Роскомнадзор защита персональных данных

Роскомнадзор защита персональных данных

Поиск по реестру

В настоящее время в реестре содержится информация о 403 984 операторах персональных данных

Новости и события

30 октября 2019

28 октября 2019

23 октября 2019

22 октября 2019

15 октября 2019

© 2009-2020, Электронное периодическое издание «Портал персональных данных Уполномоченного органа

по защите прав субъектов персональных данных». Учредитель: Федеральная служба по надзору в

сфере связи, информационных технологий и массовых коммуникаций. Свидетельство о регистрации средства

массовой информации Эл № ФС77-41899 от 08 сентября 2010 г., выданное Федеральной службой по надзору

в сфере связи, информационных технологий и массовых коммуникаций

Источник: http://pd.rkn.gov.ru/

Вся полезная информация о Роскомнадзоре. Регистрация в реестре операторов персональных данных

В современном мире практически каждый может владеть интересующей его информацией. Для этого достаточно воспользоваться информационными технологиями, основными обязанностями которых являются сбор, хранение и передача полученных сведений.

Для организации радиочастотных служб, осуществления контроля по защите персональных данных согласно закону «О персональных данных» и соблюдения законодательства РФ в сфере информационных технологий, связи и СМИ была создана Федеральная служба — Роскомнадзор.

Что это за служба?

О законе «О персональных данных» мы рассказывали тут.

Подведомственная Минкомсвязи России служба была создана в декабре 2008 года указом президента России от 03.12.2008 г. № 1715 и является органом исполнительной власти. Основными направлениями деятельности являются:

1. Защита персональных данных.
2. Надзор за соблюдением лицензионных условий и выполнением соответствующих требований в сферах информационных технологий, массовых коммуникаций, СМИ, телерадиовещания, почтовой и радиотелефонной связей.
3. Контроль за маркировкой по возрастному критерию информационных продуктов, в целях обеспечения информационной безопасности детей.
4. Регистрация и выдача сертификатов или лицензий на продукцию, контент или оказание услуг.
5. Регистрация СМИ, сетей электросвязи и радиоэлектронных средств.
6. Выдача разрешений на использование франкировальных или маркировальных машин.

Система сертификаций

В настоящее время участились случаи, когда руководители компаний или предприниматели получают уведомления, в которых организация именующая себя «Системой добровольной сертификации Росконтроль», ссылается на ФЗ № 152 и сообщает об обнаружении нарушений, предлагая помощь в их устранении.

Так вот, такие письма являются обычным предложением услуг, за определённое вознаграждение, так как данная организация органом государственной власти не является, и наименование «Росконтроль» используется для придания значимости.

«СДС Росконтроль» — является коммерческой организацией, которая оказывает юридические услуги. А «Росконтроль» — это СМИ, которое не предоставляет и не присылает письма с предложением оказания каких-либо возмездных услуг.

Кто такие операторы ПДн и чем они занимаются?

Форма собственности и род деятельности при этом никакого значения не имеют. То есть любой, кто запрашивает персональные данные, является оператором, начиная от сайтов с заполнением личных данных и заканчивая банками и другими учреждениями.

Персональные данные (ПДн) – любая информация, которая относится к физическому лицу, при помощи которой он может быть идентифицирован.

Как проверить, есть ли на портале сведения об организации?

Для того чтобы проверить, есть ли запись в реестре операторов, осуществляющих обработку ПДн персональных данных, необходимо выполнить следующие действия:

1. Зайти на портал персональных данных уполномоченного органа по защите прав субъектов персональных данных.
2. Заполнить поисковую форму и указать ИНН организации.
3. Если не знаете ИНН – произвести поиск по названию, при этом достаточно указать только оригинальную часть наименования, без спецсимволов и сокращений.
4. Подождать результат поиска.

Для быстрого поиска лучше избегать часто встречающихся слов в названиях, таких как: «Федеральный», «Общество», «Российский» и т.п.

Кто должен быть внесен в реестр?

Если компания или физическое лицо, а также государственный или муниципальный орган, проводят сбор, хранение или обработку личной информации, и являются оператором персональных данных, то наличие регистрации в реестре Роскомнадзора является обязательным условием для их деятельности.

Физические лица и ИП также должны быть внесены в реестр. Оказывая услуги или занимаясь продажей, многие предприниматели, как правило, предлагают заполнить анкеты с личными данными для получения бонусных карт или акционных рассылок. Интернет-порталы не являются исключением, если на них существует форма подписки или обратной связи, где нужно оставить свою персональную информацию. О защите персональных данных в интернете мы рассказывали тут.

