rkn moscow пришло письмо что это значит
Организации по всей России получают письма по защите персональных данных от СДС «Росконтроль»
В последнее время по сообщению ряда юридических лиц по всей России участились случаи получения информационных писем о необходимости подачи уведомления об обработке персональных данных и разработке документов. В связи с этим, при получении официальных писем из Департамента по защите персональных данных СДС «Росконтроль» (№ РОСС RU.З2056.04РКЛ0) просим обращать особое внимание на электронный адрес отправителя.
Массовая рассылка данных писем осуществляется в связи с проведением Роскомнадзором массовых проверок юридических лиц и индивидуальных предпринимателей по всей России.
Основной предмет письма заключается в том, чтобы предупредить организации, у которых имеются нарушения по Федеральному закону № 152-ФЗ от 27.07.2006г. «О персональных данных» (в ред. от 29.07.2017) об их ответственности за нарушение закона. Данная необходимость возникла в связи с внесением дополнений от 2 декабря 2019г. в статью 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» и повышением максимального штрафа до 6 миллионов рублей.
На 2020 год, каждое юридическое лицо, независимо от организационно-правовой формы и формы собственности, и каждый индивидуальный предприниматель, который использует персональные данные в профессиональной деятельности, обязаны:
• Подготовить документы по защите персональных данных для своей организации у аккредитованного экспертного центра.
• Привести в соответствие требованиям закона сайт организации и личные дела работников
• Уведомить Роскомнадзор о намерении обрабатывать персональные данные, или обновить информацию в реестре операторов персональных данных: https://pd.rkn.gov.ru/operators-registry/
В силу требований законодательства любая организация, в любом случае обязана собирать, хранить, передавать и использовать персональных данные своих текущих и уволенных сотрудников, включая руководителя организации, а так же клиентов, партнеров и других физических лиц, то есть вести их обработку. В связи с этим, любая организация признается оператором персональных данных с момента ее регистрации в ЕГРЮЛ, согласно Статье 3 Федерального закона № 152-ФЗ (в ред. от 29.07.2017) «О персональных данных».
С учетом изложенного просим Вас во избежание негативных последствий, привести свою организацию в соответствие с требованиями закона о персональных данных и проверять Ваших контрагентов при заключении договоров на наличие в реестре операторов персональных данных Роскомнадзора.
УСПЕЙТЕ ДО НГ!
Самый посещаемый курс «Клерка» про управленческий учет проходят уже более 100 ваших коллег. Успейте записаться на курс по старой цене 2021 года. Потом – дороже. Оплатите сейчас, учитесь в 2022 году в удобном потоке.
Департамент защиты персональных данных – прислал письмо: что это такое?
Начиная с 2019 года в сети появилась масса отзывов от людей, которым пришло письмо от «Департамента защиты персональных данных» с требованием сообщить ряд персональных данных. Подобные рассылки осуществляются мошенниками, поэтому стоит проявлять предельную внимательность перед тем, как передавать кому-либо конфиденциальную информацию.
Почему пришло такое письмо
На текущий момент Роскомнадзором и Росконтролем не проводится подобных массовых рассылок. Поэтому письмо от Департамента по защите персональных данных является «фейковым» и содержит фальшивые данные. Главная цель такой корреспонденции – заработок денег на растерявшихся получателях. Основная суть писем сводится к следующему:
В подобной ситуации получателю уведомления стоит внимательно ознакомиться с источником или обратиться к юристу для консультации. За отдельную плату можно заказать сопровождение документации с последующим внесением в реестры Роскомнадзора. На первый взгляд заподозрить «развод» в пришедшем письме довольно непросто, поскольку оно оформляется должным образом и содержит отсылки к действующим законам.
Не рекомендуется переходить по ссылкам, которые указаны в подобных письмах и вступать в переписку с отправителями. Индивидуальные предприниматели, организации и физические лица не нуждаются в посредниках для того, чтобы подавать данные в Роскомнадзор. Достаточно воспользоваться специальной страницей, предназначенной для поиска операторов pd.rkn.gov.ru/operators-registry. Потребуется указать название организации, регистрационный номер и ИНН, после чего кликнуть по клавише «Найти».
