Хелпикс

Главная

Контакты

Случайная статья





Приложение 1. Примерный образец отказа от дачи согласия на обработки персональных данных



 

                     Отзыв согласия на обработку персональных данных.

I.Если ранее вами было подписано добровольное согласие на обработку персональных данных (ОПДн), то имеет смысл его отзывать ото всюду, где оно давалось. Причины станут понятны по тексту.

Оператором обработки персональных данных, согласно п. 2 ст. 3 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее 152-ФЗ), является школа, детский сад, поликлиника, МФЦ, пенсионный фонд, соцзащита, ЗАГС, оператор сотовой связи, банк и любой другой «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных». То есть оператором ОПДн является та государственная или частная организация, где вы подписали согласие на ОПДн.

Отзываете свое согласие вы именно там, где его давали. Отзыв нужно писать на имя начальника/директора/главврача/заведующей той организации, где вы давали согласие.                                              В случае, если оператор передавал (распространял, предоставлял, давал доступ) третьим лицам, то он обязан обеспечить прекращение ОПДн «другим лицом, действующим по поручению оператора»                                                            (ч. 5 ст. 21 152-ФЗ).

Нулевой шаг в этом процессе - рассмотреть организацию со всех сторон. Предварительное знакомство. Например, зарегистрирована ли она в реестре Роскомнадзора.                         Для этого:

1. Узнаем ИНН организации, набираем в поисковой строке название организации и слово «ИНН», заходим на сайт единого государственного реестра юридических лиц (ЕГРЮЛ) и копируем ИНН организации;

2. Заходим на официальный сайт Роскомнадзора на страницу Реестр операторов, осуществляющих ОПДн (https://rkn.gov.ru/personal-data/register/);

3. Вводим в поисковую графу «ИНН» идентификационный номер налогоплательщика (ИНН) данной организации и нажимаем на кнопку «Найти»;

4. Изучаем информацию об организации. Тут можно обнаружить: цель обработки персональных данных (ПДн), какими нормативными правовыми актами пользуется организация при ОПДн, ознакомиться с мерами, принятыми организацией (а такие меры оператор обязан принять согласно ст. 18.1 и 19 152-ФЗ и вы можете проверить, как справилась организация со своей задачей, ознакомьтесь с данными статьями), узнать, какое лицо ответственно за обработку ОПДн, его электронный адрес (если вы решите контактировать с организацией в электронной форме), узнать сроки и условия прекращения ОПДн, способ обработки ПДн (например, при смешанной обработке оператор обрабатывает данные смешанным способом, то есть и не автоматизированным и автоматизированным с передачей через интернет или без таковой), передает ли организация ПДнтрансгранично (передача ПДн иностранному государственному органу, юридическому или физическому лицу иностранного государства).

Зная ИНН организации, можно просматривать в каких госзакупках она участвовала на сайте zakupki.gov.ru (https://zakupki.gov.ru/epz/organization/search/results.html). Какое оборудование приобреталось для соблюдения безопасности, соответствовало ли оно нормам и тому подобное.

Далее желательно направить оператору запрос с уточнением подробностей, которые интересуют субъекта ПДн (вас). Вы уже знаете, кто является ответственным лицом, отвечающее за ОПДн и к кому, следовательно, обращаться с запросом.                  Этот шаг не обязательный, но рекомендованный.

Право направлять запрос и получить развернутый ответ нам дают следующие нормативные правовые акты:                                                                                                                                                                                                                                          1. ст. 19 Всеобщей декларация прав человека (принятой Генеральной Ассамблеей ООН 10.12.1948): «Каждый человек имеет право на свободу ... искать, получать и распространять информацию и идеи любыми средствами и независимо от государственных границ»;

2. ч. 2 ст. 24 Конституции РФ: «Органы государственной власти и органы местного самоуправления,                          их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом»;                                                                                                                                                                                                          3. ч. 4 ст. 29 Конституции РФ: «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом»;                                                                                                              4. ч. 2 ст. 8 149-ФЗ «Об информации, информационных технологиях и о защите информации»: «Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы»;                                                        5. ч. 5 ст. 8 149-ФЗ «Об информации, информационных технологиях и о защите информации»: «Лицо, желающее получить доступ к такой информации, не обязано обосновывать необходимость ее получения»;                                                                                                                                                                                                                    6. ч. 7 ст. 14 152-ФЗ «О персональных данных»: «Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами».

