Категория: Бланки/Образцы
Возможные негативные последствия
при заполнении электронного письма Деду Морозу
на различных интернет-сайтах в сети Интернет!
По результатам мониторинга сети Интернет Роскомнадзором и его территориальными органами в связи с предстоящими новогодними праздниками было выявлено более 70 интернет-ресурсов, включая социальные сети, предоставляющих возможность несовершеннолетнему лицу заполнить от его имени произвольную вэб-форму электронного письма Деда Морозу.
Обработка, включая использование и распространение персональных данных несовершеннолетних (Ф.И.О. возраст, адрес проживания, наименование и номер образовательного учреждения, номер класса, номер телефона), подтверждения наличия согласия законных представителей на распространение персональных данных детей в сети Интернет и в целях, не предусмотренных законодательством Российской Федерации о персональных данных.
В соответствии с законодательством Российской Федерации в области персональных данных распространение персональных данных несовершеннолетних возможно только при наличии письменного согласия их законных представителей в соответствии с целями их обработки .
В связи с чем Роскомнадзором принят ряд мер, в частности, в адрес владельцев Интернет-ресурсов направлены требования об удалении персональных данных; материалы в отношении администраторов выявленных Интернет-ресурсов, разместивших персональные данные несовершеннолетних без согласия их законных представителей, направлены в органы прокуратуры для принятия мер прокурорского реагирования.
Кроме того, Роскомнадзором выявлено, что в ряде случаев услуги хостинга сайтам, на которых были размещены персональные данные детей, предоставлялись иностранными компаниями, расположенными на территории США, Панамы, Республики Беларусь, которые не являются участниками Конвенции Совета Европы в сфере защиты персональных данных, а также не обеспечивают адекватной защиты прав субъектов персональных данных.
В связи с чем в отношении администраторов выявленных иностранных Интернет-ресурсов направлены исковые заявления в суд в целях ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.
Таким образом, обработка персональных данных несовершеннолетних, предоставленных при заполнении вэб-формы электронного письма Деду Морозу, размещенных в открытом доступе и доступных неограниченному кругу лиц в отсутствие правовых оснований, является грубейшим нарушением законодательства Российской Федерации в области персональных данных.
На основании изложенного, в целях недопущения масштабного неправомерного распростанения личной информации, пресечения неблагоприятных последствий для детей и их родителей от потенциальных угроз со стороны злоумышленников, имеющих свободный доступ к личной информации о несовершеннолетних, а также неправомерных посягательств на частную жизнь семьи, здоровье и половую неприкосновенность детей информируем Вас о возможных негативных последствиях при заполнении электронного письма Деду Морозу на различных интернет-сайтах в сети Интернет.
21 декабря 2016 г.
ОбщероссийскийРейтинг нашего сайта:
97 баллов из 100 возможных
Общая сумма баллов - 97
УВАЖАЕМЫ РОДИТЕЛИ И ОБУЧАЮЩИЕСЯ!
Информируем Вас о том, что по результатам мониторинга сети Интернет Роскомнадзором в связи с предстоящими новогодними праздниками было выявлено более 70 Интернет-ресурсов, включая социальные сети, предоставляющих возможность несовершеннолетнему лицу заполнить от его имени произвольную веб-форму электронного письма Деду Морозу.
Обработка, включая использование и распространение персональных данных несовершеннолетних (Ф.И.О. возраст, адрес проживания, наименование и номер образовательной организации, номер класса, номер телефона), содержащихся на указанных интернет-страницах, осуществляется без подтверждения наличия согласия законных представителей на распространение персональных данных детей в сети Интернет и в целях, не предусмотренных законодательством Российской Федерации о персональных данных.
В соответствии с законодательством Российской Федерации в области персональных данных распространение персональных данных несовершеннолетних возможно только при наличии письменного согласия их законных представителей в соответствии с целями их обработки.
В связи с этим Роскомнадзор принял ряд мер по пресечению неправомерного распространения персональных данных несовершеннолетних.
Таким образом, обработка персональных данных несовершеннолетних, предоставленных при заполнении веб-формы электронного письма Деду Морозу, размещенных в открытом доступе и доступных неограниченному кругу лиц, в отсутствие правовых оснований является грубейшим нарушением законодательства Российской Федерации в области персональных данных.
На основании изложенного, в целях недопущения масштабного неправомерного распространения личной информации, пресечения неблагоприятных последствий для детей и их родителей от потенциальных угроз со стороны злоумышленников, имеющих свободный доступ к личной информации о несовершеннолетних, а также неправомерных посягательств на частную жизнь семьи, здоровье и половую неприкосновенность детей, информируем Вас о возможных негативных последствиях при заполнении электронного письма Деду Морозу на различных интернет-сайтах в сети интернет.
Просим Вас оградить себя и своих детей от опасных Интернет-ресурсов предоставляющих возможность несовершеннолетнему лицу заполнить от его имени произвольную веб-форму электронного письма Деду Морозу.
Copyright © 2016 Нижневартовский строительный колледж.
Все права защищены.
Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?
Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).
С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
Здесь важно учесть, что запрос Роскомнадзора - это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.
Возможны две ситуации:
Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.
В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.
Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.
Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.
Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.
Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.
В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок. Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».
Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления - она находится на сайте Роскомнадзора. Изучив форму, вы поймете, что заполнение уведомления - это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.
Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:
В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.
Если вам удалось провести полноценное обследование, и вы выявили самое главное - цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа. Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.
Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.
Важно понимать - наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!
Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки - в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора. Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».
Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.
И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации. Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе. Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706. В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.
Большинство вопросов связано со следующими пунктами:
Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1. Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации - исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):
В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры. И так далее.
С 19 статьей делаем то же самое.
Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:
Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.
Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие - прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!
Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!
Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.
Напомним - Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!
Удачной Вам работы в сфере обработки и защиты персональных данных.
ПРЕДСТАВЛЕНИЕ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ
1. ПРЕДСТАВЛЕНИЕ УВЕДОМЛЕНИЯ. ОБЩАЯ ИНФОРМАЦИЯ
1.1. Нормативное регулирование
Порядок представления уведомлений об обработке персональных данных регулируется:
- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон);
- Административным регламентом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции "Ведение реестра операторов, осуществляющих обработку персональных данных" (утв. Приказом Минкомсвязи России от 30.01.2010 N 18) (далее - Регламент);
- Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (утв. Приказом Роскомнадзора от 19.08.2011 N 706) (далее - Рекомендации).
1.2. Случаи, в которых необходимо представлять уведомление
До начала обработки персональных данных оператор обязан представить в уполномоченный орган уведомление о намерении осуществлять такую обработку (ч. 1 ст. 22 Закона).
Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона). Такой информацией, в частности, являются фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация, относящаяся к субъекту персональных данных (п. 6 Рекомендаций).
Обработкой персональных данных признаются любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации. К таким действиям относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 Закона).
Условия обработки персональных данных предусмотрены в ст. 6 Закона.
Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 г. обязаны до 1 января 2013 г. представить в уполномоченный орган следующие сведения (ч. 2.1 ст. 25 Закона):
- информацию о правовом основании обработки персональных данных (п. 5 ч. 3 ст. 22 Закона);
- фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их телефонов, почтовые адреса и адреса электронной почты (п. 7.1 ч. 3 ст. 22 Закона);
- сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки (п. 10 ч. 3 ст. 22 Закона);
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к их защите, установленными Правительством РФ (п. 11 ч. 3 ст. 22 Закона).
Ни Законом, ни Рекомендациями не конкретизировано, каким образом должны быть представлены указанные сведения. Можно предположить, что они либо подаются в уполномоченный орган в том же порядке, что и информационное письмо об изменении сведений, содержащихся в реестре операторов, либо направляются в него в произвольной форме. В случае необходимости представить указанные сведения рекомендуем предварительно уточнить в уполномоченном органе, в какой форме они должны быть представлены.
Не требуется представление уведомления
Без уведомления уполномоченного органа может производиться обработка следующих персональных данных (ч. 2 ст. 22 Закона).
1) обрабатываемых в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона);
На практике данное основание является одним из самых распространенных исключений, позволяющим не подавать уведомление. Однако работодателям следует учитывать, что помимо персональных данных работников (полученных в рамках ст.65 ТК РФ), обработка которых не требует уведомления, у них могут находиться персональные данные превышающий данный перечень в т.ч. членов семей сотрудников, их детей - например, в связи с уплатой алиментов или предоставлением налоговых вычетов по НДФЛ, оформление зарплатных карт и перечисление на них денежных средств, страхование ДМС. Обработка этих персональных данных не признается осуществляемой в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных. Данное условие применяется, если персональные данные не распространяются и не предоставляются третьим лицам без согласия этого субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона).
Данное основание также является одним из распространенных случаев, при котором уведомление об обработке персональных данных не представляется. Следует иметь в виду, что для обработки персональных данных без представления уведомления по данному основанию должны одновременно соблюдаться все перечисленные выше условия:
- персональные данные не должны распространяться;
- они не должны предоставляться третьим лицам без согласия субъекта персональных данных;
- персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных.
Иное использование персональных данных влечет за собой необходимость представить в уполномоченный орган уведомление;
3) относящихся к членам (участникам) общественного объединения или религиозной организации, которые обрабатываются данным объединением (религиозной организацией), действующим в соответствии с законодательством РФ, в целях, предусмотренных учредительными документами. Данное условие применяется, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов таких данных (п. 3 ч. 2 ст. 22 Закона);
4) сделанных субъектом персональных данных общедоступными (п. 4 ч. 2 ст. 22 Закона);
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 22 Закона);
6) необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или аналогичных целей (п. 6 ч. 2 ст. 22 Закона). Данное условие применяется, если данные не фиксируются в информационной системе;
7) включенных в информационные системы персональных данных, имеющих в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 Закона);
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных (п. 8 ч. 2 ст. 22 Закона).
