Почему все порталы с персональными данными вне закона с 2008 года и как получилось, что всем плевать, в том числе фсб
Содержание:
- Общее содержание
- Зачем нужна новая информационная система Роскомнадзора
- “Письмо счастья” от Роскомнадзора
- В каких случаях можно обойтись без него?
- Что делать владельцу сайта, чтобы избежать штрафов
- Выполнение требования. Реалии
- Управление Роскомнадзора по Амурской области приостанавливает все очные форматы взаимодействия из-за угрозы распространения коронавируса
- Как уведомить Роскомнадзор
- Что это?
- О согласиях на обработку персональных данных
- Несколько целей в одном согласии
- Получение согласия на обработку персональных данных при заключении договора
- Согласия на обработку персональных данных соискателя и близких родственников
- Обработка персональных данных родственников сотрудника имеет ряд особенностей
- Электронные копии согласий на обработку персональных данных
- Срок согласия на обработку персональных данных
- Форма согласия на получение рассылки от иностранного сайта
- На примере системы «1С «Кадры и бухгалтерия»:
- Заключение
Общее содержание
В целом уведомление РКН о проводимой обработке персональных данных и их сборе, не отличается сложным форматом, но должно содержать информацию о том, какие именно сведения собираются, с какой целью, и что используется как для сбора, так и обработки данных.
Таким образом, при подаче соответствующего уведомления, следует указать следующую информацию:
Название того отделения ведомства РКН | По которому находится компания |
Разновидность оператора | Это юридическое лицо, или другой тип организации деятельности |
Название фирмы | Подающей документ |
Адрес нахождения компании | По которому ее можно найти и идентифицировать |
Идентификационный код и ОГРН юридического лица | — |
Основания | На которых производится обработка данных, и цель, которая преследуется в ее итоге |
Меры | Которые принимаются для обеспечения безопасности и сохранения информации в тайне от третьих лиц |
Дату начала обработки | Срок, в который это завершится, вместо последнего можно прописать условия, которые могут повлечь за собой прекращение работы с персональными данными |
Категории субъектов права | Сведения о которых будет обрабатывать фирма |
Список операций | Осуществляемых с данными, в том числе и способы обработки получаемой информации |
Будет ли производиться | Трансграничная передача получаемых данных |
Адрес | По которому находится база, где сведения хранятся физически и их можно будет достать |
Лицо | Которое несет полную ответственность за работу с данными, либо перечисление всех таких людей, если их несколько |
Прочая информация в уведомлении о проведении обработки личных данных оговариваться в обязательном порядке не должна. Но если компания желает, или имеет основания для добавления, то она может это сделать.
Зачем нужна новая информационная система Роскомнадзора
Система предназначена для получения оператором согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Администрировать ее будет Роскомнадзор.
В системе будут реализованы следующие функции:
- идентификации сведений об участниках взаимодействия;
- аутентификации сведений об участниках взаимодействия;
- авторизации участников взаимодействия;
- предоставления Роскомнадзору и иным государственным органам в случаях, определенных федеральными законами, сведений об участниках взаимодействия, размещенных в информационной системе;
- иных функций, предусмотренных федеральными законами, актами Президента Российской Федерации и актами Правительства Российской Федерации.
“Письмо счастья” от Роскомнадзора
Поскольку большинство компаний не стремились и не стремятся направлять уведомления, Роскомнадзор в свое время начал активно пополнять реестр операторов путем направления таких вот писем.
Уведомление Роскомнадзора о необходимости включения в реестр операторов персональных данных
В чем смысл таких действий в целом понятен из текста. Выборка компаний делается по ОКВЭДам, и та деятельность, которая потенциально связана с обработкой персданных физических лиц, является поводом для направления письма.
РКН вроде как и не заставляет включаться в реестр, но в противном случае просит предоставить пояснение с указанием правовых оснований обработки ПД без направления уведомления. Для принятия решения предоставляется 30 дней.
Оставить без внимания такое письмо нельзя: нужно включиться в реестр или написать, что деятельность компании попадает под исключения, предусмотренные статьей 22 Закона “О персональных данных”.
В случае игнорирования может последовать привлечение к административной ответственности по статье 19.7 КоАП “Непредставление сведений (информации)”. Штраф, конечно, невелик (до 5 000 руб. на юрлицо), но потенциально игнор — это повод для последующего проведения внеплановой проверки* и вынесения предписания об устранении нарушения законодательства.
За неисполнение предписания уже последует административка по статье 19.5 КоАП “Невыполнение в срок законного предписания…”.
