Rkn moscow пришло письмо что это значит
Пришло письмо от postbox rkn.moscow: что это?
Роскомнадзор (rkn) — организация, созданная в связи с указом тогдашнего президента Д. Медведева в 2008. Целью этой российской федеральной службы является осуществление контроля, а также регулирование состояния и работы информационного пространства, куда входят:
РКН следит за соблюдением нормативных правил и законов РФ в информсреде, а также проводит действия по выявлению правонарушений в этой сфере. Для связи с организациями, ведущими свою деятельность в информационном пространстве, Роскомнадзор использует почтовую переписку. 
И, для того чтобы быть уверенным, что почтовое отправление пришло именно от rkn.moscow, следует знать его характерные свойства. Это поможет отличить официальное письмо от поддельного.
Многие знакомы с рядом новостей о том, что осуществлялась якобы официальная почтовая рассылка от Роскомнадзора широкому кругу различных предпринимателей. Там выдвигались требования прислать документацию, которая подтверждает деятельность фирмы, плюс к этому, требовалось поместить определённые дополнительные файлы в структуре интернет-сайта компании. Заканчивалось послание угрозой, что в случае отказа выполнить предлагаемые действия, сайт компании будет заблокирован.
Но не стоит при получении подобного письма лихорадочно предпринимать какие-либо из требуемых действий. Прежде рекомендуется проверить, что послание действительно является официальным запросом Роскомнадзора. Существует вероятность того, что это злоумышленники пытаются обманным путём получить свободный доступ к веб-сайту.
Главным отличием подлинного письма от мошеннического будет адрес эл.почты отправившего. На сайте РКН указан их подлинный почтовый адрес — rsoc_in@rkn.gov.ru. Только если в строке «От кого» прописан этот атрибут, письмо может считаться официальным. В таком послании будет содержаться наряду с обоснованной причиной обращения и список сносок на правовые государственные акты.
В том случае, когда почтовое отправление, полученное пользователем, отличается от описанного либо по адресу отправителя, либо содержанием, то велика вероятность того, что кто-то с помощью угроз через почтовый спам предпринимает попытки взломать интернет-сайт.
Но если письмо было отправлено действительно из Роскомнадзора, то следует со всей ответственностью отнестись к его содержимому и в указанные сроки выполнить предлагаемые федеральной службой действия.
RKN Moscow – пришло письмо: что это такое
30.03.2020 787 Просмотры
Роскомнадзор – федеральная служба России, которая контролирует и регулирует работу и состояние информационной среды: сетей, сотовой связи, СМИ, интернета и др. Федеральный орган был создан в 2008 году указом президента Д. Медведева, подчиняется Минкомсвязи Российской Федерации. Роскомнадзор следит за исполнением законов в информационной среде и занимается поиском нарушений и злоупотреблений, а связывается с субъектами информсреды при помощи деловой переписки.
Далее разберемся в вопросе: что представляет себой официальное письмо от RKN Moscow, его ключевые атрибуты и характеристики.
Наверное, почти каждый читал или видел мельком в интернете новости по теме рассылки официальных писем предпринимателям, отправителем которых якобы выступает Роскомнадзор. В электронных письмах требуется выслать документы о деятельности предприятия, а также прилагается краткая инструкция по созданию дополнительных файлов в корневой папке веб-сайта. Далее в тексте следуют угрозы: если инструкция не будет выполнена, ваш сайт заблокируют на территории РФ.
Но перед тем как сломя голову бежать и что-то менять, нужно проверить: а действительно ли запрос вы получили от Роскомнадзора, или же это были мошенники, которые желают получить доступ к вашему сайту?
Официальное письмо должно быть написано в деловом нейтральном тоне, а поднимаемые вопросы изложены ясно и лаконично. Соответственно, никаких угроз о «закрытии и прекращении» работы сайта и подобных запугиваний не должно быть. В начале письма описывается повод обращения и далее по тексту идут постоянные сноски на пункты законов РФ, регулирующие работу в сфере информационных технологий.
Если же корреспонденция действительно была прислана из RKN Moscow, нужно внимательно отнестись к запросу и ответить на него в срок. В тексте официального обращения будут описаны причины написания письма, а также указания на соответствующие нормативные правовые акты. Найти и ознакомиться с их содержанием можно на сайте http://pravo.gov.ru/.
