Подскажите, пожалуйста. Ранее с ПД не работала. Осуществила проверку находящихся данных организации, когда-то очень давно подаваемых в Роскомнадзор.
Обнаружила, как мне представляется, то что необходимо исправить. В частности используемые информационные системы перечислены через запятую, также к ним общей кучей указаны цели и лица. Понимаю, что после внесения изменений в политику надо вносить изменения в уведомление Роскомнадзора.
Насколько это будет критично в плане привлечения внимания к организации Роскомнадзора?
Продолжаю отвечать на вопросы с курса, предыдущий вопрос здесь.
Необходимо исходить из того, что РКН получает о вас, как операторе, информацию как раз из реестра операторов. И ваша обязанность как оператора, поддерживать в этом реестре информацию в актуальном виде.
За несоответствие информации, находящейся в реестре, тоже предусмотрена ответственность, пусть и небольшая.
ст. 19.7 КоАП РФ «Непредставление сведений (информации)» устанавливает ответственность за непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление таких сведений в неполном объеме или искаженном виде влечет предупреждение или наложение административного штрафа:
- на граждан в размере от ста до трехсот рублей;
- на должностных лиц - от трехсот до пятисот рублей;
- на юридических лиц - от трех тысяч до пяти тысяч рублей.
Привлечь внимание Роскомнадзора тем фактом, что вы подали уведомление об изменении сведений, не получится.
Это стандартная процедура, которая является, повторюсь, вашей обязанностью.
При заполнении уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, обратите внимание на несколько моментов:
1. Дифференциацию целей, категорий субъектов персональных данных и, особенно внимательно, категориям самих персональных данных.
Скорее всего, ранее они были перечислены некорректно, так как форма уведомления раньше отличалась. Здесь заполняются максимально общие цели (макроцели), дробить их не стоит, хотя по факту микроцелей может быть больше, чем указано в уведомлении.
2. Центры обработки данных и информационные системы, в которых персональные данные обрабатываются.
Для этого зайдите на сайт и компании которые предоставляют соответствующие услуги и посмотрите, где расположены центры обработки данных.
Например, на сайте Битрикс эта информация указана здесь.
Есть ресурсы, где эти данные уже собраны в одном месте, но их лучше перепроверять. Вот пример.
В случае отсутствия такой информации обратитесь в службу поддержки и узнайте, где расположены ЦОДы, кто их обслуживает.
3. Организационные и технические меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных.
Правовая база: приказ ФСТЭК №21 от 18 февраля 2013 г. N 21.
С моей точки зрения, уведомление об изменениях предпочтительно подавать в бумажном виде путем заполнения на сайте и направления в региональное управление Роскомнадзора.
Еще больше вопросов и ответов вы найдете в моем телеграм-канале. А по личному вопросу можно написать здесь.