1. ч. 1 ст. 20 152-ФЗ: «оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя».

Таким образом, формируем запрос (пример):

От (ИОФ): ________________________________

Кому: ____________________________________

Вид документа____________________________

Номер документа_________________________

Дата выдачи, кем выдан___________________

                                                                           Запрос

На основании ч. 2 ст. 24 Конституции РФ, ч. 2 и 5 ст. 8 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ч. 4 ст. 14 Федерального Закона от 27.07.2006 года № 152 «О персональных данных» прошу в срок установленный ФЗ. № 152 «О персональных данных», предоставить мне, как субъекту–обладателю персональных данных, доступ к моим персональным данным, находящимся во временном обладании ООО «Рога и копыта», а также следующую информацию:

1. подтверждение факта обработки персональных данных;

2. перечень обрабатываемых ПДн и источники их получения;

3. цели и основания обработки моих ПДн;

4. какие сроки обработки и хранения моих ПДн;

5. наименование и место нахождения оператора;

6. способы обработки ПДн;

7. наименование и место нахождения третьих лиц (или фамилию, имя, отчество и адрес третьих лиц), которым оператор предоставил доступ к моим ПДн;

8. реализация оператором обязанности по обеспечению безопасности ПДн;

9. список информационных систем, обрабатывающих мои ПДн;

10. наличие или отсутствие лицензирования по технической защите конфиденциальной информации (ТЗКИ) при защите ПДн;

11. сведения о том, какие юридические последствия для субъекта персональных данных (меня) может повлечь за собой обработка его ПДн;

12. подвергаются ли мои ПДн трансграничной передаче (передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

/*в случае отправки запроса по Почте России: Ответ на настоящий запрос прошу направить в письменной форме по адресу: ______________________________________________________________________в установленные законом сроки.

/* в случае подачи запроса в электронном виде: Ответ на настоящий запрос прошу направить на электронную почту: ______________________ в установленные законом сроки.

«___» __________ 20___ г.                             ___________/_________________/

Неправомерный отказ должностного лица в предоставлении гражданину, (адвокату в связи с поступившим от него адвокатским запросом), и (или) организации информации, несвоевременное ее предоставление, либо предоставление заведомо недостоверной информации преследуется ст. 5.39 КоАП РФ.

Ответственность за нарушения в сфере законодательства о персональных данных также устанавливает и ст. 140 УК РФ: «Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан.

После получения отказа/отписки или если ответ вас не удовлетворил, идем в электронную приемную сайта Роскомнадзора (https://rkn.gov.ru/treatments/ask-question/) и формируем заявление. Дублируем заказным письмом в адрес территориального органа Роскомнадзора, который относится к месту вашего проживания.                                           Примерный текст заявления в Роскомнадзор:

хххх 2011 г. мной, субъектом-обладателем персональных данных в адрес оператора ООО «Рога и копыта», во временном обладании которого находятся мои персональные данные, был направлен запрос в письменном виде на предоставление доступа к моим ПД, а также предоставления мне информации предусмотренной ч. 7 ст. 14 ФЗ от 27.07.2006 г. № 152 «О персональных данных». Копия запроса прилагается.

хх.02.2011. я получил ответ от оператора ООО «Рога и копыта» №хх от хх.02.2011. Копия ответа прилагается.                   Настоящий ответ не удовлетворил меня по следующим причинам:

1. Доступ к своим персональным данным я не получил.

2. Никакие из запрашиваемых в письменном обращении сведения мне предоставлены не были.

3. Ни на один поставленный в моем обращении вопрос разъяснений я не получил.

(Описываете, что еще вам не ответили)

Заявленной целью обработки персональных данных оператора ООО «Рога и копыта» является в том числе «обработка персональных данных физических лиц — клиентов ОАО «Рога и копыта» при осуществлении ____ (указываете для каких целей обрабатывается).