В любом случае на официальный запрос от федеральной службы нужно реагировать следующим образом: составить ответное письмо, предоставить требуемые документы и прочее. Кроме электронного письма рекомендуется составить заказное бумажное письмо с указанием ценности. Оно будет вручено лично адресату с подтверждающей подписью, а доставку можно будет отслеживать с помощью трек-номера. Ответ на официальный запрос нужно отправить в течение 30 дней со дня получения обращения (закон РФ «О персональных данных»).
Россертификация, Росконтроль – мошенничество в сфере оказания услуг по защите ПДн или нет?
Всем привет, в 2020 году прокатилась новая волна спама от так называемого Федерального центра по защите персональных данных СДС «Росконтроль». Там все по классике – пугают операторов персональных данных миллионными штрафами и обещают решить все проблемы всего за каких-то 40 тысяч рублей. Но история эта началась гораздо раньше, и я бы хотел сначала провести небольшую ретроспективу.
2018 год. Россертификация
В 2018 году в нашу организацию, которая тоже занимается, в том числе, защитой персональных данных, начали поступать многочисленные запросы от юридических лиц о том, что им пришло электронное письмо от какой-то Россертификации и как им на него реагировать.
Сразу же с ходу в теме письма начинаются психологические манипуляции, давящие на страх и беспокойство, которые кроются в словах «Предписание Рос… чего-то там». Среднестатистический работник бухгалтерии, знающий, что госорганы готовы выписывать предписания и штрафы за каждый чих, конечно, в первую очередь почувствует запах неприятностей, а потом уже начнет думать и осознавать происходящее.
В самом вложении также в шапке красуется «Россертификация». Пока не понятно, это действительно госконтора или ООО, или еще что-то другое. А вот ниже уже интереснее – указаны реквизиты ИНН, КПП, ОГРН и ОКПО. Быстрый поиск в ЕГРЮЛ дает нам результат – это данные некоего ООО «Единый центр сертификации». Запомним это и едем дальше, осознавая, что подобные «предписания» без каких-либо договоров, например на аттестационные испытания, не имеет права выдавать ни одно ООО.
Далее нам вешают лапшу о «начале внеплановых проверок с 1 апреля 2018 года», как будто ранее РКН не проводил внеплановых проверок по персональным данным. В этом же предложении жирным шрифтом акцентируется, что якобы все организации должны уведомить РКН об обработке персональных данных, хотя в части 2 статьи 22 Федерального закона №152-ФЗ «О персональных данных» приводится целых 9 пунктов исключений, когда оператор ПДн может не подавать такое уведомление.
По штрафным санкциям опять недостоверная на тот момент информация. Нижняя граница штрафа для юридических лиц – 15 тысяч рублей, а не 45.
И под конец моё любимое – страшилка про закрытие предприятия на 90 суток за невыполнение закона «О персональных данных». Я думал, что недобросовестные коллеги оставили эту байку в 2010 году как максимум. И, конечно же, такой нормы нет в упомянутой статье 13.11 КоАП РФ – здесь просто прямое вранье (с этого момента можно начинать считать сколько раз в этой статье будет употреблено слово «вранье»)! А тем, кто не знает/не помнит откуда пошла эта страшилка, добро пожаловать под спойлер.
Откуда пошла страшилка про закрытие предприятия на 90 суток
Страшилка про закрытие предприятия на 90 суток пошла из статьи 19.5 КоАП РФ «Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль».
Статья очень большая, описывает разные санкции за невыполнение предписания всех возможных органов надзора. И, видимо, по логике придумавших эту страшилку всем будет лень читать статью целиком и они просто поверят, что за невыполнение предписания РКН организацию закроют на срок до 90 суток (коммерческой организации можно сразу закрываться навсегда). И самое интересное, что возможность быть закрытым на 90 суток в статье 19.5 КоАП РФ действительно есть, только эта санкция предусмотрена за:
невыполнение предписания строительного надзора;
невыполнение требований карантина;
повторное невыполнение предписания пожарного надзора;
невыполнение законодательства о защите детей от «плохой» информации.
Смотрим дальше текст вложения.
И снова вранье, которое заключается в том, что никакой льготной федеральной программы по разработке документации по защите ПДн не существует и никогда не существовало.
Кстати, в этом месте документа по идее должна быть гиперссылка на сайт, но ее нет. Но тогда, в 2018 году, он нашелся методом беглого гугления, сайт находился по адресу 152-фз.россерт.рф. Находился, т. к. сайт больше недоступен, Wayback Machine выдает что-то внятное только за 2019 год. А мы их анализировали и успели наделать скриншотов в 2018-м (судя по архивному отпечатку, в 2019 году текст сильно поменялся, но не суть), и там тоже много чего важного, что поможет нам в будущем сделать кое-какие выводы, давайте посмотрим.
Читатель, ты, возможно, не понимаешь, зачем я тебе показываю скриншоты уже неработающего сайта, но поверь, это важно для понимания полной картины в наши дни.
Итак, снова у нас тут «Федеральная программа», которой не существует, «главный орган по сертификации Россерт» (а это тоже самое, что и Россертификация или другое? пока не понятно) и прочие громкие фразы типа «Федеральная программа развития бизнеса в России. При аккредитации Росстандарта». Но самое главное – номер телефона в правом верхнем углу совпадает с номером в приложении к письму, а значит, мы точно попали через поиск куда надо.
Дальше нас учат, как же соответствовать закону о персональных данных. Якобы нужно разработать пакет документов и получить на них сертификат соответствия ГОСТ. Стоп, чего? Про пакет документов, в общем-то, правда, да только вот кроме документов, чтобы соответствовать 152-ФЗ нужно еще и выполнить технические мероприятия, поэтому будем считать, что тут не вранье, а недоговорка. А вот про необходимость соответствия комплекта документов по защите персональных данных какому-либо ГОСТ это чистой воды вранье.
Далее нас ожидаемо пугают штрафами. То, что эти цифры не соответствуют действительности сейчас и не соответствовали тогда, мы уже разобрали, но обратите внимание что нижние и верхние границы штрафов не соответствуют таковым в спам-письме. Снова бородатая страшилка про закрытие организации на 90 суток. И лютейший бред про возможное лишение свободы руководителя на срок до 4 лет по 137 УК РФ за нарушение закона «О персональных данных» (эта статья о злонамеренном сборе и распространении данных о частной жизни физического лица с использованием служебного положения – за уши конечно можно притянуть, но все же надо понимать, что такое деяние и отсутствие в организации необходимых документов по 152-ФЗ это совсем разные вещи).
Дальше нам предлагают скачать даже на тот момент сильно устаревшую версию 152-ФЗ. И, конечно же, классика – мошенники предупреждают о мошенниках.
Но самое интересное ждало нас в конце сайта.
Что такое СДС? В соответствии с 21 статьей ФЗ «О техническом регулировании» любое юрлицо или ИП могут учредить такую систему сертификации, например… орехов. Вы определяете параметры (вкус, форма, цвет) орехов, на которые вы будете выдавать сертификат и те, кто хотят сертифицировать свои орехи в вашей СДС (которую вы конечно же зарегистрировали в Федеральном агентстве по техническому регулированию и метрологии) заключают с вами договор, проводят необходимые испытания и получают или не получают сертификат.
Нужно еще отметить, что зарегистрировать ООО с приставкой «Рос-» ой как не просто. Есть целый список требований, чтобы это было возможно. Видимо, у СДС с этим все гораздо проще. Отмечаем так же, что свидетельство о регистрации СДС выдано ООО «Единый центр сертификации». Реквизиты (ИНН, ОГРН) ООО с таким же названием фигурировали и в шапке спам-письма.
2020 год. Росконтроль
В 2020 году снова активизировалась похожая спам рассылка. В письме ожидаемо грозились штрафами за невыполнение требований по защите персональных данных, давались ссылки на пару проплаченных статей, и предлагалось пройти по ссылке, вбить ИНН своей организации и получить якобы вручную подготовленный отчет по выполнению вашей организацией требований закона «О персональных данных». Пример такого отчета здесь. Но это уже было от лица некого Федерального центра по защите персональных данных СДС «Росконтроль».
К счастью, мы с вами уже знаем, что такое СДС и префиксом «Федеральный центр» нам мозги не запудрить. Но вам ничего не напоминает? Опять СДС, опять в названии «Рос-», опять попытка мимикрии под госорганизацию? У меня подозрение, что на манеже все те же закрались сразу. Но мы же не будем делать бездоказательных выводов, правда?