Кому можно не регистрироваться?

Согласно п. 2 ст. 22 № 152-ФЗ, существует ряд условий, при котором оператор вправе осуществлять обработку без уведомления в Роскомнадзор. Исключением когда нет необходимости о регистрации в реестре является:

1. Публичность либо общедоступность сведений.
2. Трудовые отношения, относится только к тем сведениям, которые необходимы при составлении трудового и коллективного договора в рамках трудового законодательства.
3. Сбор информации, которая содержит в себе только фамилию, имя, отчество.
4. Получение данных для однократного использования.
5. Обработка информации только на бумажном носителе, без использования автоматизированных средств (компьютеров).
6. Оформление организацией потребительского договора, одной из сторон которого является сам субъект ПДн, при условии, что данные будут использоваться только для выполнения условий договора, и не будут распространены широкому кругу.
7. Приём сведений участников общественных объединений и религиозных общин, если данные не будут обнародованы без согласия в письменном виде лиц, чья информация собиралась.
8. Получение информации организациями, которые сотрудничают с транспортным комплексом для обеспечения безопасности в транспортной сфере.

Уведомление об обработке ПДн

Одним из основных требований Роскомнадзора к операторам персональных данных, является подача уведомления о начале обработки ПДн. В данном уведомлении нужно указать следующую информацию:

1. Полное название компании или Ф.И.О. лица, которые будут осуществлять обработку данных.
2. Адрес регистрации оператора.
3. Категории собираемых сведений.
4. Категории лиц, сведения о которых обрабатываются.
5. С какой целью осуществляется получение информации.
6. Правовое основание.
7. Перечень мер защиты, которые будут использоваться при обработке полученных сведений, предусмотренных статьями 18.1 и 19 Закона № 152-ФЗ.
8. Дата начала деятельности оператора.
9. Сроки или условия прекращения обработки данных.
10. Сведения о трансграничной передаче информации в процессе обработки.
11. Данные о точном месте нахождения базы (страна, адрес).

Во время проверки Роскомнадзор производит проверку соответствия по каждому вышеперечисленному пункту.

О том, что нужно знать об обработке и хранении персональных данных в России, читайте тут.

Регистрация в качестве оператора

Для этого необходимо:

1. Зайти на официальный сайт Роскомнадзора и в меню выбрать вкладку «Реестр операторов».
2. Затем перейти на «Электронные формы заявлений» и выбрать «Перейти к заполнению формы электронного уведомления».
3. При заполнении заявления необходимо указывать полные достоверные данные, которые точно соответствуют предоставленными локальными актами. В противном случае, если сведения будут не полными или недостоверными, служащие Роскомнадзора оставляют за собой право не вносить данные в реестр до подтверждения или уточнения представленной информации.
4. После заполнения электронной формы заявление распечатывают, ставят печать и подпись ответственного лица, направляют в территориальный орган Роскомнадзора в двух экземплярах – на бумажном носителе и в электронном виде.

Регистрация оператора происходит в течение 30 дней с момента подачи уведомления.

Роскомнадзор рекомендует перед подачей уведомления провести аудит соответствия обработки персональных данных, во избежание недостоверности подаваемых сведений.

Обязанности

Как говорилось выше, при обработке персональных данных оператор должен уведомить об этом компетентный орган. Но помимо этого у него ещё есть ряд обязательств, которые он должен соблюдать:

1. Издать приказ о назначении ответственного лица или группы лиц за обработку ПДн, а также осуществлять контроль или проводить аудит обработки данных в редакции.
2. Разработать и принять меры для обеспечения конфиденциальности и безопасности полученной информации. Сюда можно отнести установку антивирусных программ и информирование сотрудников об административной и уголовной ответственности в случае разглашения третьим лицам.
3. Прекратить обработку данных, если цель сбора достигнута или субъект отозвал своё разрешение на обработку.
4. Соблюдать локализацию и предоставлять данные о месте расположения базы, указывая страну и фактический адрес.
5. Информировать о сборе ПДн потенциальных и/или действующих клиентов и сотрудников, разъясняя для чего и какая информация обрабатывается, а также о сроках хранения. Для этого создать и опубликовать для общего доступа форму согласия на обработку данных и политику конфиденциальности.
6. Удалить информацию, если будет доказано, что личные данные были получены незаконно или не являются обязательными для достижения заявленной цели, и лицо, чьи сведения использовались, потребует о её извлечении из базы.

Как убрать сведения о компании?

