Россертификация, росконтроль

“Письмо счастья” от Роскомнадзора

Поскольку большинство компаний не стремились и не стремятся направлять уведомления, Роскомнадзор в свое время начал активно пополнять реестр операторов путем направления таких вот писем.

Уведомление Роскомнадзора о необходимости включения в реестр операторов персональных данных

В чем смысл таких действий в целом понятен из текста. Выборка компаний делается по ОКВЭДам, и та деятельность, которая потенциально связана с обработкой персданных физических лиц, является поводом для направления письма. 

РКН вроде как и не заставляет включаться в реестр, но в противном случае просит предоставить пояснение с указанием правовых оснований обработки ПД без направления уведомления. Для принятия решения предоставляется 30 дней.

Оставить без внимания такое письмо нельзя: нужно включиться в реестр или написать, что деятельность компании попадает под исключения, предусмотренные статьей 22 Закона “О персональных данных”.

В случае игнорирования может последовать привлечение к административной ответственности по статье 19.7 КоАП “Непредставление сведений (информации)”. Штраф, конечно, невелик (до 5 000 руб. на юрлицо), но потенциально игнор — это повод для последующего проведения внеплановой проверки* и вынесения предписания об устранении нарушения законодательства. 

За неисполнение предписания уже последует административка по статье 19.5 КоАП “Невыполнение в срок законного предписания…”.

*Справка: поводы, основания, сроки и т.п. моменты, связанные с проведением проверок в сфере персональных данных, установлены Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных (утв.Постановлением Правительства РФ от 13 февраля 2019 г. № 146).

Маскировка под госорган запрещена

Управление Федеральной антимонопольной службы (ФАС) по
Москве наказало организацию, именующую себя «Федеральным центром защиты
персональных данных» (ООО «Единый центр сертификации») за нарушение
законодательства о рекламе (статья 14.3 КоАП РФ). Надзорный орган посчитал, что
компания неправомерно продвигала (а по сути навязывала) свои юридические
услуги, создавая на рынке впечатление, что она является госструктурой и связана
с Роскомнадзором.

Московское УФАС в ходе разбирательства по жалобе неназванного
лица установило, что заявителю поступило от компании электронное письмо, в
котором содержалась информация о
необходимости принятия мер по защите персональных данных под угрозой
привлечения к административной ответственности.

Комиссия УФАС пришла к выводу, что использование в
наименовании отправителя обозначения «Федеральный центр защиты персональных
данных», «а также использование в доменном имени обозначения rkn, сходное с
латинское аббревиатурой Роскомнадзора, вводит потребителя рекламы в заблуждение
путем создания представления (ассоциации) о принадлежности (причастности)
адресата спорной рекламы к органам государственной власти либо об одобрении
рекламируемых услуг органами государственной власти».

Установив факт нарушения закона о рекламе, комиссия УФАС
передала материалы разбирательства должностному лицу для решения вопроса о
возбуждении дела об административном правонарушении.

Эмблема организации, оштрафованной ФАС за попытки представляться госорганом и намеки на связь с Роскомнадзором для введения бизнеса в заблуждение

«В данном случае реклама была незаконной не только по
способу распространения, но и по своему содержанию, — приводит сайт столичного УФАС
слова замначальника отдела контроля над рекламной деятельностью и пресечения
недобросовестной конкуренции Татьяны
Шиловой

— Антимонопольным органом уделяется особое внимание рекламе,
которая может создать впечатление о причастности частных организаций к
государственным органам. Недопустимо использовать любые приемы и элементы,
которые могут ввести потребителей в заблуждение»

На основании этих выводов «Единый центр сертификации» был привлечен
к административной ответственности, предусмотренной частью 1 вышеупомянутой статьи
14.3 КоАП РФ. «В связи с тем, что общество привлекается к административной
ответственности не впервые, было принято решение о назначении наказания в виде
штрафа в размере 101 тыс. руб.», — отмечается в сообщении УФАС.

Отметим, что ремарка о привлечении компании к
ответственности не в первый раз в контексте размера суммы взыскания выглядит
несколько странно. Первая часть упомянутой статьи КоАП для юрлиц подразумевает
наложение штрафа в размере от 100 тыс. до 500 тыс. руб. То есть столичное УФАС
назначило провинившейся компании штраф всего на 1 тыс. руб. выше нижней границы
предусмотренного взыскания.