Давайте посмотрим, чем это письмо отличается от образца 2018 года.
Установить связь СДС «Россертификация» и СДС «Росконтроль» не составляет особого труда. Просто лезем на сайт Росстандарта и ищем «Росконтроль», находим одну запись и выясняем, что свидетельство, номер которого совпадает с номером в «отчете» выдано ООО «Единый центр сертификации», ОГРН которого совпадает с ОГРН, фигурирующем в спам-письме от 2018 года. На этом, думаю, связь старого спама и нового можно считать установленной. Давайте же дальше смотреть новое письмо.
Кстати, обратите внимание, что свидетельство выдано на СДС «Росконтроль» и никакого префикса «Федеральный центр чего-то там» в реестре нет, поэтому «Федеральный центр» это чистая отсебятина, призванная запутать доверчивых граждан.
Давайте закончим с шапкой письма, ведь здесь самое важное отличие от спама 2018 года – теперь здесь фигурирует персоналия, некий Келлерманн А. М. Вот это уже интересно!
Давайте проверим по реестру, не связан ли этот Келлерманн А. М. с нашими старыми знакомыми ООО «Единый центр сертификации»? Идем в любой каталог организаций и ищем по ИНН. Вот черт! Генеральный директор этой организации некий Катричко Александр Максимович, мимо!
Ладно, не унываем, смотрим дальше «отчет». Смысл там, в общем, такой: этот Росконтроль типа проверил организацию и выяснил, что ее нет в реестре операторов персональных данных. Из чего сделаны выводы:
уровень нарушений – высокий (они не имеют права делать такой вывод, так как, возможно, организация попадает под исключения, когда оператор может не подавать уведомление);
вероятность проверки – высокая (с чего это они взяли тоже абсолютно не понятно, но мы с вами уже предполагаем, что это манипуляция запугивания).
Дальше у меня глаз зацепился за этот блок:
А именно верхний правый буллет. Кто знает, что это за сертификация такая, которая уменьшает риск проведения проверки (кроме противозаконных)? Поделитесь, пожалуйста, в комментариях.
Ну и левый нижний буллет я, как специалист, не могу не прокомментировать. Здесь проблема в том, что подать за вас уведомление никто не имеет права, т. к. уведомление подается в бумажном виде с подписью руководителя и печатью организации (если есть). А вот помочь подготовить можно, но можно подготовиться и самостоятельно, прочитав нашу статью здесь.
В четвертом разделе нас пугают уже многомилионными штрафами. Вот как Гермиона штрафы измениласьись за лето два года!
Как вы догадались, тут тоже вранье. Такими штрафами наказывают за отказ хранить данные граждан РФ на территории РФ, так называемая статья против фейсбука и им подобных. Обычное ООО, которое хранит базы 1С у себя на локальном сервере таким санкциям уж точно не подвержено, но звучит-то страшно, правда? 6 миллионов! А чего тогда господин Келлерманн не ссылается на п. 9 статьи 13.11 КоАП РФ, там за повторное нарушение по п.8 штраф аж до 18 миллионов. Еще страшнее!
Кто-то здесь может возразить, что обычное ООО может попасть под эту статью, если будет хранить свою базу 1С на заграничном облаке. В принципе да, такое возможно, да вот только услуги, которые предлагает г-н Келлерманн (разработка пакета документов) при выявлении такого нарушения проверяющими не спасут.
Еще в этом же четвертом пункте «отчета» приводится список документов. В целом, список как список. Почему нет единого стандарта по составу комплекта документов можно узнать из нашей статьи, но меня смутил вот этот пункт:
Дело в том, что разработка документа «Модель угроз безопасности» являются частью лицензируемого ФСТЭК России вида работ «проектирование систем в защищенном исполнении». Сами для себя вы можете разработать этот документ без лицензии, но если разрабатываете его как услугу, то необходимо получать лицензию ФСТЭК на проведение работ по технической защите конфиденциальной информации (ТЗКИ). ООО «Единый центр сертификации» такой лицензии не имеет, это легко проверить по реестру.
