Если вы получили письмо от Роскомнадзора, насторожитесь — скорее всего вам пишет не ведомство. Наши читатели стали получать письма, в которых чиновники сообщают: компании нет в специальном реестре операторов персональных данных. Даже приводят ссылку в интернете, которая действительно ведет на настоящий сайт Роскомнадзора. Авторы письма требуют, чтобы компания срочно разработала комплект документов по защите персональных данных. Одновременно пугают массовыми внеплановыми проверками в регионе, где компания стоит на учете. На странице справа вы видите настоящее письмо.
На подобные письма реагировать не нужно. Роскомнадзор не имеет отношения к этим рассылкам — представители ведомства сообщили об этом на сайте rkn.gov.ru. С внеплановыми проверками Роскомнадзор приходит редко, только если компания уже нарушала порядок работы с персональными данными и ревизоры об этом узнали. Массовых проверок ведомство не проводит.
Подобные письма не являются вирусными, и в них нет вредоносных ссылок. Это спектакль от компаний, которые хотят навязать вам свои услуги. Сценарий таков. Вам приходит якобы официальное письмо от Роскомнадзора, чтобы напугать директора и бухгалтера. Спустя несколько дней вы получаете новое электронное сообщение, которое, как вам покажется, попалось весьма кстати. В нем сказано, что компания обязана составить документы по защите персональных данных, иначе будет штраф от 5000 до 10 000 руб. И предлагается пройти по ссылке на сайт компании, которая разрабатывает подобную документацию. Стоимость услуг подобных организаций в среднем по стране варьируется от 10 000 руб. до 100 000 руб. Но если вам действительно необходим документ по защите персональных данных, вы в силах составить его сами и сэкономить деньги.
Главный документ, который требует на проверках Роскомнадзор, это положение о защите персональных данных. Составьте его, даже если обрабатываете только личные данные сотрудников. Образец. И пусть вас не пугает, что компании нет в реестре Роскомнадзора по обработке персональных данных. Большинства организаций там быть и не должно (ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ). Это касается тех, кто работает с данными сторонних людей, а не сотрудников. К примеру, банка, турагентства и т.п.
В связи с обращениями потребителей на горячую линию и в Общественную приемную Управления Роспотребнадзора по г. Москве на действия туроператоров ООО «Тревел Дизайнерс» и ООО «Геркулес Трэвел», осуществляющих туроператорскую деятельность с использованием обозначения «Жемчужная река», Управление разъясняет.
В случае неисполнения обязательств по договору со стороны туроператоров и отказа в возврате денежных средств за несостоявшийся тур, потребителю необходимо обратиться к исполнителю туристских услуг с претензией в порядке добровольного (досудебного) урегулирования спора (образец претензии). Претензию необходимо вручить в двух экземплярах лично исполнителю туристских услуг, получив на своем экземпляре отметку о принятии (печать, подпись, дата), либо направить почтой России на юридический адрес организации заказным письмом с уведомлением и описью вложения.
В случае отсутствия ответа на претензию либо отказа в возврате денежных средств за несостоявшийся тур, следует воспользоваться правом, закрепленным в ст. 11 Гражданского кодекса РФ и ст. 17 Закона РФ от 07.02.1992 №2300-1 «О защите прав потребителей», и обратиться с исковым заявлением в суд (образец искового заявления).
В соответствии с п.2 ст. 17 Закона РФ от 07.02.1992 №2300-1 «О защите прав потребителей» потребителю предоставлено право обратиться по своему выбору с иском в суд:
- по месту нахождения организации;
- по месту жительства или пребывания истца;
- по месту заключения или исполнения договора.
Потребитель законодательно освобожден от уплаты государственной пошлины в соответствии с законодательством Российской Федерации о налогах и сборах.
Кроме того, на основании положений п. 6 ст. 13 Закона РФ от 07.02.1992 №2300-1 «О защите прав потребителей» за несоблюдение добровольного порядка удовлетворения требований потребителя, установленных законом, суд полномочен взыскать с ответчика штраф в размере пятидесяти процентов от суммы, присужденной в пользу потребителя.
Дополнительно информируем, что в соответствии с взаимосвязанными положениями ч. 1 ст. 47 Гражданского процессуального кодекса Российской Федерации и п. 5 ст. 40 Закона РФ от 07.02.1992 №2300-1 «О защите прав потребителей» Роспотребнадзор (его территориальные органы) до принятия решения судом первой инстанции может вступать в дело по своей инициативе или по инициативе лиц, участвующих в деле, для дачи заключения по делу в целях обеспечения защиты Ваших прав как потребителя.
