Роскомнадзор прислал письмо что делать
Операторов персональных данных пугают штрафами: что ответить на запрос Роскомнадзора?
Автор: Елизавета Баушева ведущий юрист
Операторов персональных данных пугают штрафами: что ответить на запрос Роскомнадзора?
Автор: Елизавета Баушева
ведущий юрист
Кому подходит эта статья: всем компаниям и ИП.
В последнее время нашим клиентам стали приходить от Роскомнадзора письма запугивающего характера. В них говорится, что организация является оператором, обрабатывающим персональные данные, и, следовательно, обязана уведомлять об этом Роскомнадзор. Операторы персональных данных, которые проигнорируют такой запрос, будут наказаны штрафом.
Если подобный запрос прилетел в вашу компанию, не надо паниковать! Давайте разберемся, кто обязан отправлять уведомление о персональных данных, и что написать в ответ на запрос Роскомнадзора, чтобы избежать штрафа и других неприятностей.
Начнем с того, что, персональные данные в том или ином составе собирают и обрабатывают практически все компании и предприниматели. А значит, все они являются операторами персональных данных и обязаны исполнять требования законодательства о защите персональных данных.
В то же время уведомление Роскомнадзора об обработке персональных данных – требование не для всех!
Все зависит от того, какие именно данные получает и каким именно образом их обрабатывает оператор.
Кому обязательно надо извещать Роскомнадзор:
Компаниям и ИП, которые «вписываются» в названные ситуации, достаточно разработать один комплексный документ, определяющий политику компании в области обработки персональных данных.
Большинство наших клиентов хоть и являются операторами персональных данных, не обязаны уведомлять Роскомнадзор, так как они попадают под вышеназванные исключения из общего правила (чаще всего – обрабатывают только данные своих работников по трудовым договорам и данные физлиц по гражданско-правовым договорам).
Но игнорировать запрос от Роскомнадзора не рекомендуется – помимо требования прислать уведомление, в письме перечислены сведения, которые ожидают получить защитники персональных данных от таких «льготников»:
На первый взгляд может показаться, что сложностей с ответами на вопросы не возникнет. Однако это не так – за каждым из них кроется подвох, и, если неправильно ответить, Роскомнадзор отнесет вашу компанию не к «исключительной», а обычной категории операторов персональных данных со всеми вытекающим последствиями.
Как раз для таких случаев в помощь нашим клиентам мы подготовили универсальный ответ на требование Роскомнадзора, который подходит для всех компаний.
Роскомнадзор прислал письмо что делать
ВНИМАНИЮ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ: о массовой рассылке фейковых уведомлений от имени Роскомнадзора
По сообщению ряда операторов персональных данных, зафиксирована массовая рассылка неизвестными лицами фальшивых информационных уведомлений от имени Роскомнадзора. Рассылка производится якобы от имени Сокоушина Дмитрия Валерьевича с электронного адреса «pd.rkn4@roskomnadzor.org».
В письме (PDF, 1.08 Mb) содержится требование о предоставлении в Роскомнадзор перечня документов о намерении осуществлять обработку персональных данных под угрозой привлечения к административной ответственности. Организаторы рассылки рекомендуют организациям «разработать комплект организационно-распорядительной документации… …и направить его в Роскомнадзор в течение десяти дней с даты получения данного запроса».
Обращаем внимание, что распространяемая информация не соответствует действительности. При осуществлении деятельности по ведению реестра операторов персональных данных Роскомнадзор не запрашивает указанный в письме перечень документов.
Рассылка производится с почтового сервера с доменным именем, которое не используется Роскомнадзором. Официальные сообщения Службы могут быть отправлены исключительно с адресов электронной почты сервера @rkn.gov.ru.
Операторов персональных данных, получивших подобные письма, просим сообщить о фактах получения неправомерных требований по адресу rsoc_in@rkn.gov.ru.
Время публикации: 28.05.2019 12:01
Последнее изменение: 30.05.2019 12:49
Что делать, если пришло письмо от Роскомнадзора
Очень часто люди, получившие запрос от Роскомнадзора, начинают волноваться и готовиться, что всё, приплыли, — сейчас будет стук в дверь, проверка, вызов в суд, «прощай, бизнес». Это далеко не всегда так.
Есть сообщения и письма, которые все любят получать, к примеру, о зачислении денег на счёт. Лично мне они нравятся.
