Управляющие организации, ТСЖ и кооперативы по роду своей деятельности являются операторами персональных данных, поэтому в отношении таких организаций Роскомнадзор имеет право проводить проверки согласно постановлению Правительства РФ от 13.02.2019 № 146. Рассказываем об этом подробнее.
Уо и тсж являются операторами персональных данных
Персональные данные (ПДн) – это любая информация, которая относится к физическому лицу – субъекту ПДн и помогает идентифицировать его (ч. 1 ст. 3 № 152-ФЗ). К таким данным относятся общие сведения о человеке: фамилия, имя, отчество, дата и место рождения, данные документа, удостоверяющего личность, другие сведения, по которым прямо или косвенно можно определить конкретного человека.
Действия, которые совершаются с ПДн: сбор, запись, систематизация и накопление, хранение, обновление, изменение, использование, передача и др. – называются их обработкой (ч. 3 ст. 3 № 152-ФЗ). Лица и организации, обрабатывающие персональные данные, являются операторами ПДн.
УО, ТСЖ и кооперативы обрабатывают персональные данные жителей многоквартирных домов в силу пп. 2 ст.
6 № 152-ФЗ: начисляя плату за ЖКУ, ведя реестры собственников, оформляя платёжные документы, передавая ПДн собственников помещений в РСО при заключении прямого договора.
Обработку персональных данных подразумевают заключённый УО с собственниками помещений в МКД договор управления или устав ТСН (ст. ст. 135, 155, 162 ЖК РФ).
Вправе ли УО передавать РСО персональные данные при прямом договоре
Роскомнадзор получил право проводить проверки операторов персональных данных
Поскольку УО, ТСЖ и ЖК работают с персональными данными собственников и жителей многоквартирных домов, то к ним применяются нормы постановления Правительства РФ от 13.02.2019 № 146. Постановлением в соответствии с ч. 1.1 ст. 23 № 152-ФЗ утверждены Правила проведения государственного контроля и надзора за обработкой персональных данных.
Согласно п. 2 ПП РФ № 146, функции госконтроля и надзора за обработкой ПДн возложены на Роскомнадзор. Ведомство должно предупреждать, выявлять и пресекать нарушения в деятельности операторов персональных данных.
Для этого Роскомнадзор уполномочен проводить плановые и внеплановые, документарные и выездные проверки, профилактические мероприятия, принимать меры, чтобы устранить последствия противоправных действий операторов ПДн (п. 3 ПП РФ № 146).
Уо и тсж могут попасть в план проверок раз в два года
Плановые проверки в отношении операторов персональных данных проводятся в соответствии с графиком, размещённым в интернете. Попасть в такой план может любой оператор ПДн, если с момента его регистрации как юрлица или с момента последней проверки прошло 3 года (п.п. 5, 6 ПП РФ № 146).
При этом поставщики информации в государственные информационные системы могут оказываться в плане по контролю чаще: раз в два года (пп. «а» п. 7 ПП РФ № 416).
Роскомнадзор имеет право проводить и внеплановые проверки операторов ПДн по нескольким основаниям:
- неисполнение выданного ранее предписания по устранению нарушений;
- по требованию прокурора, поручению Президента РФ, Правительства РФ;
- по заявлению граждан, если они в обращении докажут факт нарушения их прав;
- по результатам проверки, проведённой Роскомнадзором без взаимодействия с оператором ПДн.
Внеплановые проверки, организованные по двум последним приведённым выше причинам, должны быть согласованы с прокуратурой.
Роскомнадзор об обработке персональных данных
Уо и тсж уведомляются за 3 дня или за 24 часа до начала проверки
О проведении плановой проверки Роскомнадзор должен уведомить оператора не позднее, чем за 3 рабочих дня до этого, о внеплановой – не менее чем за 24 часа до её начала (п.п. 11, 12 ПП РФ №416). Копия приказа о проведении проверки направляется проверяемому:
- по почте с уведомлением о вручении;
- по электронной почте, если адрес оператора размещён на его сайте;
- по электронной почте, если оператор сообщал адрес ранее в Роскомнадзор;
- либо другим доступным способом.
При этом электронный образ документа должен быть подписан усиленной электронной подписью уполномоченного должностного лица Роскомнадзора.
Срок проведения плановой проверки – 20 рабочих дней, внеплановой – 10 рабочих дней. Продлить проверку можно не более, чем в два раза (п.п. 16, 17 ПП РФ № 416). Во время контрольных мероприятий проверяются соблюдение оператором требований к обработке ПДн, документы и информационные системы персональных данных.
Оператор ПДн обязан ответить на запрос Роскомнадзора в течение 5 рабочих дней
Роскомнадзор может проводить плановые выездные и документарные проверки. Внеплановые проверки могут быть только выездными (п. 25 ПП РФ № 416).
В рамках документарной проверки оператор ПДн должен предоставить документы и информацию по запросу ведомства в течение 5 рабочих дней со дня получения письма (п. 27 ПП РФ № 416). Документы предоставляются в виде заверенных печатью и подписью копий либо в электронном виде с использованием усиленной электронной подписи.
Дополнительные пояснения в рамках той же проверки должны быть направлены оператором ПДн в ведомство в течение 3 рабочих дней после получения запроса (п. 30 ПП РФ № 416).
Необходимо обратить внимание, что дата поступления ответа на запрос от оператора – это дата, которую указывает Роскомнадзор при принятии пакета документов, а не дата его отправки. Если документы не предоставлены в срок, то в отношении оператора проводится выездная проверка.
Что делать с персональными данными в протоколе ОСС для ГИС ЖКХ
Оператор ПДн обязан создать условия для проведения проверки
Если документарная проверка проходит по месту размещения Роскомнадзора, то выездная – по месту размещения оператора персональных данных. Если оператор является физическим лицом, а не юрлицом или индивидуальным предпринимателем, то в его отношении выездная проверка проводиться не может (п. 32 ПП РФ № 416).
Перед началом проверки должностное лицо Роскомнадзора должно предъявить удостоверение и ознакомить проверяемого с приказом о проведении выездной проверки (п. 33 ПП РФ № 416). Оператор ПДн со своей стороны должен создать необходимые условия для проведения контрольных мероприятий, обеспечить доступ в помещения и к оборудованию.
Если проверяемый препятствует действиям сотрудников Роскомнадзора, проводящих проверку, то об этом составляется акт. Затем контрольный орган имеет право обратиться в прокуратуру или в правоохранительные органы (п. 38 ПП РФ № 416).
При составлении такого акта, а также при отсутствии оператора ПДн в день проверки она приостанавливается до момента устранения причин остановки либо же до проведения внеплановой проверки без предварительного уведомления оператора ПДн (п.п. 39, 40 ПП РФ № 416).
За неустранение нарушений выдаётся требование об остановке обработки персональных данных
По результатам проверки Роскомнадзор составляет в двух экземплярах акт, в котором делает заключение об отсутствии нарушений или об их наличии с указанием на статьи НПА (п.п. 43, 44 ПП РФ № 416). При этом акт должен быть подписан представителем проверяемого юрлица или индивидуального предпринимателя. Если оператор ПДн отказался подписать акт, то об этом в акте делается отметка.
Экземпляр акта проверки вручается оператору персональных данных под подпись или направляется с уведомлением о вручении либо другим доступным способом в течение 10 дней со дня его подписания (п. 44 ПП РФ № 416).
Если Роскомнадзор выявил нарушения при проверке, то вместе с актом оператору вручается предписание об устранении нарушений со сроком выполнения не более 6 месяцев с дня вручения этих документов (п. 47 ПП РФ № 416). Оператор должен предоставить в Роскомнадзор информацию о выполнении предписания – в ином случае в его отношении проводится внеплановая выездная проверка.
Если невыполнение предписания влечёт нарушение прав и интересов субъектов персональных данных, то оператор обязан по требованию Роскомнадзора прекратить обработку любых персональных данных до устранения допущенных нарушений (п. 50 ПП РФ № 416). Если этого не сделать, оператор ПДн будет привлечён к административной ответственности.
Важно знать
- Правила проведение проверок управляющих организаций и ТСЖ как операторов персональных данных во многом схожи с правилами проверок, которые проводит в их отношении орган Госжилнадзора.
- УО и ТСЖ должны иметь в виду, что Роскомнадзор имеет право планово проверять их чаще, чем других операторов ПДн, поскольку они являются поставщиками информации в ГИС ЖКХ.
- В ходе контрольных мероприятий будут проверяться как документы, так и порядок их хранения и информационные системы, с помощью которых происходит обработка ПДн.
- Хотя внеплановыми могут быть только выездные проверки, плановая документарная проверка легко может превратиться во внеплановую, если Роскомнадзор обнаружит какие-либо нарушения в работе оператора ПДн или в срок не получит необходимые документы.
В случае неустранения нарушений, затрагивающих интересы и права субъектов ПДн, оператор обязан остановить любую обработку персональных данных. В отношении УО и ТСЖ это значит, что в такой ситуации они не смогут выставлять счета на оплату жилищно-коммунальных услуг, проводить общие собрания собственников, передавать данные в РСО в рамках договоров ресурсоснабжения и даже обрабатывать заявки, поступающие в аварийно-диспетчерскую службу.
Персональные данные для digital-маркетинга: полный гайд и шаблоны документов
Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:
- Политику конфиденциальности.
- Правила работы с персональными данными.
- Согласие на обработку персональных данных.
- Обязательство о неразглашении персональных данных.
В разделе мы расскажем об этих документах подробнее.
Политика конфиденциальности и правила работы с персональными данными. В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.
Правила работы с персональными данными должны содержать то, что рекомендует Роскомнадзор и требует 152-ФЗ. Политика конфиденциальности шире: документ описывает работу со всей конфиденциальной информацией, в том числе с персональными данными. В политику добавляют то, что нужно защитить дополнительно. Например, это договоры, переписка с клиентами и партнёрами, внутренняя документация.
Два документа можно объединить в один, это не противоречит законодательству. Когда пользователи регистрируются на сайте, их нужно познакомить с политикой конфиденциальности и правилами работы с персональными данными до процедуры регистрации.
Политику конфиденциальности публикуют в открытом доступе, обычно в подвале (внизу) сайта. Скриншот: сайт Skillbox
Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора.
Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы.
Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.
Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные.
Ошибкой будет написать что-то вроде «Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».
Если собираете данные только в интернете, достаточно прописать в политике конфиденциальности случаи, в которых пользователь выражает согласие на обработку. Например, если он заполняет чекбокс.
Шаблон Согласия на обработку персональных данных
Пример, как можно прописать согласие на обработку в политике конфиденциальности. Скриншот: сайт Skillbox
Обязательство о неразглашении персональных данных. Документ обязывает работников не разглашать персональные данные, полученные компанией. Его должны подписывать все сотрудники, у которых есть доступ к сведениям о клиентах.
Шаблон Обязательства о неразглашении персональных данных
Приказ о назначении ответственного за работу с персональными данными. Внутренний документ. Его не нужно нигде публиковать, но Роскомнадзор может попросить его при проверке. Как правило, ответственным назначают IT-специалиста или сотрудника службы безопасности.
Важно! Если на сайте можно зарегистрироваться, нужно знакомить пользователей с политикой конфиденциальности и получать согласие на обработку персональных данных перед тем, как он отправит анкетные сведения.
Информационная система Роскомнадзора для согласий на распространение персональных данных
Роскомнадзор опубликовал проект приказа об утверждении правил использования информационной системы. Эта информационная система будет регулировать процесс обмена согласиями на распространение персональных данных между операторами и субъектами персональных данных.
Информационная система Роскомнадзора позволит управлять согласиями на распространение персональных данных субъектов
Об этой системе РКН уже рассказывал в связи с принятием 519-ФЗ — изменений в Закон “О персональных данных”, которые вступили в силу 1 марта. Эти изменения установили новые правила для распространения персональных данных в адрес неограниченного круга лиц.
Учитываем, что это пока проект. Опять проект. Мы до сих пор не увидели приказ Роскомнадзора о требованиях к новым согласиям на распространение персональных данных.
Зачем нужна новая информационная система Роскомнадзора
Система предназначена для получения оператором согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Администрировать ее будет Роскомнадзор.
В системе будут реализованы следующие функции:
- идентификации сведений об участниках взаимодействия;
- аутентификации сведений об участниках взаимодействия;
- авторизации участников взаимодействия;
- предоставления Роскомнадзору и иным государственным органам в случаях, определенных федеральными законами, сведений об участниках взаимодействия, размещенных в информационной системе;
- иных функций, предусмотренных федеральными законами, актами Президента Российской Федерации и актами Правительства Российской Федерации.
Участники взаимодействия информационной системы Роскомнадзора
- Правила предполагают, что к системе может подключиться как любой гражданин, так и любой оператор обработки персональных данных.
- Гражданин будет указывать, кому он дает согласие на распространение, и какие данные о себе разрешает распространять.
- Таким образом, оператор может не получать от субъекта согласие самостоятельно, а использовать для этого систему РКНа.
Такая возможность предусмотрена пунктом 2 части 6 статьи 10.1 Закона “О персональных данных”.
В силу эта норма вступит с 1 июля 2021 года.
Проект приказа РКН называет следующих участников взаимодействия информационной системы:
- субъекты персональных данных (граждане Российской Федерации, иностранные граждане и лица без гражданства), предоставляющие согласие оператору;
- государственные органы, муниципальные органы, юридические лица, индивидуальные предприниматели, физические лица, являющиеся операторами.
Как зарегистрироваться субъекту персональных данных
Для регистрации в системе Роскомнадзора гражданин должен заполнить специальную форму и указать:
а) для граждан Российской Федерации:
- фамилия, имя, отчество (при наличии);
- дата рождения;
- реквизиты основного документа, удостоверяющего личность (серия, номер, кем выдан, дата выдачи, код подразделения);
- адрес места жительства (регистрации);
- номер телефона и адрес электронной почты.
б) для иностранных граждан и лиц без гражданства:
- фамилия, имя, отчество (при наличии);
- дата рождения;
- вид, номер и страна выдачи документа, удостоверяющего личность;
- адрес регистрации по месту жительства (пребывания) (при наличии);
- номер телефона и адрес электронной почты.
После заполнения этой специальной формы информация проверяется через Единую систему идентификации и аутентификации – ЕСИА. Если информация подтверждена, то регистрация считается успешно завершенной.
Как зарегистрироваться оператору персональных данных
Для операторов, желающих получать согласие субъектов через систему Роскомнадзора, предусмотрена специальная форма регистрации. Необходимо указать:
- для юридических лиц-операторов — фирменное наименование;
- для индивидуальных предпринимателей и физических лиц-операторов фамилия, имя, отчество;
- адрес;
- основной государственный регистрационный номер юридического лица или индивидуального предпринимателя, т. е. ОГРН или ОГРНИП;
- индивидуальный номер налогоплательщика (ИНН);
- ссылки на коды классификаторов: ОКВЭД, ОКПО, ОКОГУ, ОКФС по направлениям деятельности.
Указанная оператором информация проходит проверку достоверности с использованием государственных информационных систем, в том числе ЕСИА.
В случае достоверности и полноты введенной информации по результатам ее проверки Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрация считается завершенной.
Возможности информационной системы Роскомнадзора
- Проект Приказа называет только лишь возможности использования системы:
- а) возможность подачи и отзыва согласия субъектом персональных данных;
- б) возможность приема и получения согласия оператором;
- в) формирование реестра записей о поданных, полученных и отозванных согласиях, в том числе в личных кабинетах участников взаимодействия;
- г) формирование и направление участникам взаимодействия уведомлений о подаче, приеме, отзыве согласий;
- д) возможность обмена информацией о результатах взаимодействия между участниками взаимодействия;
- е) регистрацию действий должностных лиц Роскомнадзора при осуществлении возложенных законодательством Российской Федерации полномочий в области персональных данных;
- ж) возможность направления должностными лицами Роскомнадзора требований об устранении выявленных нарушений в области персональных данных участникам взаимодействия;
- з) формирование Роскомнадзором реестра записей о результатах рассмотрения запросов и исполнения требований об устранении выявленных нарушений в области персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций участниками взаимодействия;
- и) получение уведомлений от участников взаимодействия об устранении нарушений в области персональных данных, направленных в электронном виде.
Вместо промежуточного вывода
Сразу после публикации проекта приказа на сайте Федерального портала нормативных актов в СМИ появились предположения, что РКН заставить всех пользователей социальных сетей зарегистрироваться в этой информационной системе.
Тут же представители РКН отвергли такие предположения, заявив, что каждый оператор персональных данных имеет право выбора: можно получить согласие пользователей самостоятельно, а можно с помощью новой системы РКНа.
Проект приказа раскрывает только механизм работы инфосистемы. В Законе “О персональных данных” действительно есть право выбора оператора: можно получить согласие самостоятельно, можно через систему РКНа. При этом закон не предусматривает письменной формы согласия на распространение персональных данных.
Возможно, некоторым операторам действительно будет удобнее использовать ее функционал. Но обязанности граждан пройти регистрацию в этом портале сейчас нет.
Остаюсь с вами на связи и отвечаю на вопросы в Телеграм-чате. Следить за обновлениями контента удобнее в Телеграм-канале.
Об утверждении порядка функционирования Информационной системы взаимодействия от 16 марта 2021
В соответствии с частью 8 статьи 15.2 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448; 2020, N 24, ст.
3751), пунктом 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г.
N 228 (Собрание законодательства Российской Федерации, 2009, N 12, ст.1431; 2021, N 1, ст.152),
приказываю:
1. Утвердить прилагаемый порядок функционирования Информационной системы взаимодействия.
2. Приказы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 12 августа 2013 г. N 912 «О порядке функционирования информационной системы взаимодействия» (зарегистрирован Министерством юстиции Российской Федерации 26 ноября 2013 г., регистрационный N 30454), от 11 марта 2014 г.
N 33 «О внесении изменений в приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 12 августа 2013 г. N 912 «О порядке функционирования Информационной системы взаимодействия» (зарегистрирован Министерством юстиции Российской Федерации 9 апреля 2014 г., регистрационный N 31853), от 13 мая 2015 г.
N 47 «О внесении изменений в приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 12 августа 2013 г. N 912 «О порядке функционирования Информационной системы взаимодействия» (зарегистрирован Министерством юстиции Российской Федерации 17 июня 2015 г., регистрационный N 37670), от 05.08.
2020 N 100 «О внесении изменений в порядок функционирования Информационной системы взаимодействия, утвержденный приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 12 августа 2013 г. N 912» (зарегистрирован Министерством юстиции Российской Федерации 22 декабря 2020 г.
, регистрационный N 61692) признать утратившими силу.
3. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
РуководительА.Ю.Липов
- Зарегистрировано
- в Министерстве юстиции
- Российской Федерации
- 1 июля 2021 года,
- регистрационный N 64070
УТВЕРЖДЕНприказом Федеральной службыпо надзору в сфере связи,информационных технологийи массовых коммуникаций
от 16 марта 2021 года N 27
1.
Настоящий Порядок функционирования Информационной системы взаимодействия определяет правила функционирования Информационной системы взаимодействия (далее — Система взаимодействия), созданной Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и функционирующей в целях реализации статей 15.2 и 15.3 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448; 2020, N 24, ст.3751).
- 2. Система взаимодействия должна обеспечивать:
- а) возможность приема заявлений правообладателей о принятии мер по ограничению доступа к информационным ресурсам, распространяющим объекты авторских и (или) смежных прав (кроме фотографических произведений и произведений, полученных способами, аналогичными фотографии) в информационно-телекоммуникационных сетях, в том числе в информационно-телекоммуникационной сети «Интернет» (далее — сеть «Интернет»), или информацию, необходимую для их получения с использованием информационно-телекоммуникационных сетей, без разрешения правообладателя или иного законного основания (далее — информационные ресурсы), в том числе к программе для электронных вычислительных машин, посредством которой обеспечивается доступ в информационно-телекоммуникационных сетях, в том числе в сети «Интернет», к объектам авторских и (или) смежных прав (кроме фотографических произведений и произведений, полученных способами, аналогичными фотографии) или к информации, необходимой для их получения с использованием информационно-телекоммуникационных сетей (далее — программное приложение);
- _______________
Часть 1 статьи 15.2 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- б) формирование реестра записей о принятых заявлениях правообладателей и принятых мерах по ограничению доступа к информационным ресурсам или программным приложениям (далее — Реестр НАП);
- в) формирование и направление провайдерам хостинга, владельцам сайтов, владельцам информационных ресурсов, на которых размещено программное приложение, и владельцам программных приложений уведомлений о размещении информационных ресурсов, программных приложений и принятии мер по ограничению доступа к ним;
- _______________
Пункт 1.1 части 2 статьи 15.2 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
г) выгрузку операторам связи, оказывающим услуги по предоставлению доступа к сети «Интернет» (далее — оператор связи), информации об информационных ресурсах, программных приложениях;
д) возможность обмена информацией о судебных актах, принимаемых Московским городским судом в соответствии с частью 3 статьи 26 Гражданского процессуального кодекса Российской Федерации (Собрание законодательства Российской Федерации, 2002, N 46, ст.4532; 2016, N 1, ст.
29), Первым апелляционным судом общей юрисдикции в соответствии с пунктом 1 части 2 статьи 23.9 Федерального конституционного закона от 7 июля 2011 г.* N 1-ФКЗ «О судах общей юрисдикции в Российской Федерации» (Собрание законодательства Российской Федерации, 2011, N 7, ст.898; 2018, N 31, ст.
4811), Вторым кассационным судом общей юрисдикции в соответствии с пунктом 2 части 2 статьи 23.1 Федерального конституционного закона от 7 июля 2011 г.
* N 1-ФКЗ «О судах общей юрисдикции в Российской Федерации по вопросам защиты исключительных прав правообладателей на объекты авторских и (или) смежных прав (кроме фотографических произведений и произведений, полученных способами, аналогичными фотографии);
________________
* Вероятно, ошибка оригинала. Следует читать «от 7 февраля 2011 г.». — Примечание изготовителя базы данных.
е) регистрацию действий должностных лиц Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении полномочий, предусмотренных частями 2, 5, 6 статьи 15.2, частями 2, 6 статьи 15.3 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
ж) возможность получения требований Генерального прокурора Российской Федерации или его заместителей о принятии мер по ограничению доступа к информационным ресурсам, распространяющим в информационно-телекоммуникационных сетях, в том числе в сети «Интернет», информацию, содержащую призывы к массовым беспорядкам, осуществлению экстремистской деятельности, участию в массовых (публичных) мероприятиях, проводимых с нарушением установленного порядка, недостоверную общественно значимую информацию, распространяемую под видом достоверных сообщений, которая создает угрозу причинения вреда жизни и (или) здоровью граждан, имуществу, угрозу массового нарушения общественного порядка и (или) общественной безопасности либо угрозу создания помех функционированию или прекращения функционирования объектов жизнеобеспечения, транспортной или социальной инфраструктуры, кредитных организаций, объектов энергетики, промышленности или связи, информационные материалы иностранной или международной неправительственной организации, деятельность которой признана нежелательной на территории Российской Федерации в соответствии с Федеральным законом от 28 декабря 2012 г. N 272-ФЗ «О мерах воздействия на лиц, причастных к нарушениям основополагающих прав и свобод человека, прав и свобод граждан Российской Федерации» (Собрание законодательства Российской Федерации, 2012, N 53, ст.7597; 2021, N 1, ст.21), сведений, позволяющих получить доступ к указанным информации или материалам (далее — требования Генерального прокурора или его заместителей);
_______________
Часть 1 статьи 15.3 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- з) формирование реестра записей о принятых требованиях Генерального прокурора или его заместителей и принятых мерах по ограничению доступа к информационным ресурсам, распространяющим в информационно-телекоммуникационных сетях, в том числе в сети «Интернет», информацию, содержащую призывы к массовым беспорядкам, осуществлению экстремистской деятельности, участию в массовых (публичных) мероприятиях, проводимых с нарушением установленного порядка, недостоверную общественно значимую информацию, распространяемую под видом достоверных сообщений, которая создает угрозу причинения вреда жизни и (или) здоровью граждан, имуществу, угрозу массового нарушения общественного порядка и (или) общественной безопасности либо угрозу создания помех функционированию или прекращения функционирования объектов жизнеобеспечения, транспортной или социальной инфраструктуры, кредитных организаций, объектов энергетики, промышленности или связи, информационные материалы иностранной или международной неправительственной организации, деятельность которой признана нежелательной на территории Российской Федерации в соответствии с Федеральным законом от 28 декабря 2012 г. N 272-ФЗ «О мерах воздействия на лиц, причастных к нарушениям основополагающих прав и свобод человека, прав и свобод граждан Российской Федерации», сведения, позволяющие получить доступ к указанным информации или материалам (далее — информация, распространяемая с нарушением закона);
- и) направление операторам связи требований о принятии мер по ограничению доступа к информации, распространяемой с нарушением закона;
- _______________
Пункт 1 части 2 статьи 15.3 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
к) формирование и направление провайдерам хостинга, владельцам сайтов уведомлений о нарушении порядка распространения информации с указанием доменного имени и сетевого адреса, позволяющих идентифицировать сайт в сети «Интернет», на котором размещена информация, распространяемая с нарушением закона, а также указателей страниц сайта в сети «Интернет», позволяющих идентифицировать такую информацию, с требованием принять меры по удалению такой информации;
_______________
Пункт 3 части 2 статьи 15.3 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
л) получение Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций уведомлений об удалении информации, распространяемой с нарушением закона, направленных в электронном виде.
3. Система взаимодействия включает в себя следующие элементы:
а) сайт в сети «Интернет» для приема заявлений правообладателей — nap.rkn.gov.ru;
б) сайт в сети «Интернет» для предоставления выгрузки операторам связи информации об информационных ресурсах — vigruzki.rkn.gov.ru;
в) автоматизированные рабочие места должностных лиц Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций;
г) сайт в сети «Интернет» по вопросам применения положений статьи 15.3 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» — 398-fz.rkn.gov.ru;
4. Обмен информацией в Системе взаимодействия осуществляется в электронной форме.
5. Обеспечение функционирования Системы взаимодействия осуществляется структурными подразделениями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
6. Взаимодействие Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с Московским городским судом осуществляется посредством:
а) направления Московским городским судом в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций через ПАВ в электронном виде информации и (или) копий судебных актов о принятии мер по ограничению доступа к информационным ресурсам и (или) копий судебных актов об отмене мер по ограничению доступа к информационным ресурсам, подписанных в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, N 15, ст.2036; 2021, N 9, ст.1467);
б) направления Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в Московский городской суд через ПАВ в электронном виде информации об исполнении судебных актов о принятии мер по ограничению доступа к информационным ресурсам, подписанной в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи».
7. Взаимодействие Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с Первым апелляционным судом общей юрисдикции и Вторым кассационным судом общей юрисдикции осуществляется посредством:
а) направления Первым апелляционным судом общей юрисдикции и Вторым кассационным судом общей юрисдикции в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций через ПАВ в электронном виде копий судебных актов о принятии мер по ограничению доступа к информационным ресурсам и (или) копий судебных актов об отмене мер по ограничению доступа к информационным ресурсам, подписанных в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи»;
б) направления Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в Первый апелляционный суд общей юрисдикции и Второй кассационный суд общей юрисдикции через ПАВ в электронном виде информации об исполнении судебных актов о принятии мер по ограничению доступа к информационным ресурсам, подписанной в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи».
8. Заявление правообладателя о принятии мер по ограничению доступа к информационным ресурсам на основании вступившего в силу судебного акта направляется в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций через сайт в сети «Интернет» nap.rkn.gov.ru.
_______________
Часть 1 статьи 15.2 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
9. Для подачи заявления через сайт nap.rkn.gov.ru правообладатель должен зарегистрироваться на Едином портале государственных и муниципальных услуг (функций) на сайте gosuslugi.ru в разделе «Регистрация».
Авторизация правообладателя при подаче заявления через сайт nap.rkn.gov.
ru производится с использованием федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме».
Уведомление Роскомнадзора об обработке персональных данных
Неправильное заполнение уведомления об обработке персональных данных может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.
Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.
Определяем цели обработки данных
- Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.
- При определении целей обработки персональных данных и заполнении уведомления необходимо проанализировать следующее:
- 1) Цели деятельности оператора, определённые в его уставе, локальных актах, согласии на обработку персональных данных, анкетах, договорах, предусматривающих передачу персональных данных и пр.
- 2) Основания получения персональных данных, деятельность, которую оператор осуществляет при получении и обработке персональных данных на таких основаниях.
Цели, указываемые в уведомлении, должны охватывать все случаи обработки персональных данных.
При этом нужно учитывать как внешнюю деятельность компании – работа с клиентами, пользователями, заключение и исполнение договоров, маркетинговая активность и пр., так и внутреннюю – подбор и приём кадров, сбор данных о сотрудниках, организация пропускного режима.
Примеры заполнения информации о целях обработки персональных данных в уведомлениях:
- «цель обработки, регистрации сведений, необходимых для оказания услуг учащимся в области образования, персональных данных работников, сведений об их профессиональной служебной деятельности»
- «цель обработки, регистрации сведений, необходимых для оказания жилищно-коммунальных услуг собственникам, жильцам помещений, персональных данных работников, сведений об их профессиональной служебной деятельности»
- При определении целей рекомендуется привлекать специалистов, которые знакомы со всей деятельностью компании, а не заняты в одном отделе – это обеспечит правильность и полноту работы в сфере обработки персональных данных.
- Специалисты ПДМастер смогут задать правильные вопросы и определить цели обработки данных, актуальные для вашей компании.
Определяем категории обрабатываемых персональных данных
Указание неполного перечня обрабатываемых персональных данных – одно из типовых нарушений в сфере обработки персональных данных. Чтобы избежать сложностей в заполнении уведомления разберёмся, какие сведения о персональных данных нужно указывать в уведомлении об обработке.
Из законодательства следует, что категории персональных данных – это перечень персональных данных, конкретные сведения о субъекте, с помощью которых он идентифицируется или может быть идентифицирован.
Персональные данные группируются в зависимости от их особенностей, на основе чего их относят к специальным, биометрическим и иным видам категорий персональных данных.
Как внести уведомление Роскомнадзора корректные категории персональных данных?
- Электронная форма уведомления на портале Роскомнадзора предлагает при определении категорий персональных данных указать конкретные сведения, которые будет собирать оператор – ФИО, дата, место рождения, семейное и социальное положение и пр.
- Сложность в определении категории персональных данных при заполнении уведомления связана с тем, что сам по себе перечень персональных данных не является исчерпывающим.
- В электронной форме уведомления есть графа «Другие категории персональных данных, не указанные в данном перечне», в которой оператор самостоятельно вписывает обрабатываемые персональные данные.
Операторы указывают не все «иные категории» и, как результат, нарушают требования законодательства. Так, операторы часто не указывают сведения о составе семьи; о трудовом и общем стаже, воинском учете; ИНН; СНИЛС и пр.
Во избежание неверного заполнения уведомления об обработке необходимо чётко определить цели обработки персональных данных, после чего указать, какие именно данные субъектов персональных данных будут обрабатываться.