Кому подходит эта статья: всем компаниям и ИП.
В последнее время нашим клиентам стали приходить от Роскомнадзора письма запугивающего характера. В них говорится, что организация является оператором, обрабатывающим персональные данные, и, следовательно, обязана уведомлять об этом Роскомнадзор. Операторы персональных данных, которые проигнорируют такой запрос, будут наказаны штрафом.
Если подобный запрос прилетел в вашу компанию, не надо паниковать! Давайте разберемся, кто обязан отправлять уведомление о персональных данных, и что написать в ответ на запрос Роскомнадзора, чтобы избежать штрафа и других неприятностей.
Начнем с того, что, персональные данные в том или ином составе собирают и обрабатывают практически все компании и предприниматели. А значит, все они являются операторами персональных данных и обязаны исполнять требования законодательства о защите персональных данных.
В то же время уведомление Роскомнадзора об обработке персональных данных – требование не для всех!
Все зависит от того, какие именно данные получает и каким именно образом их обрабатывает оператор.
- Необходимо направить уведомление – если компания на регулярной основе занимается обработкой персональных данных граждан (клиентов, заказчиков, сотрудников сторонних компаний). Образец такого уведомления можно заполнить и отправить
Кому обязательно надо извещать Роскомнадзор:
- Большинство юридических фирм; компании, оказывающие услуги по аутсорсингу бухгалтерии и кадрового делопроизводства; банки; медучреждения; магазины, салоны и клубы с персональными клубными картами; образовательные организации; туроператоры и др.
- Компания использует CRM или аналогичные системы.
- На сайте компании возможна регистрация пользователей, даже с минимальным набором данных: имя пользователя и e-mail (форумы, социальные сети, интернет-магазины, сайты с частными объявлениями и др.).
- Сайт позволяет вносить в формы персональные данные пользователей, которые затем публикуются на сайте или отправляются по e-mail. Например, если на сайте есть возможность отправить быстрый заказ, подписаться на рассылку и т.п.
- Сайт уже содержит реальные персональные данные граждан.
- Уведомление не требуется:
- Если компания получает и обрабатывает исключительно сведения своих сотрудников в рамках трудовых отношений.
- Когда персональные данные обрабатываются исключительно для исполнения договора.
- Если персональные данные обрабатываются без использования средств автоматизации (без компьютера, электронных баз данных, CRM).
- Если персональные данные включают в себя только ФИО граждан.
- При обработке персональных данных, включенных в федеральные информационные системы (например, данных из ЕГРЮЛ).
- Если данные используются исключительно для выдачи одноразового пропуска клиентам компании и другим лицам.
- Сам человек сделал свои личные данные общедоступными.
- Когда персональные данные о членах общественной организации обрабатываются самой этой организацией.
- Персональные данные обрабатываются в целях транспортной безопасности.
Компаниям и ИП, которые «вписываются» в названные ситуации, достаточно разработать один комплексный документ, определяющий политику компании в области обработки персональных данных.
«Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года»
Большинство наших клиентов хоть и являются операторами персональных данных, не обязаны уведомлять Роскомнадзор, так как они попадают под вышеназванные исключения из общего правила (чаще всего – обрабатывают только данные своих работников по трудовым договорам и данные физлиц по гражданско-правовым договорам).
Но игнорировать запрос от Роскомнадзора не рекомендуется – помимо требования прислать уведомление, в письме перечислены сведения, которые ожидают получить защитники персональных данных от таких «льготников»:
- перечень персональных данных;
- категории лиц, чьи персональные данные обрабатывает компания;
- цели обработки персональных данных;
- способы обработки и т.д.
На первый взгляд может показаться, что сложностей с ответами на вопросы не возникнет. Однако это не так – за каждым из них кроется подвох, и, если неправильно ответить, Роскомнадзор отнесет вашу компанию не к «исключительной», а обычной категории операторов персональных данных со всеми вытекающим последствиями.
Как раз для таких случаев в помощь нашим клиентам мы подготовили универсальный ответ на требование Роскомнадзора, который подходит для всех компаний.
Если Вы еще не успели стать клиентом 1С- WiseAdvice, мы готовы также помочь с ответом на запрос Роскомнадзора и выслать шаблон ответа Вам на e-mail.
Связаться с экспертом