А есть письма, которые все мы однозначно не любим. Особенно это письма от государственных органов. В этой статье поговорим о том, как реагировать, если вы получили письмо от Роскомнадзора, и что вообще представляет собой такое письмо.
Законные основания для отправки письма от Роскомнадзора и правильные формы ответа на него: ответить придётся в любом случае.
Хоть и банально, зато эффективно в решении любых вопросов. Главное: ответить на письмо в срок, указанный в запросе или установленный законом.
В письме однозначно будет указано, почему Роскомнадзор пишет вам и что требует, по какой причине начал проверку. Изучите письмо, «поднимите» свои документы по этим вопросам и определите, все ли документы имеются и совершали ли вы то, о чём говорится в письме.
Роскомнадзор не имеет права писать письма без правового основания, поэтому в запросе будут указаны эти основания. Перед тем как что-то делать, прочитайте в законах эти основания и проанализируете, применимы ли к вам они, нет ли ошибки в запросе.
Если Роскомнадзор требует предоставить документы, сделайте скан, а если нет документов, их надо составить. Если выявлено нарушение, выясните, при каких обстоятельствах, и примите меры, чтобы таких нарушений не было.
А если на предыдущем шаге поняли, что запрос Роскомнадзора никак к вам не относится, можете порадоваться и посетовать на работу чиновников.
На полученное письмо в любом случае надо ответить. Неважно, как вы получили письмо — бумагой или по электронной почте, — на него надо дать официальный ответ. Составляйте его в спокойном деловом тоне, обосновывая свои позиции и объясняя ситуации, указывая, что требует закон и какие меры вы приняли.
Если получили по электронной почте, ответ следует отправить и по электронной почте, и «Почтой России» — заказным ценным письмом с описью и уведомлением о вручении (кстати, если кто не в курсе, всегда отправляйте официальные письма почтой именно так).
Если всё в порядке, то ответа вы не получите.
Деятельность и полномочия Роскомнадзора основываются прежде всего на постановлением «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» и одноимённым Положением.
Так, Роскомнадзор осуществляет надзор и правовое регулирование в следующих сферах:
Это вкратце и по вопросам нас интересующим: перепечатывать целый закон не вижу смысла, с полномочиями можете подробнее ознакомиться во втором разделе Положения.
Если вы как-то связаны с одной из вышеуказанных сфер, Роскомнадзор может направить вам официальное письмо. Оно может быть как в бумажном виде, так и в электронном (в таком случае оно будет подписано электронной квалифицированной подписью исполнителя). В любом случае, как указано было выше, на него надо отвечать.
Чтобы эффективно взаимодействовать с государственными органами, надо не только иметь опыт общения с ними, но и опыт самой работы в госорганах, — чтобы чувствовать дух и понимать логику функционирования этого бюрократического механизма.
Как человек, который занимается юриспруденцией со стороны защиты бизнеса, то есть на другой стороне баррикад, я был очень рад, что смог привлечь в свою команду бывшего сотрудника госорганов, который помог наладить работу с ними. Что же такое письмо от Роскомнадзора?
Любое письмо или запрос Роскомнадзора — это прежде всего правоприменительный акт государственного органа, который должен иметь правовое основание и мотивировку, то есть это результат некоторой внутренней работы государственного органа.
В этом письме, запросе, представлении РКН может просить вас предоставить сведения, данные, документы, материалы, скриншоты, однако часто бывает, что мотивировка или основание для этого отсутствуют.
Несмотря на то что правовая грамотность населения растёт, должностные лица бывают убеждены в том, что если есть право запрашивать документы и информацию, какие-либо основания и их доказательства для запроса не требуются. А это не так.
Правовое основание означает, что у должностного лица Роскомнадзора должны быть законом установленные полномочия совершать определённые действия: проверку, запрос сведений и документов.
Как вы понимаете, эту внутреннюю работу Роскомнадзора (проверку) должны запустить, чтобы весь механизм начал работать и вам пришло это треклятое письмо.
В данном случае мотивировка — тот самый толчок, который запустил механизм работы Роскомнадзора на законных основаниях для того, чтобы написать вам письмо. Примеры таких толчков:
Начнём с самого частого основания писем, мониторинга сайта и информации в интернете. Это не что иное, как «мероприятие по контролю без взаимодействия с юридическими лицами, индивидуальными предпринимателями», определённое положениями статьи 8.3. Федерального закона от 26.12.2008 N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Если в ходе этого мероприятия выявлены нарушения закона, должностные лица Роскомнадзора принимают в пределах своей компетенции меры по пресечению таких нарушений, а также направляют письменное мотивированное представление с информацией о выявленных нарушениях, которое служит основанием для проведения внеплановой проверки согласно 294-ФЗ.
