Проверка персональных данных роскомнадзор: Проверка Роскомнадзора

Содержание

Проверка Роскомнадзора — особенности прохождения проверки

В этом году к нам обратился клиент за сопровождением их организации при прохождении проверки Роскомнадзора и за предварительным аудитом процессов работы с персональными данными в компании. На их примере мы и рассмотрим, как проходила проверка и какие подводные камни встретились нам при ее прохождении.

Обычно проверка Роскомнадзора проходит в три этапа. Как же прошла у нас проверка на практике?

На практике понедельник начался со стука в дверь контролирующего органа и предъявления служебного удостоверения участника проверки. Совместно с удостоверением сотрудник вручил нам заверенную копию приказа о проведении проверки, который заранее был утвержден комиссией и сделал запись в журнале проверок юридического лица.

Как правило, на следующем шаге, большинство организаций зарабатывают минус к карме и запись в справке о результатах проведения проверки. Мы же с компанией заранее постарались предусмотреть все тонкости, а именно: встретить проверяющую комиссию уполномоченным лицом, которое представляет интересы оператора персональных данных при проведении проверки с соответствующим распоряжением и доверенностью на право представления юридического лица при проверке.

Таким лицом в организации, как правило, является человек ответственный за организацию обработки персональных данных, понимающий процессы работы с персональными данными внутри компании, например, руководитель организации, исполнительный директор и др.

После официального знакомства комиссия вручила нам письменный запрос на предоставление перечня документов для проверки, исходя из данных, заявленных в уведомлении о начале обработки персональных данных. Обратите внимание, документ должен быть подписан председателем комиссии, а запрашиваемая информация должна быть строго в соответствии с информацией в документе.

Так же рекомендуем скрупулезно подойти к отражению действительности по обработке персональных данных при отправке уведомления в Роскомандозор, поскольку в документе должны быть четко отражены цели обработки персональных данных, категории обрабатываемых персональных данных, сроки обработки персональных данных и другие важные моменты работы вашей компании.

В этом случае надеяться на русское «авось» или попросту скачать файл из интернета нельзя, поскольку цели, субъекты обрабатываемых персональных данных, категории будут сильно разниться с документами сторонней компании даже схожей по специфике и сфере деятельности с Вашей. (Подробнее об отправке уведомления в РКН).

На случай, если проверяющие органы выявили несоответствие сведений в уведомлении с фактической деятельностью организации, уполномоченное лицо займется проверкой документации, свидетельствующей об уведомлении уполномоченного органа об изменении сведений, содержащихся в уведомлении. К счастью, перед проверкой РКН совместно с клиентом мы обнаружили данный недочет и своевременно подали данные в РКН на внесение изменений. Изменения необходимо было отразить постольку незадолго до прохождения проверки клиентом были дополнены цели обработки персональных данных и категории обрабатываемых персональных данных.

Так же у компании целей для обработки персональных данных оказалось гораздо больше, чем просто работа с персональными данными сотрудников компании. Поэтому следующие несколько часов мы совместно с представителями РКН погрузились в плавание: по серверным мощностям, договорам аренды облачных серверов, по проверке наличия форм согласия и политики конфиденциальности на сайте компании и продуктовых страницах.

как подготовиться и избежать штрафов — СКБ Контур

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

— Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.

— Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

— Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

— Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований. Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять. Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

Для начала найдите в компании человека, который будет следить за выполнением законодательства в области персональных данных. Часто в компаниях малого и среднего бизнеса эта функция делегируется бухгалтеру, кадровику или юристу. Реже ее берет на себя руководитель. В крупных компаниях вопросами защиты информации может заниматься целый отдел.

Назначьте ответственного за организацию обработки персональных данных в компании. Скорее всего, это будет тот же человек, который занимается вопросами персональных данных.
Изучите процесс обработки персональных данных в компании, например, какие персональные данные компания собирает, в каких целях. Компания может собирать персональные данные работников для выполнения трудового законодательства или данные клиентов для выполнения заключенных с ними договоров, ей также могут понадобиться персональные данные соискателей на вакантные должности. Возможно, компания передает эти данные в другую организацию, например, данные сотрудников в бухгалтерию.
На основе полученной информации разработайте пакет документов, включающий политику компании в отношении обработки персональных данных, положение по неавтоматизированной обработке, приказ о назначении ответственных и ряд других положений, приказов, инструкций и актов.
Разработанные документы необходимо утвердить.
Обязательно ознакомьте с утвержденными документами всех работников, которые имеют к ним отношение. Например, с положением по неавтоматизированной обработке нужно ознакомить только тех работников, которые работают непосредственно с бумажными документами, содержащими персональные данные.
Основной документ — политику компании в отношении обработки персональных данных — разместите в общедоступном месте, чтобы каждый желающий мог ее прочесть. Лучше всего копию документа разместить на информационном стенде. Если у компании есть сайт, на котором собираются персональные данные пользователей, например, ФИО, телефон и e-mail для регистрации, то на сайте также нужно разместить политику, причем в том месте, где она будет заметна пользователю.
Подайте уведомление в Роскомнадзор об обработке персональных данных. Уведомление оформляется в двух видах — электронном и печатном.

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

данные, которые обрабатываются в соответствии с трудовым законодательством;

данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
данные, сделанные субъектом персональных данных общедоступными;

данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Елена Республиканская

Новые правила проверок Роскомнадзора в области персональных данных

21.02.2019

Примерное время чтения: 3 мин.

Юридическая компания «Пепеляев Групп» сообщает о вступлении в силу обновленного порядка проверок соблюдения законодательства в области персональных данных

23 февраля 2019 г. вступает в силу Постановление Правительства РФ[1], устанавливающее порядок организации и осуществления проверок в отношении операторов персональных данных (далее – Постановление). Ранее порядок проведения проверок регулировался Административным регламентом 2011 г.[2] (далее – Административный регламент). Постановление обновило и дополнило этот порядок, закрепив его на более высоком нормативном уровне, как того требует законодательство.

Несмотря на то, что общие правила проведения проверок, установленные Административным регламентом, не изменились, Постановление вводит ряд любопытных, на наш взгляд, положений. Среди них можно отметить следующие.

Исключается «техническая сторона» вопроса

В Постановлении акцентировано внимание на том, что Роскомнадзор не проверяет выполнение организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (далее – ИСПДн). Причем из-под сферы проверок выведена целиком ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

В связи с выведением за пределы проверки существенного блока регуляторных требований в части обеспечения безопасности персональных данных в ИСПДн, можно ожидать последующего утверждения соответствующих правил контроля и надзора в данной области, вероятно, с передачей данной компетенции другим контрольно-надзорным органам, например, ФСТЭК России.

Увеличивается частота плановых проверок

Как и ранее, сохранилось общее правило о проведении плановых проверок операторов раз в три года и реже. Однако появилась новая классификация операторов персональных данных для целей проверок, среди них операторы:

осуществляющие сбор биометрических и специальных категорий персональных данных;
осуществляющие трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных;
обрабатывающие персональные данные по поручению иностранной компании (физического лица, государственного органа), не зарегистрированного в России.

Таких операторов теперь смогут проверять чаще – один раз в два года.

Уточняются иные процедурные положения

Несмотря на то, что Роскомнадзор теперь вправе осуществлять плановые проверки операторов чаще, следует учитывать нехватку ресурсов для регулярной проверки значительного количества компаний.

Однако если обратить внимание на список операторов, то, например, в связи с обработкой специальных категорий персональных данных, которая осуществляется практически всеми работодателями (например, сведения о состоянии здоровья работников), в данную группу операторов попадают, по сути, все компании. Поэтому если у Роскомнадзора будет намерение проверять того или иного оператора столь часто, это будет допустимо в рамках закона.

Уточнен и расширен перечень оснований для продления срока проведения проверки. Так, например, основанием для продления проверки теперь является разветвленность организационно-хозяйственной структуры оператора, сложность технологических процессов обработки персональных данных.

Упразднены внеплановые документарные проверки.

В отношении ИСПДн уточнено право регулятора получать во время выездной проверки доступ к ИСПДн оператора в режиме просмотра и выборки информации на предмет соответствия содержания, объема, способов обработки и сроков хранения обрабатываемых персональных данных целям их обработки.

Срок внеплановой проверки сокращается с 20 до 10 дней.

Кроме того, установлен предельный срок устранения выявленных в ходе проверки нарушений, который будет составлять шесть месяцев (ранее такой срок определялся на усмотрение Роскомнадзора).

О чем подумать, что сделать

Компаниям рекомендуется провести проверку соблюдения требований законодательства о персональных данных, а также заблаговременно подготовиться к возможным контрольно-надзорным мероприятиям Роскомнадзора.

Помощь консультантов

Специалисты юридической компании «Пепеляев Групп» рады оказать услуги по проведению аудита операторов персональных данных в части соблюдения требований законодательства о персональных данных и по приведению деятельности операторов в соответствие с требованиями закона.

Наши юристы обладают большим опытом по подготовке и сопровождению проверок, проводимых Роскомнадзором, и готовы оказать соответствующее комплексное правовое и техническое содействие для своевременного выявления возможных нарушений и их устранения, а также представлять интересы организации и ее сотрудников при проведении контрольных мероприятий и в спорах с административными органами.

[1] Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».

[2] Утвержден Приказом Минкомсвязи России от 14. 11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».

Возврат к списку

Подготовка к проверке Роскомнадзора по персональным данным

МКЦ «АСТА-информ» поможет Вам подготовиться к проверке Роскомнадзора по обработке персональных данных:

Роскомнадзор (офиц. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) уполномочен осуществлять контроль и надзор в сфере обработки персональных данных согласно закону 152-ФЗ «О персональных данных».

У Роскомнадзора есть плановые и внеплановые проверки, систематическое наблюдение сайтов в сети Интернет. По ссылке можно узнать об Ответственности в области обработки и защиты персональных данных.

МКЦ «АСТА-информ» предлагает два варианта подготовки к проверке: с выездом к Заказчику или дистанционно, подробное содержание услуг в последующих разделах:

Специалисты МКЦ «АСТА-информ» осуществляют выезд к Заказчику для сбора информации, оценки процессов и способов обработки непосредственно в местах обработки персональных данных. Комплекс услуг состоит из следующих работ:

Выезд к заказчику для обследования процессов и способов обработки персональных данных, используемых мер защиты, помещений, документации;
Анализ соответствия требованиям законодательства, рекомендации по устранению нарушений;
Разработка требуемых законодательством и надзорными органами локальных документов;
Поддержка при внедрении локальной документации;
Обучение и повышение осведомленности работников;
Консультирование и подготовка отчетных документов для Роскомнадзора при прохождении проверки.

Специалисты МКЦ «АСТА-информ» осуществляют дистанционный сбор информации (без выезда к Заказчику) и последующие услуги на основании полученных сведений. Комплекс услуг состоит из следующих работ:

Получение от Заказчика через опросные анкеты, документы и фотоизображения сведений о процессах, способах и условиях обработки персональных данных;
Анализ полученных сведений, оценка соответствия требованиям законодательства, рекомендации по устранению нарушений;
Разработка требуемых законодательством и надзорными органами локальных документов;
Поддержка при внедрении локальной документации;
Обучение и повышение осведомленности работников;
Консультирование и подготовка отчетных документов для Роскомнадзора при прохождении проверки.

Решаемые задачи

При реализации проекта по подготовке и прохождению проверки Заказчик:

без проблем пройти проверку Роскомнадзора по обработке персональных данных;
свести к минимуму риски ответственности (для организации, ответственных лиц) за нарушения в сфере обработки персональных данных;
узнать ответственному лицу и работникам как вести себя в момент проверки, что предоставлять и отвечать инспекторам Роскомнадзора;
получить необходимую и достаточную документацию, которую затребует Роскомнадзор;
обучить, повысить осведомленность работников в сфере персональных данных;
привести процессы обработки персональных данных к удовлетворяющим требования законодательства и надзорных органов;
получить после проверки полный порядок с персональными данными.

Гарантия услуг

Гарантийный срок на оказанные услуги на 2020 год. В гарантийные обязательства входят следующие мероприятия:

обеспечение гарантии качества и содержания разработанной документации в части требований законодательства РФ и надзорных органов;
поддержка в вопросах использования разработанной документации по обработке и защите персональных данных Заказчика;
рекомендации по совершенствованию разработанной документации по обработке и защите персональных данных Заказчика;
поддержка при ответах на запросы надзорных органов в части обработки и защиты персональных данных Заказчика.

Как Роскомнадзор проверяет защиту и обработку персональных данных в 2020 году

Роскомнадзор контролировал обработку персональных данных на соответствие требованиям законодательства на основании Приказа Минсвязи No 312 от 14.11.2011. Приказ действует и поныне, однако 13.02.2019 принято постановление No 146. В нем устанавливается порядок реализации проведения проверки Роскомнадзора:

механизмы надзора за ИП и юрлицами — операторами ПД;
госконтроль и наблюдение за тем, как обрабатываются ПД иными лицами, выступающими в качестве оператора персональных данных.