Как отличить официальное письмо от фальшивого
Выполнять проверку присылаемой третьими лицами информации следует каждый раз, поскольку она может исходить от мошенников. «Система добровольной сертификации Росконтроля» не предназначена для оповещения граждан. Задача информирования возложена на другие ведомства. При получении письма необходимо обратить внимание на следующие моменты:
Задать свой вопрос, связанный с получением подобных писем, можно обратившись в Роскомнадзор по официальным контактам. Электронная почта: postbox@rkn.moscow или notify@rkn.moscow. Официальный сайт Роскомнадзора – rkn.gov.ru. Почтовые серверы, доменные имена которых отличаются от ресурсов, используемых РКН, скорей всего принадлежат мошенникам и используются для обмана граждан.
Отзывы
Получил на почту письмо якобы от Роскомнадзора с требованием предоставить ряд персональных данных для обработки. Все было оформлено подобающим образом так, чтобы рядовой пользователь не заподозрил подвоха. Однако, когда я вбил контактный e-mail, то обнаружил в сети немало отзывов о мошенниках, выманивающих конфиденциальную информацию у доверчивых граждан под видом государственных структур. Всегда внимательно проверяйте источник корреспонденции перед тем, как предоставлять кому-либо свои персональные данные.
Прислали мне недавно письмо от имени Росконтроля, в котором шла речь о внесении в государственный реестр и перечне необходимых для этого документов. Перешел по указанному адресу и попал на какой-то сомнительный сайт с формой для ввода личных данных. Написал в службу поддержки Росконтроля и через пару часов получил ответ, что этот ресурс не имеет к ним никакого отношения, и вообще они не занимаются рассылкой подобных писем.
Дмитрий, Московская область
Заключение
Если пришло письмо, отправителем которого заявлен «Департамент защиты персональных данных», не стоит переходить по указанным в нем адресам и вступать в переписку. Подобные рассылки делают мошенники с целью завладеть конфиденциальной информацией юридических и физических лиц. В случае получения такой корреспонденции стоит обратиться в Роскомнадзор с жалобой на злоумышленников.
Отзыв о rkn.moscow / rkn.expert / Федеральный центр защиты персональных данных. Почта mailbox@rkn.moscow
ЕДИНЫЙ ЦЕНТР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
СИСТЕМА СЕРТИФИКАЦИИ «РОСКОНТРОЛЬ»
Рег.№ РОСС RU.З2056.04РКЛ0
Оператор ПДн: № 78-19-006412
195248, Санкт-Петербург, пр. Энергетиков, 3-а
Справочная: +7 (812) 983-6429 (с 9:00 до 16:00 по Москве)
[Электронное уведомление] 1 Исх. № 152_2223612515/1 от 20.10.2021 О необходимости соответствия АНО «СИСТЕМАТИКА» требованиям по защите персональных данных 3
Направление информации о необходимости принятия мер по защите персональных данных, согласно Федеральному закону № 152-ФЗ О персональных данных»(c изм. от 24.04.2020)
Уважаемый(ая) ННН ннн ннн!
В связи с выходом Постановления Правительства РФ от 29 июня 2021г. № 1046 «О ФЕДЕРАЛЬНОМ ГОСУДАРСТВЕННОМ КОНТРОЛЕ (НАДЗОРЕ) ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ», в срочном порядке уведомляем вас об увеличении риска проведения контрольно-надзорных мероприятий по АНО «СИСТЕМАТИКА», в отношении соответствия требованиям Федерального закона № 152-ФЗ (c изм. от 24.04.2020) «О персональных данных». В силу требований законодательства АНО «СИСТЕМАТИКА», в любом случае обязана собирать, хранить, передавать и использовать персональных данные своих текущих и уволенных сотрудников, включая руководителя организации, которым является, а так же клиентов, партнеров и других физических лиц, то есть вести их обработку. В связи с этим, ваша организация признается оператором персональных данных, как и любая другая действующая организация или ИП, согласно cтатье 3 Федерального закона № 152-ФЗ (c изм. от 24.04.2020) «О персональных данных».
На 20.10.2021 в АНО «СИСТЕМАТИКА» должны быть приняты организационно-технические меры по соответствию требованиям 152-ФЗ «О персональных данных» (в ред. от 24.04.2020), разработаны документы по защите персональных данных и, при необходимости, направлено уведомление об обработке персональных данных в территориальное отделение Роскомнадзора.
