Как подать уведомление в Роскомнадзор об обработке персональных - инструкция, образец
Важно! Информация в данной статье (инструкции) носит рекомендательный характер и не является единственно правильным (истинным) решением заполнения уведомления. Вся информация заполняется (изначально) исходя из ваших внутренних регламентов обработки персональных данных в вашей компании (если таковые имеются).
Проверка ранее отправленной информации
Перед формированием и отправкой уведомления необходимо проверить не была ли информация отправлено ранее.
Проверить можно по ссылке введя ИНН вашей компании или ИП.
https://pd.rkn.gov.ru/operators-registry/operators-list/
Если ваша компания (ИП) отображается в списке результатов поиска, то это означачет, что ранее вы уже отправляли уведомление в РКН об обработке вами персональных данных. При необходимости вы можете внести изменения (см. "Внесение изменений в уведомление отправленное ранее"), а так же отравить уведомление о приостановке обработки персональных данных вашей компании.
Выбор формы уведомлений
Перейдите по ссылке для выбора типа уведомления: https://pd.rkn.gov.ru/operators-registry/notification/form/.
Форматы уведомлений, которые вы можете отправить:
- Сформировать уведомление и направить в бумажном виде - вы можете заполнить форму, распечатать и отправить в территориальный орган.
- Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи.
- Сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА на портале ГосУслуг.
Мы будем рассматривать самый доступный вариант уведомления - печатная форма.
Формирование уведомления
Для формирования уведомления приготовьте карточку организации, которая будет являться оператором обработки персональных данных (ваша компания или ИП) и данные ответственного лица.
Обратите внимание! Для отправки уведомления необходимо заполнить лишь обязательные поля. Они омечены "*" (но не все). Для более полного понимания, какие поля необходимо заполнить, вы можете сразу перейти в конец формы (предварительно указав ИНН оператора) и нажать кнопку "Отправить электронное уведомление ..." (поставив галочки "Я подверждаю ..." и "Я ознакомлен(а) ...".
Группы полей
- Сведения об операторе
- Цели обработки
- Сведения о местонахождении базы данных
- Сведения о лицах, имеющих доступ*
- Сведения об обеспечении безопасности
Сведения об операторе
Здесь необходимо ввести данные оператора (ваши реквизиты). Тут нет явных сложностей.
Для поля "Регионы обработки" установите галочку "Все субъекты Российской Федерации" при условии, если у вас имеется веб-сайт, на который заходят пользователи со всей России.
Цели обработки персональных данных
Целей обработки может быть несколько в соответствии со спецификой вашей деятельности, если таковая имеется.
Пример:
При нормальных условиях ведения бизнеса в рамках законодательства РФ вам необходимо заполнить (выбрать) половину целей из этого списка, т.к. вы ведёте бух. учёт, отчитываетесь по налогам, отчисляете страховые и пр. (это всё разные цели).
Но (со слов предствителя УРКН моего региона) нет необходимости указывать все цели, т.к. это будет избыточным.
Основные цели, виды данных и основание
- Ведение кадрового и бухгалтерского учёта
- Продвижение товаров, работ, услуг на рынке
- иная
Виды (категории) данных и субъекты сбора данных выбирайте в соответствии на своё усмотрение (в соответствии с регламентами вашей компании).
Ведение кадрового и бухгалтерского учёта
Виды полей:
Категории субъектов:
Правовое основание обработки персональных данных:
Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗстатей 23, 24 Конституции Российской Федерации, статей 85-90 Трудового кодекса Российской Федерации, Налогового кодекса Российской Федерации, Федерального закона «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996 N 27-ФЗ, Федерального закона «О воинской обязанности и военной службе» от 28.03.1998 N 53-ФЗ, Федерального закона «О мобилизационной подготовке и мобилизации в Российской Федерации» от 26.02.1997 N 31-ФЗ, Федерального закона «Об обществах с ограниченной ответственностью» от 08.02.1998 N 14-ФЗ, Федерального закона «О бухгалтерском учете» от 06.12.2011 N 402-ФЗ
Продвижение товаров, работ, услуг на рынке
Виды полей:
Категории субъектов:
Правовое основание обработки персональных данных:
Иная
Сбор информации на сайте(ах) через формы обратной связи с целью предложения товаров и/или услуг, формы регистрации и/или оформления заказа. В т.ч. сбор данных для формирования статистики посещаемости сайта(ов).
Виды полей:
Правовое основание обработки персональных данных:
Согласие субъекта персональных данных на обработку в соответствии с п. 1 ч. 1 ст. 6 Федерального закона №152-ФЗ и ч. 1 ст. 18 Федерального закона №38-ФЗ «О рекламе»
Перечень действий и способы обработки
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
- а) описание мер, предусмотренных ст.ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- б) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
Варианты ниже можете выбрать исходя из своих потребностей.
Разработаны локальные акты по вопросам обработки персональных данных: положение об обработке персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных. Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Опубликован и размещен на стенде организации документ, определяющий политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных. Персональные данные доступны для строго определенного круга сотрудников, в здании установлены охранная и пожарная сигнализации, сведения на бумажных носителях хранятся в сейфах или запирающихся металлических шкафах, определены места хранения персональных данных, физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации.