В рамках новых правил полномочия Роскомнадзора ограничены и не влияют на контроль за реализацией организационных и технических мероприятий по сохранности ПД, которые установлены ст.19 N 152-ФЗ.

На что распространяется действие ПП N146:

вид проверок; порядок проведения и сроки;
перечень документов, оформляемых при инспектировании.

По своему виду проверки делят на плановые и незапланированные.

Онлайн-курс повышения квалификации посвящен новым правилам работы с персональными данными и изменению в 2019-20 гг. регламента проведения проверок Роскомнадзора. Подготовьтесь к инспекции заблаговременно с нашими преподавателями Валентиной Митрофановой и Марией Финатовой.

Плановый контроль за обработкой ПД

Ежегодные планы инспекций операторов ПД размещены на официальном сайте РКН. В Постановлении установлен не только порядок реализации проведения проверки Роскомнадзора, но и их периодичность. Для включения оператора в план проверки необходимо, чтобы прошло 3 года с:

госрегистрации в качестве юрлица или ИП;
даты последней проверки.

Не чаще одного раза в 2 года проверяются операторы, осуществляющие:

обработку ПД в ИСПДн со статусом государственных инфосистем в соответствии с федеральным законодательством;
сбор ПД категорий “специальные” и биометрические;
трансграничную передачу ПД, если иностранное государство не обеспечивает достаточную защиту прав владельцев данных;
обработку ПД по поручению иностранного: госоргана, юрлица, физлица, — если они не оформлены в РФ в установленном порядке.

Проверки Роскомнадзора по персональным данным проводятся в форме запроса документов — документарная, или с выездом на место— выездная, что проверяют:

Документарная — в рамках проведения плановой инспекции анализируются документы и информация, полученная от оператора по письменному запросу РКН, который направлен оператору любым доступным способом. Проводится по месту локализации проверяющего органа.
Выездная проверка проводится по месту расположения оператора и (или) по месту его фактической деятельности по обработке персональных данных.

Важно!

О начале плановой проверки Роскомнадзор оповещает оператора за три рабочих дня. Копия приказа доставляется заказным письмом с уведомлением или в виде электронного сообщения, подписанного усиленной квалифицированной ЭП, если e-mail оператора размещен на его сайте или был предоставлен в РКН ранее.

Внеплановый контроль

В отдельных случаях Роскомнадзор проводит незапланированное инспектирование на основании приказа, подписанного уполномоченным должностным лицом. Правила, утвержденные ПП N 146 содержат полный перечень оснований для инициирования внеплановой проверки Роскомнадзора:

выявления неисполненного или исполненного не полностью предписания, выданного по итогам планового инспектирования;
нарушения прав граждан, перечисленных ст. 14-17 152-ФЗ, выявленные в результате анализа заявлений пострадавших, поступивших в орган по контролю и надзору;
поручение органов власти, Президента;
требование прокурора;
резолюция руководства Роскомнадзора на основании изучения выводов о наличии нарушений после проведенных проверок без взаимодействия с оператором.

Важно!

Уведомление Роскомнадзора о начале внеплановой проверки обработки персональных данных вручается оператору не позднее, чем за 24 часа до ее начала. В качестве уведомления направляется копия приказа любым доступным способом. В приказе указываются должностные лица, которые уполномочены проводить инспектирование. Внеплановые проверки только выездные.

Как Роскомнадзор проверяет операторов персональных данных

В отношении кого проводятся проверки, и что конкретно проверяет Роскомнадзор по персональным данным:

операторов, которые обрабатывают ПД с применением (или без) АИС. Проверяются соответствие требованиям, меры, которые применяются для реализации этих требований;
разработанных ЛНА и других документов, перечисленных в п.1 ст.18.1 No 152-ФЗ и принятых мер, указанных там же;
информационные системы в части обработки персданных.

Управление Роскомнадзора уведомляет о проведении плановой проверки надлежащим способом, затем в организацию выезжает инспектор, если проверка выездная, или запрашиваются документы.

Сроки проведения проверки

Плановая инспекция не может длиться дольше 20 рабочих дней. Продление проверки возможно один раз на аналогичный срок.

Сроки проверки персональных данных в организации вне плана не превышают 10 дней. На такой же срок можно продлить, при необходимости, один раз.

Если проверяется оператор, работающий в нескольких субъектах РФ, длительность проверки определяется по каждому представительству отдельно. Однако общий срок инспектирования организации не должен быть больше 2 месяцев.

Результаты проверки

Выводы инспектирования проверяющие оформляют актом. Факт выездной проверки фиксируется в специальном журнале учета. Если такого журнала нет, запись об этом вносится в акт. Заключение акта содержит:

факт отсутствия нарушения требований обработки ПДн;
перечень выявленных нарушений с указанием статей (пунктов) нарушенных нормативных актов.

Акт изготавливается в двух экземплярах, подписывается ответственным, проводившим проверку. В акте выездной проверки уполномоченный специалист оператора расписывается в ознакомлении с ним. При отказе или уклонении от подписи, соответствующая запись делается в самом акте.

Один экземпляр акта остается у проверяющего, второй:

вместе с копиями приложений передается проверяемому оператору под расписку;
отправляется почтой в виде заказного письма с уведомлением о вручении, которое хранится у проверяющего органа вместе с первым экземпляром акта;
направляется в форме электронного документа, подписанного усиленной квалифицированной ЭП ответственного сотрудника Роскомнадзора, проводившего проверку.

Срок отправки — 10 дней со дня подписания. Прилагаются все сопутствующие документы: протоколы, справки, разъяснения оператора, другие бумаги, свидетельствующие обоснованность выводов проверяющих.

Важно!

Если в ходе проверки Роскомнадзора по защите персональных данных были выявлены нарушения, одновременно с актом оператору выдается предписание об их устранении. В документе указываются факты несоответствия требованиям и устанавливается срок для их исправления — не больше полугода со дня выдачи предписания. Оператор в определенный срок устраняет нарушения и отчитывается перед проверяющим органом, предоставляя отчет о выполнении указания с приложением подтверждающих документов.

Коллеги, а у вас проводились проверки Роскомнадзора? Поделитесь в комментариях — ваш опыт будет очень полезен.

План проверок Роскомнадзора на 2020 год

Центральный федеральный округ

Москва и Московская область

25 ноября 2019 года Управление Роскомнадзора по ЦФО опубликовало план проверок операторов персональных данных Москвы и Московской области на 2020 год.

План проверок операторов персональных данных Москвы и Московской области на 2020 год
Месяц	Наименование	ИНН
Январь	Министерство транспорта Российской Федерации	7702361427
	Федеральное медико-биологическое агентство	7734521419
	Департамент информационных технологий города Москвы	7710878000
Февраль	Страховое публичное акционерное общество «Ингосстрах»	7705042179
Февраль	Акционерное общество «Страховое общество газовой промышленности»	7736035485
Март	Общество с ограниченной ответственностью «Киа Моторс Россия и СНГ»	7728674093
	Общество с ограниченной ответственностью «Алибаба.ком(РУ)»	7703380158
	Общество с ограниченной ответственностью «ДжиИ Рус»	7705574092
Апрель	Общество с ограниченной ответственностью «Северный ветер»	7733646084
	Публичное акционерное общество «Аэрофлот — российские авиалинии»	7712040126
	Акционерное общество «Ред Вингс»	7732107883
	Федеральное государственное унитарное предприятие «ЗащитаИнфоТранс Министерства транспорта Российской Федерации»	7708083600
Май	Общество с ограниченной ответственностью «Вонтрезалт»	7725261771
	Общество с ограниченной ответственностью «Мэйл.Ру»	7743001840
	Общество с ограниченной ответственностью «Единыйфактор»	7729660992
Июнь	«Сетелем Банк» Общество с ограниченной ответственностью	6452010742
	Акционерное общество «ОТП Банк»	7708001614
	Акционерное общество Банк «Северный морской путь»	7750005482
Июль	Акционерное общество «Банк Русский Стандарт»	7707056547
	Общество с ограниченной ответственностью микрофинансовая компания «Вэббанкир»	7733812126
	Публичное акционерное общество «Московский областной банк»	7750005588
	Общество с ограниченной ответственностью Микрофинансовая компания «Мани Мен»	7704784072
Август	Общество с ограниченной ответственностью «Новые транспортные системы»	7704314221
	Акционерное общество «Каршеринг»	7704871840
	Общество с ограниченной ответсвенностью «Новая Медицина»	7730156331
	Общество с ограниченной ответственностью «Каршеринг Руссия»	9705034527
Сентябрь	Общество с ограниченной ответственностью «Т2 Мобайл»	7743895280
	Публичное акционерное общество «Московская городская телефонная сеть»	7710016640
	Акционерное общество «МаксимаТелеком»	7703534295
Октябрь	Закрытое Акционерное Общество «Научно- производственная компания «Кронос-Информ»	7710296027
	Закрытое акционерное общество «Объединенное Кредитное Бюро»	7710561081
	Общество с ограниченной ответственностью «Дейта Кью»	7721581040
Ноябрь	Акционерное общество «Негосударственный пенсионный фонд «Открытие»	7704300571
	Акционерное общество Негосударственный пенсионный фонд «Альянс»	7703379402
	Акционерное общество «Национальный удостоверяющий центр»	7722766598
Декабрь	Закрытое акционерное общество «Сбербанк — Автоматизированная система торгов»	7707308480
Декабрь	Общество с ограниченной ответственностью «РТС-тендер»	7710357167

Белгородская область

20 ноября 2019 года утвержден план проведения проверок операторов персональных данных Белгородской области в 2020 году.

Брянская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Брянской области в 2020 году.

Владимирская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Владимирской области в 2020 году.

Ивановская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Ивановской области в 2020 году.

Воронежская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Воронежской области в 2020 году.

Калужская область

Нет информации.

Костромская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Костромской области в 2020 году.

Курская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Курской области в 2020 году.

Липецкая область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Липецкой области в 2020 году.

Орловская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Орловской области в 2020 году.

Рязанская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Рязанской области в 2020 году.

Тверская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Тверской области в 2020 году.

Смоленская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Смоленской области в 2020 году.

Тамбовская область

19 ноября 2019 годаутвержден план проведения проверок операторов персональных данных Тамбовской области в 2020 году.

Тульская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Тульской области в 2020 году.

Ярославская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Ярославской области в 2020 году.

Северо-Западный федеральный округ

Санкт-Петербург и Ленинградская область

20 ноября 2019 года приказом №218 утвержден план проведения проверок операторов персональных данных Санкт-Петербурга и Ленинградской области.

План проверок операторов персональных данных Санкт-Петербурга и Ленинградской области на 2020 год
Месяц	Наименование	ИНН
Январь	Общество с ограниченной ответственностью «Напоправку.ру»	7801622126
Январь	ООО «Санкт-Петербургский Дом книги»	7841324623
Февраль	Общество с ограниченной ответственностью «Агентство Судебного Взыскания»	7841019595
	Общество с ограниченной ответственностью «Фотосклад»	7814184737
	Публичное акционерное общество «Витабанк»	7831000147
Март	Общество с ограниченной ответственностью «Сампо-Сервис»	7813317783
	Банк ВТБ (публичное акционерное общество)	7702070139
	Общество с ограниченной ответственностью «Ин-ритейл»	7813450665
Апрель	Санкт-Петербургское государственное унитарное предприятие пассажирского автомобильного транспорта	7830001758
	Акционерное общество «Управляющая компания «Старт»	7816380127
	Акционерное общество «Северо-западный инвестиционно-промышленный банк»	5321038693
Май	Общество с ограниченной ответственностью «Первые линии»	7810531002
Май	Общество с ограниченной ответственностью «Банк Оранжевый»	3803202000
Июнь	Общество с ограниченной ответственностью «Управляющая компания «ДМ»	7806346663
Июнь	Общество с ограниченной ответственностью «Тихвинский региональный туристический центр»	4715029407
Июль	Санкт-Петербургское государственное унитарное предприятие «Петербургский метрополитен»	7830000970
Июль	Общество с ограниченной ответственностью Управляющая компания «Единение»	4720032606
Август	Общество с ограниченной ответственностью «Северо-Западный удостоверяющий центр»	7816504213
Август	Общество с ограниченной ответственностью «Интерлюкс»	7842015258
Сентябрь	Общество с ограниченной ответственностью «Югбалт техникс»	7814043694
	Общество с ограниченной ответственностью «Риверленд»	7811578050
	Общество с ограниченной ответственностью «Эрмитаж»	7801293658
Октябрь	Санкт-Петербургское государственное унитарное предприятие «Санкт-Петербургский информационно-аналитический центр»	7815000870
	Открытое акционерное общество «Жилкомсервис №2 Адмиралтейского района»	7838309424
	Общество с ограниченной ответственностью «ГлобалТурОператор»	7805516922
Ноябрь	Общество с ограниченной ответственностью микрокредитная компания «Макс.кредит»	7801640661
	Санкт-Петербургское государственное казенное учреждение «Городской центр управления парковками Санкт-Петербурга»	7842019044
	Общество с ограниченной ответственностью «Управляющая компания «Петербургский дом»	7840361277
Декабрь	Общество с ограниченной ответственностью «Максидом»	7804064663
Декабрь	Общество с ограниченной ответственностью «Стилес»	7839500328

Архангельская область и Ненецкий АО

20 ноября 2019 года утвержден план проведения проверок операторов персональных данных Архангельской области и Ненецкого автономного округа.