Из условий договора, на который ссылается в своем ответе оператор ОАО «Рога и копыта» следует, что обрабатывает согласно договору хх.хх.2011 г. Договор № ххх1 от хх.хх.2004. был полностью исполнен.

Отсюда следует, что каких-либо договорных отношений с ООО «Рога и копыта» нет и их заключение не предполагается. Заявленная оператором цель обработки ПД «обработка персональных данных физических лиц — клиентов ООО «Рога и копыта» при осуществлении условий выполнения договора» достигнута или не соответствует заявленной.

Считаю действия оператора ООО «Рога и копыта» по обработке моих персональных данных несоответствующими требованиям настоящего Федерального закона «О персональных данных» и нарушающими мои права и свободы.

После изучения ответа оператора на свой запрос считаю дальнейшую переписку с оператором ООО «Рога и копыта» нецелесообразной.                                                                                                                                                              На основании вышеизложенного ТРЕБУЮ:

1. Оказать содействие в проведении проверки деятельности оператора ПД ООО «Рога и копыта» по обработке моих персональных данных на соответствие действующему законодательству в области персональных данных.

2. Оказать содействие в блокировании и уничтожении моих персональных данных, находящихся во временном обладании оператора – ООО «Рога и копыта» на основании достижения цели их обработки, а также иных выявленных нарушений в ходе проверки.

3. В случае уничтожения персональных данных обязать оператора ООО «Рога и копыта» уведомить меня – субъекта персональных данных о результате в письменном виде.

Ответ прошу выслать на адрес: ххххх

*текст у всех индивидуальных, это лишь пример описания проблемы, с которой столкнулся вымышленный субъект ПДн.

II. Итак, согласно ч. 1 ст. 20 152-ФЗ вы должны получить официальный ответ с предоставленной оператором информации в течение 30 дней с момента его получения запроса. На основании ответа можно сформировать более точный и грамотный отзыв своего согласия, с указание конкретных мер (например, с каких информационных систем вы требуете удаление ваших ПДн и прекращение автоматизированной обработки). В отзыве прописываем свое требование предоставить акт уничтожения ваших ПДн.

С момента получения вашего отзыва согласия оператор обязан прекратить обработку ваших ПДн и уничтожить их (если сохранение ПДн более не требуется для целей обработки ПДн). В случае если оператор передал ваши ПДн (предоставил доступ, распространил) третьим лицам, то он обязан обеспечить прекращение обработки ПДн третьими лицами и уничтожение ими ваших ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва - ч. 5 ст. 21 152-ФЗ. В случае, если вы отозвали согласие на автоматизированную обработку в пользу традиционной, на бумажных носителях и потребовали удаления ваших ПДн из информационных систем, оператор обязан удалить их. Настоятельно просим предоставить акт об удалении ПДн.

Подать заявление в учреждение можно несколькими путями:

1. Лично в канцелярию или приемную организации секретарю. В этом случае необходимо подготовить 2 экземпляра документа, на одном из них организация при приеме поставит отметку о получении (входящий номер иметь обязательно).

2. Почтовой корреспонденцией - заказным письмом с уведомлением и описью содержимого. Опись необходима как доказательство, что было отправлено именно заявление об отзыве согласия на обработку ПДн, а не что-либо иное. В этом случае подтверждать получение документа организацией будет уведомление, которое вернется отправителю.

3. В электронной форме, на официальный email организации (согласно ст. 4 федерального закона от 02.05.2006 г. «О порядке рассмотрения обращений граждан РФ» № 59-РФ (далее 59-ФЗ) обращение гражданина считается как устное, так и «в письменной форме или в форме электронного документа»). В этом случае оформляйте заявление на бумаге, а отправляйте его скан, прикрепив документ к электронному письму. Также есть возможность подписать свое заявление электронной подписью, но не у всех она имеется, да и ее наличие уже подразумевает автоматизированную обработку ПДн. Также можно отправить обращение через электронную приемную на сайте организации, если такая имеется, но обратите внимание, что в этом случае вы даете согласие на автоматизированную обработку ПДн при отправке обращения, иначе не получится электронного взаимодействия с вами вообще, так обязывает закон о персональных данных. Нужно читать политику конфиденциальности ресурса, такая обязана быть на каждом сайте.