Почему вы оператор персональных данных?
Использование данных руководителя, работников, клиентов и иных физических лиц в профессиональной деятельности (фамилия, имя, отчество, адрес, паспортные данные, ИНН, номер телефона), ведение кадрового и бухгалтерского учета, заключение и оформление договоров, сбор анкет (резюме) кандидатов на работу, направление третьим лицам (органам) списков сотрудников при оформлении им медицинских полисов, перечисление денежных средств на зарплатные счета в банк, предоставление в военный комиссариат списков военнообязанных сотрудников, сбор и использование персональных данных клиентов, осуществление видеонаблюдения, ведение журнала контрольно-пропускного пункта и т.д. в соответствии с п.3 ст. 3 Федерального закона №152-ФЗ является обработкой персональных данных.
После проверки по ИНН: 2223612515 в общедоступном реестре операторов персональных данных Роскомнадзора, запись о АНО «СИСТЕМАТИКА» не была обнаружена, или содержит неполные сведения, что является достаточным поводом для привлечения внимания инспектора Роскомнадзора, в соответствии со ст.23, ч.5 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 24.04.2020) «О персональных данных». Основанием для проведения внеплановой проверки могут являться результаты проведения контрольных мероприятий без взаимодействия с АНО «СИСТЕМАТИКА», согласно постановлению Правительства Российской Федерации от 29 июня 2021г. № 1046. Отсутствие необходимых мер при проверке может повлечь за собой наложение административного штрафа до 5 000 руб. по ст.19.7 КоАП РФ и до 6 000 000 руб. по ст. 13.11 КоАП РФ, в зависимости от количества выявленных нарушений при проведении контрольно-надзорных мероприятий.
Если мы перейдем на rkn.moscow, то нас переадресуют на rkn.expert, кстати они изучают с помощью UTM-меток свои сомнительные маркетинговые активности. Если на сайте забить в их проверку любой ИНН, то найдут нарушений до 6 млн. рублей и попросят указать свои контактные данные. Введите ИНН «Роскомнадзора» и у них тоже будут штрафы…ну вы поняли. Это просто обычный скрипт на сайте.
Информация из письма не соответствует действительности.
Рассылка производится с почтового сервера с доменным именем, которое не используется Роскомнадзором. Официальные сообщения Службы могут быть отправлены исключительно с адресов электронной почты сервера @rkn.gov.ru.
Получившие подобные письма, могут сообщить о фактах получения неправомерных требований по адресу rsoc_in@rkn.gov.ru — в реальный Роскомнадзор.
Вот еще ответ РКН о страшилке с огромным штрафом в 6 млн. рублей:
Обращаем внимание, что операторы до начала обработки персональных данных обязаны уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. В случае, если деятельность оператора подпадает под исключения, предусмотренные положениями п. 1-9 ч. 2 ст. 22 Федерального закона «О персональных данных», уведомление об обработке персональных данных может не представляться. Кроме того, административная ответственность за непредставление уведомления об обработке персональных данных установлена не положениями статьи 13.11 КоАП РФ, как указано в подобных письмах, а положениями статьи 19.7 КоАП РФ с максимальным штрафом до 5.000 рублей.
Также обращаем внимание, что основания для проведения внеплановой проверки регламентированы постановлением Правительства Российской Федерации от 13.02.2019 №146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».
Таким образом, в случае получения подобных писем, при оценке доводов их отправителей необходимо руководствоваться указанной позицией Роскомнадзора.
Чем бы хотелось резюмировать: запугивание штрафами и мимикрия под государственные органы не похоже на нормальный консалтинг. Это как те конторы, что бабушкам кидают в подъезды листовки с некими проверками из липового ЖЭКа. Вроде по закону и не совсем развод, но и на правильный бизнес не похоже. Какое-то паразитирование на страхах людей, на боязни проверок и государственных органов. Получите такое письмо — смело шлите его в спам.
Департамент защиты персональных данных прислал письмо — что делать?