В компании действуют внутренние положения об обработке и защите ПДн. Ответственный за организацию обработки назначен приказом. Сотрудники проходят инструктаж. Применяются антивирусы, резервное копирование, двухфакторная аутентификация в панели управления сайтом. Хостинг-провайдер Beget обеспечивает физическую охрану дата-центра, фильтрацию трафика и защиту от несанкционированного доступа.
Дата начала обработки и условия прекращения
Указывайте дату на своё усмотрение. Предполагается, что вы начали обрабатывать данные с того момента, как начали свою деятельность.
До достижения целей обработки, по письменному запросу субъекта персональных данных, либо прекращение деятельности компании.
Какой ЦОД указать?
В случае, если вы обрабатываете (храните все персональные данные лишь на территории компании, то указывайте свой адрес.
Если, к примеру, у вас есть сайт, который собирает заявки и заказы, то вам необходимо указать дополнительный ЦОД.
Важно! Все сведения должны храниться на территории РФ в российских дата-центрах.
Для указания адреса ДЦ вам необходимо знать, где храниться ваш веб-сайт и база данных сайта.
К примеру, ДЦ "Бегет" находится в СПб по адресу ул. Цветочная, д. 21.
Реквизиты хостинг-компаний см. здесь.
Cредства обеспечения безопасности
Обеспечение безопасности персональных данных осуществляется в соответствии с постановлением Правительства РФ №1119 от 01.11.2012. Применяются необходимые организационные и технические меры защиты, включая антивирусную защиту, ограничение доступа, использование шифрования при передаче данных (SSL). Веб-сайт размещён на сервере хостинг-провайдера, который обеспечивает физическую и программную защиту серверов, предотвращая несанкционированный доступ к персональным данным.
Сведения о лицах содержащихся в государственных и муниципальных информационных системах
Если вы не имеете доступа у муниципальным информационным системам, то необходимо удалить эту часть.
Сведения об обеспечении безопасности персональных данных
Меры, которые можно использовать при наличии веб-сайта:
Обеспечение безопасности персональных данных осуществляется в соответствии с требованиями, установленными постановлением Правительства Российской Федерации от 01.11.2012 № 1119. Разработаны и действуют локальные нормативные акты, включая Положение об обработке персональных данных и Положение о защите, хранении и обработке персональных данных. Лица, допущенные к обработке персональных данных, ознакомлены с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также с внутренними документами, регламентирующими порядок обработки и защиты персональных данных. Доступ к персональным данным предоставляется только ограниченному числу уполномоченных сотрудников, чьи должностные обязанности напрямую связаны с их обработкой. Все сотрудники проходят инструктаж и несут персональную ответственность за соблюдение требований законодательства в области персональных данных. Передача персональных данных через сайт осуществляется с использованием защищённого соединения (SSL). Сайт размещён на хостинге, предоставленном ООО «Бегет», дата-центр которого расположен на территории Российской Федерации. Хостинг-провайдер обеспечивает техническую защиту серверов и сетевой инфраструктуры, исключая возможность несанкционированного доступа к данным. Обработка и хранение персональных данных вне сети Интернет также регламентированы. Бумажные носители с персональными данными хранятся в металлическом сейфе, доступ к которому имеют только уполномоченные лица. Помещение, в котором осуществляется доступ к бумажным носителям, оборудовано охранной сигнализацией. Осуществляется регулярный внутренний контроль соблюдения установленных процедур и требований. Политика в отношении обработки персональных данных, а также сведения о реализуемых мерах по защите персональных данных, размещены в свободном доступе на сайте Оператора.
Меры, применяемые при отсутствии веб-сайта:
Обеспечение безопасности персональных данных осуществляется в соответствии с требованиями, установленными постановлением Правительства Российской Федерации от 01.11.2012 № 1119. Разработаны и утверждены локальные нормативные акты, включая Положение об обработке персональных данных и Положение о защите, хранении и обработке персональных данных. Сотрудники, допущенные к обработке персональных данных, ознакомлены с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и с внутренними регламентами, определяющими порядок обработки и защиты данных. Доступ к персональным данным предоставляется только ограниченному кругу уполномоченных лиц, чьи должностные обязанности напрямую связаны с их обработкой. Все сотрудники проходят инструктаж и несут персональную ответственность за соблюдение требований законодательства. Хранение персональных данных осуществляется в защищённой внутренней сети, либо на электронных носителях, размещённых в помещениях с ограниченным доступом. Бумажные носители с персональными данными хранятся в металлических сейфах, к которым имеют доступ исключительно уполномоченные сотрудники. Помещения оборудованы охранной сигнализацией. Регулярно проводится внутренний контроль соблюдения установленных правил обработки персональных данных. Политика в отношении обработки персональных данных доступна по запросу и предоставляется в письменной или электронной форме.
Отправка уведомления
Последний шаг - поставьте отметки ознакомления с порядком отправки уведомления и с согласием на передачу информации.
При необходимости вы можете сохранить "Черновик", чтобы вернуться в заполнению позже или передать ссылку другому специалисту вашей компании, чтобы он мог завершить заполнение. Но вам нужно учесть, что в черновике сохраняются не все поля, которые вы заполнили.
Скачать образец заполненного уведомления
Внимание! Образец заполнялся для среднестатистической компании без специфических видов деятельности. Можете взять его за основу, изменив ключевые данные и информацию об операторе.
Скачать/Открыть образец (PDF).
Есть вопросы?
Можете обращаться по телефону +7 (911) 5-0000-45 по будням с 09:00 до 20:00.