Если с точки зрения Роскомнадзора что-то пошло не так и нарушения не устранены, они могут инициировать внеплановую проверку.
Плановая проверка проводится на основании и в сроки, указанные в плане проверок, утверждённом Роскомнадзором и одобренным прокуратурой.
Вы всегда можете посмотреть планируются ли проверки в отношении вашей организации или ИП, а также следить за ходом её проведения по единому реестру проверок.
По общему правилу плановые проверки проводятся не чаще чем один раз в три года в соответствии с положениями девятой статьи 294-ФЗ, к тому же Роскомнадзор должен уведомить о начале проведения проверки в срок не позднее чем за три рабочих дня до начала её проведения, направив копии распоряжения или приказа, который в письме и будет.
Теперь по заявлению, обращению или жалобе граждан, которые могут запустить внеплановую проверку.
И не предоставлять ответ Роскомнадзор может только в общих случаях, которые вполне логичны:
И всё! В остальных случаях, какая бы чепуха там ни была написана, должностное лицо должно выполнить проверку по заявлению. А значит, если вы, к примеру, получите персональные данные через форму обратной связи на сайте, такой гражданин может написать через сайт РКН жалобу, и там должны будут отреагировать.
Хочу обратить внимание, что какое бы письмо вы ни получили от Роскомнадзора, это, скорее всего, свидетельствует о начале проверки, а законом установлено, что срок проведения любой проверки не может превышать 20 рабочих дней, но может быть продлён приказом руководителя управления Роскомнадзора ещё на 20 рабочих дней при наличии серьёзных оснований.
Возьмём для примера ситуацию, когда есть продающий сайт, собирающий контактные данные (ФИО, электронка, номер телефона) для обратной связи и оставления заявки.
Роскомнадзор проводит мониторинг и видит нарушение: нет политики по обработке персональных данных и отсутствует согласие на предоставление своих персональных данных при оставлении заявки (в соответствии с частями 3, 4, 5 статьи 13 пункта 11 «Нарушение законодательства Российской Федерации в области персональных данных»).
Тогда Роскомнадзор через Whois узнаёт, кто администратор сайта, и пишет ему письмо, что вот оно, правонарушение. Дальше всё зависит от целей и самого должностного лица, осуществляющего проверку: может сразу вызвать на составление протокола об административном правонарушении, а может просто дополнительно запросить сведения или попросить устранить нарушение, предоставив время.
Но в любом случае он уведомляет администратора сайта о том, что выявлено нарушение. При этом, хочу обратить внимание, что совсем не важно, в каком регионе находится администратор сайта и в каком регионе находится управление Роскомнадзора.
Непредоставление ответа, документов и сведений Роскомнадзору в ответ на его письмо попадает под два состава административных правонарушений.
Статья 19.7 КоАП РФ предусматривает такую ответственность:
Статья 17.7 КоАП РФ предусматривает:
Ответственность за непредоставление документов наступает, только если запрос был законным (имеет правовые основания) и обоснованным (имеет мотивировку).
Помните, что результаты любой проверки и другие действия инспекторов Роскомнадзора могут быть обжалованы как в вышестоящем органе (Федеральной службе), так в прокуратуре и суде.
Вообще, полномочиями направлять письма, запросы и представления наделены практически все государственные органы.
Соответственно, вы также можете получить письма от Роспотребнадзора, если работаете с физическими лицами, от ФАС, органов внутренней деятельности и других. Не надо бояться, если получили, — лучше пройдитесь по пунктам, указанным в начале статьи, а если будет что-то не понятно — обращайтесь, мы поможем.
Уведомление Роскомнадзора об обработке персональных данных в 2020 г
Перед тем, как начать собирать персональные данные, оператору необходимо уведомить об этом Роскомнадзор в соответствии ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Без уведомления Роскомнадзора можно обойтись если вы:
Бумажный носитель vs электронный документ: форма уведомления об обработке персональных данных в Роскомнадзор
При отправке уведомлений об обработке персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций у операторов часто возникает вопрос: нужно ли отправлять письмо с распечатанным уведомлением или достаточно заполнить электронную форму уведомления на портале Роскомнадзора.