Калининградская область

20 ноября 2019 года утвержден план проведения проверок операторов персональных данных Калининградской области.

Псковская область

Нет информации.

Новгородская область

20 ноября 2019 года утвержден план проведения проверок операторов персональных данных Новгородской области.

Мурманская область

Нет информации.

Вологодская область

20 ноября 2019 года утвержден план проведения проверок операторов персональных данных Вологодской области.

Республика Коми

20 ноября 2019 года утвержден план проведения проверок операторов персональных данных Республики Коми.

Республика Карелия

20 ноября 2018 года утвержден план проведения проверок операторов персональных данных Республики Карелии.

Южный федеральный округ

Краснодарский край и республика Адыгея

30 октября 2019 года утвержден план проведения проверок операторов персональных данных Южного федерального округа (Краснодарского края, республики Адыгеи) на 2020 год.

Республика Крым и город Севастополь

20 ноября 2019 года утвержден план проведения проверок операторов персональных данных республики Крым и города Севастополь на 2020 год.

Астраханская область

20 ноября 2019 года утвержден план проведения проверок операторов персональных данных Астраханской области на 2020 год.

Республика Калмыкия и Волгоградская область

30 октября 2019 года утвержден план проведения проверок операторов персональных данных республики Калмыкия и Вологодской области на 2020 год.

Ростовская область

20 ноября 2019 года утвержден план проведения проверок операторов персональных данных Ростовской области на 2020 год.

Северо-Кавказский федеральный округ

Ставропольский край

20 ноября 2019 года был утвержден план проверок органов местного самоуправления и должностных лиц местного самоуправления Ставропольского края на 2020 год.

Кабардино-Балкарская республика

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Кабардино-Балкарской республики на 2020 год.

Республика Дагестан

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Республики Дагестан на 2020 год.

Республика Ингушетия

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных республики Ингушения на 2020 год.

Карачаево-Черкесская республика

Нет информации.

Республика Северная Осетия-Алания

Нет информации.

Чеченская Республика

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Чеченской Республики на 2020 год.

Приволжский федеральный округ

Нижегородская область

20 ноября 2019 года утвержден план проведения проверок операторов персональных данных Нижегородской области на 2020 год.

Республика Башкортостан

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Башкоркостана на 2020 год.

Республика Марий Эл

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных республики Марий Эл на 2020 год.

Республика Мордовия

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных республики Мордовия на 2020 год.

Республика Татарстан

19 ноября 2019 года утвержден план проведения проверок операторов персональных данныхреспублики Татарстан на 2020 год.

Удмуртская Республика

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Удмуртской республики на 2020 год.

Чувашская Республика

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Чувашской республики на 2020 год.

Пермский край

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Пермского края на 2020 год.

Кировская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Кировской области на 2020 год.

Самарская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Самарской области на 2020 год.

Оренбургская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Оренбургской области на 2020 год.

Пензенская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Пензенской области на 2020 год.

Саратовская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Саратовской области на 2020 год.

Ульяновская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Ульяновской области на 2020 год.

Уральский федеральный округ

Свердловская область

19 ноября 2019 г. был утвержден план проверок органов местного самоуправления и должностных лиц местного самоуправления Свердловской области на 2020 год.

Челябинская область

18 ноября 2019 г. был утвержден план проверок органов местного самоуправления и должностных лиц местного самоуправления Челябинской области на 2020 год.

Курганская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Курганской области на 2020 год.

Тюменская область, Ханты-Мансийский АО и Ямало-Ненецкий АО

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Тюменская области, Ханты-Мансийского АО и Ямало-Ненецкого АО на 2020 год.

Сибирский федеральный округ

Новосибирская область

18 ноября 2019 года утвержден план проведения проверок операторов персональных данных Новосибирской области на 2020 год.

Республика Хакасия, Республика Тыва, Красноярский край (Енисейское управление)

18 ноября 2019 года утвержден план проведения проверок операторов персональных данных Красноярского края, республик Хакасия и Тыва на 2020 год.

Республика Алтай и Алтайский край

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Республики Алтай и Алтайского края на 2020 год.

Республика Бурятия

16 ноября 2019 года утвержден план проведения проверок операторов персональных данных Республики Бурятия на 2020 год.

Иркутская область

15 ноября 2018 года утвержден план проведения проверок операторов персональных данных Иркутской области на 2020 год.

Кемеровская область

13 ноября 2019 года утвержден план проведения проверок операторов персональных данных Кемеровской области на 2020 год.

Омская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Омской области на 2020 год.

Томская область

14 ноября 2019 года утвержден план проведения проверок операторов персональных данных Томской области на 2020 год.

Забайкальский край

20 ноября 2019 года утвержден план проведения проверок операторов персональных данных Забайкальского края на 2020 год.

Дальневосточный федеральный округ

Хабаровская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Хабаровской области на 2020 год.

Сахалинская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Сахалинской области на 2020 год.

Республика Саха (Якутия)

19 ноября 2019 года утвержден план проведения проверок операторов персональных данныхРеспублики Саха (Якутия) на 2020 год.

Приморский край

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Приморского края на 2020 год.

Амурская область

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Амурской области на 2020 год.

Камчатский край

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Камчатского края на 2020 год.

Магаданская область, Чукотский АО

19 ноября 2019 года утвержден план проведения проверок операторов персональных данных Магаданской области и Чукотского АО на 2020 год.

Роскомнадзор формирует план самостоятельно, включает организации в план с учётом собственных критериев, без какой-либо очевидной системы. Обычно в план включают несколько представителей следующих областей экономики:

Также в план включаются операторы персональных данных, в отношении которых поступают массовые жалобы и замечания (например, коллекторские агентства).

Наличие или отсутствие уведомления об обработке персональных данных не является определяющей причиной попадания в план.

С 2015 года (с момента вступления в силу требований об обработке ПДн в базах данных на территории России) можно отметить увеличение количества проверяемых транснациональных компаний.

Почему и как Роскомнадзор проводит проверки управляющих организаций

Управляющие организации, ТСЖ и кооперативы по роду своей деятельности являются операторами персональных данных, поэтому в отношении таких организаций Роскомнадзор имеет право проводить проверки согласно постановлению Правительства РФ от 13.02.2019 № 146. Рассказываем об этом подробнее.

УО и ТСЖ являются операторами персональных данных

Персональные данные (ПДн) – это любая информация, которая относится к физическому лицу – субъекту ПДн и помогает идентифицировать его (ч. 1 ст. 3 № 152-ФЗ). К таким данным относятся общие сведения о человеке: фамилия, имя, отчество, дата и место рождения, данные документа, удостоверяющего личность, другие сведения, по которым прямо или косвенно можно определить конкретного человека.

Действия, которые совершаются с ПДн: сбор, запись, систематизация и накопление, хранение, обновление, изменение, использование, передача и др. – называются их обработкой (ч. 3 ст. 3 № 152-ФЗ). Лица и организации, обрабатывающие персональные данные, являются операторами ПДн.

УО, ТСЖ и кооперативы обрабатывают персональные данные жителей многоквартирных домов в силу пп. 2 ст. 6 № 152-ФЗ: начисляя плату за ЖКУ, ведя реестры собственников, оформляя платёжные документы, передавая ПДн собственников помещений в РСО при заключении прямого договора. Обработку персональных данных подразумевают заключённый УО с собственниками помещений в МКД договор управления или устав ТСН (ст. ст. 135, 155, 162 ЖК РФ).

Вправе ли УО передавать РСО персональные данные при прямом договоре

Роскомнадзор получил право проводить проверки операторов персональных данных

Поскольку УО, ТСЖ и ЖК работают с персональными данными собственников и жителей многоквартирных домов, то к ним применяются нормы постановления Правительства РФ от 13.02.2019 № 146. Постановлением в соответствии с ч. 1.1 ст. 23 № 152-ФЗ утверждены Правила проведения государственного контроля и надзора за обработкой персональных данных.

Согласно п. 2 ПП РФ № 146, функции госконтроля и надзора за обработкой ПДн возложены на Роскомнадзор. Ведомство должно предупреждать, выявлять и пресекать нарушения в деятельности операторов персональных данных.

Для этого Роскомнадзор уполномочен проводить плановые и внеплановые, документарные и выездные проверки, профилактические мероприятия, принимать меры, чтобы устранить последствия противоправных действий операторов ПДн (п. 3 ПП РФ № 146).

УО и ТСЖ могут попасть в план проверок раз в два года

Плановые проверки в отношении операторов персональных данных проводятся в соответствии с графиком, размещённым в интернете. Попасть в такой план может любой оператор ПДн, если с момента его регистрации как юрлица или с момента последней проверки прошло 3 года (п.п. 5, 6 ПП РФ № 146).

При этом поставщики информации в государственные информационные системы могут оказываться в плане по контролю чаще: раз в два года (пп. «а» п. 7 ПП РФ № 416).

Роскомнадзор имеет право проводить и внеплановые проверки операторов ПДн по нескольким основаниям:

неисполнение выданного ранее предписания по устранению нарушений;
по требованию прокурора, поручению Президента РФ, Правительства РФ;
по заявлению граждан, если они в обращении докажут факт нарушения их прав;
по результатам проверки, проведённой Роскомнадзором без взаимодействия с оператором ПДн.

Внеплановые проверки, организованные по двум последним приведённым выше причинам, должны быть согласованы с прокуратурой.

Роскомнадзор об обработке персональных данных

УО и ТСЖ уведомляются за 3 дня или за 24 часа до начала проверки

О проведении плановой проверки Роскомнадзор должен уведомить оператора не позднее, чем за 3 рабочих дня до этого, о внеплановой – не менее чем за 24 часа до её начала (п.п. 11, 12 ПП РФ №416). Копия приказа о проведении проверки направляется проверяемому:

по почте с уведомлением о вручении;
по электронной почте, если адрес оператора размещён на его сайте;
по электронной почте, если оператор сообщал адрес ранее в Роскомнадзор;
либо другим доступным способом.

При этом электронный образ документа должен быть подписан усиленной электронной подписью уполномоченного должностного лица Роскомнадзора.

Срок проведения плановой проверки – 20 рабочих дней, внеплановой – 10 рабочих дней. Продлить проверку можно не более, чем в два раза (п.п. 16, 17 ПП РФ № 416). Во время контрольных мероприятий проверяются соблюдение оператором требований к обработке ПДн, документы и информационные системы персональных данных.

Оператор ПДн обязан ответить на запрос Роскомнадзора в течение 5 рабочих дней

Роскомнадзор может проводить плановые выездные и документарные проверки. Внеплановые проверки могут быть только выездными (п. 25 ПП РФ № 416).

В рамках документарной проверки оператор ПДн должен предоставить документы и информацию по запросу ведомства в течение 5 рабочих дней со дня получения письма (п. 27 ПП РФ № 416). Документы предоставляются в виде заверенных печатью и подписью копий либо в электронном виде с использованием усиленной электронной подписи.

Дополнительные пояснения в рамках той же проверки должны быть направлены оператором ПДн в ведомство в течение 3 рабочих дней после получения запроса (п. 30 ПП РФ № 416).

Необходимо обратить внимание, что дата поступления ответа на запрос от оператора – это дата, которую указывает Роскомнадзор при принятии пакета документов, а не дата его отправки. Если документы не предоставлены в срок, то в отношении оператора проводится выездная проверка.

Что делать с персональными данными в протоколе ОСС для ГИС ЖКХ

Оператор ПДн обязан создать условия для проведения проверки

Если документарная проверка проходит по месту размещения Роскомнадзора, то выездная – по месту размещения оператора персональных данных. Если оператор является физическим лицом, а не юрлицом или индивидуальным предпринимателем, то в его отношении выездная проверка проводиться не может (п. 32 ПП РФ № 416).

Перед началом проверки должностное лицо Роскомнадзора должно предъявить удостоверение и ознакомить проверяемого с приказом о проведении выездной проверки (п. 33 ПП РФ № 416). Оператор ПДн со своей стороны должен создать необходимые условия для проведения контрольных мероприятий, обеспечить доступ в помещения и к оборудованию.

Если проверяемый препятствует действиям сотрудников Роскомнадзора, проводящих проверку, то об этом составляется акт. Затем контрольный орган имеет право обратиться в прокуратуру или в правоохранительные органы (п. 38 ПП РФ № 416).

При составлении такого акта, а также при отсутствии оператора ПДн в день проверки она приостанавливается до момента устранения причин остановки либо же до проведения внеплановой проверки без предварительного уведомления оператора ПДн (п.п. 39, 40 ПП РФ № 416).