Существуют ситуации, когда возникает необходимость удаления сведений об организации из реестра Роскомнадзора. Это:

• реорганизация компании, а в следствии и прекращение деятельности Оператора;
• полная ликвидация Оператора;
• анулирование лицензии;
• вступившее в силу решение суда о запрете и наступлении срока или условия о прекращении деятельности, согласно указанным данным в уведомлении, которое подавалось в Роскомнадзор.

В этом случае оператор самостоятельно направляет заявление в уполномоченный территориальный орган, приложив документы, подтверждающие исключение. Срок рассмотрения заявления исчисляется с момента регистрации в Роскомнадзоре. По истечении 30 дней данные об организации удаляются из реестра.

Ответственность за отказ

В случае отказа регистрироваться в реестре предусмотрена административная ответственность в виде предупреждения или штрафа. За данное правонарушение, согласно ст. 19.7 КоАП РФ:

• физическое лицо может быть оштрафовано на сумму от 100 до 300 рублей;
• должностное — от 300 до 500 рублей;
• юридическое — от 3000 до 5000 рублей.

Деятельность всех операторов персональных данных регулируется законодательными актами, и любое нарушение наказывается уголовной или административной ответственностью.

Но всё же прежде чем давать согласие на обработку личных данных, не мешало бы убедиться, что организация действительно зарегистрирована в качестве оператора, а соответственно соблюдает все меры безопасности в хранении информации. О том, всегда ли нужно согласие на обработку персональных данных, как отозвать, узнайте здесь.

Роскомнадзор осуществляет контроль за соблюдением всех правовых актов, касающихся обращения с личной информацией граждан и оперативно реагирует на противоправную деятельность.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник: http://pravovoi.center/zpp/o-personalnyh-dannyh/roskomnadzor-reestr-operatorov.html

Кому не нужно уведомлять Роскомнадзор об обработке персональных данных

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

Источник: http://buh.ru/articles/documents/59315/

Защита персональных данных: как пройти проверку РКН

Личностные сведения граждан оберегает Федеральный закон 152 «О персональных данных». В феврале 2019 года вышло Постановление, которое вносит изменения и уточнения в процедуру проверок операторов персональных данных.

Оператор персональных данных — это любая организация или физлицо, которое организует или производит обработку персональных данных, а также определяет цели обработки, конкретные действия и состав личностных сведений.

Таким образом операторы персональных данных — это абсолютно все организации и предприниматели-работодатели, так как в процессе работы они обрабатывают личностные сведения сотрудников, а некоторые — и клиентов.

Источник: http://profkadrovik.ru/articles/work-with-documents/zashchita-personalnyh-dannyh/

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Проверяя компанию, Роскомнадзор руководствуется прежде всего Федеральным законом №152-ФЗ «О персональных данных». При этом проверка может быть как плановой, так и внеплановой.

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

— Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.

— Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

— Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

— Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований. Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять. Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

1. данные, которые обрабатываются в соответствии с трудовым законодательством;
2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4. данные, сделанные субъектом персональных данных общедоступными;
5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Источник: http://kontur.ru/articles/1775

Роскомнадзор защита персональных данных

Справочно-информационный центр

Портал персональных данных

Горячая линия для СМИ

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Оцените содержание раздела:

Время публикации: 20.08.2009 14:03
Последнее изменение: 16.02.2018 16:26

© 2009-2020, Версия 2.15.18

Официальный сайт Федеральной службы по надзору в сфере связи,

информационных технологий и массовых коммуникаций

Источник: http://rkn.gov.ru/personal-data/

10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор

Роскомнадзор проверяет, как работодатели соблюдают правила обработки персональных данных. Расскажем о 10 нарушениях, которые выявляют чаще всего. Пока не выписали штраф или предписание, проверьте, все ли требования вы соблюдаете.

Ошибка № 1. Не разработали и не опубликовали политику обработки персональных данных

Что нужно сделать. Не только разработать политику обработки данных, но и опубликовать ее на сайте или другим способом обеспечить неограниченный доступ к документу (ч. 2 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Разработайте политику или актуализируйте ту, что у вас есть, по Рекомендациям Роскомнадзора от 27.07.2017. Важно: не копируйте готовые формулировки, а отобразите в документе особенности именно вашей компании. За нарушение грозит штраф до 30 000 руб. (ч. 3 ст. 13.11 КоАП РФ).

Ошибка № 2. Не назначили ответственного за обработку персональных данных

Что нужно сделать. Назначить одного сотрудника, который будет отвечать за обработку персональных данных. Ответственный должен подчиняться непосредственно генеральному директору и у него должны быть полномочия давать указания руководителям подразделений (ч.2 ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ).