Обработка персональных данных без использования средств автоматизации является еще одним из распространенных оснований, при которых она может осуществляться без представления уведомления. Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (далее - Положение). При соблюдении требований данного Положения подача уведомления согласно п. 8 ч. 2 ст. 22 Закона не требуется.
Если средства автоматизации (вычислительная техника, компьютеры) при обработке персональных данных не используются вовсе, уведомление об обработке персональных данных подаваться не должно (при соблюдении особенностей организации обработки данных, установленных в разд. II Положения). Однако при нынешней распространенности электронно- вычислительной техники она очень часто задействована в обработке персональных данных. Критерии, при которых такая обработка признается (либо не признается) неавтоматизированной, сформулированы в п. п. 1 и 2 Положения. Согласно п. 1 данного Положения считается неавтоматизированной обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из нее, если такие операции с персональными данными, как использование, уточнение, распространение, уничтожение (в отношении каждого из субъектов персональных данных), осуществляются при непосредственном участии человека. Кроме того, обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее (п. 2 Положения).
Необходимо отметить, что приведенные в п. 1 Положения критерии недостаточно конкретны для разграничения на практике случаев, в которых подача уведомления для обработки персональных данных с применением вычислительной техники требуется и не требуется. В связи с этим при возникновении сложностей с определением того, нужно ли подавать уведомление при различных вариантах использования вычислительной техники в процессе обработки персональных данных, следует уточнять данный вопрос в уполномоченном органе. На сайтах уполномоченных органов (их перечень приведен на сайте Роскомнадзора www.rsoc.ru ) могут быть приведены контактные телефоны для обращений по вопросам, связанным с обработкой персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, для обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п. 9 ч. 2 ст. 22 Закона).
1.3. Лица, которые должны представлять уведомление, и орган, в который оно подается
Лица, которые должны представлять уведомление
Представлять уведомление об обработке персональных данных должен оператор (ч. 1 ст. 22 Закона).
Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Закона).
Дополнительная информация о том, должен ли оператор при поручении обработки персональных данных иному лицу подавать уведомление в уполномоченный орган
Оператор вправе поручить обработку персональных данных иному лицу на основании заключенного с ним договора (в то числе государственного или муниципального контракта) либо путем принятия соответствующего акта (если оператор - государственный или муниципальный орган). Для этого необходимо согласие субъекта персональных данных, если иное не установлено законодательством (ч. 3 ст. 6 Закона). Однако поручение обработки персональных данных иному лицу не освобождает оператора от обязанности подавать
уведомление в уполномоченный орган, поскольку, как прямо установлено в ч. 1 ст. 22 Закона, уведомление об обработке персональных данных должно подаваться именно им.
Орган, в который подается уведомление
Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор (п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утв. Постановлением Правительства РФ от 16.03.2009 N 228).
Уведомление должно быть направлено в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту нахождения оператора (п. п. 2 и 4.1 Рекомендаций, п. 23 Регламента). Контактная информация территориальных органов (включая адреса их сайтов) приведена на сайте www.rsoc.ru. На сайтах самих территориальных органов может быть приведена информация о конкретном адресе, по которому следует направлять уведомление.
1.4. Последствия обработки персональных данных без подачи уведомления, а также в случаях его несвоевременной подачи либо подачи уведомления, содержащего неполные или недостоверные сведения
Непредставление в уполномоченный орган уведомления об обработке персональных данных, его несвоевременное представление (то есть уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ. Данная статья предусматривает ответственность за непредставление или несвоевременное представление в государственный орган сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. Ответственность по данной статье наступает также в случае предоставления сведений в неполном объеме или в искаженном виде.
Ответственность установлена в виде предупреждения или штрафа в размере:
- для граждан - от 100 до 300 руб.;
- для должностных лиц (в том числе индивидуальных предпринимателей - примечание к ст. 2.4 КоАП РФ) - от 300 до 500 руб. При этом согласно примечанию к ст. 2.4 КоАП РФ такими лицами являются руководители и иные работники организаций, выполняющие организационно-распорядительные или административно-хозяйственные функции. В п. 3 Постановления Пленума ВС РФ от 10.02.2000 N 6 "О судебной практике по делам о взяточничестве и коммерческом подкупе" отмечается, что организационно-распорядительные функции включают в себя, например, руководство коллективом, расстановку и подбор кадров, организацию труда или службы подчиненных, поддержание дисциплины, применение мер поощрения и наложение дисциплинарных взысканий. К административно-хозяйственным функциям могут быть, в частности, отнесены полномочия по управлению и распоряжению имуществом и денежными средствами, находящимися на балансе и банковских счетах организаций и учреждений, а также совершение иных действий: принятие решений о начислении заработной платы, премий, осуществление контроля за движением материальных ценностей, определение порядка их хранения и т.п.;
- для юридических лиц - от 3000 до 5000 руб.