ФЗ-152, как и п. 3.2 Методических рекомендаций по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 разрешают отправлять уведомление на бумажном носителе или в форме электронного документа.
Несмотря на это полностью исключить бумажные носители из документооборота не удалось – так как правовым основанием для совершения регистрационных действий являются бумажные варианты документов, операторы обязаны направлять бумажные носители независимо от того, подавались ли они в электронном виде.
На практике направление уведомления о персональных данных в Роскомнадзор происходит в два этапа:
Форма уведомления Роскомнадзора об обработке персональных данных в 2020 г.
ФЗ-152 не утверждает обязательную форму или бланк уведомления об обработке персональных данных. По закону главное – предоставить сведения, которые указаны в норме.
Форма уведомления об обработке персональных данных, рекомендуемая к использованию Роскомнадзором, содержится в Приложении № 1 к Методическим рекомендациям по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017. Данная форма содержит сведения, требуемые ст. 22 ФЗ-152 и необходимые для включения в реестр операторов.
На практике самый простой и быстрый способ получить заполненное уведомление о персональных данных в Роскомнадзор – заполнить форму, предложенную на портале персональных данных и без изменений распечатать её на бумажном носителе для направления в Роскомнадзор. Далее мы рассмотрим, как заполнить форму уведомления Роскомнадзора об обработке персональных данных.
Заполнение уведомления в Роскомнадзор: подпись, оформление и отправка уведомлений об обработке персональных данных
При оформлении и отправке уведомлений об обработке персональных данных у операторов часто возникают вопросы, связанные с подписанием и оформлением уведомлений. Ниже приведены самые популярные из них.
Кто может подписывать уведомление о персональных данных в Роскомнадзор?
Согласно ФЗ-152 уведомление в Роскомнадзор должны быть подписано уполномоченным лицом. Специальных требований к подписанию уведомлений не установлено.Исходя из общих положений законодательства здесь возможно несколько вариантов:
Оператору необходимо распечатать, подписать уведомление, проставить на нем печать и направить в территориальное отделение Роскомнадзора. В уведомлении на бумажном носителе необходимо указать текущую дату отправки уведомления в бумажном виде. Если уведомление подписано по доверенности, необходимо также приложить к нему оформленную доверенность или надлежащим образом заверенную копию.
Из дополнительных требований – Роскомнадзор также рекомендует размещать уведомление на фирменном бланке оператора.
В то же время важно понимать, что получение Роскомнадзором документа на бумажном носителе является основанием для совершения регистрационных действий, поэтому фиксация факта получения письма Роскомнадзором, находится в интересах оператора.
Заполнение уведомления в Роскомнадзор: сроки и порядок отправки уведомления об обработке персональных данных
ФЗ-152 обязывает операторов персональных данных высылать уведомление о начале обработки персональных данных. Операторам не стоит пренебрегать выполнением этого требования – не уведомление Роскомнадзора может повлечь привлечение к административной ответственности в соответствии с Статьей 19.7 КоАП РФ
Уведомление в Роскомнадзор подразумевает включение оператора в реестр операторов по обработке персональных данных. Для включения в реестр оператору необходимо заполнить и отправить уведомление по обработке персональных данных.
Срок направления уведомления оператором – до начала обработки персональных данных. Срок включения в реестр – 30 дней с даты регистрации уведомления Роскомнадзором. Как правило, оператор о включении в реестр не уведомляется. Отслеживать статус уведомления можно самостоятельно по ссылке. Для проверки статуса уведомления нужно запомнить его номер и ключ – их можно найти в конце каждого электронного уведомления после его заполнения.
Заполнение уведомления в Роскомнадзор: цели обработки уведомления об обработке персональных данных
Направление уведомления об обработке персональных данных является условием начала обработки персональных данных, а его неправильное заполнение может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.
Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.
Определяем цели обработки данных
Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.
При определении целей обработки персональных данных и заполнении уведомления необходимо проанализировать следующее:
Примеры заполнения информации о целях обработки персональных данных в уведомлениях:
цель обработки, регистрации сведений, необходимых для оказания услуг учащимся в области образования, персональных данных работников, сведений об их профессиональной служебной деятельности
цель обработки, регистрации сведений, необходимых для оказания жилищно-коммунальных услуг собственникам, жильцам помещений, персональных данных работников, сведений об их профессиональной служебной деятельности
При определении целей рекомендуется привлекать специалистов, которые знакомы со всей деятельностью компании, а не заняты в одном отделе – это обеспечит правильность и полноту работы в сфере обработки персональных данных.