За неустранение нарушений выдаётся требование об остановке обработки персональных данных

По результатам проверки Роскомнадзор составляет в двух экземплярах акт, в котором делает заключение об отсутствии нарушений или об их наличии с указанием на статьи НПА (п.п. 43, 44 ПП РФ № 416). При этом акт должен быть подписан представителем проверяемого юрлица или индивидуального предпринимателя. Если оператор ПДн отказался подписать акт, то об этом в акте делается отметка.

Экземпляр акта проверки вручается оператору персональных данных под подпись или направляется с уведомлением о вручении либо другим доступным способом в течение 10 дней со дня его подписания (п. 44 ПП РФ № 416).

Если Роскомнадзор выявил нарушения при проверке, то вместе с актом оператору вручается предписание об устранении нарушений со сроком выполнения не более 6 месяцев с дня вручения этих документов (п. 47 ПП РФ № 416). Оператор должен предоставить в Роскомнадзор информацию о выполнении предписания – в ином случае в его отношении проводится внеплановая выездная проверка.

Если невыполнение предписания влечёт нарушение прав и интересов субъектов персональных данных, то оператор обязан по требованию Роскомнадзора прекратить обработку любых персональных данных до устранения допущенных нарушений (п. 50 ПП РФ № 416). Если этого не сделать, оператор ПДн будет привлечён к административной ответственности.

Важно знать

Правила проведение проверок управляющих организаций и ТСЖ как операторов персональных данных во многом схожи с правилами проверок, которые проводит в их отношении орган Госжилнадзора.

УО и ТСЖ должны иметь в виду, что Роскомнадзор имеет право планово проверять их чаще, чем других операторов ПДн, поскольку они являются поставщиками информации в ГИС ЖКХ.

В ходе контрольных мероприятий будут проверяться как документы, так и порядок их хранения и информационные системы, с помощью которых происходит обработка ПДн.

Хотя внеплановыми могут быть только выездные проверки, плановая документарная проверка легко может превратиться во внеплановую, если Роскомнадзор обнаружит какие-либо нарушения в работе оператора ПДн или в срок не получит необходимые документы.

В случае неустранения нарушений, затрагивающих интересы и права субъектов ПДн, оператор обязан остановить любую обработку персональных данных. В отношении УО и ТСЖ это значит, что в такой ситуации они не смогут выставлять счета на оплату жилищно-коммунальных услуг, проводить общие собрания собственников, передавать данные в РСО в рамках договоров ресурсоснабжения и даже обрабатывать заявки, поступающие в аварийно-диспетчерскую службу.

российских пользователей социальной сети должны сообщить личные, паспортные данные — предложение

ФОТО ФОТОГРАФИИ: Мужчина смотрит на экран компьютера с логотипами российской социальной сети «ВКонтакте» в офисе в Москве 24 мая 2013 года. REUTERS / Сергей Карпухин

МОСКВА ( Reuters). Российский регулятор в сфере коммуникаций хочет попросить пользователей социальных сетей и онлайн-мессенджеров предоставить свои паспортные данные, адреса и другую информацию, говорится в законопроекте, опубликованном на правительственном сайте.

Идея возникла на фоне репрессий против U.S. социальные сети по поводу того, что Москва говорит об их несоблюдении законов России. В этом месяце Москва снизила скорость работы Твиттера и пригрозила полностью заблокировать его.

Новое предложение, опубликованное в сети Роскомнадзором, было разработано после внесения поправок в законодательство о персональных данных, требующих от компаний с июля получать согласие пользователей на обработку некоторых видов данных.

Согласно этому предложению, пользователи смогут подавать свое согласие напрямую в компанию или через систему Роскомнадзора, говорится в документе.

Для этого пользователи должны будут предоставить свои имена, номер телефона, адрес электронной почты, адрес проживания и паспортную информацию, данные, которые будут проверяться сторожевым псом с использованием государственной базы данных.

Эти персональные данные также могут быть переданы другим государственным органам в случаях, предусмотренных законом, согласно предложению, которое было опубликовано в Интернете во вторник и впервые опубликовано газетой «Коммерсантъ» в четверг.

Предложение поступило на фоне противостояния между Москвой и У.S. фирмы социальных сетей, в которых Россия обвинила последнего в неспособности удалить сообщения, которые, по словам Москвы, незаконно призывали детей принять участие в антикремлевских протестах.

В последние недели 68-летний президент Владимир Путин публично пожаловался на Интернет, предупредив, что, по его словам, он имеет разрушительную социальную силу, и сказал, что он должен ограничиваться моральными законами.

Бывший офицер КГБ неоднократно заявлял, что Интернет зародился как проект ЦРУ и создал имидж, устойчивый к новым технологиям.

Репортаж Тома Балмфорта и Глеба Столярова; редактирование Ником Макфи

Защита персональных данных в России

6.2.1 Правовая база

Статьи 23 и 24 Конституции России (1993 г.) уже показывают, что основными субъектами, на которые направлено законодательство о защите данных, являются субъекты данных и операторы данных. . Эти же идеи нашли отражение в законодательстве.

Статья 23 гласит: «Каждый имеет право на неприкосновенность частной жизни, личные и семейные тайны, защиту чести и доброго имени.«Конфиденциальность — это право контролировать информацию о себе. Право на неприкосновенность частной жизни является универсальным правом человека и признано таковым во Всеобщей декларации прав человека и Европейской конвенции о правах человека. Это основа права на защиту данных. Право на защиту данных проистекает из конфиденциальности, но не является универсальным правом человека. Он нацелен на операторов персональных данных, чтобы обеспечить их справедливую обработку. Соответственно, статья 24 Конституции РФ касается операторов персональных данных.Он требует, чтобы «сбор, хранение, использование и распространение информации о частной жизни не разрешались без согласия человека». До принятия специального законодательства в декабре 2005 г. Россия ратифицировала Конвенцию 1981 г. о защите частных лиц в отношении автоматической обработки персональных данных (Конвенция Совета Европы). Конвенция Совета Европы — это фундамент, на котором несколько стран построили свое законодательство о защите данных.

В июле 2007 года Государственная Дума приняла два закона, посвященных защите данных: Федеральный закон №149-ФЗ « Об информации, информационных технологиях и зайте информацию » и Федеральный закон № 152-ФЗ « О персональных данных » (Закон о персональных данных. ). Положения этих законов были обычными и аналогичными положениям Европейской директивы о защите данных 1995 г. (Garrie and Byhovsky 2017, 239). Закон о персональных данных является основным законом, регулирующим эту сферу в России. Он устанавливает цель защиты персональных данных — обеспечение прав и свобод человека и гражданина при обработке своих данных (статья 2).

До 2014 года российские правила защиты данных не отличались от Конвенции Совета Европы. После террористических актов в Волгограде в 2013 году Государственная Дума приняла антитеррористический пакет законов. Частью этого пакета стал Федеральный закон от 21 июля 2014 г. № 242-ФЗ (Закон о локализации), который ввел требование о локализации (подробнее об этом в разделе 6.3). Помимо российского законодателя, несколько органов власти уполномочены создавать положения о защите данных.Активную роль в этой сфере играют президент России, правительство России и федеральные службы (подробнее см. Гл. 3).

6.2.2 Органы исполнительной власти

Среди органов государственной власти Роскомнадзор играет наиболее активную роль. Дмитрий Медведев учредил Роскомнадзор в 2008 году (Указ Президента № 1715). Роскомнадзор подчиняется Министерству цифрового развития, связи и массовых коммуникаций (Минкомсвязи). У него много важных компетенций, таких как мониторинг средств массовой информации и ведение реестров операторов данных и запрещенных веб-сайтов (Постановление правительства о Роскомнадзоре).Что касается конкретных полномочий Роскомнадзора, то вектор деятельности этой Федеральной службы отклоняется от того направления, в котором нацелена защита персональных данных — обеспечение прав и свобод личности. В соответствии со статьей 23 Закона о защите данных Роскомнадзор может расследовать и инициировать контроль и надзор за операторами данных без учета нарушения личных прав физических лиц. Он действует независимо от того, имеют ли лица, чьи данные обрабатываются, какие-либо претензии к операторам данных.В результате деятельность Роскомнадзора направлена на защиту данных как таковых, а не на защиту индивидуальных прав, затрагиваемых обработкой данных (Терещенко, 2018, 146).

Помимо Роскомнадзора, несколько других органов власти осуществляют свои полномочия по обеспечению соблюдения политики защиты данных в России. Прокуратура отвечает за преследование уголовных дел, связанных с нарушением защиты данных. Федеральная служба по техническому и экспортному контролю отвечает за надзор за безопасностью персональных данных в информационной инфраструктуре России.

6.2.3 Основные категории законодательства о защите данных

Основными категориями, определяющими законодательство о защите данных в России, являются данные, персональные данные, операторы данных, обработка данных и передача персональных данных. Статья 2 (1) Закона о защите данных определяет информацию как любые данные независимо от формы их представления. Согласно статье 3 (1) Закона о персональных данных, персональные данные — это любая информация, прямо или косвенно связанная с определенным или идентифицируемым физическим лицом (субъектом данных).Закон не защищает данные, не относящиеся к идентифицируемому физическому лицу (анонимные данные). Следуя этому определению, может быть трудно провести различие между техническими данными и личными данными, поскольку почти любая транзакция, совершенная в Интернете, будет представлять собой личные данные (Bauer et al. 2015, 2).

Когда дело доходит до установления критериев того, что считается идентифицируемым лицом, практика Роскомнадзора может создать некоторую двусмысленность. Например, в 2017 году из Пенсионного фонда России произошла утечка информации, содержащей полные имена и фамилии его клиентов, их номера налогоплательщиков и информацию об их пенсионных накоплениях.Согласно ответу Пенсионного фонда, это не является утечкой данных, поскольку такие данные не позволяют идентифицировать личность (Терещенко, 2018, 152). Роскомнадзор никакими действиями не отреагировал на это нарушение. Как бы ни старался Пенсионный фонд обезопасить взлом, информация, содержащая имена, фамилии и идентификационные номера, без сомнения, является личными данными. В комментарии к Закону о персональных данных от 2015 года высокопоставленные должностные лица Роскомнадзора заявили, что индивидуальный номер налогоплательщика позволяет однозначно идентифицировать физическое лицо (Гафурова и др.2015, 16).

Закон о персональных данных различает категории персональных данных. Согласно статье 10 закона, особые правила применяются к данным, касающимся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни. Обработка таких данных может осуществляться только в случаях, предусмотренных законом, например, если субъект данных дает письменное согласие на обработку данных.

В соответствии со статьей 3 (2) Закона о персональных данных, оператор — это орган, компания или физическое лицо, которое организует и (или) выполняет обработку персональных данных.Оператор также определяет цель обработки персональных данных и состав обрабатываемых персональных данных, а также действия в отношении персональных данных. Законодательство о защите данных применяется ко всем операторам данных и третьим лицам, уполномоченным операторами. Общее правило заключается в том, что операторы данных должны уведомить Роскомнадзор о своем намерении обработать данные до того, как приступить к обработке данных (статья 22). Существуют определенные случаи, когда в таком уведомлении нет необходимости, например, когда обработка данных выполняется в соответствии с трудовым законодательством, если данные включают только фамилию, имя и отцовское имя субъекта данных или если субъект данных раскрыл данные в открытый доступ.

При сборе персональных данных операторы должны информировать субъектов об определенных требуемых аспектах обработки данных. Например, согласно статье 18.1 (1) (2) операторам необходимо опубликовать политику обработки данных. Закон применяет разумный подход, возлагая эту обязанность на операторов, которые являются юридическими лицами. На практике это означает, что физическим лицам, а также индивидуальным предпринимателям не нужно публиковать свою политику обработки.

Операторам данных необходимо установить меры безопасности.Согласно статье 18.1 закона операторы данных вправе выбирать меры, которые им необходимо принять в соответствии с законом. В соответствии с законом рекомендуемые меры включают назначение сотрудника по защите данных, реализацию определенных организационных и технических мер, направленных на защиту данных, а также выполнение внутреннего контроля и аудита.

Интересно, что в перечень таких мер не входит обязательство уведомлять об утечке данных ни Роскомнадзор, ни субъекты данных.Была попытка внести поправки в законодательство и ввести обязанность уведомлять Роскомнадзор, МВД и даже соответствующих субъектов данных об утечках данных, но законопроект не принимается Госдумой с 2017 года (Законопроект № 416052 -6).

Обработка данных — это любое действие или комбинация действий, связанных с персональными данными (со средствами автоматизации или без них), включая сбор, запись, систематизацию, хранение, извлечение и передачу.Обработка должна быть адекватной, актуальной и не чрезмерной по отношению к цели, для которой обрабатываются данные. Согласно статье 5 (7) Закона о персональных данных, один из принципов обработки данных заключается в том, что после достижения цели, для которой была обработана информация, оператору необходимо анонимизировать или уничтожить данные, если не было договоренности об обратном. . На данный момент нет подробных правил уничтожения данных. Однако соответствующие поправки, разрешающие Роскомнадзору устанавливать такие подробные правила, находятся на рассмотрении Госдумы (законопроект «О прекращении действия персональных данных»).