*Справка: поводы, основания, сроки и т.п. моменты, связанные с проведением проверок в сфере персональных данных, установлены Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных (утв.Постановлением Правительства РФ от 13 февраля 2019 г. № 146).
В каких случаях можно обойтись без него?
Обработка ПД без уведомления федерального надзорного органа может осуществляться в следующих случаях:
- при получении конфиденциальных сведений в рамках трудовых отношений;
- при осуществлении операций без использования автоматизированных средств – компьютеров и баз данных;
- при оформлении договоров с физическим лицом – в случае, если лицо обязуется не предоставлять данные третьей стороне;
- если данные собираются общественной или религиозной организацией и предполагают исключительно внутреннее пользование;
- при оперировании со сведениями, которые выложены лицом в открытый доступ;
- компаниям, в которых действует пропускная система – где сведения принимаются лишь для оформления одноразового пропуска;
- если обрабатываются данные, содержащиеся в государственных информсистемах ПД;
- если информация собирается транспортными компаниями с целью оформления проездных документов.
Полный перечень случаев, не подлежащих уведомлению РКН, содержат пункты 1-9 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.
Важно!!! Юридическим и физическим лицам рекомендуется отслеживать изменения в законодательстве – статус оператора ПД может поменяться, и тогда придется отправлять уведомление в Роскомнадзор
Что делать владельцу сайта, чтобы избежать штрафов
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.
Например, на сайте Microsoft этот документ называется заявление о конфиденциальности
Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании
Минимизируйте риски: убедитесь, что персональные данные защищены в соответствии с ФЗ-152
Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):
- ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
- цель обработки ПД;
- перечень ПД, на обработку которых субъект дает согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
- срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
- подпись субъекта ПД.
Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.
Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.
Политика обработки персональных данных: как составить документ
Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.
За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Случаи, когда уведомление Роскомнадзора не требуется
Уведомлять Роскомнадзор не нужно, если ПД:
относятся к субъектам, которых связывают с оператором трудовые отношения;
Персональные данные сотрудника: как с ними работать
- получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
- являются общедоступными;
- включают только ФИО субъектов ПД;
- нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
- включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.
Выполнение требования. Реалии
Ладно, с нормативной базой разобрались, давайте посмотрим, что там на практике. А на практике получилось так:
операторы персональных данных проигнорировали это требование =>
так как нет спроса, разработчики средств защиты долгое время не представляли никаких решений =>
регулятор все понимает и закрывает на это все глаза при проверках =>
поскольку регулятор не «напрягает» операторы персональных данных игнорируют это требование – круг замкнулся.
Все же следует уточнить категоричный тон заголовка – хорошо, может на начало 2021 года и не все порталы с персональными данными не выполняют требование сертифицировано шифровать персональные данные, а процентов 99.
С 2017 года в одном из указанных выше звеньев произошел перелом – отечественные производители средств защиты информации начали выпускать сертифицированные TLS-решения, как раз для решения этой проблемы. Но и тут не обошлось без нюансов. Решения оказались совсем не дружелюбными при их внедрении и использовании. Особенно при использовании на клиентской части.
Самый жесткий вариант состоял в том, что за клиентское решение нужно было платить. Самый безобидный – необходимость использования специализированных браузеров, например, Chromium-gost. Масса таких эксплуатационных проблем возникала при использовании десктопов, а что уж говорить о мобильных устройствах.
Проверив множество государственных веб-порталов мы выяснили, что лишь небольшая часть реализует криптографию в специализированных браузерах по алгоритму ГОСТ. Вот так, например, в таком браузере выглядит сертификат портала torgi.gov.ru:
Правда, в Firefox уже вот такая картина:
Старый добрый RSA, точно не сертифицированный, ведь ФСБ сертифицирует только ГОСТ-криптографию. Да и в целом возникает вопрос, какой в смысл в том, что ГОСТ-шифрование работает, но из специальных браузеров, а из обычных потребительских сайт тоже работает, но на RSA. Получается, что требование как бы выполняется, но для мизерного числа пользователей.
Ну, хоть и на том спасибо, а вот Госуслуги решили не париться:
Управление Роскомнадзора по Амурской области приостанавливает все очные форматы взаимодействия из-за угрозы распространения коронавируса
В соответствии с поручением председателя Правительства Российской Федерации от 18 марта 2020 года № ММ-П36-1945, распоряжением Роскомнадзора от 20 марта 2020 года № 7:
В части разрешительной работы в сфере массовых коммуникаций, в сфере связи прием заявлений, а также направление оформленных документов заявителям будут осуществляться на адрес электронной почты. В случае наличия в соответствующих заявлениях просьбы о выдаче документов на руки, оформленные документы по таким обращениям будут направлены посредством почтовой связи.
С 23 марта 2020 года приостанавливается личный прием документов от граждан.
Для организации взаимодействия рекомендуем обращаться в Управление Роскомнадзора по Амурской области:
- Портал государственных услуг gosuslugi.ru;
- в письменной форме через АО «Почта России».
___________________________________________
____________________________________________
____________________________________________
о НЕДОПУСТИМОСТИ ПОЛУЧЕНИЯ от физических и юридических лиц ПОДАРКОВ государственными гражданскими служащими в связи с выполнением ими служебных обязанностей
____________________________________________
____________________________________________
____________________________________________
____________________________________________
____________________________________________
____________________________________________
ВНИМАНИЕ!
Управление Роскомнадзора по Амурской области проводит онлайн-опрос граждан на странице сайта 28.rkn.gov.ru:
В разделе «Противодействие коррупции» открыт онлайн-опрос для граждан: «Как вы оцениваете работу, проводимую подразделением по противодействию коррупции, в Управлении Роскомнадзора по Амурской области в 2020г.?».
____________________________________________
Уполномоченный по правам ребёнка в Амурской области и Управление Роскомнадзора по Амурской области просит неравнодушных пользователей сети «Интернет» направить усилия на выявление в Сети материалов о способах совершения самоубийства, призывов к совершению самоубийства среди несовершеннолетних.
В случае обнаружения таких материалов, просим заполнить форму, размещенную по адресу https://eais.rkn.gov.ru/feedback/ для блокировки доступа к негативному контенту.
Одним «кликом» Вы можете спасти ЖИЗНЬ РЕБЁНКА!
____________________________________________
ПОРТАЛ ДЛЯ ДЕТЕЙ И ПОДРОСТКОВ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ.ДЕТИ (http://персональныеданные.дети)
____________________________________________
____________________________________________
ВНИМАНИЮ ВЛАДЕЛЬЦЕВ ФРАНКИРОВАЛЬНЫХ МАШИН.
О результатах тестовых испытаний франкировальных машин.
7 июня 2021 года
О привлечении ПАО «Ростелеком» к административной ответственности по ч. 3 ст. 14.1 КоАП РФ
4 июня 2021 года
ООО «Союз плюс» и его должностное лицо привлечены к административной ответственности
4 июня 2021 года
За невыполнение в установленный срок законного предписания должностное лицо ООО «Ваше радио» привлечено к административной ответственности
3 июня 2021 года
Управлением Роскомнадзора по Амурской области Жилищно-строительный кооператив № 1 при Свободненском отделении Забайкальской железной дороги привлечен к административной ответственности
28 мая 2021 года
Главный редактор газеты «Комсомольская правда Благовещенск» привлечен к административной ответственности
28 мая 2021 года
Должностное лицо ООО «Спутник-ТВ» привлечено к административной ответственности
28 мая 2021 года
ООО «Спутник-ТВ» привлечено к административной ответственности
27 мая 2021 года
Управлением Роскомнадзора по Амурской области Центральное Межрегиональное управление государственного автодорожного надзора Федеральной службы по надзору в сфере транспорта привлечено к административной ответственности по ст. 19.7 КоАП РФ
24 мая 2021 года
ООО «РМГ» привлечено к административной ответственности за нарушение лицензионных требований
17 мая 2021 года
Журнал «СОВЕТ ДА ЛЮБОВЬ НА АМУРЕ» прекратил свою деятельность
Как уведомить Роскомнадзор
Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:
- сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
- правовое основание и цели обработки данных согласно уставу;
- описание мер и средств защиты личных данных;
- фактическую дату начала обработки персональных данных оператором;
- условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
- категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
- действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
- данные лица, ответственного за обработку персональных данных.
После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.
На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.
Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.
Что это?
Уведомление об обработке ПД – это документ, который подается в Роскомнадзор и на основании которого юридическое или физическое лицо включается в Реестр операторов, осуществляющих обработку ПД.
Уведомляющий документ подается организацией/предприятием/индивидуальным предпринимателем, подпадающим под определение “оператор ПД” перед началом обработки конфиденциальной информации (Статья 22 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) “О персональных данных”).
Важно!!! Оператор ПД – объект хозяйственной деятельности, государственное или муниципальное лицо, которое вправе организовывать или осуществлять манипуляции с персональными данными
О согласиях на обработку персональных данных
Несколько целей в одном согласии
Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.
Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.
Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.
Получение согласия на обработку персональных данных при заключении договора
Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.
Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.
Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.
Согласия на обработку персональных данных соискателя и близких родственников
Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.
Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.
Например, сообщить о необходимости проверки конфликта интересов.
Обработка персональных данных родственников сотрудника имеет ряд особенностей
Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.
Электронные копии согласий на обработку персональных данных
Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?
Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски
Срок согласия на обработку персональных данных
По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.
Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.
Форма согласия на получение рассылки от иностранного сайта
Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ?
Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.
На примере системы «1С «Кадры и бухгалтерия»:
- «Категория персональных данных» — отметить все категории в графе «Персональные данные», кроме «имущественное положение» и «социальное положение». Графу «специальные категории ПДн» и графу «Биометрические ПДн» заполнять не надо. В графе «другие категории ПДн», написать категории персональных данных из проекта уведомления, за исключением тех, что были отмечены знаком «галка»;
- «Категории субъектов, ПДн которых обрабатываются» — ввести информацию, указанную в аналогичном поле проекта уведомления;
- «Перечень действий с ПДн, общее описание …» — ввести информацию, указанную в аналогичном поле проекта уведомления. Выбрать тип обработки ПДн, исходя из типа обработки, указанного в проекте уведомления (для описанных 4-ех ИСПДн в проекте уведомления, используется: смешанная обработка ПДн, с передачей ПДн по внутренней сети Оператора, с передачей по сети Интернет);
- «Осуществление трансграничное передачи» — выбрать «не осуществляется»;
- «Использование шифровальных средств» — поле не заполняется;
- «Сведения о местонахождении базы данных…» — выбрать «Россия»;
- «Адрес ЦОДа» — указать адрес ЦОДа (указывается собственный адрес организации, если база данных, содержащая ПДн, находится на территории организации. Указывается адрес арендуемого ЦОДа, если база данных, содержащая ПДн, находится в арендуемом (ЦОДе));
- «Собственный ЦОД» — выбрать «да» (если база данных, содержащая ПДн, находится на территории организации), выбрать «нет» (если, база данных, содержащая ПДн, находится в арендуемом (ЦОДе). В случае ответа «нет», необходимо заполнить информацию по организации, ответственной за хранение данных (Информация представлена в проекте уведомления);
- На примере системы «1С «Кадры и бухгалтерия» заполняется информация по остальным ИСПДн, согласно информации, представленной в проекте уведомления. Новая информационная система добавляется путем нажатия «добавить ИС» в форме уведомления;
- «Ответственный за организацию обработки ПДн» — указывается физическое лицо, назначенное приказом по организации. Заполняются все поля.
После заполнения электронной формы уведомления, необходимо ввести «Защитный код», ознакомиться с «Порядком подачи уведомления в электронном виде» и нажать «Отправить электронное уведомление и подготовить форму к распечатке».
! ВНИМАНИЕ. После заполнения электронной формы, уведомление будет внесено в реестр рассматриваемых уведомлений
Уведомлению в электронной форме будет присвоен уникальный ключ. Распечатанному уведомлению на бумажном носителе будет присвоен аналогичный уникальный ключ. В связи с этим внимательно заполняйте и проверяйте формы уведомления перед нажатием на следующую кнопку:
Перечень территориальных органов Роскомнадзора: https://rkn.gov.ru/about/territorial/.
Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных Роскомнадзора: https://77.rkn.gov.ru/docs/77/Uvedomlenie_ob_obrabotke_PD.docx.
Заключение
Сейчас никто не удивляется, когда законодательство содержит в себе неконкретные формулировки, допускающие различные, несовместимые друг с другом трактовки. В этой статье мы показали, что есть и другая проблема – когда требование четкое и понятное, но по факту невыполнимое.
Почти 10 лет рассматриваемое требование было невыполнимо для веб-сайтов с неограниченной аудиторией из-за банального отсутствия каких-либо подходящих технических решений. Когда же эти технические решения появились на стороне порталов, появились проблемы со стороны пользователей, которые хотят, чтобы им было быстро и удобно, а не устанавливать на свой компьютер какие-то дополнительные браузеры, плагины и тем более платное клиентское ПО.
Сделать что-то с этой ситуацией может только ФСБ России, изменив свои требования. Путей тут может быть много. Можно конкретизировать требования для разных весовых категорий операторов персональных данных, для госструктур – одни, для крупных частных организаций – другие, для мелких частных организаций – третьи. Можно отложить введение требований до тех пор, пока ГОСТ-шифрование не начнет работать во всех браузерах из коробки. Можно много чего придумать, чтобы требования были своевременны, адекватны и выполнимы, но скорее всего всё останется как есть.