Как зарегистрироваться

Перед началом использования услуг сервиса «Роскомнадзор» необходимо на нем зарегистрироваться. Наличие аккаунта облегчает проведение действий, операций, упрощает подачу заявлений, а также в нем можно подключить услуги сервиса.

Регистрация в сервисе проводится так:

• Открывается портал заявителей https://service.rkn.gov.ru/activity;
• На странице нужно найти вкладку «Личный кабинет», она находится вверху справа;
• Откроется окошко с вариантами авторизации. Нажимается вход через ЕСИА;
• Загрузится страница для авторизации https://esia.gosuslugi.ru/idp/rlogin?cc=bp, на ней кликается «Зарегистрируйтесь»;
• Регистрация личного кабинета может быть проведена при помощи нескольких способов – онлайн через банк, через центр обслуживания;
• Если два варианта не подходят, то пользователь может нажать на вкладку «Другой способ регистрации»;
• Загрузится форма для регистрации https://esia.gosuslugi.ru/registration/;
• Клиент должен указать полные инициалы;
• Указывается номер мобильного телефона;
• Ниже вводится Email;
• Кликается кнопка «Зарегистрироваться».

2020 год. Росконтроль​

Для просмотра ссылки необходимо нажать
Вход или Регистрация

Для просмотра ссылки необходимо нажать
Вход или Регистрация

Кстати, обратите внимание, что свидетельство выдано на СДС «Росконтроль» и никакого префикса «Федеральный центр чего-то там» в реестре нет, поэтому «Федеральный центр» это чистая отсебятина, призванная запутать доверчивых граждан.
Для просмотра ссылки необходимо нажать
Вход или Регистрация

• уровень нарушений – высокий (они не имеют права делать такой вывод, так как, возможно, организация попадает под исключения, когда оператор может не подавать уведомление);
• вероятность проверки – высокая (с чего это они взяли тоже абсолютно не понятно, но мы с вами уже предполагаем, что это манипуляция запугивания).

Для просмотра ссылки необходимо нажать
Вход или Регистрация

Гермионаасьлето

Для просмотра ссылки необходимо нажать
Вход или Регистрация

Для просмотра ссылки необходимо нажать
Вход или Регистрация

Для просмотра ссылки необходимо нажать
Вход или Регистрация

Для просмотра ссылки необходимо нажать
Вход или Регистрация

Для просмотра ссылки необходимо нажать
Вход или Регистрация

Для просмотра ссылки необходимо нажать
Вход или Регистрация

Официальные параметры бизнеса фальшивого Роскомнадзора

По данным ЕГРЮЛ, ООО «Единый центр сертификации» было
зарегистрировано в Санкт-Петербурге 13 мая 2016 г. Единственным учредителем и гендиректором
заявлен Александр Катричко
(участником других юрлиц не является).

По данным ФНС, с 2017 по 2020 гг. в компании трудился всего
один человек. По данным «Контур. фокуса»,
по итогам 2020 г. выручка компании составила 15,2 млн руб. с приростом этого
показателя на 53% по сравнению с предыдущим годом. Чистая прибыль оказалась на
уровне 253 тыс. руб.

«Контур.фокус» также отмечает, что организация является действующим
членом Торгово-промышленной палаты России.

Вместо заключения

Зачем это все нам (как компании) и зачем я писал всю эту статью (кроме того, что никто не любит мошенников и нужно их выводить на чистую воду)?

Дело в том, что когда наши добросовестные коллеги предлагают людям свои услуги, нам потом не пишут и не звонят с вопросами «Нам позвонил лицензиат ФСТЭК, предлагает свои услуги по защите информации, подскажите, стоит ли с ними работать?». И совершенно другая картина, когда людей заваливает спамом от рос-гос-чего-то-там со словами «предписание» и «штраф до 6 млн. рублей», вот тогда мы можем терять много драгоценного рабочего времени на такие консультации, за которые мы денег не берем.

Кто-то может сказать, что г-н Келлерманн правильно написал в комментарии, что у него все зарегистрировано и так далее, и называть его мошенником не правильно, но у нас регистрировать ООО и ИП могут и «экстрасенсы» с гадалками, а гомеопаты совершенно официально продают в аптеках сахар по цене золота.