Согласие субъектов данных является неотъемлемой частью обработки персональных данных. Согласно статье 9 Закона о защите данных, физическое лицо должно дать письменное согласие на обработку данных. Согласие должно быть конкретным, информированным и преднамеренным. Его можно получить в любой форме, подтверждающей его получение, включая заполнение онлайн-форм. Субъект данных может позже передумать и отозвать согласие на обработку данных. Операторы данных несут бремя доказательства того, что субъект данных дал свое согласие.

В соответствии со статьей 9 (4) (4) закона, в определенных случаях, в том числе при обработке данных, касающихся политических взглядов, религиозных убеждений, состояния здоровья и интимной жизни, согласие должно быть дано в письменной форме. Письменная форма согласия должна включать цель обработки данных. Закон конкретно не требует, чтобы обработчик данных запрашивал у субъекта данных отдельное согласие для каждой цели обработки данных. Обработчики данных часто толкуют это положение таким образом, чтобы перечислить различные цели обработки данных в одной форме.Однако, поскольку толкование закона в обратном направлении возможно, существует существенный риск того, что Роскомнадзор потребует письменного согласия от субъекта данных для каждой цели обработки данных. Так было в споре между обществом с ограниченной ответственностью (ООО) «Скартел» и Роскомнадзором ( ООО «Скартел» против Управления Роскомнадзора Центрального федерального округа ). Арбитражный суд города Москвы, а затем апелляционный суд подтвердили позицию Роскомнадзора. Клиенты «Скартел» подписали условия, в которых перечислены определенные цели обработки данных.После этого некоторые клиенты заключили дополнительные соглашения онлайн. Такие соглашения включают больше целей обработки данных. Суды согласились с Роскомнадзором в том, что согласие на такие дополнительные цели обработки данных после дословного прочтения закона также должно быть дано в письменной форме на бумажных носителях. Чтобы исправить эту ситуацию, Минкомсвязи подготовило поправки к закону о защите данных, которые, среди прочего, позволят получить единое согласие человека на несколько целей обработки данных (законопроект «О единой форме согласия»).Это один из примеров, когда целью поправок является облегчение бремени для операторов данных, в отличие от создания множества новых правил, вводящих ограничения и обязательства в сфере защиты данных, как будет показано в следующих разделах этой главы.

Персональные данные могут обрабатываться без согласия субъекта данных в определенных случаях (статья 6). Например, согласие не требуется, если обработка данных необходима для профессиональной журналистской деятельности или когда это необходимо для исполнения решения суда или государственного органа.

6.2.4 Передача за пределы России

Операторы данных могут передавать личные данные за пределы России. Перед осуществлением такой передачи оператор должен убедиться, что права субъекта персональных данных получат адекватную защиту в стране-получателе перевода. Статья 12 (1) Закона о персональных данных предусматривает, что все стороны, подписавшие Конвенцию Совета Европы, обеспечивают надлежащую защиту персональных данных. Кроме того, Роскомнадзор ведет регулярно обновляемый список стран, обеспечивающих такую защиту (Приказ Роскомнадзора о списке стран с адекватной защитой персональных данных).

6.2.5 Территориальная сфера применения

Интернет распространяется за пределы национальных границ. Граждане России могут получить доступ к сайтам операторов, расположенных по всему миру (кроме заблокированных Роскомнадзором). Это не означает, что все эти операторы должны соответствовать требованиям русской локализации. Закон о защите данных конкретно не устанавливает территориальную сферу его применения. При этом при определении операторов персональных данных закон не ограничивает операторов только компаниями, зарегистрированными в России.По мнению Роскомнадзора, Закон о персональных данных является обязательным для иностранных компаний, обрабатывающих персональные данные в России (Роскомнадзор, 2019a). Территориальный охват определяется обработкой данных, которая (1) либо имеет место, либо направлена на Россию, либо (2) касается данных российских граждан. Важно не место нахождения компании / лица, а территория, на которую направлены действия такой компании или лица. Тем не менее, компании, зарегистрированные за пределами России, могут подпадать под действие российского законодательства о защите данных.Аналогичным образом статья 3 GDPR устанавливает, что ее требования к защите данных являются обязательными не только для компаний, учрежденных в государствах-членах ЕС, но также и для компаний, расположенных в любой точке мира, если они обрабатывают данные граждан ЕС. Важность территориального аспекта российских правил защиты данных усиливается с принятием требования о локализации для операторов данных.

Защита данных в РФ: обзор

6 августа 2018

Это руководство по вопросам и ответам дает общий обзор правил и принципов защиты данных, включая обязательства контроллера данных и согласие субъектов данных; права на доступ к персональным данным или возражение против их сбора; и требования безопасности.Он также распространяется на файлы cookie и спам; обработка данных третьими лицами; и международная передача данных. В этой статье также подробно описывается национальный регулирующий орган; его правоприменительные полномочия; и санкции и средства правовой защиты.

Чтобы сравнить ответы в разных юрисдикциях, посетите инструмент вопросов и ответов о защите данных о стране.

Эта статья является частью глобального руководства по защите данных. Полный список материалов можно найти на сайте global.practicallaw.com/dataprotection-guide.

Постановление

Законодательство

1.Какие национальные законы регулируют сбор и использование личных данных?

Общие законы

Основные положения закона о защите данных и конфиденциальности можно найти в:

— Страсбургская конвенция о защите частных лиц в отношении автоматической обработки персональных данных 2005 г. (Страсбургская конвенция).

— Конституция РФ 1993 г. (статьи 23 и 24).

— Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и защите данных» 2006 г. (Закон о защите данных).

— Федеральный закон № 152-ФЗ «О персональных данных» 2006 г. (Закон о защите персональных данных).

Основным законом в этой области является Закон о защите личных данных.

Отраслевые законы

Положения, касающиеся защиты данных, также можно найти в различных отраслевых законах, например:

— Трудовой кодекс РФ (глава 14).

— Воздушный кодекс России (статья 85.1).

— Федеральный закон № 323 «Об основах охраны здоровья граждан в Российской Федерации».

Существуют также определенные местные административные правила и официальные требования, регулирующие сбор, хранение и использование личных данных, выпущенные:

— Президент России.

— Правительство РФ.

— Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

— Федеральная служба по техническому и экспортному контролю (ФСТЭК).

— Федеральная служба безопасности (ФСБ).

Сфера действия законодательства

2. На кого распространяется действие закона?

Законы о защите данных применяются ко всем операторам данных и третьим лицам, действующим с разрешения операторов данных.

Российское законодательство о защите данных не содержит понятий «контролер данных» и «обработчик данных». Однако в Законе о защите личных данных упоминаются понятия «оператор данных» и «лицо, действующее в соответствии с инструкциями» оператора данных.

Оператором данных может быть государственный или муниципальный орган, юридическое или физическое лицо, которое:

— Организует и / или осуществляет (самостоятельно или совместно с другими лицами) обработку персональных данных.

— Определяет цели обработки персональных данных, содержание персональных данных и действия (операции), связанные с персональными данными.

Обработка данных может быть делегирована третьей стороне с согласия субъекта данных, который будет действовать с разрешения оператора данных на основании соответствующего соглашения или на основании специального государственного или муниципального закона.

3. Какие данные регулируются?

Законы о защите данных регулируют все персональные данные, обрабатываемые операторами данных или третьими сторонами. Персональные данные — это любая информация, прямо или косвенно относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных).

Российское законодательство о защите данных не делает различий между прямыми персональными данными и косвенными персональными данными. Таким образом, личные данные будут рассматриваться как «прямые» или «косвенные» в зависимости от обстоятельств каждого дела.

4. Какие законы регулируются?

Законы о защите данных применяются ко всем действиям по обработке данных, включая сбор, запись, систематизацию, накопление, хранение, изменение (обновление, модификацию), извлечение, использование, передачу (распространение, предоставление, доступ), анонимизацию, блокирование, удаление или уничтожение данных. Электронный (автоматизированный) и ручной (неавтоматический) учет личных данных и смешанная обработка данных регулируются законодательством о защите данных.

5. Какова юрисдикция правил?

Законы о защите данных не содержат каких-либо явных положений относительно их юрисдикции или территориального действия. Таким образом, обычно предполагается, что национальные правила защиты данных применяются к:

— Обработка данных, которая происходит в России или предназначена для России.

— Сбор, хранение и использование персональных данных граждан России (субъектов данных).

Это не зависит от того, где установлены и расположены операторы данных.

В контексте трансграничного потока данных национальное законодательство о защите данных также может применяться в определенной степени, если российское физическое лицо является стороной в передаче данных или пользовательском соглашении или дает согласие на обработку своих личных данных. данные от стороннего оператора данных.

Какие основные исключения (если таковые имеются)?

Законы о защите данных не распространяются на следующие действия:

— Обработка персональных данных физическими лицами исключительно для личных и семейных нужд (при условии, что права субъектов данных не нарушаются).

— Организация хранения, сбора, учета и использования архивных документов, содержащих персональные данные, в соответствии с национальными законами об архивных фондах и делах.

— Обработка персональных данных, которые могут быть отнесены к сведениям, составляющим государственную тайну.

— Предоставление компетентными органами сведений о деятельности судов в России в соответствии с законодательством о судах.

Уведомление

7.Требуется ли уведомление или регистрация перед обработкой данных?

Оператор данных, обрабатывающий персональные данные, должен уведомить Роскомнадзор до того, как он начнет обработку персональных данных. Уведомление может быть подано оператором данных на бумаге или в электронном виде.

Уведомление должно содержать следующую информацию:

— Имя и адрес оператора данных.

— Цели обработки персональных данных.

— Категории персональных данных.

— категории субъектов данных, данные которых обрабатываются.

— Список разрешенных действий в отношении персональных данных и общее описание методов обработки данных, используемых оператором данных.

— Описание ИТ-систем и мер безопасности (включая шифрование).

— Имя и контактные данные уполномоченного по защите данных.

— Дата начала обработки персональных данных.

— Продолжительность обработки или условия прекращения обработки персональных данных.

— Информация о трансграничной передаче данных.

— расположение базы данных, которая будет содержать персональные данные российских физических лиц (см. Вопрос 21).

Роскомнадзор зарегистрирует оператора данных в течение 30 дней с даты получения соответствующего уведомления (при отсутствии дополнительных вопросов или запросов). Перечисленная выше информация (за исключением описания ИТ-систем оператора данных и соответствующих мер безопасности) становится общедоступной после включения в реестр.Роскомнадзор ведет реестр операторов данных на основе информации, содержащейся в получаемых им уведомлениях. Реестр операторов данных является общедоступным и доступен на русском языке по адресу http://rkn.gov.ru/personal-data/register.

Требование об уведомлении / регистрации применяется к любому оператору данных, который участвует в обработке различных категорий персональных данных на территории или за пределами России (или обрабатывает персональные данные граждан России) и использует свою внутреннюю ИТ-систему или базу данных в соответствии с законодательство о защите данных.Однако оператор данных может быть освобожден от этого законодательного требования и иметь возможность обрабатывать персональные данные без уведомления / регистрации при определенных обстоятельствах. Например, где личные данные:

— обрабатывается только в соответствии с трудовым законодательством.

— Получено оператором данных в связи с договором с субъектом данных (физическим лицом), при условии, что персональные данные:

— не передается третьим лицам без согласия физического лица;

— используется только для выполнения контракта или для заключения дальнейших контрактов с физическим лицом.

— относится к определенному типу обработки, осуществляемой общественным объединением или религиозной организацией, действующей в соответствии с применимым законодательством, при условии, что личные данные не передаются или не раскрываются третьим лицам без согласия субъекта данных.

— Субъект данных сделал общедоступным.

— Состоит только из фамилии, имени и отчества субъекта данных.

— необходим для предоставления субъекту данных единовременного доступа в помещение, где находится оператор данных.

— Включен в ИТ-системы, которые приобрели статус государственных компьютерных ИТ-систем в соответствии с действующим законодательством, или в государственные ИТ-системы, созданные в целях государственной безопасности и общественного порядка.

— обрабатывается без использования автоматизированных систем в соответствии с действующим законодательством при соблюдении прав субъекта данных.

— обрабатывается в соответствии с законами и постановлениями, касающимися транспортной безопасности.

Уведомление и регистрация не требуют оплаты официальных сборов.

Основные правила и принципы защиты данных

Основные обязательства и требования к обработке

8. Какие основные обязанности возлагаются на контроллеры данных для обеспечения правильной обработки данных?

Основными обязательствами, возлагаемыми на операторов данных по обеспечению надлежащей обработки персональных данных, являются следующие:

— Определение категорий персональных данных, целей обработки данных и продолжительности обработки.

— Получение согласия субъекта данных (если иное не предусмотрено законом).

— Назначение сотрудника по защите данных, принятие политики защиты данных (и других необходимых документов) и принятие других соответствующих мер безопасности (особенно юридических, технических и организационных) для предотвращения несанкционированной / незаконной обработки данных и нарушения законодательства о защите данных.

— Размещение центра обработки данных или сервера данных на территории России, если данные российских физических лиц должны обрабатываться оператором данных (см. Вопрос 21).

— Уведомление Роскомнадзора с целью регистрации (если иное не предусмотрено законом) (см. Вопрос 7).