Согласно ст. 12 того же федерального закона 59-ФЗ обращение «рассматривается в течение 30 дней со дня регистрации письменного обращения». В исключительных случаях данный срок может быть больше, уведомляя об этом гражданина.

Подтвердить дату получения оператором обращения очень важно, так как с этого момента будет отсчитываться период, в течение которого оператор по обработке индивидуальных сведений должен будет прекратить работу с заявленной информацией.

Внимание, важная информация. Ваше добровольное согласие на ОПДн в организации давалось не потому, что без него невозможно будет взаимодействовать с вами. Такого согласия не требуется согласно ст. 6 152-ФЗ. И ваши данные будут обрабатываться дальше, после отзыва, согласно ст. 9 152-ФЗ, но уже в рамках предоставления услуг, выполняя обязательства перед гражданином. Было подписано письменное согласие на то, чтобы ваши данные оператор смог обрабатывать автоматизированным способом, с помощью средств вычислительной техники. Занести ваши данные в информационные системы. А также это ваше согласие на то, чтобы оператор смог передавать (предоставлять, давать доступ, распространять) ваши данные неограниченному числу третьих лиц, в том числе через интернет. Часто письменное согласие берется обманом, ссылаясь на невозможность предоставления услуги без него. Поэтому в своем отзыве обращаем внимание на данные пункты и делаем запрет.

Образец формы заявления об отзыве согласия на обработку ПДн в школу:

 

От (ИОФ родителя) ___________________________________

Кому (директор) ______________________________________

действующего в интересах несовершеннолетнего            

ребенка (ИОФ)________________________________________,

Адрес _______________________________________________

ЗАЯВЛЕНИЕ ОБ ОТЗЫВЕ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, ___________________________________ (ИОФ), на основании ст. 64 Семейного кодекса РФ являюсь законным представителем несовершеннолетнего/ней

________________________________________(ИОФ) ___.___.20___г.р., уч-ся ____ класса _________________________________________________ (далее по тексту - Школа).

На основании ч. 1 - 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Закон), отзываю у Школы ранее данное мной согласие на обработку персональных данных моего несовершеннолетнего ребенка, своих персональных данных, а также членов моей семьи, необходимость обработки которых не является обязательной в силу законодательства РФ                                            (ст. 6 Закона).

Согласие на обработку персональных является добровольным, дается субъектом персональных данных свободно, своей волей и в своем интересе, однако, Школа не информировала меня о вышеуказанном. Согласие было обязательным требованием для получения образовательной услуги, что трактуется как нарушение сразу нескольких норм действующего законодательства РФ и международных норм, являющихся приоритетными в нашем государстве.

Школа располагает достаточными данными на учащегося для внутреннего использования в учебном процессе, а согласие подразумевает действия, избыточные по отношению к заявленным целям их обработки, что противоречит Закону.

В случае, предоставления/передачи/распространения Школой персональных данных несовершеннолетнего (включая данные мои и моей семье) третьим лицам, обязать третьи лица прекратить такую обработку и уничтожить наши персональные данные, согласно ч. 5 ст. 6 Закона. Школа имеет законное право обрабатывать персональные данные без согласия в рамках возложенных на нее государством обязательств, для предоставления образовательных услуг.

Напоминаю, что, в соответствии с ч. 5 ст. 21 Закона, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора), а также уничтожить персональные данные или обеспечить их уничтожение третьим лицом, действующим по поручению оператора в срок, не превышающий 30 (тридцати) рабочих дней с даты поступления отзыва.                                  Об уничтожении персональных данных оператор обязан уведомить субъект персональных данных.

На основании изложенного ТРЕБУЮ:

1. прекратить обработку и удалить из электронных баз данных (информационных систем)                                         все персональные данные моего несовершеннолетнего ребенка, а также мои персональные данные и данные моей семьи. Вместе с письменным ответом на данный отзыв предоставить Акт удаления персональных данных. Типовую форму Акта прилагаю.                                                           В последующем обеспечить учет ведения успеваемости учащегося традиционным способом на бумажном носителе, без использования автоматизированной обработки                                                             (согласно ст. 4, 5 ,6 ФЗ «Об организации предоставления государственных и муниципальных услуг» от 27.07.2010 г. № 210-ФЗ (далее 210-ФЗ); Постановлении Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее ПП № 687));

2. предоставить официальные письма от третьих лиц (Департамента образования, Департамента информационных технологий и остальных, кому оператор (Школа) поручил обработку наших персональных данных) о прекращении автоматизированной обработки и уничтожении персональных данных моего несовершеннолетнего ребенка ______________________________ (ИОФ), моих персональных данных, персональных данных моей семьи из электронных баз/информационных систем, а также об уничтожении уникального идентификационного номера (id) присвоенного моему ребенку при ведении электронного документооборота. Прекратить передачу и предоставление доступа третьим лицам;

3. обеспечить реализацию конституционных прав и законных интересов несовершеннолетнего ребенка на получение бесплатного образования на основании п. 6 ст. 4; ч. 3 ст. 5; п. 2 ч. 1 ст. 6  210-ФЗ, ст. 9, 16 Закона, обеспечить государственные услуги в сфере образования в полном объеме, используя для работы традиционный способ учета человека - по фамилии, имени и отчеству и т.д. на бумажных материальных носителях, без включения их в электронный документооборот, в соответствии с ПП № 687, без использования электронных услуг: электронного дневника/журнала, карты проход-питание, в том числе биометрии, (отпечатков пальцев, оцифровку венозного рисунка ладони, снимков роговиц глаз и т.п.).

4. не допускать дискриминации моего ребенка ________________________(ИОФ) по причине отзыва и отказа в последующем от обработки персональных данных учащегося автоматизированным способом, а также отказа от использования электронных услуг: электронный дневник/журнал, паспорт здоровья школьника, карты проход-питание и прочее, согласно ч. 3 ст. 13 Закона.

5. в последующем не допускать исключения из школы моего ребенка по причине отсутствия                              у него электронной регистрации и/или ведения электронного документооборота в отношении несовершеннолетнего.

Ставлю вас в известность, что в случае формального подхода к рассмотрению моего заявления и дальнейших попыток вынудить меня дать согласие на обработку персональных данных, либо использование карательных мер по отношению к моему ребенку (например: не допуск к занятиям), буду вынуждена обратиться в Генпрокуратуру РФ, а также регуляторам по вопросам персональных данных, для дачи правовой оценки действиям должностных лиц, виновных в нарушении законодательства РФ и привлечения их к ответственности. Также оставляю за собой право подачи заявления о нарушениях Конституционных прав должностными лицами в органы управления образования, уполномоченные органы по защите прав субъектов персональных данных.

Согласно ФЗ от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан РФ», письменный ответ о принятых Вами мерах по прекращению обработки и удалению из информационных систем персональных данных моего несовершеннолетнего ребенка _____________________________ (ИОФ), включая мои персональные данные, а также персональные данные членов моей семьи, письменные ответы о прекращении обработки и уничтожении наших персональных данных от третьих лиц, которым Школой была поручена обработка наших персональных данных, Акт об уничтожении персональных данных прошу направить по адресу: _________________________________________________________, в установленный действующим законодательством срок.

С уважением, _________________/____________                «___» ______________ 20___ г.

*в случае, если детей в данной школе обучается более одного, возможно писать отзыв одним заявлением, указывая всех несовершеннолетних.

Типовая форма акта об уничтожении персональных данных:

 

Наименование оператора_______________________________

Утверждаю (должность)_______________________________

Подпись/расшифровка____________/_____________________

Дата «___» _______________ 20_____г.

Акт об уничтожении персональных данных №____

Комиссия в составе:

Председатель (должность, ФИО) ____________________________________________

Члены комиссии (должность, ФИО) ___________________________________________

__________________________________________________________________________

провела отбор бумажных, электронных, магнитных и оптических носителей персональных данных и установила, что в соответствии с требованиями руководящих документов по защите информации указанные носители и информация, записанная на них в процессе эксплуатации, подлежит гарантированному уничтожению и составила настоящий акт о том, что произведено уничтожение носителей персональных данных:

 

Дата Тип носителя Примечание
       
       

 

Уничтожение информации произведено ______________ (способ уничтожения: стирания на устройстве гарантированного уничтожения информации и т.п.), гарантирующим полное уничтожение персональных данных.

Перечисленные носители персональных данных уничтожены путем (разрезания, сжигания, механического уничтожения и т.п.)

_____________________________________________________________________.

Подписи:

Председатель комиссии: ____________ / _____________

Члены комиссии: ____________ / _____________

                            ____________ / _____________

III. В случае если вы не согласны с ответом организации, в ответ на обращение приходит отписка, информация дана не по существу, рассмотрение заявления было формальным, дальнейшие действия могут быть следующими:

1. обращение к начальнику того должностного лица, который направил ответ, не устраивающий гражданина (заявителя) с требованием разобраться в сложившейся ситуации. В случае неудовлетворительного вас ответа обращаться в надзорные органы, приобщив копии ответов должностного лица и начальника этого лица.

2. сразу, минуя п. 1, обращаться в надзорные органы (какие именно это органы будет информация ниже по тексту). К обращению приобщается копия неудовлетворительного ответа организации.

Заявление в надзорные органы (и не только в надзорные) пишется строго по существу, без эмоций, поясняя шаг за шагом ситуацию. Недопустимо содержание в обращении нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностного лица, а также членов его семьи (ст. 11 59-ФЗ).

Согласно ст. 10 59-ФЗ государственный орган, орган местного самоуправления или должностное лицо обязаны обеспечить объективное, всестороннее и своевременное рассмотрение обращения гражданина, дать письменный ответ по существу поставленных в обращении вопросов. В случае нарушения порядка рассмотрения обращений должностными лицами государственных органов, органов местного самоуправления, государственных и муниципальных учреждений и иных организаций, на которые возложено осуществление публично значимых функций, предусмотрена ответственность согласно ст. 5.59 КоАП РФ.

В шапке заявления целесообразно указать сразу всех получателей, таким образом каждый из получателей видит, что задействованы несколько адресатов, что увеличивает эффективность обращения, дисциплинирует и обязывает каждого адресата внимательнее отнестись к обращению (жалобе). Далее заявление размножается в зависимости от количества получателей. Не забывайте, что в случае личной подачи заявления и у вас на руках должен остаться собственный экземпляр с входящим номером поступившей в организацию канцелярии.

IV. Подробнее о регуляторах (надзорных органах) в сфере защиты информации и ПДн.

Защита персональных данных становится задачей каждой компании. На эти компании ложатся определенные обязанности – от разработки документации до установки соответствующего программного обеспечения. На определенные государственные ведомства возложены задачи по контролю над соблюдением законодательства, действующего в этой сфере.

Действующее законодательство указывает на три ведомства Российской Федерации, на которые возложена обязанность контролировать выполнение юридическими лицами того, что требует от них закон, чтобы эффективно защищать персональные данные граждан. Это такие государственные органы:

1) Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) https://rkn.gov.ru/;

2) Федеральная служба по техническому и экспортному контролю (ФСТЭК) https://fstec.ru/;

3) Федеральная служба безопасности (ФСБ) http://www.fsb.ru/.

Согласно законодательству, проверки организаций, являющихся операторами по обработке ПДн, могут быть плановыми и внеплановыми.

Плановая проверка может быть назначена не ранее чем по прохождении трех лет с момента регистрации или подачи уведомления о работе с персональными данными. Каждый оператор всегда может знать, будут ли в отношении него производиться плановые проверочные мероприятия.

А вот внеплановая проверка соблюдения правил защиты ПДн может быть назначена только при наличии веских причин. Это:

a. наличие заявления гражданина о нарушении его прав или противоправной деятельности, которую ведет компания;

b. сообщение об этом правоохранительного органа;

c. неисполнение предписания, выданного проверяющей организацией по результатам предыдущей плановой проверки;

d. нарушение законодательства, регулирующего сферу защиты ПДн и другие.

Как видим, гражданин, который близко ознакомился с деятельностью организации (оператора), и нашедший нарушения, вполне может стать инициатором внеплановой проверки. Особенно если это коснулось безопасности его ПДн, а оператор отказал в прошении отзыва согласия гражданина.

Важно, что внепланово проверяющие ведомства могут прийти в компанию только при наличии согласия органов прокуратуры. Если обращение гражданина, которое могло бы стать основой для проведения проверки, не содержит данных, которые могли бы помочь установить его личность, например, в нем проставлена неразборчивая подпись или отсутствует почтовый адрес, такое заявление не может быть положено в основу проведения проверки.

О внеплановых проверяющие ведомства обязаны их уведомить не позднее чем за 24 часа. Однако, если деятельность оператора вышла за рамки закона и таким нарушением был причинен вред человеку, его здоровью или жизни (например, утечка данных стала причиной нападения), то в этом случае уведомлять о проверке не требуется, она проводится незамедлительно после установления такого факта.

На практике чаще всего проверки соблюдения законодательства по хранению и обработке ПДн проводятся Роскомнадзором. Все три уполномоченные организации достигли взаимопонимания и в порядке межведомственного взаимодействия иногда проводят совместные контрольные мероприятия в отношении одного и того же субъекта, распределяя между собой зоны ответственности и объекты проверок. Роскомнадзор отвечает за общее соблюдение законодательства, ФСТЭК и ФСБ контролируют соблюдение специальных лицензионных требований.

1. Роскомнадзор. Ведомство отвечает за большой круг правоотношений, связанных с информационными технологиями и использованием сети Интернет. Оно проверяет, насколько точно организации выполняют требования, связанные с обработкой и хранением ПДн, защитой прав субъектов. Ведомство вправе проверить те данные, которые компания указала в уведомлении о начале занятия видом деятельности, связанным с обработкой ПДн.

Основываясь на законе о персональных данных (152-ФЗ), ведомство вправе:

a) запрашивать у граждан и организаций любую информацию, которая нужна ему для исполнения своих функций, и получать такие данные на безвозмездной основе;

b) проверять всю информацию, которую компания направила в государственный орган, сообщая о начале осуществления деятельности по ОПДн. Контроль проводится как непосредственно ведомством, так и с привлечением иных государственных структур, которые имеют полномочия на проверку указанных сведений;

c) при получении заявления гражданина или по иным причинам требовать от оператора блокировать, стереть или уточнить данные, не отвечающие требованиям достоверности или полученные нелегитимным способом;

d) в случае если обработка персональных данных не соответствует нормам и правилам, установленным для таких операций, самостоятельно, без переноса вопроса на решение суда, принимать решение о приостановке или запрете в дальнейшем заниматься ОПДн;

e) подавать в суды иски, предметом которых будет защита информационных и личных прав субъектов – носителей ПДн, представлять в суде интересы таких граждан;

f) направлять запрос в ведомство, выдавшее лицензию оператору на осуществление предпринимательской деятельности, связанной с обслуживанием ПДн, с просьбой приостановить ее действие или прекратить его, если одним из условий лицензирования был запрет на распространение или передачу ПДн, не заручившись подписанным их носителем разрешением;

g) писать официальные уведомления в прокуратуру и в органы следствия, направляя материалы, позволяющие решить вопрос о возбуждении уголовного дела, если были зафиксированы признаки деяния, предусмотренного УК РФ и имеющего отношение к неправомерному обращению с ПДн;

h) принимать обоснованные решения о привлечении операторов и иных лиц, некорректно использующих ПДн или совершающих иные правонарушения, к ответственности в рамках КоАП РФ.

 

2. ФСТЭК. Отвечает за техническое обеспечение системы защиты ПДн. Среди его полномочий:

a) запрос у оператора отчета по контролируемым видам деятельности и его проверка;

b) требование копий документов, подтверждающих соответствие используемой компьютерной техники и сертификатов на применяемое программное обеспечение;

c) запрос документации на помещения, подтверждающей то, что они оборудованы должным образом и гарантируют надлежащую защит



  

© helpiks.su При использовании или копировании материалов прямая ссылка на сайт обязательна.