С середины 2019 года на электронные ящики многих организаций и предприятий стали приходить письма от некоего «Департамента защиты персональных данных». Также похожие оповещения приходят от «Системы добровольной сертификации Росконтроля» и даже вездесущего Роскомнадзора. В статье мы доходчиво объясним, что из себя представляют эти письма и с какой целью выполняется электронная рассылка.
Почему вам пришло такое письмо?
Давайте сразу разложим все по полочкам. На сегодняшний день, Росконтроль и Роскомнадзор не проводят подобных рассылок, а полученные вами письма от «Департамента защиты персональных данных» содержат фальшивую информацию.
Основная цель такого письма — заработать деньги на растерявшемся получателе, путем оказания ему дополнительных «юридических» услуг и консультаций по данному вопросу.
Основную суть письма можно спокойно описать в несколько предложений:
Департамент защиты персональных данных присылает фейковые письма
Конечно же, пришедшее письмо оформлено очень качественно, а все законы и положения, указанные в тексте, являются реальными и часто требуют обязательного исполнения. Ведь по идее, организациям, которые планируют собирать данные о физических лицах, действительно нужно уведомить Роскомнадзор. Но имеется ряд исключений, при которых уведомление можно не отсылать, и большое количество организаций попадают под эти исключения. Рекомендуем изучить данный вопрос подробнее — в сети достаточно информации по этому поводу.
Как отличить официальное письмо от фальшивого?
Надеюсь теперь вы будете осторожнее относится к приходящим письмам от условного «Департамента защиты персональных данных». Старайтесь всегда проверять присылаемую информацию от третьих лиц, даже если она очень эффектно оформлена и похожа на правдоподобную. Имейте ввиду — мошенники работают постоянно.
Теперь же стоит сказать несколько слов о настоящих уведомлениях от РНК, ведь это ведомство действительно может связываться с тем или иным оператором данных. Про Росконтроль мы не говорим, потому как эта организация вообще не занимается информированием населения.
Как заявляют специалисты РНК, получателю письма нужно обращать внимание на три главных момента:
Письмо от Департамента защиты персональных данных Системы сертификации «Росконтроль»
То сообщение, которое вы получили, и сейчас процитировали здесь, является обычным предложением возмездного оказания услуг.
Только для придания себе значимости отправитель использует слово «Росконтроль». В действительности же данная организация органом государственной власти не является.
Вы можете согласиться на их предложение, и они подготовят для вас определенные документы (по поводу качества и полноты подобных документов ничего сказать не могу, так как с этой организацией не работал).
Но если для вас будет иметь значение цена вопроса, то возможно подготовить все необходимые документы и без привлечения указанной организации.
Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.
Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных.
Основные требования:
1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.
К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать:
1.1. Перечень персональных данных, которые Вы обрабатываете.
1.2. Сведения о способах обработки персональных данных.
1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.
1.4. Цели использования персональных данных.
1.5. Принципы обработки персональных данных, которыми Вы руководствуетесь.
1.6. Меры, применяемые для защиты персональных данных.
1.7. Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике. Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.
1.8. Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.
1.9. Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.
1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.
Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы.
2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).
Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение. Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.
В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают. Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).
Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).
Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).
3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно:
3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности. Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.
3.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст. 3 152-ФЗ).
4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса. Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников. Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание. Я как правило предпочитаю объединять эти документы в один общий и именовать его «Положение о коммерческой тайне и обработке персональных данных» и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных. Что касается требований к содержанию положения, то оно должно включать в себя:
4.1. Информацию о том, какие данные сотрудников обрабатываются.
4.2. Цели обработки персональных данных.
4.3. Порядок ознакомления сотрудников компании с положением.
4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.
4.5. Меры по защите персональных данных.
4.6. Порядок доступа отдельных работников к персональных данным сотрудников компании.
4.7. Порядок хранения персональных данных.
4.8. Условия предоставления третьим лицам персональных данных сотрудников компании.
Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании. 2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ).
5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.
6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).
Уведомление направляется по онлайн форме — https://pd.rkn.gov.ru/operators-registry/notification/form/и плюс должно быть продублировано в письменном виде по обычной почте.
Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.
С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор. Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).
Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных. Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.
Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.
7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г. Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR. В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children’s Online Privacy Protection Act (COPPA).
В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис.
8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать.
Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.
Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток.
Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ.
Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.
Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.
(. ) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта).
(. ) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь.