Роскомнадзор о персональных данных в 2021

Общее содержание

В целом уведомление РКН о проводимой обработке персональных данных и их сборе, не отличается сложным форматом, но должно содержать информацию о том, какие именно сведения собираются, с какой целью, и что используется как для сбора, так и обработки данных.

Таким образом, при подаче соответствующего уведомления, следует указать следующую информацию:

Название того отделения ведомства РКН	По которому находится компания
Разновидность оператора	Это юридическое лицо, или другой тип организации деятельности
Название фирмы	Подающей документ
Адрес нахождения компании	По которому ее можно найти и идентифицировать
Идентификационный код и ОГРН юридического лица	—
Основания	На которых производится обработка данных, и цель, которая преследуется в ее итоге
Меры	Которые принимаются для обеспечения безопасности и сохранения информации в тайне от третьих лиц
Дату начала обработки	Срок, в который это завершится, вместо последнего можно прописать условия, которые могут повлечь за собой прекращение работы с персональными данными
Категории субъектов права	Сведения о которых будет обрабатывать фирма
Список операций	Осуществляемых с данными, в том числе и способы обработки получаемой информации
Будет ли производиться	Трансграничная передача получаемых данных
Адрес	По которому находится база, где сведения хранятся физически и их можно будет достать
Лицо	Которое несет полную ответственность за работу с данными, либо перечисление всех таких людей, если их несколько

Прочая информация в уведомлении о проведении обработки личных данных оговариваться в обязательном порядке не должна. Но если компания желает, или имеет основания для добавления, то она может это сделать.

Кто такие операторы персональных данных и чем они занимаются

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

• самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
• определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Управление Роскомнадзора по Амурской области приостанавливает все очные форматы взаимодействия из-за угрозы распространения коронавируса

В соответствии с поручением председателя Правительства Российской Федерации от 18 марта 2020 года № ММ-П36-1945, распоряжением Роскомнадзора от 20 марта 2020 года № 7:

В части разрешительной работы в сфере массовых коммуникаций, в сфере связи прием заявлений, а также направление оформленных документов заявителям будут осуществляться на адрес электронной почты. В случае наличия в соответствующих заявлениях просьбы о выдаче документов на руки, оформленные документы по таким обращениям будут направлены посредством почтовой связи.

С 23 марта 2020 года приостанавливается личный прием документов от граждан.

Для организации взаимодействия рекомендуем обращаться в Управление Роскомнадзора по Амурской области:

• Портал государственных услуг gosuslugi.ru;
• в письменной форме через АО «Почта России».

___________________________________________

____________________________________________

____________________________________________

о НЕДОПУСТИМОСТИ ПОЛУЧЕНИЯ от физических и юридических лиц ПОДАРКОВ государственными гражданскими служащими в связи с выполнением ими служебных обязанностей

____________________________________________

____________________________________________

____________________________________________

____________________________________________

____________________________________________

____________________________________________

 ВНИМАНИЕ!

Управление Роскомнадзора по Амурской области проводит онлайн-опрос граждан на странице сайта 28.rkn.gov.ru:

В разделе «Противодействие коррупции»  открыт онлайн-опрос для граждан: «Как вы оцениваете работу, проводимую подразделением по противодействию коррупции, в Управлении Роскомнадзора по Амурской области в 2020г.?». 

____________________________________________

Уполномоченный по правам ребёнка в Амурской области и Управление Роскомнадзора по Амурской области просит неравнодушных пользователей сети «Интернет» направить усилия на выявление в Сети материалов о способах совершения самоубийства, призывов к совершению самоубийства среди несовершеннолетних.  

В случае обнаружения таких материалов, просим заполнить форму, размещенную по адресу https://eais.rkn.gov.ru/feedback/ для блокировки доступа к негативному контенту.

Одним «кликом» Вы можете спасти ЖИЗНЬ РЕБЁНКА!

____________________________________________

ПОРТАЛ ДЛЯ ДЕТЕЙ  И ПОДРОСТКОВ

ПЕРСОНАЛЬНЫЕ ДАННЫЕ.ДЕТИ (http://персональныеданные.дети)

____________________________________________

____________________________________________

ВНИМАНИЮ ВЛАДЕЛЬЦЕВ ФРАНКИРОВАЛЬНЫХ МАШИН.

