Сегодня хотел остановиться на приказе Россвязьохранкультуры (ныне Роскомнадзор) №157 от 28 марта 2008г, а именно на той части, которая описывает процедуру вывода операторов из реестра.
Приведу 6-ю главу с комментариями:
-----------------------------------------------------------------------------------
18. Вопрос об исключении Оператора из Реестра рассматривается в следующих случаях:
- поступление в Службу или ее территориальные управления письменного заявления (обращения) от Оператора, включенного в Реестр, об исключении с приложением обоснований;
- принятие Службой или ее территориальными управлениями мер по приостановлению или прекращению Оператором обработки персональных данных, осуществляемой с нарушением требований Закона.
(Все понятно, инициатором может быть либо РКН, либо сам оператор)
19. Операторы исключаются из Реестра при наступлении одного из следующих условий:
- ликвидация Оператора;
- прекращение деятельности Оператора в результате его реорганизации, за исключением реорганизации в форме преобразования;
- аннулирование лицензии на осуществление лицензируемой деятельности Оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
- наступление срока или условия прекращения обработки персональных данных, указанных в Уведомлении;
(тут интересно, согласно приказу №08, в уведомлении «указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки персональных данных».
Никаких дополнительных разъяснений нет, т.е. у вас есть полное право написать здесь список условий из нескольких абзацев и перечислить очень многое, например, «…отзыв субъектом персональных данных согласия на обработку персональных данных, прекращения срока, в течение которого действует согласие субъекта персональных данных на обработку персональных данных…». Пишите максимально много, чтобы иметь больше оснований выйти из реестра.
К сожалению, в некоторых территориальных управлениях (лично не сталкивался, хотя слышал), могут не принимать такие развернутые условия и вынуждают писать – «ликвидация юридического лица или аннулирование лицензии»)
- решение суда о прекращении оператором деятельности по обработке персональных данных;
(о практике не слышал и сомневаюсь, что она была, но видимо это будет единственным способом для большинства операторов выйти из реестра)
- иные, установленные законодательством Российской Федерации в области персональных данных.
(обожаю такие поправки)
20. Решение об исключении Оператора из Реестра оформляется приказом руководителя Службы или заместителя руководителя Службы.
(Этот пункт заставляет задуматься о всей сложности процедуры исключения)
На основании изданного приказа в Реестр вносятся сведения об исключении Оператора из Реестра. После исключения Оператора из Реестра регистрационный номер соответствующей записи в дальнейшем не используется.
21. Информация об исключении Оператора из Реестра должна быть опубликована на официальном сайте Службы в сети Интернет не позднее трех дней с даты подписания приказа.
---------------------------------------------------------------------------
Одним словом, попасть в реестр значительно проще, чем из него выйти. Поэтому, повторюсь, озадачивайтесь отправкой уведомления в самую последнюю очередь, даже если Вы - гос.структура. Более того, можете написать официальное письмо в РКН, что вы не являетесь оператором ПДн до тех пор, пока РКН не докажет обратное, а доказать это можно только через суд.
Практически нигде не поднимается вопрос, когда вообще надо уведомление направлять, а когда нет...
ОтветитьУдалитьХотя известны случаи, привлечения Росвязькомнадзором операторов по ст.19.7 КоАП РФ за непредоставление таких уведомлений. (В Башкирии, например. Об этом есть заметка в Вашем блоге от 23 марта).
Интересно, как башкирский РСКН определил, что ООО «Карт-Бланш Консалтинг», ООО «Альвис плюс», ООО «Кадровые решения», обязаны направлять уведомления и не попадают под исключения ч.2 ст.22?
Добавлю, что Управление РКН по Башкортостану - самое результативное управление по многим показателям: по числу уведомлений, по кол-ву проверок...
ОтветитьУдалитьКстати говоря, есть новые проверки этого управления:
Внеплановые проверки соблюдения законодательства организаций ООО «Артикстрой», ООО «ТРИЗА УРАЛ»
Управлением проведены внеплановые проверки соблюдения законодательства организаций ООО «Артикстрой», ООО «ТРИЗА УРАЛ» в области обработки персональных данных.
В результате проведённых проверок были выявлены нарушения действующего законодательства в области защиты прав субъектов персональных данных. Данные организации производили обработку персональных данных своих клиентов (сбор, хранение, использование, передачу и т. д.) без уведомления уполномоченного органа по защите прав субъектов персональных данных (в данном случае Управление Россвязькомнадзора по Республике Башкортостан). Тем самым, нарушалась ст. 22 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». По факту выявленных нарушений Управлением Россвязькомнадзора по Республике Башкортостан на руководителей этих организаций составлены протоколы об административных правонарушениях по ст. 19.7 Кодекса об административных правонарушениях. В марте 2009 года мировыми судьями г. Уфы Республики Башкортостан вынесены постановления о наложении административных взысканий в виде штрафов на руководителей ООО «Артикстрой», ООО «ТРИЗА УРАЛ» за нарушения в области обработки персональных данных.
Евгений Царев пишет:
ОтветитьУдалитьБолее того, можете написать официальное письмо в РКН, что вы не являетесь оператором ПДн до тех пор, пока РКН не докажет обратное, а доказать это можно только через суд.
Тяжело с этим согласиться.
1. Написав такое письмо, юр.лицо сразу дает Роскомнадзору повод для определения целей ближайшей своей деятельности в т.ч. для возбуждения дела об АП.
2. "...пока РКН не докажет обратное...". На Ваш взгляд в каком порядке он должен это доказывать: в административном или в гражданском?
1. Эта фраза касалась больше гос.структур, и компаний, которые уже сегодня ощущают давление со стороны регулятора. Если не ошибаюсь, ГИБДД так и поступили.
ОтветитьУдалить2. Практика уже существует, эти дела проходят в административном делопроизводстве.