Ладно, долистываем это письмо до конца. Помните, я говорил про персоналию в этом письме? Ниже он подписывается уже более подробно, теперь мы знаем его имя и у нас есть его фото.
А потом я зашел в его Instagram (профиль открыт) и тут началось. То, что это именно он, сомнений нет, там есть та же фотка, что и в «отчете» и фото с fl.ru тоже имеется. Бегло пролистав фотки с тачкой и котиком (котик классный, да), взгляд, конечно, же остановился на этой фотке и на посте под ней:
На что было получено 2 ответа и второй говорит сам за себя.
Кстати, да, Роскомнадзор действительно в курсе.
А еще в курсе другой Росконтроль, который СМИ.
Вместо заключения
Зачем это все нам (как компании) и зачем я писал всю эту статью (кроме того, что никто не любит мошенников и нужно их выводить на чистую воду)?
Дело в том, что когда наши добросовестные коллеги предлагают людям свои услуги, нам потом не пишут и не звонят с вопросами «Нам позвонил лицензиат ФСТЭК, предлагает свои услуги по защите информации, подскажите, стоит ли с ними работать?». И совершенно другая картина, когда людей заваливает спамом от рос-гос-чего-то-там со словами «предписание» и «штраф до 6 млн. рублей», вот тогда мы можем терять много драгоценного рабочего времени на такие консультации, за которые мы денег не берем.
Кто-то может сказать, что г-н Келлерманн правильно написал в комментарии, что у него все зарегистрировано и так далее, и называть его мошенником не правильно, но у нас регистрировать ООО и ИП могут и «экстрасенсы» с гадалками, а гомеопаты совершенно официально продают в аптеках сахар по цене золота.
В конце концов, мы установили, что «Россертификация» и «Росконтроль» это одна и та же лавочка, поэтому все их грехи можно суммировать, давайте подытожим, какие признаки мошенничества можно выделить:
регистрация и использование СДС с приставкой «Рос-», что вводит незадачливых пользователей в заблуждение, причем в случае с «Россертификацией» спамеры даже не добавляли «СДС» в начале, видимо потом им дали понять, что так делать нехорошо;
грубая эксплуатация страха адресата манипулятивными методами: «вам выдано предписание», «вас оштрафуют», «к вам придет проверка». Напоминаю, что никаких предписаний эти жулики выдавать не имеют права;
попытка замещения функций государственных органов с помощью несуществующих «Федеральных программ» и «Федеральных центров»;
притягивание за уши санкций для операторов персональных данных (штраф 6 миллионов, статья 137 УК РФ, закрытие организации на 90 суток), абсолютно не применимых или никак не связанных с услугами, предлагаемыми спамерами;
фишинговые техники. Вряд ли рядовой пользователь помнит точно домен РКН, в крайнем случае, если он ходил когда-то на их сайт, может помнить, что это rkn.»че-то там». Таким образом, использование доменов rkn.expert и тем более rkn.moscow призваны ввести пользователей в заблуждение;
использование безаппеляционного «все организации должны подать уведомление об обработке персональных данных», хотя закон предполагает ряд исключений;
безаппеляционное утверждение того, что комплект документов по защите персональных данных должен соответствовать каким-либо ГОСТ, что противоречит действующему законодательству;
оказание услуг по разработке проектной документации на систему защиты информации (Модель угроз) без лицензии ФСТЭК России;
заверение о проведении какой-то сертификации вашей организации (какой именно сертификации спамеры умалчивают), которая уменьшит риск проведения проверки, что не соответствует действительности (никаких индульгенций от проверок не существует);
Кто-то может сказать, что несведущие люди сами виноваты, что их обманывают, но это уже самый настоящий victim-blaming (насильник тоже не виноват, это девушка надела короткую юбку). В наше время невозможно быть специалистом во всем. Я, например, плохо разбираюсь в бухгалтерии и хорошо в защите персональных данных, а есть люди, у которых все наоборот и это не означает, что можно пудрить им голову.
Если у вас есть знакомые бухгалтеры, руководители небольших фирм (или даже больших) и другие лица, которым могла быть интересна эта статья, покажите им её.
Что делать, если пришло письмо от Роскомнадзора
Очень часто люди, получившие запрос от Роскомнадзора, начинают волноваться и готовиться, что всё, приплыли, — сейчас будет стук в дверь, проверка, вызов в суд, «прощай, бизнес». Это далеко не всегда так.
