких организациях, как правило, осуществляется удалённо бухгалтерской службой. Электронный документооборот дает возможность бухгалтерским службам оперативно собрать первичный пакет документации для своевременной сдачи своим клиентам в кратчайшие сроки.

ПРИ ОПЛАТЕ СЧЕТОВ ВАЖНА СКОРОСТЬ

Электронный документооборот напрямую связан с получением счетов. Пользователи Диадок могут оплачивать счета прямо из списка входящих документов. Платежное поручение создается автоматически: назначение платежа, сумма и реквизиты счета получателя подставляются из документа, отправленного в формате XML.

ПРИ ОПЛАТЕ СЧЕТОВ ВАЖНА СКОРОСТЬ

Электронный документооборот напрямую связан с получением счетов. Пользователи Диадок могут оплачивать счета прямо из списка входящих документов. Платежное поручение создается автоматически: назначение платежа, сумма и реквизиты счета получателя подставляются из документа, отправленного в формате XML.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector