С 1 сентября работодатели обязаны уведомить Роскомнадзор о сборе персональных данных
Как мы уже сообщали, с 1 сентября 2022 года новые фирмы, собирающие и обрабатывающие персональные данные (ПД), должны уведомить Роскомнадзор о том, что они выступают операторами ПД. Соответствующая информация содержится в ч. 1 ст. 22 закона № 152-ФЗ.
Ранее, до 1 сентября 2022 года, предприниматели могли не уведомлять госорган об обработке данных сотрудников в случаях, если:
- Обработка велась согласно трудовому законодательству;
- Работодатель получил личную информацию о сотруднике с его согласия и только для исполнения заключённого с работником договора;
- Личная информация распространялась с согласия субъекта ПД;
- Обрабатывались сведения, состоящие только из ФИО;
- Работодатель получил информацию для оформления разового пропуска;
- Обрабатывались данные участников религиозных организаций или общественных объединений.
Теперь этих исключений нет. С 1 сентября все новые операторы персональных данных обязаны направлять уведомления в Роскомнадзор до начала работы со сведениями. Согласно Федеральному закону от 14.07.2022 № 266-ФЗ, уведомлять госорган не потребуется только в трёх случаях:
- Организация обрабатывает ПД без систем автоматизации;
- Информация о сотрудниках включена в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
- Данные обрабатываются для обеспечения транспортной безопасности.
Также в документе уточняется, что уведомление направляется в Роскомнадзор в бумажном виде (в территориальный орган по месту регистрации) и подписывается уполномоченным лицом или в электронном формате, который заверяется электронной подписью ответственного сотрудника. Сделать это можно через Портал персональных данных, который курирует Роскомнадзор, или через «Госуслуги».
Оформите электронную подпись для физлиц (сотрудников) в удостоверяющем центре «Такском»
В уведомлении указывается:
- Наименование юрлица (или ФИО физлица) и адрес оператора персональных данных,
- Дата и номер уведомления обработки ПД;
- Наименование (ФИО) лица, ответственного за обработку, и контакты для связи — телефон, электронная почта, почтовый адрес;
- Правовое основание и цель передачи и обработки ПД;
- Категории и перечень персональных данных;
- Категории субъектов, ПД которых обрабатываются;
- Перечень иностранных государств, куда передаются данные;
- Дата оценки условий конфиденциальности и безопасности персональных данных в иностранных государствах, которую проводит оператор обработки ПД.
Снизьте риски при получении в налоговой ЭП на первое лицо — воспользуйтесь услугой «Подготовка к получению ЭП в ФНС»
Уведомить Роскомнадзор о начале работы с персональными данными требуется всего раз. Если компания уже есть в реестре госоргана, повторно отправлять заявку не нужно.
Напомним, с 1 сентября операторы персональных данных также обязаны взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и информировать о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.
Согласно изменениям в Федеральный закон № 152-ФЗ, действующие операторы уже должны были направить уведомление в Роскомнадзор. Те, кто этого не сделал до назначенной даты, с 1 сентября формально считаются нарушителями, поскольку хранить и обрабатывать данные без уведомления запрещено. Работодателям может грозит административная ответственность по ст. 19.7 КоАП РФ о непредставлении сведений.
При этом Роскомнадзор разъяснил, предельный срок подачи уведомлений не определён.
«После вступления в силу приказа Роскомнадзора, устанавливающего новую форму уведомления, оператор может направить уведомление о внесении изменений в ранее представленные сведения в Реестр операторов, осуществляющих обработку персональных данных. Таким образом, 1 сентября 2022 года не является крайним сроком подачи уведомления об обработке персональных данных», — говорится в сообщении на сайте госоргана.
Роскомнадзор
Отправить
Запинить
Твитнуть
Поделиться
Свои замечания и предложения отправляйте на [email protected]
Дни открытых дверей 30 и 31 июля 2019 года в Роскомнадзоре
Представители РКН прояснили позицию по многим неясным вопросам. Подходы федеральной службы не изменились. Сервис (инфраструктура) электронной почты — не ИСПДн. Защищать персональные данные ИП как субъекта ПДн не нужно. Можно использовать простую электронную подпись для согласий субъектов. Адрес электронной почты — это ПДн. Тезисное изложение выступлений представителей центрального аппарата Роскомнадзора представлено далее…
Скачать презентации можно на сайте Роскомнадзора.
Деятельность Роскомнадзора
Формат мероприятий изменился, статистику и отчётность по деятельности дают в январе на международном дне защиты ПДн.
Алехина Ирина Геннадьевна сообщила, что долгожданная матрица персональных данных не готова и не будет готова в ближайшее время.
За 2018 год к ответственности привлечено 96 операторов, за 1 полугодие 2019 — 61 оператор. Большинство штрафов выписано по ч. 1 ст. 13.11 КоАП РФ (универсальное нарушение). По ч. 7 (нарушения органами власти требований к обезличиванию) не было ни одного нарушения.
При обсуждении формата проверок РКН активно ссылается на новые правила контроля, о которых мы писали ранее. В случае, если не назначено (отсутствует доверенность, или она некорректно оформлена) лицо, ответственное за сопровождение проверки, РКН может приостановить проверку на месяц — срок, в течение которого должны назначить такое лицо. Если и за это время не назначили, то придут с правоохранительными органами. На предоставление документов будут давать от 2 дней в зависимости от запрашиваемого документа. Если сроки нарушают, то могут продлить проверку.
До подписания акта проверки его не показывают оператору и не дают возможность оператору представить замечания к тексту.
Отказ в ознакомлении с актом противоречит собственному административному регламенту Роскомнадзора.
Понятия
Базы персональных данных — это, в том числе, и материальные носители. Такую базу надо указывать в уведомлении. ИНН, СНИЛС и адрес электронной почты — это ПДн. Почтовые сервисы не являются ИСПДн. Фотография в СКУД: позиция не поменялась, — будет признаваться биометрией только в отдельных случаях.
По мнению Роскомнадзора, требования 152-ФЗ на обработку персональных данных ИП не распространяются, т.к. это не субъект персональных данных, а отдельный хозяйствующий субъект.
Позиция по обезличивания не поменялась. Обезличивание могут выполнять только государственные и муниципальные органы власти в соответствии с требованиями законов. Коммерческие организации могут выполнять обезличивание исключительно в статистических и исследовательских целях. В очередной раз пообещали, что будет выработан подход по обезличиванию на базе площадки цифровой экономики.
Уведомление
Согласие надо указывать в правовых основаниях обработки. 152-ФЗ по прежнему не может указываться в правовых основаниях.
Две основные причины нарушений у оператора по мнению Роскомнадзора:
- Используются онлайн-сервисы подготовки документов по персональным данным.
- Перед подачей уведомления не проводился аудит обработки персональных данных.
Кому поручается обработка (обработчики ПДн) должны также подавать уведомление. Иностранные лица, не зарегистрированные в России, уведомления не подают. Использовать одну ИСПДн несколькими аффилированными лицами можно. Указывать ИСПДн при этом должен владелец (оператор ИС). Если во внешней ИСПДн есть БД аффилированного лица, то это аффилированное лицо должно указать БД в уведомлении. Обещают внести ясность в статус оператора и обработчика вместе с готовящимися изменениями в 152-ФЗ.
О том, как правильно составить уведомление, можно прочитать у нас на сайте.
Ответственные лица и аудит
Некорректное определение ответственного за организацию обработки ПДн, а также назначение нескольких ответственных лиц — нарушения. Полномочия ответственного должны быть в ОРД. Ответственное лицо может делегировать свои полномочия членам рабочей группы. О том, как назначать ответственное лицо, что оно должно делать и какими полномочиями обладать, мы писали ранее.
Должны быть планы проведения внутреннего контроля или аудита. По результатам проведенного аудита обязательно необходимо составлять отчётные документы. Подробнее об аудите можно прочитать у нас на сайте.
Обучение персонала и перечень допущенных к обработке лиц
Обучение в электронной форме (видеоролики, электронные курсы) не в полной мере соответствует видению Роскомнадзора. Должно производиться обучение всех лиц, в т.ч. кому поручили обработку персональных данных. Фиксация факта обучения должна производиться собственноручной подписью обученного лица, либо электронной подписью (при надлежащей регламентации использования ЭП).
Согласие
По словам Роскомнадзора, они ориентируются на использование простой электронной подписи для работников.
Видеосъёмка на рабочих местах: цель должна быть предусмотрена, например контроль качества, пресечение противоправных действий. Рекомендации: информировать о факте осуществления видеосъёмки и отражать это в локальном акте. Позиция Роскомнадзора соответствует подходу, описанному нами ранее.
Согласие работника на передачу перестает действовать после его увольнения, надо брать новое согласие. Через 5 лет после увольнения данные о работнике должны из ИСПДн переноситься в архив. Электронные архивы возможны только после выхода следующего закона или изменений в действующем законодательстве. При передаче ПДн работников иностранным лицам нужен договор-поручение. Направлять доверенности контрагентам можно без согласия работника, т.к. такая деятельность регулируется законами. Сведения в доверенности не являются общедоступными. Распространять чужие доверенности нельзя.
Мультисогласие (несколько операторов в одном согласии) не соответствуют требованиям ст. 9 152-ФЗ. В действующем законодательстве планируются изменения: перечень третьих лиц, кому передаются ПДн работников, можно будет указывать на сайте. У оператора будет возникать обязанность своевременно (в течение 7 дней) вносить изменения в этот перечень. Несколько лиц, кому поручается обработка, можно указывать в согласии работника в рамках одной цели.
Лента сообщений в удобном формате:
Роскомнадзор · Темы GitHub · GitHub
Вот 17 публичных репозиториев соответствует этой теме…
Прототип-Х / черный список-rkn-инструмент
Звезда 29mazzz1y / ss-v2ray-докер
Звезда 29Лимыч / антизапрет
Звезда 21Питовский / Заблокированная карта
Звезда 11мародере / черный список
Звезда 10оргтехсервис / Роскомтулс
Звезда 7Омар Асади / АнтиЗапрет-V2Ray
mazzz1y / МТГС
Звезда 7Роки / Роскомнадзор
Звезда 4даскол / socks-прокси
Звезда 3боберкс / rkn_request
Звезда 2маслик / телега
Звезда 2александр-раков / zapret2acl
Эргель / ПалеРКН
Звезда 2Александрфефелов / vigruzki-api
Звезда 1k0ldbl00d / rkndownloader
Звезда 1бседин / rkn_ip_lookup
Звезда 1Улучшить эту страницу
Добавьте описание, изображение и ссылки на Роскомнадзор страницу темы, чтобы разработчикам было легче узнать о ней.
Курировать эту тему
Добавьте эту тему в свой репозиторий
Чтобы связать ваш репозиторий с Роскомнадзор тему, перейдите на целевую страницу репозитория и выберите «управление темами».
Узнать больше
Утечка из регулятора помогает понять, как работает цензура в рунете — The Bell — Eng
Интернет Расследование — 14 февраля 2023 г.На прошлой неделе несколько российских изданий (1, 2, 3) опубликовали анализ утечки рабочих файлов и внутренних сообщений из главного российского радиочастотного центра, де-факто исполнительного органа Роскомнадзора.
- Центр располагается в скромном двухэтажном здании из красного кирпича в бизнес-центре на берегу Москвы-реки недалеко от центра российской столицы. Это подразделение Роскомнадзора в основном занимается обеспечением надлежащего использования радиочастот. Однако у него есть еще одна важная, но непризнанная обязанность — каждый день он отслеживает российский интернет на предмет любого контента, который может представлять репутационную угрозу для российских властей. Сотрудники центра ищут материалы, критикующие Путина или спекулирующие на его здоровье (в одном из журналистских расследований сообщалось, что президент России часто путешествует с онкологом, оториноларингологами и реаниматологами).
- Роскомнадзор систематически отслеживает интернет-ресурсы, чтобы найти эту информацию, но ее точность ограничена. Ведомство поручило ведущему техническому вузу России МФТИ разработать систему для слежки за социальными сетями и медиа-сайтами с использованием искусственного интеллекта «Вепрь». Они надеются, что это не просто автоматически пометит «точки информационного конфликта» или горячие темы на национальном или региональном уровне. Они также хотят прогнозировать распространение «информационных угроз» и появление протестов; публиковать автоматические отказы; блокировать контент и отправлять данные «уполномоченным органам». По данным iStories, «Вепрь» должен соперничать по сложности с китайским «Великим брандмауэром» и планируется ввести в эксплуатацию к концу 2024 года. Этот срок почти неизбежно будет отложен из-за проблем с привлечением квалифицированных кадров для работы над проектом в условиях действующих санкций.
- В просочившейся переписке GRFC связался с Яндексом, ведущей российской технологической компанией. Яндекс отрицает, что оказывает Роскомнадзору какие-либо услуги. Однако внутренние документы показывают, что GRFC использовала Толоку, платформу Яндекса для разработки нейронных сетей, где пользователи могут анализировать огромные объемы данных по низкой цене. Кроме того, сервис «чистого интернета» GRFC использует поисковый API Яндекса для анализа онлайн-контента (попросту говоря, API позволяет разработчикам использовать готовые инструменты других разработчиков). Сотрудники GRFC просили Яндекс увеличить количество возможных запросов к API в день, но компания отказалась.
- Весь «негатив», обнаруженный командой GRFC, передается в спецслужбы: Генеральную прокуратуру, администрацию президента, МВД, ФСБ, ФСО и Росгвардию, сообщила iStories Алеся Мариховская.
- Кроме того, сообщается, что GRFC готовил списки иностранных агентов для Министерства юстиции задолго до того, как этот статус стал широко использоваться во второй половине 2021 года.