НКО и Роскомнадзор: когда нужно уведомление о работе с персональными данными
НКО и Роскомнадзор: когда нужно уведомление о работе с персональными данными
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — уполномоченный орган по защите прав субъектов ПДн и орган, контролирующий соблюдение требований законодательства в этой сфере. Рассказываем, в каких случаях НКО обязана уведомлять Роскомнадзор о работе с ПДн.
1. Уведомление об обработке ПДн
С 1 сентября 2023 года все организации обязаны подавать уведомление об обработке ПДн в Роскомнадзор. Это не является основанием для включения в план проверок, а, наоборот, подтверждает добросовестность организации в глазах контролирующего органа.
Уведомление заполняют на официальном сайте Роскомнадзора через специальный портал.
Есть три способа подачи:
— заполнение и отправка в печатном виде,
— заполнение с использованием усиленной электронной цифровой подписи,
— заполнение через личный кабинет на портале Госуслуг.
Датой подачи считается дата заполнения уведомления на сайте Роскомнадзора. Рекомендации по составлению уведомления доступны на сайте Роскомнадзора.
Уведомление заполняют на официальном сайте Роскомнадзора через специальный портал.
Есть три способа подачи:
— заполнение и отправка в печатном виде,
— заполнение с использованием усиленной электронной цифровой подписи,
— заполнение через личный кабинет на портале Госуслуг.
Датой подачи считается дата заполнения уведомления на сайте Роскомнадзора. Рекомендации по составлению уведомления доступны на сайте Роскомнадзора.
2. Уведомление о трансграничной передаче ПДн
До 1 марта 2024 года для передачи ПДн за пределы РФ требовалось только согласие субъекта ПДн. Однако сейчас регулирование этого процесса изменилось.
Теперь, если организация планирует передачу ПДн за пределы России, она обязана уведомить Роскомнадзор об этом в специальном подразделе сайта. Роскомнадзор рассматривает это уведомление и может принять решение о запрете такой передачи.
Существует два списка стран, определенных в соответствии с их законодательством и уровнем защиты ПДн:
— Страны, ратифицировавшие европейскую конвенцию и внесенные в специальный перечень Роскомнадзора. Трансграничную передачу в эти страны можно осуществить сразу, без ожидания решения Роскомнадзора
— Страны, которые не ратифицировали эту конвенцию и не включены в специальный перечень Роскомнадзора. Передача ПДн в эти страны потребует разрешения Роскомнадзора.
Самое сложное — определить, что считать трансграничной передачей ПДн. Например, использование облачных хранилищ за пределами России могут расценить как трансграничную передачу, даже если они принадлежат российским компаниям. В связи с этим существует серая зона, и четких разъяснений со стороны Роскомнадзора пока нет.
Чтобы избежать возможных негативных последствий, организациям стоит минимизировать трансграничную передачу ПДн и использовать российские сервера для обработки и хранения данных.
Теперь, если организация планирует передачу ПДн за пределы России, она обязана уведомить Роскомнадзор об этом в специальном подразделе сайта. Роскомнадзор рассматривает это уведомление и может принять решение о запрете такой передачи.
Существует два списка стран, определенных в соответствии с их законодательством и уровнем защиты ПДн:
— Страны, ратифицировавшие европейскую конвенцию и внесенные в специальный перечень Роскомнадзора. Трансграничную передачу в эти страны можно осуществить сразу, без ожидания решения Роскомнадзора
— Страны, которые не ратифицировали эту конвенцию и не включены в специальный перечень Роскомнадзора. Передача ПДн в эти страны потребует разрешения Роскомнадзора.
Самое сложное — определить, что считать трансграничной передачей ПДн. Например, использование облачных хранилищ за пределами России могут расценить как трансграничную передачу, даже если они принадлежат российским компаниям. В связи с этим существует серая зона, и четких разъяснений со стороны Роскомнадзора пока нет.
Чтобы избежать возможных негативных последствий, организациям стоит минимизировать трансграничную передачу ПДн и использовать российские сервера для обработки и хранения данных.
3. Уведомление о нарушении безопасности ПДн
Организации обязаны уведомлять Роскомнадзор о случаях инцидентов с ПДн в специальном подразделе сайта.
Таким инцидентом может стать утечка данных, выявленная как самой организацией, так и по запросу субъектов ПДн или Роскомнадзора. Утечка может произойти из-за ненадлежащего внутреннего контроля, недобросовестных действий работников, вирусной атаки, фишинговых программ и др.
С момента обнаружения утечки НКО должна направить уведомление в Роскомнадзор в течение 24 часов, а после, в течение 72 часов, провести внутреннее расследование, определить виновных и сообщить о них в Роскомнадзор.
Если субъект ПДн или Роскомнадзор обращается к организации с уведомлением о нарушении, и организация не может его подтвердить, она также должна уведомить Роскомнадзор. Это подразумевает проведение внутреннего расследования и предоставление информации о результатах.
Таким инцидентом может стать утечка данных, выявленная как самой организацией, так и по запросу субъектов ПДн или Роскомнадзора. Утечка может произойти из-за ненадлежащего внутреннего контроля, недобросовестных действий работников, вирусной атаки, фишинговых программ и др.
С момента обнаружения утечки НКО должна направить уведомление в Роскомнадзор в течение 24 часов, а после, в течение 72 часов, провести внутреннее расследование, определить виновных и сообщить о них в Роскомнадзор.
Если субъект ПДн или Роскомнадзор обращается к организации с уведомлением о нарушении, и организация не может его подтвердить, она также должна уведомить Роскомнадзор. Это подразумевает проведение внутреннего расследования и предоставление информации о результатах.
Другие материалы по теме