9. Требуется ли согласие субъектов данных перед обработкой персональных данных?

В большинстве случаев перед обработкой персональных данных требуется согласие субъекта данных. Согласие субъекта данных должно быть конкретным, информированным и преднамеренным.

Если иное не предусмотрено законом, согласие субъекта данных может быть получено в любой форме, в том числе в Интернете.Если закон требует, чтобы согласие субъекта данных было дано в письменной форме (например, для обработки биометрических данных), подразумеваемое или предполагаемое согласие не будет считаться действительным.

Электронные подписи разрешены и могут использоваться в соответствии с положениями применимого законодательства о цифровых подписях, если согласие субъекта данных представляет собой электронную форму документа о согласии.

Оператор данных несет бремя доказательства того, что согласие субъекта данных получено.

Нет предписанной или утвержденной формы согласия. Однако Закон о защите личных данных определяет информацию, которая должна быть указана в письменном согласии субъекта данных:

— Имя, отчество, фамилия и адрес субъекта данных, идентификационный номер (например, номер паспорта), дата выдачи удостоверения личности и орган, выдавший удостоверение личности.

— Имя, отчество, фамилия и адрес представителя субъекта данных, номер удостоверения личности (например, паспорт), дата выдачи удостоверения личности и выданный орган, реквизиты доверенности или другие применимый документ (если согласие было дано представителем субъекта данных).

— Имя, отчество, фамилия и адрес оператора данных.

— Цель обработки данных.

— Список предоставленных персональных данных.

— Имя, отчество, фамилия и адрес любой третьей стороны, которая обрабатывает персональные данные с разрешения оператора данных.

— Список согласованных действий в отношении персональных данных и общее описание методов обработки данных, используемых оператором данных.

— Срок действия согласия субъекта данных и способ его отзыва.

— Подпись субъекта данных.

Обработка персональных данных несовершеннолетних возможна с согласия законного представителя.

10. Если согласие не дано, какими еще основаниями (если таковые имеются) может быть оправдана обработка?

Обработка персональных данных без согласия субъекта данных может быть оправдана при определенных обстоятельствах. Например, если обработка данных требуется для:

— Цели, определенные международным договором или законодательством Российской Федерации.

— Определенные судебные цели.

— Осуществление определенных полномочий федеральными органами власти, оказывающими государственные и муниципальные услуги.

— Соглашение с субъектом данных или соглашение, в котором субъект данных является бенефициаром или гарантом.

— Защита жизни, здоровья или других жизненно важных интересов субъекта данных.

— Защита прав и интересов оператора данных или третьих лиц или в общественных целях, при условии, что нет нарушений прав и свобод субъекта данных.

— Профессиональная журналистская, медийная, научная, литературная или другая творческая деятельность при условии отсутствия нарушений прав и свобод субъекта данных.

— Статистические или другие научные цели (при условии, что соответствующие персональные данные были анонимны).

— Обработка данных, которые стали общедоступными субъектом данных по его / ее запросу.

— Обязательная публикация или раскрытие в соответствии с действующим законодательством.

Особые правила

11. Применяются ли особые правила к определенным типам персональных данных, например к конфиденциальным данным?

В соответствии с Законом о защите личных данных конфиденциальные данные относятся к любой информации, которая относится к национальности, расовому или этническому происхождению, политическим взглядам, религиозным или философским убеждениям и состоянию здоровья или половой жизни человека. Конфиденциальные данные могут быть обработаны только в том случае, если:

— Субъект данных предоставил письменное согласие на обработку данных.

— Субъект данных сделал общедоступными персональные данные.

— Обработка требуется в соответствии с международным договором России о повторном въезде (например, возвращении иммигрантов в страну).

— Обработка ведется для Всероссийской переписи населения.

— Обработка осуществляется в соответствии с законодательством о социальной поддержке, занятости или пенсиях.

— Обработка требуется для защиты жизни, здоровья или жизненно важных интересов субъекта данных или других лиц, при условии, что получить согласие субъекта данных невозможно.

— Обработка осуществляется лицом, которое занимается различной медицинской деятельностью в определенных медицинских целях, при условии, что обработка выполняется профессионалом с соблюдением медицинской конфиденциальности.

— Обработка осуществляется общественными обществами или религиозными организациями в отношении личных данных их членов для целей, определенных их учредительными документами, при условии, что личные данные не передаются третьим лицам без письменного согласия субъекта данных.

— Обработка требуется для установления или обеспечения соблюдения прав субъекта данных или третьих лиц или для отправления правосудия.

— Обработка осуществляется в соответствии с законодательством Российской Федерации о государственной обороне, безопасности, борьбе с терроризмом, транспортной безопасности, борьбе с коррупцией, правоприменении, исполнении, уголовном расследовании и судебном преследовании.

— Обработка производится прокуратурой в рамках особого уголовного преследования.

— Обработка производится в соответствии с законодательством о страховании.

— Обработка производится государственными органами, муниципальными учреждениями или организациями для целей усыновления ребенка.

— Обработка производится в соответствии с действующим законодательством о гражданстве.

Обработка конфиденциальных персональных данных (если это разрешено законом) будет немедленно прекращена, если причины для обработки больше не существуют.

Права физических лиц

12.Какая информация должна быть предоставлена субъектам данных в момент сбора персональных данных?

В момент сбора персональных данных субъекту данных должна быть предоставлена следующая информация:

— Цель сбора / обработки данных.

— Объем сбора / обработки данных.

— Срок сбора / обработки данных.

— Подробная информация об операторе данных (или любой третьей стороне, действующей с разрешения оператора данных).

— Иная информация, предусмотренная законом.

13. Какие еще конкретные права предоставляются субъектам данных?

Субъект данных имеет право на доступ к данным, обрабатываемым оператором данных, и право на получение информации, связанной с обработкой данных, включая:

— Подтверждение обработки данных оператором данных.

— Правовые основания и цели обработки данных.

— Методы и цели обработки данных, используемые оператором данных.

— Имя и местонахождение оператора данных, а также информация о лицах (кроме сотрудников), которые имеют доступ к персональным данным или которым персональные данные могут быть раскрыты в соответствии с соглашением с оператором данных или в соответствии с законом.

— Продолжительность обработки данных, включая продолжительность хранения личных данных.

— Информация о любой завершенной или предполагаемой трансграничной передаче данных.

— Другая информация, предоставленная Законом о защите личных данных и другими законами.

Кроме того, субъект данных имеет право:

— Исправление и блокировка данных.

— Возражение против обработки данных.

— Возражение против прямого маркетинга.

— Возражать против решений, принимаемых исключительно на основе автоматизированной обработки данных.

— пожаловаться на действия или бездействие оператора данных и потребовать возмещения убытков, включая моральный ущерб.

14. Имеют ли субъекты данных право требовать удаления своих данных?

Субъекты данных могут запросить удаление своих персональных данных, если они:

— Незавершенное.

— Устаревший.

— Неточно.

— Получено незаконно.

— Не требуется для заявленных целей обработки данных.

Требования безопасности

15. Какие требования безопасности предъявляются к персональным данным?

Оператор данных должен принимать необходимые и достаточные меры защиты в соответствии с законодательством о защите данных, включая следующие:

— Назначение сотрудника по защите данных.

— Принятие политики защиты данных и других документов, включая местные / корпоративные правила, предназначенных для предотвращения и обнаружения нарушений законодательства о защите данных.

— Осуществление соответствующих правовых, организационных и технических мер безопасности.

— Осуществление внутреннего контроля и / или аудита для обеспечения соответствия обработки данных законодательству о защите данных и политике, документам и / или местным правилам оператора данных.

— Оценка ущерба, который может быть причинен субъектам данных в случае нарушения законодательства о защите данных.

— Раскрытие соответствующих положений законодательства о защите данных и требований к защите данных, которые определяют его политику, документы и / или местные правила для своих сотрудников.

В любом случае оператор данных должен принять необходимые правовые, организационные и технические меры для защиты персональных данных от любого несанкционированного / незаконного или случайного доступа, уничтожения, модификации, блокирования, копирования, предоставления или распространения, а также от любых других несанкционированных действий в отношении персональных данных.Дополнительные меры безопасности могут быть установлены:

— Обнаружение угроз безопасности при обработке персональных данных в соответствующих ИТ-системах.

— Обеспечение надлежащего уровня защиты обработки персональных данных в соответствующих ИТ-системах.

— Применение различных сертифицированных методов защиты персональных данных (включая шифрование).

— Оценка эффективности мер безопасности (до внедрения каких-либо мер безопасности).

— Запись на любой компьютерный носитель, содержащий личные данные.

— Выявление несанкционированного доступа к персональным данным.

— Получение личных данных, которые были изменены или уничтожены из-за несанкционированного доступа.

— Принятие правил, регулирующих доступ к персональным данным, обрабатываемым в соответствующих ИТ-системах, регистрацию и запись всех действий, связанных с персональными данными, в соответствующих ИТ-системах, контроль мер безопасности в отношении персональных данных и уровень защиты соответствующие ИТ-системы.

16. Есть ли требование об уведомлении субъектов данных или национального регулирующего органа о нарушениях безопасности личных данных?

Как правило, закон не требует сообщать об утечке данных субъектам данных или Роскомнадзору.

При обнаружении или обнаружении несанкционированной обработки персональных данных оператор данных (или соответствующее уполномоченное лицо) должен прекратить обработку в течение трех рабочих дней.

Если невозможно преобразовать несанкционированную обработку персональных данных в законную обработку, оператор данных должен уничтожить персональные данные в течение десяти рабочих дней.

После прекращения обработки персональных данных или уничтожения персональных данных оператор данных должен уведомить субъекта данных (или его представителя).

Если запрос о прекращении или уничтожении был сделан Роскомнадзором, уведомление должно быть отправлено в Роскомнадзор.

Обработка третьими сторонами

17. Какие дополнительные требования (если таковые имеются) применяются, когда третья сторона обрабатывает данные от имени контроллера данных?

Субъект данных должен дать согласие на передачу персональных данных третьим лицам.Третьи стороны подчиняются тем же юридическим требованиям и обязательствам, что и операторы данных, и должны соблюдать правила обработки данных, определенные законом. Оператор данных будет нести ответственность за все действия или бездействие третьих лиц, действующих с его разрешения, в то время как соответствующие третьи стороны будут нести ответственность перед оператором данных за любое нарушение данных.

Электронная связь

18. При каких условиях контроллеры данных могут хранить файлы cookie или аналогичные устройства на оконечном оборудовании субъекта данных?

Закон не определяет «куки».Также отсутствуют официальные инструкции Роскомнадзора (или другого государственного органа) по использованию, применению или распространению файлов cookie.

В соответствии с Законом о защите данных лицо, распространяющее информацию, должно предоставить адресату явную возможность отклонить информацию (при использовании метода, позволяющего идентифицировать адресата), в том числе при отправке обычных почтовых и электронных сообщений. Поэтому обычно предполагается, что для всех типов файлов cookie требуется согласие субъекта данных (в отсутствие более конкретного законодательства по этому вопросу).

19. Какие требования предъявляются к рассылке нежелательных электронных коммерческих сообщений (спама)?

Незапрашиваемые электронные коммерческие сообщения (спам) в России запрещены. Такие сообщения могут быть отправлены только с предварительного согласия адресата и должны быть немедленно остановлены по его / ее запросу. Несоблюдение этих требований может повлечь за собой различные виды ответственности, в том числе административную.

Международная передача данных

Передача данных за пределы юрисдикции

20.Какие правила регулируют передачу данных за пределы вашей юрисдикции?

Статья 12 Закона о защите личных данных регулирует трансграничные потоки данных. В случае международной передачи персональных данных все операторы данных должны гарантировать (до осуществления передачи), что права и интересы соответствующего субъекта данных полностью защищены надлежащим образом в соответствующей зарубежной стране. Все страны, подписавшие Страсбургскую конвенцию, считаются юрисдикциями, обеспечивающими «адекватную защиту» прав и интересов субъектов данных.Кроме того, Роскомнадзор принял официальный список стран (включая Австралию, Аргентину, Канаду, Израиль, Мексику и Новую Зеландию), которые обеспечивают адекватный уровень защиты для целей трансграничной передачи персональных данных.

Международная передача данных в любую юрисдикцию с адекватным уровнем защиты не подлежит никаким ограничениям при условии получения согласия соответствующего субъекта данных.

Трансграничная передача персональных данных в страны, не обеспечивающие должного уровня защиты, разрешена только в том случае, если:

— Получено письменное согласие соответствующего субъекта данных.

— Трансграничная передача данных разрешена международным договором, участником которого является Россия.

— Трансграничная передача данных разрешена в соответствии с действующим законодательством, если это необходимо для целей:

— защита конституционного строя России;

— защита обороны государства и безопасности государства;

— обеспечение технического обслуживания транспортной системы России и защита интересов граждан, общества и государства в транспортном секторе от незаконного вторжения.

— Трансграничная передача данных осуществляется для выполнения контракта, стороной которого является субъект данных.