2. ПОРЯДОК ПРЕДСТАВЛЕНИЯ УВЕДОМЛЕНИЯ
2.1. Заполнение формы уведомления об обработке персональных данных
Уведомление об обработке (о намерении осуществлять обработку) персональных данных должно быть составлено на бланке оператора по форме, приведенной в приложении к Рекомендациям (п. 2 Рекомендаций). Уведомление может быть составлено и направлено в уполномоченный орган как на бумажном носителе, так и в электронной форме (ч. 3 ст. 22 Закона, п. 3 Рекомендаций). Об особенностях заполнения и представления уведомления в электронной форме см. в разделе материала о представлении уведомления в уполномоченный орган.
В уведомлении указывается наименование уполномоченного органа, в который оно представляется, а также приводятся следующие сведения:
1. Наименование (ФИО), адрес оператора;
Операторы - юридические лица указывают в данной графе (п. 4.1 Рекомендаций):
- полное наименование с указанием организационно-правовой формы, а также сокращенное наименование;
- для юридических лиц с филиальной структурой - наименование филиалов (представительств), осуществляющих обработку персональных данных. Также необходимо указать список субъектов РФ (с указанием кода субъекта РФ согласно Справочнику "Коды регионов" - приложение N 6 к Приказу ФНС России от 17.11.2010 N ММВ-7-3/611@), на территории которых находятся такие филиалы (представительства) и (или) где оператор производит обработку персональных данных;
- место нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию. Для организаций, имеющих филиалы (представительства), указываются также юридический и почтовый адреса филиалов и представительств, осуществляющих непосредственную обработку персональных данных. При этом необходимо уточнить, осуществляется ли обработка только самим юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами);
Операторы - физические лица указывают (п. 4.2 Рекомендаций):
- место нахождения в соответствии со свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию;
- данные документа, удостоверяющего личность, дату его выдачи, наименование органа, выдавшего документ;
Операторы - государственные и муниципальные органы указывают (п. 4.3 Рекомендаций):
- полное и сокращенное наименование;
- наименование территориальных органов, осуществляющих обработку персональных данных;
- место нахождения в соответствии с учредительными документами и свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию;
В п. 4 Рекомендаций установлено, что при указании наименования (фамилии, имени, отчества) оператора, а также направления деятельности рекомендуется использовать также ссылки на коды классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).
В данной графе необходимо указать федеральный закон, постановление Правительства РФ, иной нормативно-правовой акт, закрепляющий основание и порядок обработки персональных данных. При этом указываются не только соответствующие статьи Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных (например: ст. ст. 85 - 90 ТК РФ, ст. 85.1 Воздушного кодекса РФ, ст. 12 Федерального закона от 15.11.1997 N 143-ФЗ "Об актах гражданского состояния" и др.) (п. 8 Рекомендаций).
При осуществлении лицензируемого вида деятельности необходимо указать также номер, дату выдачи и наименование лицензии на осуществляемый вид деятельности. Также согласно п. 8 Рекомендаций должны быть приведены (при их наличии и распространении на лицензиата) лицензионные условия (конкретный их пункт), закрепляющие запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.
Согласно п. 5 Рекомендаций в данной графе необходимо указать как цели, обозначенные в учредительных документах оператора, так и цели фактически осуществляемой им деятельности по обработке персональных данных. Например:
- "оказание услуг по. ";
- "выполнение работ по. ";
В данном поле указываются все категории персональных данных, подлежащих обработке (п. 6 Рекомендаций):
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации относятся фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация, относящаяся к субъекту персональных данных (п. 6.1 Рекомендаций);
- специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, состояние здоровья, интимной жизни) (п. 6.2 Рекомендаций). Перечень случаев, при которых допускается обработка специальных категорий персональных данных, установлен в ч. 2 ст. 10 Закона;
- биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность) (п. 6.3 Рекомендаций). Данные сведения могут обрабатываться оператором только при наличии письменного согласия субъекта персональных данных (за исключением случаев, установленных в ч. 2 ст. 11 Закона) (ч. 1 ст. 11 Закона).
Указываются категории субъектов (физических лиц) и виды отношений с
ними, например (п. 7 Рекомендаций):
- работники, состоящие в трудовых отношениях с юридическим лицом;
- физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом.
Указывается способ обработки персональных данных (п. 9 Рекомендаций):
- неавтоматизированная обработка персональных данных;
- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
- смешанная обработка персональных данных.
При автоматизированной либо смешанной обработке персональных данных необходимо указать, передается полученная в ходе обработке информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников), с использованием сети Интернет либо вообще не передается (п. 9 Рекомендаций). На практике уполномоченный орган может потребовать четкого указания в уведомлении соответствующих вариантов:
- "информация передается по внутренней сети юридического лица";
- "информация не передается по внутренней сети юридического лица";
- "информация доступна лишь для строго определенных сотрудников";
- "информация передается с использованием сети общего доступа Интернет";
- "без передачи полученной информации".
В данной графе оператор должен указать (п. 10 Рекомендаций):
а) описание мер, предусмотренных ст. ст. 18.1 и 19 Закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
В ст. 18.1 Закона установлен перечень мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Законом. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения данных обязанностей (если иное не предусмотрено
Законом или иными федеральными законами). К таким мерам могут относиться, в частности (ч. 1 ст. 18.1 Закона):
- назначение оператором-организацией лица, ответственного за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1 Закона);
- издание оператором-организацией документов, определяющих его политику в отношении обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1 Закона);
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона (п. 3 ч. 1 ст. 18.1 Закона);
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативно-правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора (п. 4 ч. 1 ст. 18.1 Закона);
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение его с принимаемыми оператором мерами (п. 5 ч. 1 ст. 18.1 Закона);
- ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите таких данных, документами, определяющими политику оператора в отношении их обработки, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников (п. 6 ч. 1 ст. 18.1 Закона).
В уведомлении следует перечислить конкретные меры, которые будут приниматься оператором в соответствии со ст. 18.1 Закона.
В ст. 19 Закона предусмотрены возможные меры по обеспечению безопасности персональных данных при их обработке. Оператор должен принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий (ч. 1 ст. 19 Закона).
Примерный перечень таких мер приведен в ч. 2 ст. 19 Закона, к ним, в частности, относятся:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных (п. 1 ч. 2 ст. 19 Закона);
- организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных (п. 2 ч. 2 ст. 19 Закона);
- применение прошедших процедуру оценки соответствия средств защиты информации (п. 3 ч. 2 ст. 19 Закона);
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (п. 4 ч. 2 ст. 19 Закона);
- учет машинных носителей персональных данных (п. 5 ч. 2 ст. 19 Закона);
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер (п. 6 ч. 2 ст. 19 Закона);
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (п. 7 ч. 2 ст. 19 Закона);
- установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных (п. 8 ч. 2 ст. 19 Закона);
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем (п. 9 ч. 2 ст. 19 Закона).
В уведомлении следует перечислить конкретные меры, которые будут приниматься оператором в соответствии со ст. 19 Закона. Необходимо отметить, что на практике уполномоченный орган особое внимание обращает на наличие в уведомлении конкретного перечня организационных и технических мер. К
организационным мерам, в частности, можно отнести принятие организацией локальных нормативных актов (внутренних документов - приказов, положений, регламентов). К техническим мерам, например, относятся:
- защита от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах);
- защита паролем компьютеров с персональными данными;
- использование системы паролей при работе в сети (на портале);
- ограничение доступа к компьютерной технике для определенных категорий работников.
При смешанной обработке персональных данных уполномоченный орган может потребовать, чтобы перечень мер по обеспечению безопасности персональных данных был приведен отдельно для персональных данных на бумажных носителях и на электронных носителях.
В случае использования оператором шифровальных (криптографических) средств в уведомлении также указываются следующие сведения (п. 10 Рекомендаций):
- наименование, регистрационные номера и производители используемых средств;
- уровень криптографической защиты персональных данных;
- уровень специальной защиты от утечки по каналам побочных излучений и наводок;
- уровень защиты от несанкционированного доступа.
Данная информация предоставляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утв. руководством 8 Центра ФСБ России от 21.02.2008 по делу N 149/5-144;
б) фамилию, имя, отчество физического лица или сотрудника юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты.
Оператор-организация должен назначить лицо, ответственное за организацию обработки персональных данных (ч. 1 ст. 22.1 Закона). Данное лицо должно получать указания непосредственно от исполнительного органа оператора и подотчетно ему (ч. 2 ст. 22.1 Закона). Обязанности лица, ответственного за обработку персональных данных, установлены в ч. 4 ст. 22.1 Закона;
в) класс информационной системы персональных данных оператора.
Порядок проведения классификации информационных систем персональных
данных (далее - Порядок классификации) утвержден Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20. Согласно п. 10 Рекомендаций класс информационной системы указывается в заявлении в соответствии с п. 14 Порядка классификации:
- класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
- класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
- класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
- класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
Классификация информационных систем должна проводиться оператором (п. 2 Порядка классификации). Необходимая для этого последовательность действий подробно изложена в Порядке классификации.
В данной графе указываются сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки. При трансграничной передаче персональные данные передаются на территорию иностранного государства его органу власти, иностранному физическому или юридическому лицу (п. 11 ст. 3 Закона). Если такая передача осуществляется, необходимо привести перечень иностранных государств, на территорию которых передаются персональные данные (п. 11 Рекомендаций).
Условия, при которых допускается трансграничная передача персональных данных, установлены в ст. 12 Закона.
Необходимо указать сведения об обеспечении безопасности персональных
данных в соответствии с требованиями к их защите, установленными
Правительством РФ (п. 12 Рекомендаций). Такие требования утверждены, в частности:
- Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства РФ от 17.11.2007 N 781);
- Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства РФ от 15.09.2008 N 687), в разд. III которого приведены меры по обеспечению безопасности персональных данных при такой обработке.
В данной графе указывается фактическая дата начала обработки персональных данных. Такой датой признается конкретная дата (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с персональными данными с использованием или без использования средств автоматизации. В частности, к таким действиям относятся запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 13 Рекомендаций).