Ошибка № 3. Не утвердили перечень лиц, которые имеют доступ к персональным данным

Что нужно сделать. С помощью приказа утвердите перечень сотрудников, которым может понадобиться доступ к персональным данным в связи с их должностными обязанностями. Получать они должны только те данные, которые им нужны в работе (ст. 88 ТК РФ). В приказе можно указать ФИО, должности конкретных сотрудников, структурное подразделение или перечень должностей и структурное подразделение.

Ошибка № 4. Собираете и храните лишние документы

Что нужно сделать. Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ). Для этого воспользуйтесь чек-листом.

Как только вы оформили кадровые документы, предоставили сотруднику гарантии и компенсации и выполнили другие необходимые действия и процедуры, персональные данные больше не нужны. Копии документов верните сотруднику или уничтожьте. Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не нужны, компанию могут оштрафовать до 50 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ).

Ошибка № 5. Не проводите внутренний аудит работы с персональными данными

Что нужно сделать. Разработайте процедуру внутреннего контроля или аудита и периодически его проводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Для этого создайте комиссию, которая будет анализировать документы, изучать процессы обработки персональных данных и давать рекомендации по их защите.

Ошибка № 6. Не знакомите работников под подпись с законом о персональных данных

Что нужно сделать. Оформите лист ознакомления работников с положениями законодательства о персональных данных и внутренними документами по вопросам обработки персональных данных (п. 6 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Другой вариант — включите положения в трудовой договор с работником.

Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных

Что нужно сделать. Ваша задача – уведомить территориальный орган Роскомнадзора о том, что будете обрабатывать персональные данные. Для этого используйте Методические рекомендации Роскомнадзора, утв. приказом от 30.05.2017 № 94. Роскомнадзор предупреждает: не берите готовые шаблоны из интернета, они могут быть ошибочными.

Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных

Что нужно сделать. Если изменили сведения, которые указывали в уведомлении, направьте в 10-дневный срок в Роскомнадзор информационное письмо. Форма информационного письма есть в Приложении № 2 к Рекомендациям № 94. Заполните те поля, в которых меняются сведения.

Ошибка № 9. Не утвердили перечень мест хранения персональных данных

Что нужно сделать. Издайте приказ, которым утвердите перечень мест хранения материальных носителей персональных данных – журналов, личных дел и т.д. (п. 13 Положения, утв. постановлением Правительства РФ от 15.09.2008 № 687). Во всех кабинетах, где обрабатываете персональные данные на бумаге, определите места хранения — например, сейфы. Местом хранения может быть и само помещение, к примеру, архив организации.

Ошибка № 10. Используете неверный бланк согласия на обработку персональных данных

Что нужно сделать. Согласие на обработку персональных данных должно включать все обязательные реквизиты, которые предусматривает закон (ч. 4 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ). За некорректную форму согласия предусмотрен штраф до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Согласие на обработку персональных данных должно содержать:

1. ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.

2. ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).

3. Наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных.

4. Цель обработки персональных данных.

5. Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.

6. Наименование или фамилию, имя, отчество и адрес лица, обрабатывающего персональные данные по поручению оператора, если обработка будет поручена такому лицу.

7. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных.

8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.

9. Подпись субъекта персональных данных.

Образцы необходимых документов и более подробные разъяснения смотрите в презентации Роскомнадзора.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Источник: http://vc.ru/legal/81210-10-oshibok-pri-rabote-s-personalnymi-dannymi-k-chemu-prideretsya-roskomnadzor

Роскомнадзор защита персональных данных

Справочно-информационный центр

Портал персональных данных

Горячая линия для СМИ

В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 года № 228, уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций (Роскомнадзор).

Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Согласно ч. 4 ст. 25 указанного Федерального закона операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года. Руководствуясь положениям ч. 3 ст. 22 Федерального закона «О персональных данных» Роскомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения.

Заполненные уведомления должны быть направлены в письменной форме и подписаны уполномоченным лицом или направлены в электронной форме и подписаны электронной цифровой подписью в соответствии с законодательством Российской Федерации в территориальные управления Роскомнадзор, на подведомственной территории которых оператор осуществляет (будет осуществлять) обработку персональных данных.

Оцените содержание раздела:

Низкое Ниже среднего Среднее Выше среднего Высокое Оценить

Время публикации: 20.08.2009 14:03
Последнее изменение: 18.03.2018 14:30

Источник: http://rkn.gov.ru/personal-data/protection-of-the-innocent/

Проверки Роскомнадзора по защите персональных данных

proverki_roskomnadzora_po_zashchite_personalnyh_dannyh.jpg

Похожие публикации

Плановые и внеплановые проверки Роскомнадзора по защите персональных данных проводятся в соответствии со ст. 23 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006. Данная статья наделяет ведомство контрольными функциями в отношении организаций, являющихся операторами персональных данных, то есть обладающих правом на их обработку. С 23-го февраля 2019 года вступили в действие Правила проведения подобных проверок, в которых появилось немало новшеств.