О результатах тестовых испытаний франкировальных машин.

28 мая 2021 года

Главный редактор газеты «Комсомольская правда Благовещенск» привлечен к административной ответственности

28 мая 2021 года

Должностное лицо ООО «Спутник-ТВ» привлечено к административной ответственности

28 мая 2021 года

ООО «Спутник-ТВ» привлечено к административной ответственности

27 мая 2021 года

Управлением Роскомнадзора по Амурской области Центральное Межрегиональное управление государственного автодорожного надзора Федеральной службы по надзору в сфере транспорта привлечено к административной ответственности по ст. 19.7 КоАП РФ

24 мая 2021 года

ООО «РМГ» привлечено к административной ответственности за нарушение лицензионных требований

17 мая 2021 года

Журнал «СОВЕТ ДА ЛЮБОВЬ НА АМУРЕ» прекратил свою деятельность

17 мая 2021 года

Главный редактор газеты «Победа» привлечен к административной ответственности

14 мая 2021 года

ИП Мухачев М. В. привлечен к административной ответственности за несвоевременное предоставление сведений о базе расчета обязательных отчислений (неналоговых платежей) в резерв универсального обслуживания

11 мая 2021 года

О порядке размещения информации о некоммерческих организациях, ликвидированных в соответствии с Федеральным Законом «О противодействии экстремистской деятельности»

30 апреля 2021 года

Роскомнадзор разъясняет требования к СМИ и вещателям относительно иноагентов

Я — оператор

Независимо от наличия записи в реестре, в том случае, если компания обрабатывает персональные данные (а любой бизнес их обрабатывает), то она является оператором обработки персональных данных. Т.е. теоретически реестр операторов должен совпадать с ЕГРЮЛом и даже быть немного больше, т.к. и физлицо может являться оператором. Но в реестре находится чуть более 400 000 записей, что явно меньше количества зарегистрированных юридических лиц и индивидуальных предпринимателей. 

Конечно же существует возможность не уведомлять Роскомнадзор об обработке персональных данных. Ряд исключений предусмотрены ст. 22 ФЗ “О персональных данных”, но с ними не все так однозначно как кажется на первый взгляд, о чем напишу позже

Важно понять другое — независимо от наличия вашей компании в Реестре требования законодательства о персональных данных на вас также распространяются и их необходимо неукоснительно соблюдать. 

Кем оформляется документ

Нормы того, как необходимо обрабатывать персональную информацию населения, и какие еще обязанности есть у компаний, выполняющих роль операторов, изложены в законе 152-ФЗ “О персональных данных”.

В нем говорится о том, что прежде чем начинать такую деятельность, компания должна известить об этом Роскомнадзор.

При этом есть определенные нормы того, как это сделать верно, найти их можно в Методических рекомендациях по уведомлению уполномоченного органа.

Нюансы, которые действовали с 2011 года, больше недействительны, как и рекомендации от 2016 года, ведь датой последних изменений стало 21 августа 2017 года.

Согласно законодательства, произвести оповещение Роскомнадзора о деятельности, связанной с обработкой персональных данных, должен любой оператор.

Компания получает такой статус, если как-либо работает с информацией, запрашиваемой у граждан и относящейся к разряду личной.

Так, при получении фирмой сведений о месте проживания клиентов, их паспортных реквизитов или иных сведений, которые могут связать их с конкретной личностью, следует обязательно отправлять документацию в контролирующую организацию.

Но есть и исключения из этой нормы, например в следующих ситуациях:

• если компания собирает и производит обработку информации только среди своих сотрудников;
• личные сведения применяются только для формирования договоров, например, когда в соглашении указываются данные представителя другой компании;
• обработка не связана с использованием автоматизационных методов.

Во всех остальных ситуациях Роскомнадзор должен получать соответствующую информацию о ведении подобной деятельности.

Делать это следует путем формирования документа, созданного по утвержденной в правовых нормах форме. На сайте РКН можно увидеть, как выглядит уведомление, и какие данные в него следует включать.

Это ведомство формирует реестр операторов личных данных граждан, и после отсылки уведомления туда, за месяц документ обработают и внесут сведения в реестр всех распорядителей. А об успешном внесении можно узнать непосредственно на официальном ресурсе.

Можно использовать не только стандартный способ передачи документа, то есть бумажный, но и задействовать электронный метод.

Для этого нужно произвести заполнение уведомления, взятого на сайте, далее документ распечатывается. На нем ставится электронная цифровая подпись ответственного лица и отсылается через электронную почту.

Также для этого подойдет функционал ресурса “Госуслуги”, что будет самым быстрым и удобным способом.

При заполнении бумажного документа его можно как отнести лично, так и использовать почтовые услуги, создав заказное письмо с описью содержимого и уведомлением о прибытии получателю.

Если этого не сделать вовремя, то компания будет привлечена к административной ответственности согласно КоАПа РФ.

Граждане по этим нормам будут вынуждены заплатить от 100 до 300 рублей взыскания, должностные лица будут оштрафованы на сумму 300-500 рублей, а компания в целом, как юрлицо, получит санкцию на уровне 3-5 тыс. рублей.

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

• разъяснять субъекту ПД, какие данные и для чего собирают, а также получать его предварительное согласие на обработку личной информации. Такое согласие запрашивают в письменной форме: человеку предлагают подписать специальную бумагу, где уточняется, что сбор информации производится по правилам закона № 152-ФЗ и она будет соответствующим образом храниться, использоваться, а позже — уничтожаться. Хотя чаще всего согласие «прячется» в самом конце подписываемого соглашения и выглядит как галочка, рядом с которой надо поставить свою подпись, существует и специальная форма такого согласия. Вот бланк, которым предлагает пользоваться Роскомнадзор (скачать форму можно в конце статьи):
• разработать и публично представлять политику в отношении обработки ПД. Обнародовать такой документ можно любым удобным для компании способом, но чаще всего это делается с помощью интернета — на странице организации просто публикуют политику без сокращений;
• обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения. Как правило, речь идет о технических и организационных мерах — установление паролей и специальных программ, гарантирующих сохранность информации, оперативное устранение последствий хакерских атак, иные мероприятия по обеспечению безопасности;
• уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели. Согласно статье 21 закона N152-ФЗ, уничтожается информация только после обращения лица, чьи данные обрабатывались с нарушениями, либо его представителя. Запрос обязательно подается в письменной форме, и отреагировать на него оператор должен в сроки, прописанные в законе. Рекомендованный образец такого обращения доступен на сайте Роскомнадзора;
• блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя). Это не значит, что оператор полностью удаляет имеющуюся информацию, но он не может ею пользоваться.

Отзыв согласия на обработку и распространение общедоступных персональных данных

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

При этом требование о прекращении передачи общедоступных данных должно содержать следующие сведения (п. 12 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ):

• ФИО заявителя;
• контактную информацию заявителя (номер телефона, адрес электронной почты или почтовый адрес);
• перечень персональных данных, обработка которых подлежит прекращению.

Причем все вышеуказанные персональные данные могут обрабатываться только оператором, которому было направлено требование. С момента получения оператором персданных указанного требования действие согласия физлица на обработку его общедоступных сведений считается прекращенным.

Получив от физлица требование о прекращении передачи общедоступных сведений, оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа (п. 14 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). В противном случае он понесет административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных).

Возможности личного кабинета

На главной странице пользователи могут рассмотреть последние новости, узнать изменения в сервисе, узнать о нововведениях. Ниже можно воспользоваться меню «Актуально», оно поможет получить полную характеристику организации.

Для заявителей нужно зарегистрировать личный кабинет, он обеспечит полноценный доступ к сервису. В нем можно выполнять следующие действия:

• Просматривать услуги организации;
• Подавать заявления;
• Проверять статус заявления;
• Смотреть образец заполнения заявления в зависимости от требуемой услуги;
• Смотреть историю поданных заявлений и их состояние;
• Скачивать документы, отправлять их на распечатку;
• Пользоваться услугами компании;
• При необходимости можно подключать платные услуги. Оплату можно провести безналичными способами через банковскую карту;
• Проверять отчеты;
• При возникновении проблем можно воспользоваться помощью технической поддержки.