Указывается конкретная дата (число, месяц, год) или основание (условие),
наступление которого влечет прекращение обработки персональных данных (п. 14 Рекомендаций).
Такими основаниями могут являться, например, ликвидация юридического лица, аннулирование лицензии на осуществление соответствующего вида деятельности, прекращение осуществления той деятельности, в рамках которой обрабатывались персональные данные.
Уведомление должно быть подписано уполномоченным лицом (ч. 3 ст. 22 Закона, п. 3 Рекомендаций). Ни в Законе, ни в Рекомендациях не конкретизируется, какое именно лицо должно подписать уведомление. О возможном варианте (руководитель организации, лицо, наделенное данными полномочиями по доверенности) рекомендуем узнать в уполномоченном органе.
На оператора не могут возлагаться расходы, связанные с рассмотрением уведомления уполномоченным органом, а также с внесением сведений в реестр операторов (ч. 5 ст. 22 Закона). Следовательно, процедура подачи уведомления об обработке персональных данных является для оператора бесплатной, и никакие документы об оплате госпошлины с уведомлением представляться не должны.
2.2. Представление уведомления в уполномоченный орган
Уведомление направляется оператором в уполномоченный орган на бумажном носителе или в электронной форме (ч. 3 ст. 22 Закона, п. 3 Рекомендаций). Если уведомление составлено на бумажном носителе, оно может быть отправлено в уполномоченный орган по почте. На практике некоторые уполномоченные органы допускают возможность непосредственной подачи уведомления. Адреса для направления уведомления по почте и его непосредственного представления приведены на сайтах уполномоченных органов (их перечень указан на сайте Роскомнадзора www.rsoc.ru ).
Особенности оформления и представления уведомления в электронной форме
Согласно ч. 3 ст. 22 Закона и п. 3 Рекомендаций оператор вправе составить и направить уведомление в уполномоченный орган в электронной форме. В то же время в п. 25 Регламента предусмотрено, что после заполнения данного уведомления в электронной форме оно все равно должно быть распечатано и направлено в уполномоченный орган на бумажном носителе.
Заполнить заявление в электронной форме оператор может:
- на интернет-портале персональных данных (www.pd.rsoc.ru/operators- registry/notification);
- на сайте уполномоченного органа (на некоторых сайтах предусмотрена возможность заполнить данное уведомление непосредственно на самом сайте, на других предусмотрена ссылка на соответствующий раздел интернет-портала персональных данных).
На сайте Роскомнадзора и интернет-портале персональных данных в соответствующих разделах также содержатся разъяснения Роскомнадзора, подтверждающие, что на настоящий момент после заполнения уведомления в электронном виде его необходимо распечатать и направить в уполномоченный орган на бумажном носителе.
При заполнении уведомления в электронной форме в нем указываются те же сведения и в том же порядке, что и в форме уведомления, приведенной в Приложении к Рекомендациям.
При поступлении уведомления в уполномоченный орган оно регистрируется сотрудником данного органа (п. 26 Регламента).
Последствия представления уведомления, содержащего неполные или недостоверные сведения
В случае представления уведомления, содержащего неполные или недостоверные сведения, уполномоченный орган вправе потребовать их уточнения до внесения данных сведений в реестр операторов (ч. 6 ст. 22 Закона). В таком случае уполномоченный орган направляет оператору письмо с уведомлением о его вручении, в котором содержится запрос об уточнении предоставленных сведений (п. 29 Регламента).
Оператор обязан сообщить уточненные сведения в течение 7 рабочих дней с даты получения запроса (п. 30 Регламента). Если в течение 30 дней с даты регистрации уведомления уточненные сведения не поступят, ранее представленное уведомление возвращается оператору без внесения сведений о нем в реестр (п. 31 Регламента).
Внесение сведений об операторе в реестр
В течение 30 дней с даты поступления уведомления уполномоченный орган вносит сведения, содержащиеся в уведомлении (а также сведения о дате направления уведомления), в реестр операторов, осуществляющих обработку персональных данных (ч. 4 ст. 22 Закона). Необходимо отметить, что Регламентом предусмотрен меньший срок для осуществления данной процедуры - 15 дней (п. 18 Регламента). В течение этого срока руководитель Роскомнадзора должен издать приказ о внесении сведений об операторе в реестр (п. 35 Регламента). Эти положения не противоречат требованиям ч. 4 ст. 22 Закона, где установлен лишь максимальный срок на внесение сведений в реестр. Так как данный срок установлен в Регламенте, можно предположить, что действия по внесению сведений об операторе в реестр должны быть совершены в течение 15 дней.
На основании приказа руководителя Роскомнадзора в реестр вносится запись об операторе. Указанной записи присваивается регистрационный номер (п. 35 Регламента). В срок не позднее 3 дней с даты подписания приказа информация о внесении сведений об операторе в реестр размещается на официальном сайте Роскомнадзора (www.rsoc.ru ) (п. п. 21 и 36 Регламента).
