В целях контроля деятельности компаний и физических лиц, которые занимаются обработкой ПДн, Роскомнадзором был создан специальный реестр. В нем фиксируется основная информация об операторах:
- какие ПДн они обрабатывают;
- какие меры защиты используют для предупреждения несанкционированного доступа;
- чьи сведения собирают и что конкретно с ними делают;
- для чего используют личные сведения;
- кто несет ответственность за их безопасность;
- на каких серверах хранят ПДн и т.д.
База находится в общем доступе, поэтому любой гражданин может поинтересоваться, насколько ответственно подходит организация или ИП к соблюдению требований ФЗ-152. Уведомление об обработке подается до начала совершения операций, и организация обязана предоставить достоверную и актуальную информацию о себе и своей деятельности. Если в дальнейшем какие-либо сведения поменяют, то закон обязывает внести изменения в реестр операторов персональных данных. Иногда предприниматели и фирмы забывают это сделать, из-за чего потом вынуждены платить штрафы за нарушение в области ПДн. РКН часто проводит проверки, поэтому надеяться, что новый адрес или переименование не заметят, не стоит. Гораздо разумнее официально сообщить свежую информацию в том порядке, который устанавливает закон.
Внесение изменений в реестр операторов персональных данных на законных основаниях
Откорректировать информацию, которая представлена в единой базе, необходимо не позднее, чем через 10 дней с момента наступления оснований, например:
- приказа о назначении иного лица, ответственного за безопасность ПДн;
- переименования предприятия;
- смены юридического адреса;
- расширения спектра обрабатываемой информации;
- перемещения ИСПДн на другой сервер;
- начала трансграничной передачи;
- интеграции новых средств защиты;
- формирования новых информационных систем (автоматизированных, смешанных, неавтоматизированных);
- открытия либо закрытия филиала и т.д.
- организация или физическое лицо составляет информационное письмо, где четко указаны причины и данные, которые поменялись;
- подача осуществляется в оговоренные нормативно-правовой базой сроки в территориальное отделение РКН в форме письменного уведомления с печатью и подписью руководителя либо электронным путем с ЭЦП на сайте ведомства;
- кроме письма от оператора требуется предоставить документ, который выступает подтверждением произошедших перемен.
Какие сведения можно поменять?
Информационное письмо похоже на уведомление об обработке ПДн, но отличается тем, что заполнять нужно только поля, помеченные «*» (территориальный орган РКН, тип, адрес, наименование оператора, ИНН и ОГРН, регистрационный номер записи об уведомлении), которые касаются произошедших изменений:
- Фактический адрес, индекс, контактная информация.
- Телефон и электронная почта.
- Сведения о филиалах.
- Правовые нормативы, которыми руководствуется организация при обработке ПДн.
- Число, месяц и год начала операций с персональными данными.
- Цель выполнения действий с личными сведениями граждан, список субъектов, категории ПДн.
- Условия прекращения действий.
- Методы обработки и средства защиты.
- Передача данных за границу (хранение, анализ, систематизация на иностранных серверах).
- Применение криптографических СЗИ.
- Ответственное лицо за сбор и обработку, обеспечение безопасности ПДн.
Особенности исключения из списка РКН
Если нужно не внести изменения, а исключить компанию либо ИП из реестра операторов ПДн, то для этого также необходимо послать уведомление. Законодательство отводит для этого 10 дней (рабочих) после того, как наступили условия прекращения соглашения об обработке персональных данных либо иные обстоятельства, которые предполагают удаление сведений об организации из единой базы. Сделать это можно как в письменном, так и в электронном виде, указав причину и приложив документ, выступающий доказательством:
- ликвидации предприятия;
- реорганизации бизнеса и, как следствие, прекращения деятельности;
- наступления срока прекращения обработки ПДн;
- решения суда об остановке действий с персональными данными;
- аннулировании лицензии.