Есть сообщения и письма, которые все любят получать, к примеру, о зачислении денег на счёт. Лично мне они нравятся.
А есть письма, которые все мы однозначно не любим. Особенно это письма от государственных органов. В этой статье поговорим о том, как реагировать, если вы получили письмо от Роскомнадзора, и что вообще представляет собой такое письмо.
Законные основания для отправки письма от Роскомнадзора и правильные формы ответа на него: ответить придётся в любом случае.
Хоть и банально, зато эффективно в решении любых вопросов. Главное: ответить на письмо в срок, указанный в запросе или установленный законом.
В письме однозначно будет указано, почему Роскомнадзор пишет вам и что требует, по какой причине начал проверку. Изучите письмо, «поднимите» свои документы по этим вопросам и определите, все ли документы имеются и совершали ли вы то, о чём говорится в письме.
Роскомнадзор не имеет права писать письма без правового основания, поэтому в запросе будут указаны эти основания. Перед тем как что-то делать, прочитайте в законах эти основания и проанализируете, применимы ли к вам они, нет ли ошибки в запросе.
Если Роскомнадзор требует предоставить документы, сделайте скан, а если нет документов, их надо составить. Если выявлено нарушение, выясните, при каких обстоятельствах, и примите меры, чтобы таких нарушений не было.
А если на предыдущем шаге поняли, что запрос Роскомнадзора никак к вам не относится, можете порадоваться и посетовать на работу чиновников.
На полученное письмо в любом случае надо ответить. Неважно, как вы получили письмо — бумагой или по электронной почте, — на него надо дать официальный ответ. Составляйте его в спокойном деловом тоне, обосновывая свои позиции и объясняя ситуации, указывая, что требует закон и какие меры вы приняли.
Если получили по электронной почте, ответ следует отправить и по электронной почте, и «Почтой России» — заказным ценным письмом с описью и уведомлением о вручении (кстати, если кто не в курсе, всегда отправляйте официальные письма почтой именно так).
Если всё в порядке, то ответа вы не получите.
Деятельность и полномочия Роскомнадзора основываются прежде всего на постановлением «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» и одноимённым Положением.
Так, Роскомнадзор осуществляет надзор и правовое регулирование в следующих сферах:
Это вкратце и по вопросам нас интересующим: перепечатывать целый закон не вижу смысла, с полномочиями можете подробнее ознакомиться во втором разделе Положения.
Если вы как-то связаны с одной из вышеуказанных сфер, Роскомнадзор может направить вам официальное письмо. Оно может быть как в бумажном виде, так и в электронном (в таком случае оно будет подписано электронной квалифицированной подписью исполнителя). В любом случае, как указано было выше, на него надо отвечать.
Чтобы эффективно взаимодействовать с государственными органами, надо не только иметь опыт общения с ними, но и опыт самой работы в госорганах, — чтобы чувствовать дух и понимать логику функционирования этого бюрократического механизма.
Как человек, который занимается юриспруденцией со стороны защиты бизнеса, то есть на другой стороне баррикад, я был очень рад, что смог привлечь в свою команду бывшего сотрудника госорганов, который помог наладить работу с ними. Что же такое письмо от Роскомнадзора?
Любое письмо или запрос Роскомнадзора — это прежде всего правоприменительный акт государственного органа, который должен иметь правовое основание и мотивировку, то есть это результат некоторой внутренней работы государственного органа.
В этом письме, запросе, представлении РКН может просить вас предоставить сведения, данные, документы, материалы, скриншоты, однако часто бывает, что мотивировка или основание для этого отсутствуют.
Несмотря на то что правовая грамотность населения растёт, должностные лица бывают убеждены в том, что если есть право запрашивать документы и информацию, какие-либо основания и их доказательства для запроса не требуются. А это не так.
Правовое основание означает, что у должностного лица Роскомнадзора должны быть законом установленные полномочия совершать определённые действия: проверку, запрос сведений и документов.
Как вы понимаете, эту внутреннюю работу Роскомнадзора (проверку) должны запустить, чтобы весь механизм начал работать и вам пришло это треклятое письмо.
В данном случае мотивировка — тот самый толчок, который запустил механизм работы Роскомнадзора на законных основаниях для того, чтобы написать вам письмо. Примеры таких толчков:
Начнём с самого частого основания писем, мониторинга сайта и информации в интернете. Это не что иное, как «мероприятие по контролю без взаимодействия с юридическими лицами, индивидуальными предпринимателями», определённое положениями статьи 8.3. Федерального закона от 26.12.2008 N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Если в ходе этого мероприятия выявлены нарушения закона, должностные лица Роскомнадзора принимают в пределах своей компетенции меры по пресечению таких нарушений, а также направляют письменное мотивированное представление с информацией о выявленных нарушениях, которое служит основанием для проведения внеплановой проверки согласно 294-ФЗ.
Если с точки зрения Роскомнадзора что-то пошло не так и нарушения не устранены, они могут инициировать внеплановую проверку.
Плановая проверка проводится на основании и в сроки, указанные в плане проверок, утверждённом Роскомнадзором и одобренным прокуратурой.
Вы всегда можете посмотреть планируются ли проверки в отношении вашей организации или ИП, а также следить за ходом её проведения по единому реестру проверок.
По общему правилу плановые проверки проводятся не чаще чем один раз в три года в соответствии с положениями девятой статьи 294-ФЗ, к тому же Роскомнадзор должен уведомить о начале проведения проверки в срок не позднее чем за три рабочих дня до начала её проведения, направив копии распоряжения или приказа, который в письме и будет.
Теперь по заявлению, обращению или жалобе граждан, которые могут запустить внеплановую проверку.
И не предоставлять ответ Роскомнадзор может только в общих случаях, которые вполне логичны:
И всё! В остальных случаях, какая бы чепуха там ни была написана, должностное лицо должно выполнить проверку по заявлению. А значит, если вы, к примеру, получите персональные данные через форму обратной связи на сайте, такой гражданин может написать через сайт РКН жалобу, и там должны будут отреагировать.
Хочу обратить внимание, что какое бы письмо вы ни получили от Роскомнадзора, это, скорее всего, свидетельствует о начале проверки, а законом установлено, что срок проведения любой проверки не может превышать 20 рабочих дней, но может быть продлён приказом руководителя управления Роскомнадзора ещё на 20 рабочих дней при наличии серьёзных оснований.
Возьмём для примера ситуацию, когда есть продающий сайт, собирающий контактные данные (ФИО, электронка, номер телефона) для обратной связи и оставления заявки.
Роскомнадзор проводит мониторинг и видит нарушение: нет политики по обработке персональных данных и отсутствует согласие на предоставление своих персональных данных при оставлении заявки (в соответствии с частями 3, 4, 5 статьи 13 пункта 11 «Нарушение законодательства Российской Федерации в области персональных данных»).
Тогда Роскомнадзор через Whois узнаёт, кто администратор сайта, и пишет ему письмо, что вот оно, правонарушение. Дальше всё зависит от целей и самого должностного лица, осуществляющего проверку: может сразу вызвать на составление протокола об административном правонарушении, а может просто дополнительно запросить сведения или попросить устранить нарушение, предоставив время.
Но в любом случае он уведомляет администратора сайта о том, что выявлено нарушение. При этом, хочу обратить внимание, что совсем не важно, в каком регионе находится администратор сайта и в каком регионе находится управление Роскомнадзора.
Непредоставление ответа, документов и сведений Роскомнадзору в ответ на его письмо попадает под два состава административных правонарушений.
Статья 19.7 КоАП РФ предусматривает такую ответственность:
Статья 17.7 КоАП РФ предусматривает:
Ответственность за непредоставление документов наступает, только если запрос был законным (имеет правовые основания) и обоснованным (имеет мотивировку).
Помните, что результаты любой проверки и другие действия инспекторов Роскомнадзора могут быть обжалованы как в вышестоящем органе (Федеральной службе), так в прокуратуре и суде.
Вообще, полномочиями направлять письма, запросы и представления наделены практически все государственные органы.
Соответственно, вы также можете получить письма от Роспотребнадзора, если работаете с физическими лицами, от ФАС, органов внутренней деятельности и других. Не надо бояться, если получили, — лучше пройдитесь по пунктам, указанным в начале статьи, а если будет что-то не понятно — обращайтесь, мы поможем.