Проверки Роскомнадзора по защите персональных данных: что изменилось

Правила осуществления и организации проверок по защите персональных данных (сокращенно – ПД) введены Постановлением Правительства № 146 от 13.02.2019. Ранее они осуществлялись в соответствии с Административным регламентом проведения аналогичных проверок Роскомнадзором (Приказ Минкомсвязи № 312 от 14.11.2011). Данный Регламент не отменен, он продолжает действовать и сейчас, но только в части, не противоречащей введенным Правилам.

В новых Правилах проведения проверок по защите ПД есть ряд важных изменений:

• истечение трехлетнего срока со дня последней (плановой) проверки;
• истечение трехлетнего срока со дня государственной регистрации объекта проверки (в качестве юрлица или индивидуального предпринимателя).

Такое основание, как начало обработки ПД оператором, Правилами отменено.

Сокращен вдвое срок проведения внеплановой проверки – с 20 до 10 дней. Срок осуществления запланированной проверки оставлен прежний, он составляет 20 дней.

Внеплановые документарные проверки более не проводятся – они упразднены.

Документы по запросу инспекторов предоставляются оператором в 5-дневный срок (ранее им давалось 10 дней).

До начала выездной проверки оператор ПД обязан представить запрашиваемые документы в срок, указанный в запросе (он составит не меньше 2-х рабочих дней).

Плановые проверки Роскомнадзора по защите персональных данных, по общему правилу, организуются раз в три года. Однако в определенных случаях их разрешено проводить чаще (раз в два года):

• если оператором собирается биометрия или иные спецданные о человеке;
• если ПД обрабатываются в государственных информационных банках (системах);
• если ПД собираются и обрабатываются по поручению иностранного лица или госоргана, не зарегистрированного на территории РФ;
• если оператором осуществляется трансграничная передача ПД.

Два года отсчитывается со дня окончания последней плановой контрольной проверки (п.6 Правил).

Обращаем внимание, что на данные Правила не распространяется действие Федерального закона № 294-ФЗ от 26.12.2008, который не позволяет проводить плановые проверки бизнеса чаще, чем раз в три года (ст.1 п.3.1 пп.20 закона № 294-ФЗ). То есть Правительство, которое пока также установило трехлетний срок для проведения плановых проверок обработки ПД, вправе при желании сделать их более частыми.

Проверки Роскомнадзора по персональным данным: виды, особенности

Проверки по обработке операторами персональных данных могут быть:

плановыми (о них оператор ПД уведомляется за 3 дня, либо сам отслеживает информацию на > сайте Роскомнадзора > );

внеплановыми (организуются по основаниям, указанным в п.8 Правил, например, если получена жалоба от гражданина или оператором не устранено ранее выявленное нарушение).

О внеплановой проверке оператор предупреждается за сутки до ее начала. Она может быть только выездной, то есть инспекторы приезжают по месту нахождения компании. Плановая проверка обработки ПД бывает как выездной, так и документарной (когда работниками Роскомнадзора запрашиваются и проверяются документы, без выезда на место проверки).

По итогам контрольного мероприятия составляется акт проверки Роскомнадзора по защите персональных данных. В нем либо фиксируются обнаруженные нарушения, либо отмечается, что они отсутствуют. Один из 2-х экземпляров остается у оператора, который, в случае несогласия с результатами проверки, вправе обжаловать их как судебном, так и досудебном порядке.

Операторам ПД следует учесть, что в > Единый реестр проверок > , ежегодно формируемый Генпрокуратурой, проверки по персональным данным не входят (п.2 и п.13 Постановления Правительства № 415 от 28.04.2015).

В ожидании проверки Роскомнадзора по персональным данным операторам следует:

Проверить наличие и корректность оформления документов, содержащих ПД.

Организовать внутреннюю ревизию на предприятии (проконтролировать, как хранятся документы, как с ними ведется работа, соблюдаются ли условия безопасности и т.д.).

Провести дополнительный инструктаж сотрудников, ответственных за обработку и хранение ПД.

У оператора должен иметься внутренний локальный акт – Положение (Порядок) о сборе, хранении и обработки ПД. Также проверяется наличие согласия граждан на их обработку.

Источник: http://spmag.ru/articles/proverki-roskomnadzora-po-zashchite-personalnyh-dannyh