— Трансграничная передача данных необходима для защиты жизни, здоровья или других жизненно важных интересов субъекта данных, и получить его / ее предварительное согласие в письменной форме невозможно.

Обычно компании, которые действуют как операторы данных, проверяют адекватный уровень защиты данных перед передачей каких-либо личных данных за границу.Кроме того, компании получат письменное согласие от соответствующих субъектов данных или заключат международные соглашения о передаче данных с соответствующими субъектами данных. Следуя этим шагам, компании будут осуществлять трансграничную передачу данных в соответствии со своими внутренними корпоративными правилами или политиками (если применимо).

21. Есть ли требование хранить (определенные типы) персональных данных внутри юрисдикции?

21 июля 2014 г.242-ФЗ о внесении изменений в некоторые законодательные акты Российской Федерации по разъяснению порядка обработки персональных данных в информационных и телекоммуникационных сетях (Новый Закон о защите данных), вступивший в силу 1 сентября 2015 года.

Новый закон о защите данных вносит поправки в Закон о защите личных данных, главным образом, путем введения:

— Определенные новые обязательства операторов данных по сбору, хранению и обработке персональных данных граждан (физических лиц) России.

— Новый механизм для Роскомнадзора по блокировке веб-сайтов и интернет-ресурсов, незаконно обрабатывающих персональные данные граждан (физических лиц) России.

В частности, Новый Закон о защите данных вводит обязанность всех операторов данных обеспечивать запись, систематизацию, накопление, хранение, изменение и извлечение персональных данных граждан России с использованием центров обработки данных, расположенных на территории Российской Федерации. в процессе сбора соответствующих персональных данных физических лиц, в том числе через Интернет.Это означает, что любые персональные данные граждан России, собираемые операторами данных, должны храниться на серверах, ИТ-системах, базах данных или центрах обработки данных, расположенных в России.

В Новом Законе о защите данных это прямо не оговаривается, но требование интерпретируется как запрещающее хранение персональных данных граждан России за пределами России (без предварительного размещения персональных данных граждан России в России). Таким образом, при буквальном толковании Нового Закона о защите данных местные и иностранные компании (операторы данных) должны обрабатывать или организовывать обработку персональных данных российских граждан в первую очередь в России при соблюдении всех других общих требований законодательство о защите данных.

В целом Новый закон о защите данных не предусматривает:

— Запретить доступ к серверам, ИТ-системам или дата-центрам, находящимся на территории России, из-за границы.

— установить какие-либо особые ограничения на последующую передачу, в том числе за границу, персональных данных, относящихся к гражданам России.

— Запретить копирование персональных данных граждан России на зарубежные базы данных или серверы.

Договоры передачи данных

22.Предусматриваются или используются ли соглашения о передаче данных? Были ли утверждены какие-либо стандартные формы или прецеденты национальными властями?

Соглашения о передаче данных специально не регулируются законом, но они широко используются на практике, особенно когда в них участвуют иностранные стороны. Роскомнадзор не принял стандартную форму договора о передаче данных. Таким образом, любое соглашение о передаче данных будет составлено в соответствии с конкретными обстоятельствами и подписано сторонами в соответствии с основным принципом свободы контактов.

23. Достаточно ли соглашения о передаче данных для узаконивания передачи или должны быть выполнены дополнительные требования (например, необходимость получения согласия)?

Соглашения о передаче данных обычно достаточно для узаконивания международной передачи личных данных при условии, что согласие субъекта данных прямо указано в таком соглашении или приложено к нему. В некоторых случаях соглашения о передаче данных будут заключаться в виде трехсторонних договоров.

Кроме того, оператор данных должен уведомить Роскомнадзор о своем праве на трансграничную передачу данных во время отправки уведомления для целей регистрации.

24. Должен ли соответствующий национальный регулирующий орган утверждать соглашение о передаче данных?

Роскомнадзору не нужно утверждать или регистрировать договор о передаче данных. Соглашение о передаче данных должно быть подписано соответствующим оператором данных, третьим лицом и субъектом данных в письменной форме, чтобы оно было эффективным и имеющим исковую силу.

Правоприменение и санкции

25. Каковы правоприменительные полномочия национального регулирующего органа?

Роскомнадзор наделен определенными правоприменительными полномочиями и несет ответственность за следующее:

— Отправка запросов физическим / юридическим лицам и получение необходимой информации по обработке данных.

— Проведение проверок и проверка информации, содержащейся в уведомлениях об обработке персональных данных, представленных операторами данных, или взаимодействие с другими государственными органами для этой конкретной цели.

— Исправление, блокировка или уничтожение ложных или незаконно полученных личных данных.

— Ограничение доступа к данным, которые обрабатываются с нарушением законодательства о защите данных (см. Вопрос 21).

— Приостановка или прекращение обработки персональных данных, инициированной нарушением законодательства о защите данных.

— Подача гражданских исков в компетентные суды для защиты прав субъектов данных и представления интересов субъектов данных в суде.

— Подача ходатайств в ФСТЭК, ФСС и другие государственные органы с целью приостановления действия или аннулирования соответствующих лицензий.

— Подача материалов в прокуратуру и другие правоохранительные органы для возбуждения уголовных дел о нарушениях данных.

— Выдача обязательных постановлений и привлечение виновных к административной ответственности.

26. Каковы санкции и средства правовой защиты за несоблюдение законов о защите данных?

В России несоблюдение законов о защите данных обычно карается:

— Гражданские санкции (например, возмещение морального вреда).

— Административные санкции (например, административные штрафы).

— Уголовные санкции (например, лишение свободы).

Российские законы о защите данных в последние годы достаточно жестко соблюдались, и субъекты данных направили много жалоб в Роскомнадзор. Также растет число жалоб со стороны операторов данных на приказы и решения Роскомнадзора о наложении различных санкций на операторов данных и блокировке их интернет-ресурсов. В результате национальная прецедентная и судебная практика в отношении санкций за несоблюдение российского законодательства о защите данных продолжает постоянно развиваться.

Поправки к соответствующим законам о защите данных и Кодексу Российской Федерации об административных правонарушениях вступили в силу 1 июля 2017 года, существенно усилив административные санкции за утечку данных. Нарушения защиты данных подразделяются на следующие типы нарушений конфиденциальности, которые подлежат следующим административным штрафам (если нарушение не является преступлением):

— Обработка персональных данных в случаях, не предусмотренных действующим законодательством, и обработка персональных данных, несовместимая с целями обработки (вместо штрафа может быть вынесено предупреждение):

— физические лица: от 1 000 до 3 000 рублей;

— индивидуальные предприниматели: от 5 000 до 10 000 рублей;

— должностные лица компании и государственные служащие: от 5 000 до 10 000 рублей;

— компании: от 30 000 до 50 000 рублей.

— Обработка персональных данных осуществляется без письменного согласия субъекта данных в случаях, когда такое согласие необходимо, или с письменного согласия, не соответствующего обязательным требованиям:

— физические лица: от 3000 до 5000 рублей;

— индивидуальные предприниматели: от 10 000 до 20 000 рублей;

— должностные лица компании и государственные служащие: от 10 000 до 20 000 рублей;

— компании: от 15 000 до 75 000 рублей.

— Неспособность опубликовать или предоставить доступ к политике конфиденциальности или информации о требованиях к защите персональных данных (вместо штрафа может быть вынесено предупреждение):

— физические лица: от 700 до 1 500 рублей;

— индивидуальные предприниматели: от 5 000 до 10 000 рублей;

— должностные лица компании и государственные служащие: от 3 000 до 6 000 рублей;

— компании: от 15 000 до 30 000 рублей.

— Непредоставление индивидуальной информации об обработке своих персональных данных (вместо штрафа может быть вынесено предупреждение):

— физические лица: от 1000 до 2000 рублей;

— индивидуальные предприниматели: от 10 000 до 15 000 рублей;

— должностные лица компании и государственные служащие: от 4 000 до 6 000 рублей;

— компании: от 20 000 до 40 000 рублей.

— Невыполнение (в установленный срок) запроса об уточнении, блокировании или уничтожении персональных данных (в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или ненужными для заявленной цели обработки данных) (a вместо штрафа может быть вынесено предупреждение):

— физические лица: от 1000 до 2000 рублей;

— индивидуальные предприниматели: от 10 000 до 20 000 рублей;

— должностные лица компании и государственные служащие: от 4 000 до 10 000 рублей;

— компании: от 25 000 до 45 000 рублей.

— Несоблюдение требований безопасности при хранении материальных носителей, содержащих персональные данные, и несанкционированный доступ, который приводит к незаконному или случайному доступу к персональным данным или их уничтожению, изменению, блокированию, копированию, отправке или распространению:

— физические лица: от 700 до 2000 рублей;

— индивидуальные предприниматели: от 10 000 до 20 000 рублей;

— должностные лица компании и государственные служащие: от 4 000 до 10 000 рублей;

— компании: от 25 000 до 50 000 рублей.

— Несоблюдение государственным или муниципальным органом обязательства по обезличиванию персональных данных или соблюдение методов или требований анонимизации (вместо штрафа может быть вынесено предупреждение): от 3000 до 6000 рублей.

Если Роскомнадзор расследует и выявляет любое нарушение данных, он имеет право:

— Возбуждение дела об административном правонарушении.

— Составить протокол об административном правонарушении в отношении нарушителя.

— Довести дело об административном правонарушении до суда.

— Детали регулятора

Детали регулятора

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

http://eng.rkn.gov.ru

Основные сферы ответственности. Надзор за законной обработкой данных, прием уведомлений, выполнение регистрации и ведения реестра операторов данных, проведение проверок и правоприменения, принятие официальных положений и руководств.Сайт доступен на английском и русском языках.

Интернет-ресурсы

Роскомнадзор

http://rkn.gov.ru

Описание. Русская версия официального сайта Роскомнадзора. На веб-сайте содержится официальная и актуальная информация о нормах защиты данных, правоприменении и законодательстве в России. На сайте также есть доступ к специальному порталу защиты данных, онлайн-реестру операторов данных и годовым отчетам о деятельности Роскомнадзора.

http://eng.rkn.gov.ru

Описание. Англоязычная версия официального сайта Роскомнадзора. Сайт содержит официальный перевод некоторых страниц русской версии официального сайта Роскомнадзора, а также некоторые юридические аспекты и новости, связанные с защитой данных в России.

http://eng.pd.rkn.gov.ru

Описание. Официальный англоязычный портал защиты данных, поддерживаемый Роскомнадзором. Портал содержит годовые отчеты о деятельности Роскомнадзора, определенную информацию о международной деятельности Роскомнадзора (и его представителей), а также перечень национального и международного законодательства о защите данных.