Дополнительная информация о возможных действиях оператора при отказе в приеме уведомления или во внесении сведений о нем в реестр, либо при невнесении данных сведений в установленный срок
Если уполномоченный орган отказал оператору в приеме уведомления или внесении сведений о нем в реестр, либо если данные сведения не были внесены в установленный срок, соответствующее решение либо действия (бездействие) уполномоченного органа можно обжаловать в арбитражном суде в порядке, предусмотренном гл. 24 АПК РФ. Обжаловать действие (бездействие) можно в течение 3 месяцев со дня, когда организации или индивидуальному предпринимателю стало известно о нарушении их прав и законных интересов (п. 4 ст. 198 АПК РФ).
Возможен и административный порядок обжалования, установленный в гл. 2.1 Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (далее - Закон N 210-ФЗ). В ст. 11.1 Закона N 210-ФЗ приведен примерный перечень тех нарушений порядка предоставления госуслуг, которые могут обжаловаться в досудебном (внесудебном) порядке. К ним относятся, в частности, нарушение срока предоставления госуслуги (п. 2 ст. 11.1 Закона N 210-ФЗ), отказ в ее предоставлении по основаниям, не установленным нормативно-правовыми актами (п. 5 ст. 11.1 Закона N 210-ФЗ), требование у заявителя документов, не предусмотренных нормативно-правовыми актами (п. 3 ст. 11.1 Закона N 210-ФЗ), или отказ в приеме документов (п. 4 ст. 11.1 Закона N 210-ФЗ).
Общие требования к порядку подачи и рассмотрения жалобы установлены в ст. 11.2 Закона N 210-ФЗ. Жалоба подается непосредственно в тот орган, который предоставляет госуслугу (то есть в управление Роскомнадзора по субъекту РФ), а в случае, если обжалуется решение руководителя этого органа, - в вышестоящий орган (ч. 1 ст. 11.2 Закона N 210-ФЗ). Вышестоящим органом в данном случае будет являться Роскомнадзор.
Требования к содержанию жалобы указаны в ч. 5 ст. 11.2 Закона N 210-ФЗ.
Нарушение сроков предоставления госуслуги либо ее непредоставление влечет за собой для должностного лица федерального органа исполнительной власти административную ответственность по ч. 1 ст. 5.63 КоАП РФ (штраф в размере от 3000 до 5000 руб.), а требование им в ходе предоставления госуслуги от заявителя документов или платы, не предусмотренных законодательством, - административную ответственность по ч. 2 ст. 5.63 КоАП РФ (штраф в размере от 5000 до 10 000 руб.).
Ни Законом, ни Рекомендациями, ни Регламентом не предусмотрена обязательная выдача оператору какого-либо документа, подтверждающего подачу уведомления и факт внесения в реестр соответствующих сведений. В то же время оператор может по собственной инициативе получить выписку из реестра.
3. ДОПОЛНИТЕЛЬНЫЕ ПРОЦЕДУРЫ, ОСУЩЕСТВЛЯЕМЫЕ ПОСЛЕ ПРЕДСТАВЛЕНИЯ УВЕДОМЛЕНИЯ
3.1. Получение выписки из реестра операторов, осуществляющих обработку персональных данных
Сведения, содержащиеся в реестре операторов, осуществляющих обработку персональных данных (за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке), являются общедоступными (ч. 4 ст. 22 Закона).
Оператор, а также любое заинтересованное лицо вправе получить выписку из реестра, направив запрос в уполномоченный орган (п. п. 6, 56 Регламента). В п. 57 Регламента установлено, что в таком запросе должны содержаться следующие данные заявителя:
- наименование юридического лица либо ФИО физического лица;
Иных требований к содержанию запроса о получении выписки в Регламенте не предусмотрено, в то же время очевидно, что запрос должен содержать сведения о наименовании (либо фамилии, имени, отчестве) оператора, в отношении которого запрашивается выписка.
Обязательная форма запроса для получения выписки не установлена, следовательно, составить его можно в произвольном виде. Вместе с тем на сайте Роскомнадзора (www.rsoc.ru/personal-data/forms/ ) предусмотрена возможность заполнить в электронной форме заявление о предоставлении выписки из реестра. Рекомендуем либо воспользоваться ею (при этом, согласно приведенным на сайте разъяснениям, заполненное в электронном виде заявление следует распечатать и направить в уполномоченный орган в бумажном виде), либо составить запрос в произвольном виде, отразив в нем те сведения, которые предусмотрены в электронной форме заявления.
Сотрудник уполномоченного органа в срок, не превышающий 5 дней с даты поступления запроса, готовит выписку из реестра (п. п. 20, 59 Регламента). Данная выписка, подписанная руководителем или заместителем руководителя уполномоченного органа, высылается заявителю по почте с уведомлением о вручении (п. 59 Регламента). Возможность получить выписку из реестра непосредственно на руки рекомендуем уточнить в уполномоченном органе.
При отсутствии в запросе данных о наименовании (ФИО) либо почтовом адресе заявителя в предоставлении выписки из реестра будет отказано (п. 22 Регламента). В таком случае сотрудник уполномоченного органа должен выслать заявителю по почте с уведомлением о вручении письмо с указанием причины отказа (п. 59 Регламента). Очевидно, что данное письмо будет выслано только в случае, если в запросе указан почтовый адрес заявителя.
О возможных действиях заявителя при отказе в выдаче выписки либо в случае, если она не направлена в установленный срок, см. в разделе материала о представлении уведомления в уполномоченный орган.
3.2. Представление информационного письма о внесении изменений в сведения, содержащиеся в реестре
В случае изменения сведений, содержащихся в ранее поданном уведомлении, оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней (ч. 7 ст. 22 Закона). Для этого он должен направить в уполномоченный орган информационное письмо с указанием основания изменения сведений (п. 37 Регламента).
Обязательная форма такого письма не установлена, следовательно, составить его можно в произвольном виде. Вместе с тем на сайте Роскомнадзора (www.rsoc.ru/personal-data/forms/ ), а также на интернет-портале персональных данных (www.pd.rsoc.ru/operators-registry/notification ) приведена форма информационного письма для его заполнения в электронном виде. Рекомендуем либо воспользоваться данной возможностью (при этом, согласно приведенным на сайте разъяснениям, заполненное в электронном виде письмо следует распечатать и направить в уполномоченный орган в бумажном виде), либо составить письмо в произвольной форме, отразив в нем те же сведения.
Форма информационного письма, приведенная на указанных сайтах, практически аналогична форме уведомления, при этом в нем дополнительно указывается номер регистрационной записи в реестре и основание внесения изменений. Заполняются только те поля, в которых изменяются сведения.
При поступлении информационного письма с измененными сведениями в уполномоченный орган оно регистрируется сотрудником этого органа (п. 38 Регламента). В течение 15 дней с момента поступления информационного письма руководителем Роскомнадзора издается приказ о внесении изменений в сведения об операторе в реестр. На основании данного приказа в реестр вносится запись о внесении изменений, ранее присвоенный регистрационный номер записи об операторе при этом не изменяется (п. 39 Регламента).
В срок не позднее 3 дней с даты подписания приказа информация об изменениях размещается на официальном сайте Роскомнадзора (www.rsoc.ru ) (п. п. 21 и 43 Регламента).
Неисполнение оператором обязанности по уведомлению уполномоченного органа об изменении сведений, содержащихся в ранее поданном уведомлении, будет влечь за собой такую же ответственность, как и в случае неподачи уведомления.
3.3. Представление заявления об исключении сведений об операторе из реестра
В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней (ч. 7 ст. 22 Закона). Для этого в уполномоченный орган подается соответствующее заявление с приложением обоснований (п. 44.1 Регламента).
Обязательная форма данного заявления не установлена, следовательно, составить его можно в произвольном виде. Вместе с тем на сайте Роскомнадзора (www.rsoc.ru/personal-data/forms/ ) приведена форма данного заявления для заполнения его в электронном виде. Рекомендуем либо воспользоваться данной возможностью (при этом, согласно приведенным на сайте разъяснениям, заполненное в электронном виде заявление следует распечатать и направить в уполномоченный орган в бумажном виде), либо составить заявление в произвольной форме, отразив в нем те же сведения.
То, какие именно документы, подтверждающие необходимость исключения оператора из реестра в связи с прекращением обработки персональных данных, необходимо приложить к заявлению, рекомендуем уточнить в уполномоченном органе.
При поступлении заявления в уполномоченный орган оно регистрируется сотрудником данного органа (п. 46 Регламента).
В случае выявления несоответствий обращения прилагаемым документам, подтверждающим необходимость исключения оператора из реестра, ему направляется письмо с уведомлением о вручении, содержащее запрос об уточнении предоставленных сведений (п. 49 Регламента). Оператор в таком случае в соответствии с ч. 4 ст. 20 Закона обязан предоставить уполномоченному органу уточненную информацию. Согласно ч. 4 ст. 20 Закона сделать это необходимо в течение 30 дней с даты получения запроса. Необходимо отметить, что в Регламенте указан срок в 7 рабочих дней, однако поскольку он не соответствует Закону, привлечь оператора к ответственности за его несоблюдение уполномоченный орган не сможет.
В течение 15 дней руководитель Роскомнадзора издает приказ об исключении сведений об операторе из реестра (п. п. 19, 53 Регламента). Момент, с которого должен исчисляться данный срок, в Регламенте не уточняется, однако можно предположить, что срок должен отсчитываться с момента получения уполномоченным органом заявления. На основании приказа в реестр вносится запись об исключении сведений об операторе из реестра (п. 53 Регламента). Информация об этом в срок не позднее 3 дней с даты подписания приказа размещается на официальном сайте Роскомнадзора (www.rsoc.ru ) (п. 55 Регламента).
Неисполнение оператором обязанности по уведомлению уполномоченного органа о прекращении обработки персональных данных будет влечь за собой такую же ответственность, как и в случае неподачи уведомления.