В конце концов, мы установили, что «Россертификация» и «Росконтроль» это одна и та же лавочка, поэтому все их грехи можно суммировать, давайте подытожим, какие признаки мошенничества можно выделить:

• регистрация и использование СДС с приставкой «Рос-», что вводит незадачливых пользователей в заблуждение, причем в случае с «Россертификацией» спамеры даже не добавляли «СДС» в начале, видимо потом им дали понять, что так делать нехорошо;

• грубая эксплуатация страха адресата манипулятивными методами: «вам выдано предписание», «вас оштрафуют», «к вам придет проверка». Напоминаю, что никаких предписаний эти жулики выдавать не имеют права;

• попытка замещения функций государственных органов с помощью несуществующих «Федеральных программ» и «Федеральных центров»;

• притягивание за уши санкций для операторов персональных данных (штраф 6 миллионов, статья 137 УК РФ, закрытие организации на 90 суток), абсолютно не применимых или никак не связанных с услугами, предлагаемыми спамерами;

• фишинговые техники. Вряд ли рядовой пользователь помнит точно домен РКН, в крайнем случае, если он ходил когда-то на их сайт, может помнить, что это rkn.«че-то там». Таким образом, использование доменов rkn.expert и тем более rkn.moscow призваны ввести пользователей в заблуждение;

  

  

  

  

  

  

  

  

  

  

• использование безаппеляционного «все организации должны подать уведомление об обработке персональных данных», хотя закон предполагает ряд исключений;

• безаппеляционное утверждение того, что комплект документов по защите персональных данных должен соответствовать каким-либо ГОСТ, что противоречит действующему законодательству;

• оказание услуг по разработке проектной документации на систему защиты информации (Модель угроз) без лицензии ФСТЭК России;

• заверение о проведении какой-то сертификации вашей организации (какой именно сертификации спамеры умалчивают), которая уменьшит риск проведения проверки, что не соответствует действительности (никаких индульгенций от проверок не существует);

• ну и вишенка на торте — пост и комментарий в Инстаграме причастного лица (я уж не знаю, один ли он работает или в составе группы). Пост о том, что люди не умеют читать документы, сайты, договора говорит о вполне сознательных и намеренных описанных выше манипуляциях.

Кто-то может сказать, что несведущие люди сами виноваты, что их обманывают, но это уже самый настоящий victim-blaming (насильник тоже не виноват, это девушка надела короткую юбку). В наше время невозможно быть специалистом во всем. Я, например, плохо разбираюсь в бухгалтерии и хорошо в защите персональных данных, а есть люди, у которых все наоборот и это не означает, что можно пудрить им голову.

Если у вас есть знакомые бухгалтеры, руководители небольших фирм (или даже больших) и другие лица, которым могла быть интересна эта статья, покажите им её.

Кем оформляется документ

Нормы того, как необходимо обрабатывать персональную информацию населения, и какие еще обязанности есть у компаний, выполняющих роль операторов, изложены в законе 152-ФЗ “О персональных данных”.

В нем говорится о том, что прежде чем начинать такую деятельность, компания должна известить об этом Роскомнадзор.

При этом есть определенные нормы того, как это сделать верно, найти их можно в Методических рекомендациях по уведомлению уполномоченного органа.

Нюансы, которые действовали с 2011 года, больше недействительны, как и рекомендации от 2016 года, ведь датой последних изменений стало 21 августа 2017 года.

Согласно законодательства, произвести оповещение Роскомнадзора о деятельности, связанной с обработкой персональных данных, должен любой оператор.

Компания получает такой статус, если как-либо работает с информацией, запрашиваемой у граждан и относящейся к разряду личной.

Так, при получении фирмой сведений о месте проживания клиентов, их паспортных реквизитов или иных сведений, которые могут связать их с конкретной личностью, следует обязательно отправлять документацию в контролирующую организацию.

Но есть и исключения из этой нормы, например в следующих ситуациях:

• если компания собирает и производит обработку информации только среди своих сотрудников;
• личные сведения применяются только для формирования договоров, например, когда в соглашении указываются данные представителя другой компании;
• обработка не связана с использованием автоматизационных методов.

Во всех остальных ситуациях Роскомнадзор должен получать соответствующую информацию о ведении подобной деятельности.

Делать это следует путем формирования документа, созданного по утвержденной в правовых нормах форме. На сайте РКН можно увидеть, как выглядит уведомление, и какие данные в него следует включать.