Вопросы и ответы о странах в области практического права от Thomson Reuters

Сергей Медведев

Россия заблокирует доступ к LinkedIn
Сообщение было обновлено.
10 ноября 2016 года Апелляционный суд Тагинского района Москвы оставил в силе решение районного суда низшей инстанции от августа 2016 года о том, что LinkedIn нарушила российское законодательство о защите данных. Доступ к профессиональному сетевому сайту теперь заблокирован по всей России.
Решение суда, принятое по жалобе Роскомнадзора, российского регулятора защиты данных, установило, что LinkedIn нарушила российский закон о защите данных по двум пунктам:
не хранят данные о россиянах на серверах, расположенных на территории России; и
обрабатывает информацию о лицах, которые не зарегистрированы на веб-сайте LinkedIn и не подписали пользовательское соглашение компании.
Считается, что это первый раз, когда российский закон о локализации данных вступил в силу с момента его вступления в силу в сентябре 2015 года.Закон требует, чтобы данные о гражданах России хранились на серверах, физически расположенных на территории России. Хотя LinkedIn не имеет физического присутствия в России, у нее есть русскоязычная версия своего веб-сайта, и этого было достаточно, чтобы убедить Роскомнадзор и суд в том, что компания подпадает под действие российского законодательства о защите данных.
СМИ цитируют заявление Роскомнадзора о том, что он связался с LinkedIn, чтобы узнать о своих методах локализации данных, но не получил существенного ответа.LinkedIn, однако, утверждает, что Роскомнадзор общался со своим офисом в США, а не с LinkedIn Ireland, организацией, ответственной за данные не граждан США. Сообщается, что LinkedIn стремится к диалогу с Роскомнадзором, чтобы найти решение проблемы, а также имеет возможность обжаловать решение в Верховном суде России.
Роскомнадзор имеет право блокировать доступ россиян к веб-сайтам и заявил, что планирует блокировать доступ к LinkedIn. Сайт будет внесен в специальный реестр веб-сайтов, работающих с нарушением закона о локализации данных, и будет заблокирован через три рабочих дня после внесения в реестр.
ОБНОВЛЕНИЕ
: 17 ноября 2016 года российский регулятор защиты данных, Роскомнадзор, официально заблокировал доступ к LinkedIn за предполагаемое нарушение российского закона о защите данных.
Новые правила обработки персональных данных
С 1 марта 2021 года вступил в силу Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон« О персональных данных »*» (далее — «Закон»).
Термин «общедоступные персональные данные» заменен на «персональные данные, разрешенные субъектом данных для распространения».Это информация, к которой имеет доступ неограниченное количество лиц. Как правило, он публикуется в социальных сетях или различных банках данных. Теперь, чтобы обрабатывать такую информацию и предоставлять ее широкому кругу людей, необходимо получить согласие субъекта данных. Он оформляется отдельным документом, а требования к его содержанию устанавливает Роскомнадзор, который также разрабатывает информационную систему для получения согласия в электронном виде. Система заработает с 1 июля 2021 года.Правила его работы будут установлены в постановлении Роскомнадзора, которое сейчас проходит общественное обсуждение.
В течение 3 рабочих дней с момента получения соответствующего согласия оператор должен опубликовать информацию об условиях обработки и запретах, которые третьи лица должны учитывать при обработке данных.
Новые правила коснутся владельцев сайтов, социальных сетей и других интернет-ресурсов, а также тех, кто использует информацию из этих источников.Цель изменений — исключить неконтролируемое использование персональных данных пользователями интернет-ресурсов, чтобы гарантировать соблюдение прав граждан на неприкосновенность частной жизни.
Кроме того, 27 марта 2021 года вступает в силу Федеральный закон от 24 февраля 2021 года № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который ужесточит ответственность за нарушения в сфере персональные данные и увеличить срок давности привлечения к ответственности до 1 года (в настоящее время — 3 месяца).
Таким образом, штрафы за обработку персональных данных без согласия их субъекта, непринятие политики на
Защита персональных данных — BDO Unicon
Экспертиза BDO Unicon позволит вам построить юридически грамотную и структурированную систему защиты персональных данных в соответствии с требованиями Закона «О персональных данных».
1. Аудит и документация в соответствии с Федеральным законом № 152-ФЗ «О персональных данных»
В рамках аудита защиты персональных данных специалисты БДО Юникон проводят комплексное исследование бизнес-процессов компании, связанных с обработкой персональных данных:
Анализ исполнительной документации
Аудит договоров и соглашений с контрагентами, проверка типовых форм документов
Проверка законных оснований / соблюдение порядка, условий и сроков хранения персональных данных
Формирование заключения о соответствии деятельность компании в соответствии с требованиями действующего законодательства по результатам проверки действующей системы защиты персональных данных
2.Консультации по вопросам обработки и защиты персональных данных
К вашим услугам многолетний опыт BDO Unicon в области защиты персональных данных. Проконсультируйтесь с нашими специалистами и получите рекомендации по построению системы защиты персональных данных для вашей компании:
Комплексная оценка информационных систем и процессов защиты персональных данных
Разработка или обновление действующего пакета исполнительных документов
Рекомендации по приведению процедур обработки персональных данных (автоматизированная система / неиспользование автоматизированных средств) в соответствие с требованиями действующего законодательства РФ
Сопровождение и консультационное сопровождение подачи уведомления в Роскомнадзор о намерении обрабатывать персональные данные / внесение изменений в реестр операторов, осуществляющих обработку персональных данных
Сопровождение и консультационная поддержка при проведении проверки Роскомнадзором
3.GDPR услуги

Консультанты BDO Unicon помогут вам оценить влияние Общего регламента защиты данных (GDPR) на деятельность вашей компании и обеспечат соответствие внутренних процессов вашей организации европейскому законодательству:
Оценка применимости GDPR для компании-клиента
Аудит процедур обработки персональных данных с учетом требований GDPR
Формирование рекомендаций по приведению деятельности компании в соответствие с требованиями GDPR
Содействие внедрению процессов GDPR
4 .Защита коммерческой тайны

Обеспечение защиты коммерческой тайны — одно из важных условий успешного ведения бизнеса. Консультанты БДО Юникон разработают для вашей компании комплексное решение, которое позволит вам создать надежную систему защиты коммерческой тайны и эффективно управлять вашей интеллектуальной собственностью:
Комплексное обследование бизнес-процессов, связанных с информацией, составляющей коммерческую тайну
Разработка или обновление исполнительных документов в области защиты коммерческой тайны при автоматизированной и неавтоматизированной обработке информации
Защита конфиденциальности информации, составляющей коммерческую тайну коммерческая тайна применительно к трудовым правоотношениям
Разработка предложения по документообороту, учету и регистрации конфиденциальных документов
Разработка комплекса мер по введению режима коммерческой тайны
Насколько должны быть обеспокоены изменениями международные компании к российским законам о данных?
Международные компании, работающие на российском рынке, изо всех сил пытаются определить надлежащий ответ на новые правила о данных
Новые законы и постановления в России требуют, чтобы компании хранили персональные данные российских граждан на территории России, и налагают некоторые другие меры контроля и ограничения на веб-сайты и иностранные инвестиции в СМИ.
Хотя эти правила вызывают споры, они отражают повышенное внимание российских властей к цифровому миру и к медиа-сектору в целом. Международные компании, работающие на российском рынке, изо всех сил пытались определить надлежащий ответ на новые правила, включая возможные корректировки в своей деловой и технической платформе.
Закон о местных хранилищах
В июле 2014 года Государственная Дума России одобрила поправки к российскому Закону о персональных данных, которые включают требования к локальному хранению («Закон о локальном хранилище»).Первоначально Закон о местных хранилищах должен был вступить в силу в сентябре 2016 года, однако позднее крайний срок был перенесен на 1 сентября 2015 года.
Сама поправка гласит: «При сборе персональных данных операторы данных должны использовать базы данных, расположенные в России, для записи, систематизации, накопления, хранения, исправления (обновления и изменения) и извлечения персональных данных граждан России».
> См. Также: Законодательство ЕС о защите данных: как насчет данных о сотрудниках?
Несомненно, такая краткая формулировка порождает ряд проблем интерпретации, в том числе очень практических, например, разъяснение того, что означает «база данных, расположенная в России», и метод, с помощью которого компании должны проверять национальность своих пользователей. определить, поступают ли персональные данные от граждан России.
Однако наиболее важный вопрос заключается в том, применяется ли Закон о локальном хранении к международным компаниям. По общему мнению экспертов, компании, не имеющие корпоративного присутствия в России (в форме дочерних компаний, филиалов или представительств), не должны подпадать под действие закона.
В то же время онлайн-компании, не представленные на местном уровне, все еще могут быть затронуты, особенно если они настраивают свои веб-сайты для российских пользователей или продвигают свои услуги в России.
Второй по важности вопрос — разрешено ли компаниям хранить личные данные российских граждан за рубежом. Некоторые эксперты отмечают, что Закон о локальном хранилище не запрещает и не ограничивает трансграничную передачу данных.
Соответственно, это может быть истолковано как означающее, что после того, как данные собраны и сохранены в России в так называемой «первичной базе данных», их можно будет передать за границу, при условии, что трансграничная передача соответствует общим положениям. Закона о персональных данных.Такой подход косвенно подтвердили некоторые сотрудники Роскомнадзора в ходе обсуждения нового закона за круглым столом.
Компании, на которые распространяется действие Закона о локальных хранилищах, должны были настроить свои ИТ-процессы и ИТ-системы, чтобы с 1 сентября 2015 года можно было собирать и записывать личные данные в базах данных, расположенных в России.
16 июля 2015 г. Роскомнадзор объявил, что не планирует проводить внеплановые проверки соблюдения Закона о локальных хранилищах до конца 2015 г., поэтому у тех, кто не смог уложиться в крайний срок сентября 2015 г., еще есть время, прежде чем Роскомнадзор начнет активно применять новый закон.
Закон о хранении данных в Интернете
В мае 2014 года Россия внесла ряд изменений в другой ключевой статут, регулирующий Интернет-сектор — Российский Закон об информации (поправка получила название «Закон о хранении данных в Интернете», но также известна как «Закон о блоггерах»). введены правила для блогеров). Изменения вступили в силу 1 августа 2014 года.
Закон о хранении данных в Интернете предъявляет новые требования к компаниям, которые организуют распространение информации в Интернете.Понятно, что закон нацелен, в первую очередь, на социальные сети и другие службы, которые позволяют пользователям Интернета общаться друг с другом.
Тем не менее, определение «организаторы распространения информации в Интернете» можно широко истолковать как охват любого веб-сайта, который позволяет пользователям оставлять комментарии или отправлять электронное письмо в компанию с помощью веб-формы.
Такие «организаторы распространения информации» должны хранить информацию о пользователях веб-сайта и их общении в России в течение шести месяцев, предоставлять хранимые данные российским правоохранительным органам и использовать определенное оборудование и программное обеспечение, которое позволяет таким органам получать доступ к записывает и контролирует их.
Реестр организаторов распространения информации ведет Роскомнадзор. Компании могут зарегистрироваться добровольно или дождаться уведомления Роскомнадзора, в этом случае такая регистрация является обязательной.
На данный момент в списке около 40 компаний, включая крупнейшую российскую социальную сеть VK.com и крупнейшую почтовую службу Mail.ru. Хорошая новость заключается в том, что, как сообщается, Роскомнадзор считает, что Закон о хранении данных в Интернете применяется только к тем компаниям, которые включены в реестр.Однако эта точка зрения пока не подкреплена какими-либо формальными разъяснениями.
Ограничения на иностранные инвестиции в СМИ
В октябре 2014 года в российский закон о средствах массовой информации были внесены поправки, ограничивающие иностранные инвестиции в средства массовой информации до 20% с 1 января 2016 года. Поправки коснутся телевидения, радио, печати и всех других средств массовой информации.
До недавнего времени Интернет-сектор не особо беспокоился из-за этих ограничений, поскольку регистрация веб-сайта в качестве инструмента «СМИ» — и соответствующих требований по соблюдению тех же правил, что и теле- и радиоканалы — всегда была добровольной.В настоящее время такую регистрацию обычно получают только онлайн-версии традиционных средств массовой информации, таких как радиостанции или журналы, а также некоторые новостные веб-сайты.
> См. Также: Наконец-то опубликованы данные о вводе в действие нового закона ЕС о данных
Однако 17 июня 2015 г. одна из крупнейших газет России «Известия» сообщила о новой инициативе по регистрации всех популярных веб-сайтов в качестве средств массовой информации. Если это станет законом, потенциально могут пострадать все онлайн-компании и веб-сайты, распространяющие контент среди российских пользователей.Возможные масштабы на данном этапе неясны.
Если к веб-сайтам применяются российские правила «СМИ», это может означать, что иностранные граждане и компании не могут контролировать более 20% таких веб-сайтов. Кроме того, контент, опубликованный на веб-сайтах (как администраторами, так и пользователями), может потребовать проверки на соответствие другим ограничениям, применимым к средствам массовой информации, таким как защита детского контента, ограничения на рекламу и другие правила, связанные с контентом.
Несмотря на эти проблемы, секторы Интернета и СМИ в России относительно динамичны: онлайн-торговля продолжает быстро расти, а такие бизнес-сегменты, как рынок платного телевидения, продолжают расти.Есть надежда, что удастся найти баланс между новыми требованиями российского законодательства и потребностями интернет- и медийного бизнеса.

Проверка Роскомнадзора — особенности прохождения проверки

как подготовиться и избежать штрафов — СКБ Контур

Виды проверок Роскомнадзора

— Плановая проверка

— Внеплановая проверка

— Документарная проверка

— Выездная проверка

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Проверка Роскомнадзора: на что обращают внимание инспекторы?

Какие персональные данные можно обрабатывать без уведомления:

Новые правила проверок Роскомнадзора в области персональных данных

Похожие материалы

Подготовка к проверке Роскомнадзора по персональным данным

Как Роскомнадзор проверяет защиту и обработку персональных данных в 2020 году

Плановый контроль за обработкой ПД

Внеплановый контроль

Как Роскомнадзор проверяет операторов персональных данных

Сроки проведения проверки

Результаты проверки

План проверок Роскомнадзора на 2020 год

Центральный федеральный округ

Москва и Московская область

Белгородская область

Брянская область

Владимирская область

Ивановская область

Воронежская область

Калужская область

Костромская область

Курская область

Липецкая область

Орловская область

Рязанская область

Тверская область

Смоленская область

Тамбовская область

Тульская область

Ярославская область

Северо-Западный федеральный округ

Санкт-Петербург и Ленинградская область

Архангельская область и Ненецкий АО

Калининградская область

Псковская область

Новгородская область

Мурманская область

Вологодская область

Республика Коми

Республика Карелия

Южный федеральный округ

Краснодарский край и республика Адыгея

Республика Крым и город Севастополь

Астраханская область

Республика Калмыкия и Волгоградская область

Ростовская область

Северо-Кавказский федеральный округ

Ставропольский край

Кабардино-Балкарская республика

Республика Дагестан

Республика Ингушетия

Карачаево-Черкесская республика

Республика Северная Осетия-Алания

Чеченская Республика

Приволжский федеральный округ

Нижегородская область

Республика Башкортостан

Республика Марий Эл

Республика Мордовия

Республика Татарстан

Удмуртская Республика

Чувашская Республика

Пермский край

Кировская область

Самарская область

Оренбургская область

Пензенская область

Саратовская область

Ульяновская область

Уральский федеральный округ

Свердловская область

Челябинская область