Как войти

После того как будет сформирован аккаунт на онлайн-портале можно производить вход в личный кабинет «Роскомнадзор». Потребители могут в нем пользоваться услугами в области связи, подавать заявления, просматривать документацию.

Авторизация в ЛК выполняется с соблюдением следующих этапов:

• Необходимо попасть на площадку портала для заявителей https://service.rkn.gov.ru/activity;
• На нем нажимается вкладка «Личный кабинет»;
• Появится форма с вариантами для входа – через ЕСИА и через ЭП;
• Если отсутствует электронно-цифровая подпись, то можно воспользоваться входом через ЕСИА;
• Откроется страница для входа https://esia.gosuslugi.ru/idp/rlogin?cc=bp;
• В поле указывается логин. В качестве него можно использовать номер мобильного телефона, email, номер СНИЛСа;
• Затем вводится пароль;
• Кликается кнопка «Войти».

Подробные требования к содержанию согласия

Согласие должно включать в себя следующую информацию:

1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.

2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)

3) Сведения об операторе персональных данных

Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ

Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.

Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.

4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных

5) Цель (цели) обработки персональных данных

Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных

Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

• общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
• специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
• биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов

Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.

Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.

Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников

9) Срок действия согласия

Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.

Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

Вот я в реестре, а дальше что?

Да ничего особенного. В текущей деятельности нет вообще никаких изменений. Ну можете присоединиться к Кодексу добросовестных практик https://pd.rkn.gov.ru/code/  Дополнительным фактором для назначения проверки наличие или отсутствие компании в реестре не является, хотя если в ходе проверки будет установлено, что деятельность оператора не попадает под исключения, то может быть наложен более высокий штраф уже по ст. 13.11 КоАП.

Своевременно вносите изменения

Если у вас меняются какие-либо сведения, включенные ранее в реестр, то требуется внести изменения в течение 10 дней со момента их возникновения (часть 7 статьи 22 ФЗ “О персональных данных”). За несвоевременное направление или не направление этих сведений — опять административный штраф по ст. 19.7 КоАП.

Уведомление оператора персональных данных

• уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
• уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
• персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Как проверить наличие уведомления в реестре и что делать дальше

реестре операторов персональных данныхидем заполнять уведомление

• уведомление заполнялось давно и в организации действительно с тех пор изменились многие условия обработки персональных данных;
• уведомление заполнялось для галочки без должного анализа ситуации и сбора информации.

форма для внесения изменений

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Контрольная и надзорная деятельность в сфере персональных данных

     В январе 2007 года вступил в силу Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006г. Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.    Согласно п.1. статьи 23 Федерального закона «О персональных данных» уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.     В соответствии с Постановлением Правительства РФ от 16 марта 2009г. № 228 «Об утверждении Положения о Федеральной службе по надзору в сфере связи, информационных технологий  и массовых коммуникаций » указанным органом является Федеральная служба по надзору в сфере связи, информационных технологий  и массовых коммуникаций (Роскомнадзор).    В связи с этим, государственным, муниципальным органам, юридическим или физическим лицам, организующим и (или) осуществляющим обработку персональных данных на территории Владимирской необходимо направить в Управление Роскомнадзора по Владимирской области Уведомления об обработке персональных данных (в соответствии с ч.1.ст. 22 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006г.).     Уведомление должно быть подписано уполномоченным лицом и направлено в территориальное управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Владимирской области в письменной форме по адресу 600000, г. Владимир, ул. 1-я Пионерская, д. 92, по факсу +7 (4922) 37-72-41 или по электронной почте по адресу rsockanc33@rkn.gov.ru в форме электронного документа, подписанного электронной цифровой подписью в соответствии с законодательством Российской Федерации.

   Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года (зарегистрированные Роскомнадзором в Реестре), обязаны направить в Роскомнадзор через его территориальные органы сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 Федерального закона «О персональных данных», не позднее 1 января 2013 года (Информационное письмо о внесении изменений в сведения об операторе в Реестре операторов ОПД).

    Подробная информация по вопросам защиты прав субъектов персональных данных (конфиденциальной информации) размещена на Интернет-сайте (страницах) Роскомнадзора (http://www.rsoc.ru, http://33.rkn.gov.ru), в том числе образцы форм уведомления об обработке персональных данных и информационного письма, рекомендации с примерами по их заполнению (http://33.rkn.gov.ru/personal-data/p19300/).