Это ведомство формирует реестр операторов личных данных граждан, и после отсылки уведомления туда, за месяц документ обработают и внесут сведения в реестр всех распорядителей. А об успешном внесении можно узнать непосредственно на официальном ресурсе.

Можно использовать не только стандартный способ передачи документа, то есть бумажный, но и задействовать электронный метод.

Для этого нужно произвести заполнение уведомления, взятого на сайте, далее документ распечатывается. На нем ставится электронная цифровая подпись ответственного лица и отсылается через электронную почту.

Также для этого подойдет функционал ресурса “Госуслуги”, что будет самым быстрым и удобным способом.

При заполнении бумажного документа его можно как отнести лично, так и использовать почтовые услуги, создав заказное письмо с описью содержимого и уведомлением о прибытии получателю.

Если этого не сделать вовремя, то компания будет привлечена к административной ответственности согласно КоАПа РФ.

Граждане по этим нормам будут вынуждены заплатить от 100 до 300 рублей взыскания, должностные лица будут оштрафованы на сумму 300-500 рублей, а компания в целом, как юрлицо, получит санкцию на уровне 3-5 тыс. рублей.

Управление Роскомнадзора по Амурской области приостанавливает все очные форматы взаимодействия из-за угрозы распространения коронавируса

В соответствии с поручением председателя Правительства Российской Федерации от 18 марта 2020 года № ММ-П36-1945, распоряжением Роскомнадзора от 20 марта 2020 года № 7:

В части разрешительной работы в сфере массовых коммуникаций, в сфере связи прием заявлений, а также направление оформленных документов заявителям будут осуществляться на адрес электронной почты. В случае наличия в соответствующих заявлениях просьбы о выдаче документов на руки, оформленные документы по таким обращениям будут направлены посредством почтовой связи.

С 23 марта 2020 года приостанавливается личный прием документов от граждан.

Для организации взаимодействия рекомендуем обращаться в Управление Роскомнадзора по Амурской области:

• Портал государственных услуг gosuslugi.ru;
• в письменной форме через АО «Почта России».

___________________________________________

____________________________________________

____________________________________________

о НЕДОПУСТИМОСТИ ПОЛУЧЕНИЯ от физических и юридических лиц ПОДАРКОВ государственными гражданскими служащими в связи с выполнением ими служебных обязанностей

____________________________________________

____________________________________________

____________________________________________

____________________________________________

____________________________________________

____________________________________________

 ВНИМАНИЕ!

Управление Роскомнадзора по Амурской области проводит онлайн-опрос граждан на странице сайта 28.rkn.gov.ru:

В разделе «Противодействие коррупции»  открыт онлайн-опрос для граждан: «Как вы оцениваете работу, проводимую подразделением по противодействию коррупции, в Управлении Роскомнадзора по Амурской области в 2020г.?». 

____________________________________________

Уполномоченный по правам ребёнка в Амурской области и Управление Роскомнадзора по Амурской области просит неравнодушных пользователей сети «Интернет» направить усилия на выявление в Сети материалов о способах совершения самоубийства, призывов к совершению самоубийства среди несовершеннолетних.  

В случае обнаружения таких материалов, просим заполнить форму, размещенную по адресу https://eais.rkn.gov.ru/feedback/ для блокировки доступа к негативному контенту.

Одним «кликом» Вы можете спасти ЖИЗНЬ РЕБЁНКА!

____________________________________________

ПОРТАЛ ДЛЯ ДЕТЕЙ  И ПОДРОСТКОВ

ПЕРСОНАЛЬНЫЕ ДАННЫЕ.ДЕТИ (http://персональныеданные.дети)

____________________________________________

____________________________________________

ВНИМАНИЮ ВЛАДЕЛЬЦЕВ ФРАНКИРОВАЛЬНЫХ МАШИН.

О результатах тестовых испытаний франкировальных машин.