Заполняем уведомления об обработке персональных данных: Категории персональных данных
Указание неполного перечня обрабатываемых персональных данных – одно из типовых нарушений в сфере обработки персональных данных. Чтобы избежать сложностей в заполнении уведомления разберёмся, какие сведения о персональных данных нужно указывать в уведомлении об обработке.
Из законодательства следует, что категории персональных данных – это перечень персональных данных, конкретные сведения о субъекте, с помощью которых он идентифицируется или может быть идентифицирован.
Персональные данные группируются в зависимости от их особенностей, на основе чего их относят к специальным, биометрическим и иным видам категорий персональных данных.
Электронная форма уведомления на портале Роскомнадзора предлагает при определении категорий персональных данных указать конкретные сведения, которые будет собирать оператор – ФИО, дата, место рождения, семейное и социальное положение и пр.
Сложность в определении категории персональных данных при заполнении уведомления связана с тем, что сам по себе перечень персональных данных не является исчерпывающим.
В электронной форме уведомления есть графа «Другие категории персональных данных, не указанные в данном перечне», в которой оператор самостоятельно вписывает обрабатываемые персональные данные.
Операторы указывают не все «иные категории» и, как результат, нарушают требования законодательства. Так, операторы часто не указывают сведения о составе семьи; о трудовом и общем стаже, воинском учете; ИНН; СНИЛС и пр.
Во избежание неверного заполнения уведомления об обработке необходимо чётко определить цели обработки персональных данных, после чего указать, какие именно данные субъектов персональных данных будут обрабатываться для их достижения.
При этом нужно учитывать особенности толкования положений законодательства в части отнесения тех или иных данных к персональным. Так, согласно подходу Роскомнадзора к биометрическим персональным данным могут относиться не только данные изображения отпечатка пальца, радужной оболочки глаза и т.д., но и изображения лица.
Заполняем уведомления об обработке персональных данных: категории субъектов персональных данных
Статья 22 ФЗ-152 обязывает операторов указывать категории субъектов, персональные данные которых обрабатываются. Логично, что субъектами персональных данных являются физические лица, но остаётся открытым вопрос, как их нужно идентифицировать в уведомлении Роскомнадзора.
Категории субъектов персональных – это указание на правовой статус субъектов персональных данных, определение места физических лиц в отношениях с оператором.
Так, если оператор обрабатывает информацию в целях обработки персональных данных персонала, то такое физическое лицо определяется в уведомлении как «работник», что и является категорией субъектов персональных данных.
Контрагентов необходимо идентифицировать как сторону вида заключаемых с ними гражданско-правовых договоров.
Роскомнадзор в Методических рекомендациях по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 рекомендует указывать в уведомлениях виды отношений оператора с субъектами персональных данных, т.е. определять, какие отношения (трудовые, гражданско-правовые и пр.) связывают оператора и физическое лицо-субъекта персональных данных.
Таким образом, для указания полной и достоверной информации об обработке персональных данных, правильного уведомления Роскомнадзора необходимо описывать категории персональных данных по следующему образцу:
работники, состоящие в трудовых отношениях с оператором физические лица (абонент, пассажир, заказчик), состоящие в договорных или иных гражданско-правовых отношениях с оператором
а так же уделять внимание внутреннему аудиту персональных данных, периодически сверяя состав документов и информацию в них.
Заполнение уведомления в Роскомнадзор: внесение изменений в уведомление об обработке персональных данных
Если в деятельности организации, произошли изменения влияющие на процесс обработки персональных данных, оператору ПД необходимо направить информационное письмо регулятору в течение 10 рабочих дней с момента возникновения поправок для внесения изменений в ранее отправленное уведомление.
Информационное письмо оформляется на бланке оператора по форме, определенной Приложением 2 к Рекомендациям, и направляется в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе. Поля, отмеченные *, обязательны для заполнения.
Если установится факт размещения в реестре операторов недостоверной или неполной информации, сотрудник Роскомнадзора информирует ответственное лицо в компании оператора путем направления в его адрес письма о перечне недостающих или неточных сведений. Решить вопрос необходимо в течение 30 дней со дня получения такого запроса. Далее мы рассмотрим как заполнить информационное письмо.