    По вопросам, связанным с направлением Уведомления (Информационного письма), другим вопросам по защите  прав субъектов персональных данных просим обращаться в Управление Роскомнадзора по Владимирской области по телефону +7 (4922) 37-72-39.

 Служебные контакты: 

	Городской номер служебного телефона	Внутренний номер телефона	Адрес электронной почты
Начальник отдела	37 72-38	324	opd-rkn33@mail.ru
Сотрудники отдела	37-72-39	325 326 327	opd-rkn33@mail.ru

Время публикации: 03.10.2009 Последнее изменение: 25.06.2019 10:40

Как зарегистрироваться

Перед началом использования услуг сервиса «Роскомнадзор» необходимо на нем зарегистрироваться. Наличие аккаунта облегчает проведение действий, операций, упрощает подачу заявлений, а также в нем можно подключить услуги сервиса.

Регистрация в сервисе проводится так:

• Открывается портал заявителей https://service.rkn.gov.ru/activity;
• На странице нужно найти вкладку «Личный кабинет», она находится вверху справа;
• Откроется окошко с вариантами авторизации. Нажимается вход через ЕСИА;
• Загрузится страница для авторизации https://esia.gosuslugi.ru/idp/rlogin?cc=bp, на ней кликается «Зарегистрируйтесь»;
• Регистрация личного кабинета может быть проведена при помощи нескольких способов – онлайн через банк, через центр обслуживания;
• Если два варианта не подходят, то пользователь может нажать на вкладку «Другой способ регистрации»;
• Загрузится форма для регистрации https://esia.gosuslugi.ru/registration/;
• Клиент должен указать полные инициалы;
• Указывается номер мобильного телефона;
• Ниже вводится Email;
• Кликается кнопка «Зарегистрироваться».

Выполнение требования. Реалии

Ладно, с нормативной базой разобрались, давайте посмотрим, что там на практике. А на практике получилось так:

операторы персональных данных проигнорировали это требование =>

так как нет спроса, разработчики средств защиты долгое время не представляли никаких решений =>

регулятор все понимает и закрывает на это все глаза при проверках =>

поскольку регулятор не «напрягает» операторы персональных данных игнорируют это требование – круг замкнулся.

Все же следует уточнить категоричный тон заголовка – хорошо, может на начало 2021 года и не все порталы с персональными данными не выполняют требование сертифицировано шифровать персональные данные, а процентов 99.

С 2017 года в одном из указанных выше звеньев произошел перелом – отечественные производители средств защиты информации начали выпускать сертифицированные TLS-решения, как раз для решения этой проблемы. Но и тут не обошлось без нюансов. Решения оказались совсем не дружелюбными при их внедрении и использовании. Особенно при использовании на клиентской части.

Самый жесткий вариант состоял в том, что за клиентское решение нужно было платить. Самый безобидный – необходимость использования специализированных браузеров, например, Chromium-gost. Масса таких эксплуатационных проблем возникала при использовании десктопов, а что уж говорить о мобильных устройствах.

Проверив множество государственных веб-порталов мы выяснили, что лишь небольшая часть реализует криптографию в специализированных браузерах по алгоритму ГОСТ. Вот так, например, в таком браузере выглядит сертификат портала torgi.gov.ru:

Правда, в Firefox уже вот такая картина:

Старый добрый RSA, точно не сертифицированный, ведь ФСБ сертифицирует только ГОСТ-криптографию. Да и в целом возникает вопрос, какой в смысл в том, что ГОСТ-шифрование работает, но из специальных браузеров, а из обычных потребительских сайт тоже работает, но на RSA. Получается, что требование как бы выполняется, но для мизерного числа пользователей.

Ну, хоть и на том спасибо, а вот Госуслуги решили не париться:

Виды проверок

Выездные проверки

• проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами (отсутствие такого журнала, кстати, это уже нарушение);
• затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
• бегло ознакомившись с составом документов, проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации и удаляются в свои кабинеты изучать предоставленную вами информацию;
• в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
• в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнут на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
• в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.

случилась