24 мая 2021 года

ООО «РМГ» привлечено к административной ответственности за нарушение лицензионных требований

17 мая 2021 года

Журнал «СОВЕТ ДА ЛЮБОВЬ НА АМУРЕ» прекратил свою деятельность

17 мая 2021 года

Главный редактор газеты «Победа» привлечен к административной ответственности

14 мая 2021 года

ИП Мухачев М. В. привлечен к административной ответственности за несвоевременное предоставление сведений о базе расчета обязательных отчислений (неналоговых платежей) в резерв универсального обслуживания

11 мая 2021 года

О порядке размещения информации о некоммерческих организациях, ликвидированных в соответствии с Федеральным Законом «О противодействии экстремистской деятельности»

30 апреля 2021 года

Роскомнадзор разъясняет требования к СМИ и вещателям относительно иноагентов

30 апреля 2021 года

Учредитель и главный редактор сетевого издания «АСН24.РУ-Амурская служба новостей» привлечены к административной ответственности

29 апреля 2021 года

Управлением Роскомнадзора по Амурской области Общества с ограниченной ответственностью «Амуржилсервис «Благовещенск» привлечено к административной ответственности

29 апреля 2021 года

Управлением Роскомнадзора по Амурской области Общества с ограниченной ответственностью «Мастер строй+» повторно привлечено к административной ответственности

28 апреля 2021 года

Управление Роскомнадзора по Амурской области формирует региональный блок Молодежной палаты по вопросам защиты прав субъектов персональных данных

Подробные требования к содержанию согласия

Согласие должно включать в себя следующую информацию:

1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.

2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)

3) Сведения об операторе персональных данных

Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ

Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.

Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.

4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных

5) Цель (цели) обработки персональных данных

Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных

Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

• общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
• специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
• биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов

Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.

Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.

Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников

9) Срок действия согласия

Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.

Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

Возможности личного кабинета

На главной странице пользователи могут рассмотреть последние новости, узнать изменения в сервисе, узнать о нововведениях. Ниже можно воспользоваться меню «Актуально», оно поможет получить полную характеристику организации.

Для заявителей нужно зарегистрировать личный кабинет, он обеспечит полноценный доступ к сервису. В нем можно выполнять следующие действия:

• Просматривать услуги организации;
• Подавать заявления;
• Проверять статус заявления;
• Смотреть образец заполнения заявления в зависимости от требуемой услуги;
• Смотреть историю поданных заявлений и их состояние;
• Скачивать документы, отправлять их на распечатку;
• Пользоваться услугами компании;
• При необходимости можно подключать платные услуги. Оплату можно провести безналичными способами через банковскую карту;
• Проверять отчеты;
• При возникновении проблем можно воспользоваться помощью технической поддержки.

Вот я в реестре, а дальше что?

Да ничего особенного. В текущей деятельности нет вообще никаких изменений. Ну можете присоединиться к Кодексу добросовестных практик https://pd.rkn.gov.ru/code/  Дополнительным фактором для назначения проверки наличие или отсутствие компании в реестре не является, хотя если в ходе проверки будет установлено, что деятельность оператора не попадает под исключения, то может быть наложен более высокий штраф уже по ст. 13.11 КоАП.

Своевременно вносите изменения

Если у вас меняются какие-либо сведения, включенные ранее в реестр, то требуется внести изменения в течение 10 дней со момента их возникновения (часть 7 статьи 22 ФЗ “О персональных данных”). За несвоевременное направление или не направление этих сведений — опять административный штраф по ст. 19.7 КоАП.

Заключение

Сейчас никто не удивляется, когда законодательство содержит в себе неконкретные формулировки, допускающие различные, несовместимые друг с другом трактовки. В этой статье мы показали, что есть и другая проблема – когда требование четкое и понятное, но по факту невыполнимое.

Почти 10 лет рассматриваемое требование было невыполнимо для веб-сайтов с неограниченной аудиторией из-за банального отсутствия каких-либо подходящих технических решений. Когда же эти технические решения появились на стороне порталов, появились проблемы со стороны пользователей, которые хотят, чтобы им было быстро и удобно, а не устанавливать на свой компьютер какие-то дополнительные браузеры, плагины и тем более платное клиентское ПО.

Сделать что-то с этой ситуацией может только ФСБ России, изменив свои требования. Путей тут может быть много. Можно конкретизировать требования для разных весовых категорий операторов персональных данных, для госструктур – одни, для крупных частных организаций – другие, для мелких частных организаций – третьи. Можно отложить введение требований до тех пор, пока ГОСТ-шифрование не начнет работать во всех браузерах из коробки. Можно много чего придумать, чтобы требования были своевременны, адекватны и выполнимы, но скорее всего всё останется как есть.