Типичные ошибки при заполнении уведомления роскомнадзор

Популярный ликбез о нюансах отправки уведомления об обработке персональных данных в Роскомнадзор

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
Здесь важно учесть, что запрос Роскомнадзора — это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Возможны две ситуации:

  1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
  2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.
В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок.
Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления — она находится на сайте Роскомнадзора. Изучив форму, вы поймете, что заполнение уведомления — это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

  • категории персональных данных,
  • категории субъектов персональных данных,
  • цель обработки персональных данных,
  • правовое основание обработки персональных данных,
  • перечень действий с персональными данными,
  • описание способов обработки,
  • осуществление трансграничной передачи персональных данных,
  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
  • ответственный за организацию обработки персональных данных,
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.

Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки — в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора. Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

Проверить свои знания в области законодательства о персональных данных Вы можете в уникальном сервисе тестирования. Тест на знание нормативных актов, регулирующих обработку персональных данных, является бесплатным и не имеет аналогов.

Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации. Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе. Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706. В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

Большинство вопросов связано со следующими пунктами:

  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1. Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации — исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

  • назначить ответственного за организацию обработки;
  • издать политику оператора в отношении обработки персональных данных;
  • издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
  • и так далее…

В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.

В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры… И так далее.

С 19 статьей делаем то же самое.

Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

  • Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
  • Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие — прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

Напомним — Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.

Удачной Вам работы в сфере обработки и защиты персональных данных!

Источник

Реестр операторов, осуществляющих обработку персональных данных

В соответствии со статьей 22 Федерального закона № 152-ФЗ «О персональных данных», организации, осуществляющие обработку персональных данных, уведомляют уполномоченный орган по защите прав субъектов персональных данных путем подачи Уведомления об обработке персональных данных для последующего занесения организации в Реестр операторов, осуществляющих обработку персональных данных.

Консультации по вопросам подачи уведомлений об обработке персональных данных проводятся инспекторами территориального Управления Роскомнадзора (в Москве — каждый вторник в 15:00 по адресу Старокаширское шоссе, д.2, корп.10).

Подача уведомления

Кто должен подавать?

В первую очередь необходимо определить, требуется ли подавать уведомление. В соответствии с частью 2 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

  1. обрабатываемых в соответствии с трудовым законодательством;
  2. полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  4. сделанных субъектом персональных данных общедоступными;
  5. включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  6. необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  9. обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

В большинстве организаций персональные данные обрабатываются сверх вышеперечисленных исключений.

Как подать уведомление?

В случае, если организация не внесена в Реестр и не подпадает по исключение, необходимо подготовить и внести сведения на Портале персональных данных. Для этого необходимо выбрать на интернет-сайте Роскомнадзора меню «Реестр операторов» «Электронные формы заявлений» предложение «Перейти к заполнению формы электронного уведомления» либо перейти по прямой ссылке http://pd.rkn.gov.ru/operators-registry/notification/form.

После заполнения всех полей электронной формы заявления и отправки формы электронного уведомления (кнопка «Отправить электронное уведомление и подготовить форму к распечатке») заполненную форму необходимо сохранить для последующего формирования письма на бланке организации. После подтверждения корректности внесенных сведений необходимо сформировать письмо на бланке организации с заполненной формой, распечатать, поставить подпись и печать организации, направить в Управление Роскомнадзора в двух экземплярах.

Рекомендации по внесению изменений в Реестр операторов персональных данных

В случае, если организация внесена в Реестр, следует открыть форму уведомления об обработке персональных данных в Реестре и просмотреть содержание. Поиск организации, внесенной в Реестр операторов, осуществляющих обработку персональных данных, осуществляется на Портале персональных данных уполномоченного органа по защите прав субъектов персональных данных: «Реестр операторов» «Реестр» или по прямой ссылке http://pd.rkn.gov.ru/operators-registry/operators-list. Поиск удобно проводить по ИНН организации.

Если в Уведомление не внесены сведения о месте нахождения баз данных, содержащих персональные данные граждан Российской Федерации, либо указаны устаревшие сведения (утратившие силу нормативные правовые акты, номера телефонов, иная информация), необходимо внести изменения в сведения об организации в Реестре. Для этого нужно заполнить информационное письмо, выбрав на интернет-сайте Роскомнадзора меню «Реестр операторов» «Электронные формы заявлений» предложение «Перейти к заполнению информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных» либо по прямой ссылке https://rkn.gov.ru/personal-data/forms/p333. В данной форме заполняются все обязательные поля, а также поля, подлежащие изменению. После заполнения формы информационного письма необходимо сохранить его для последующего формирования письма на бланке организации. Письмо необходимо распечатать, подписать и направить в Управление Роскомнадзора в двух экземплярах.

Рекомендации по заполнению формы информационного письма о внесении изменений в уведомление, а также примеры по заполнению информационного письма можно посмотреть в меню «Реестр операторов» «Документы» либо по прямой ссылке http://pd.rkn.gov.ru/operators-registry/operators-registry-documents.

Как сделать это правильно?

Перед составлением уведомления рекомендуется провести аудит соответствия.

Что должно содержать уведомление?

В соответствии с частью 3 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» уведомление должно содержать следующие сведения:

  1. наименование (фамилия, имя, отчество), адрес оператора;
  2. цель обработки персональных данных;
  3. категории персональных данных;
  4. категории субъектов, персональные данные которых обрабатываются;
  5. правовое основание обработки персональных данных;
  6. перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
  7. описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 7.1. фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  8. дата начала обработки персональных данных;
  9. срок или условие прекращения обработки персональных данных;
  10. сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 10.1. сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
  11. сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Роскомнадзор во время плановых и внеплановых проверок проверяет содержание уведомления по каждому вышеперечисленному пункту и почти у всех Операторов выявляет нарушения.

Рекомендации Роскомнадзора

29 января 2016 г. Роскомнадзор выпустил рекомендации по заполнению формы Уведомления об обработке персональных данных.

Оформление Уведомления производится на бланке оператора и направляется в территориальный орган Роскомнадзора по месту регистрации Оператора в налоговом органе. Уведомление направляется в территориальный орган Роскомнадзора в бумажном или электронном виде и подписывается уполномоченным лицом.

Под полем «Наименование (фамилия, имя, отчество), адрес Оператора» понимается:

для юридических лиц (Операторов):

  • полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;
  • наименование филиала(ов) (представительства(в)) юридического лица (Оператора), осуществляющего обработку персональных данных;
  • адрес Оператора;
  • индивидуальный номер налогоплательщика (ИНН).

для физических лиц:

  • фамилия, имя, отчество физического лица (Оператора);
  • адрес Оператора;
  • данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;
  • индивидуальный номер налогоплательщика (ИНН).

Поле «Цель обработки персональных данных» отражает цели обработки персональных данных (а также их соответствие полномочиям Оператора), указанные в учредительных документах Оператора и фактически осуществляемые Оператором в деятельности по обработке персональных данных.

В поле «Категории персональных данных» указываются все категории персональных данных, подлежащих обработке Оператором:

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных).
  • Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни).
  • Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных).

В поле «Категории субъектов, персональные данные, которых обрабатываются» указываются категории субъектов, персональные данные которых обрабатываются (например: работники, соискатели, уволенные работники, родственники работников и т.д.).

В поле «Правовое основание обработки персональных данных» указываются правовые основания, которые соответствуют полномочиям Оператора, отраженных в уставных документах, Федеральных законах и принятых на их основе нормативных правовых актов в части, касающейся компетенции Оператора, закрепляющий основание и порядок обработки Оператором персональных данных (например: Федеральные законы, согласие на обработку персональных данных субъекта, договор и т.д.).

Поле «Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных» предусматривает действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

  • неавтоматизированная обработка персональных данных;
  • исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
  • смешанная обработка персональных данных.

Поле «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», предполагает:

  1. описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
  2. фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  3. организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, указываются следующие сведения:

  1. наименование используемых криптографических средств;
  2. класс средств криптографической защиты информации (СКЗИ).

В поле «Сведения о наличии или об отсутствии трансграничной передачи персональных данных» рекомендуется относить сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки с указанием перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.

В поле «Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации (далее — База данных)» указываются:

  • страна (страны) размещения базы данных;
  • конкретный адрес (адреса) местонахождения базы данных.

В поле «Сведения об обеспечении безопасности персональных данных» указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Поле «Дата начала обработки персональных данных» предусматривает конкретную дату (число, месяц, год) начала любого действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (как правило, это дата начала осуществление Оператором деятельности, закрепленной в уставных документах).

В поле «Срок или условие прекращения обработки персональных данных» указывается основание (условие), наступление которого повлечет прекращение обработки персональных данных.

Типовые ошибки при подаче Уведомления

Многие Операторы допускают ошибки при заполнении сведений пунктов 3 и 4. Ошибки заключаются в указании неполного перечня категорий персональных данных и категорий субъектов персональных данных. Роскомнадзор хочет видеть по 3 пункту все категории персональных данных, обрабатываемые Оператором, вплоть до времени входа/ухода посетителя и работника, если такие данные обрабатываются. По 4 пункту Операторы не указывают такие категории как уволенные работники и родственники работников.

Также распространенная ошибка по 5 пункту заключается в указании неполного перечня правовых оснований обработки персональных данных. Операторы не указывают в перечне правовых оснований такие основания как согласие на обработку персональных данных и договор, заключаемый с субъектом персональных данных.

По пункту 7.1 Операторы иногда не указывают почтовый адрес ответственных за организацию обработки персональных данных, что является нарушением.

В перечне действий с персональными данными Операторы обычно указывают все действия, перечисленные в статье 3 152 Федерального закона «О персональных данных», что очень часто не соответствует фактически осуществляемым действиям и приводит к нарушению. Также операторы указывают в перечне действий обезличивание. По последней позиции Роскомнадзора, так как в настоящий момент Методические рекомендации по обезличиванию разработаны только для государственных органов, коммерческие организации не вправе осуществлять такое действие с персональными данными.

В ходе анализа Уведомления на соответствие требованиям Роскомнадзор старается опираться на указанную информацию в представленных Оператором локальных актах, касающихся обработки персональных данных, поэтому рекомендуется заполнять уведомление строго в соответствии с локальными актами. Ошибка, допущенная по любому из вышеперечисленных пунктов, ведет к нарушению части 7 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» и к выдачи предписания об устранении нарушений. Перед подачей Уведомления для снижения риска несоответствия рекомендуется провести Аудит соответствия обработки персональных данных, который позволит определить процессы обработки персональных данных, подготовить/обновить локальные акты по вопросам обработки персональных данных и подготовить Уведомление, опираясь на локальные акты.

Лента сообщений в удобном формате:

Источник

Экспертный материал


Алексей Залецкий | Эксперт в области информационной безопасности

Уведомление об обработке персональных данных (ПДн) необходимо подавать в Роскомнадзор до начала их обработки. Большинство компаний были созданы до появления закона о ПДн и соответственно занимались их обработкой. Они также должны подавать уведомление.

Подача уведомления регламентирует статьёй 22 ФЗ №152 (ссылка на материал). Во 2-ой части 2 статьи указаны исключения из этого требования:

  • Обработка ПДн включенных в государственных информационных системах (ГИС), созданные в целях защиты безопасности государства и общественного порядка (то есть в основном ГИС силовых ведомств и спецслужб);

  • Обработка ПДн только неавтоматизированная (если в вашей компании ПДн только на бумаге);

  • ПДн обрабатываются в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Остальные пункты этой части статьи 2 были отменены с 1 сентября 2022 года, то есть во всех иных случаях нужно подавать уведомление.

Подавать уведомление о начале обработки ПДн необходимо в Роскомнадзор. Возможные формы представлены на сайте Роскомнадзора.

Ниже приводим подробный чек-лист, какие шаги необходимо пройти для подачи уведомления:

1. Сформировать уведомление и направить в бумажном виде.

Вы можете заполнить форму, распечатать и отправить в территориальный орган.

2. Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи.

Вы можете заполнить форму и подписать ее электронной подписью. В этом случае подача в бумажном виде не потребуется. У вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним.

3. Сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.

Пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде. У Вас должна быть подтвержденная учетная запись. Отправка копии в бумажном виде в данном случае не потребуется. В случае если Вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале Госуслуг.

Данные, которые нужно указать:

  1. Выбрать из выпадающего списка наименование территориального органа Роскомнадзора, куда будет отправлено уведомление (например, Центральный федеральный округ).

    наименование территориального органа Роскомнадзора

  2. Указать тип оператора (например, Юридическое лицо)

    тип оператора

  3. Указать полное наименование оператора с указанием организационно-правовой формы (Общество с ограниченной ответственностью «Компания») в соответствии с учредительными документами.

    полное наименование оператора с указанием организационно-правовой формы

  4. Указать сокращенное наименование оператора, осуществляющего обработку персональных данных (не обязательно).

    сокращенное наименование оператора

  5. Указать адрес местонахождения и почтовый адрес, можно выбрать из списка. Если совпадают, то можно ввести только адрес местонахождения и поставить галочку, что почтовый адрес совпадает.

    контактная информация

  6. Укажите контактную информацию (не обязательно, кроме адреса электронной почты. Адрес сотрудника лучше не указывать, так как он будет опубликован в публично доступном реестре операторов персональных данных. Лучше использовать адрес корпоративного почтового ящика.

    Электронная почта

  7. Указать регионы, в которых осуществляется обработка ПДн. Например, если центральный офис и филиалы находятся в разных регионах, то нужно перечислить их все. Но, если филиалы это отдельные юридические лица, которые самостоятельно будут подавать уведомления, то только регион центрального офиса.

  8. Указать ИНН и ОГРН, а также можно и остальные коды. В соответствии с учредительными документами. При наличии филиалов перечислить их.

    ИНН и ОГРН

  9. Указать правовое основание обработки персональных данных. Тут надо перечислить все документы от верхнеуровневых, до локальных нормативно-правовых актов. Например:

    • Персональные данные обрабатываются на основании и руководствуясь Конвенцией Совета Европы «О защите физических лиц в отношении автоматизированной обработки персональных данных» (ETS № 108) от 28.01.1981 и Федеральным законом от 19.02.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки Персональных данных»;
    • Конституцией Российской Федерации от 12.12.1993г.;
    • Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
    • Трудовым кодексом РФ от 30.12.2001 № 197-ФЗ;
    • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
    • Федеральным законом «О бухгалтерском учете» от 06.12.2011 № 402-ФЗ;
    • Налоговым кодексом РФ;
    • Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
    • Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
    • Уставом ООО «Компания»;
    • Локальными актами ООО «Компания об обработке персональных данных в ООО «Компания»», «Положение об обеспечении безопасности персональных данных ООО «Компания», «Политика защиты персональных данных в ООО «Компания», «Политика в отношении обработки персональных данных в ООО «Компания»).

    правовое основание обработки персональных данных

  10. Указать цели обработки персональных данных. Будьте осторожны, помня, про часть 2 статьи 5 ФЗ-152, которая сообщает нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Например:

    • исполнение соглашения или договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
    • идентификация стороны в рамках договоров или соглашений с ООО «Компания»;
    • предоставление информации в государственные органы Российской Федерации в порядке, предусмотренном действующим законодательством;
    • соблюдение норм и требований по охране труда и обеспечению личной безопасности работников ООО «Компания», сохранности имущества;
    • страхование по программам добровольного медицинского страхования;
    • связь с субъектом в случае необходимости, в том числе направление уведомлений, информации и запросов, связанных с осуществлением деятельности ООО «Компания»;
    • исполнение условий трудового договора и осуществления прав и обязанностей в соответствии с трудовым законодательством;
    • принятие решения о приёме, либо отказе в приёме на работу;
    • ведение кадрового резерва;
    • обеспечение соблюдения законов и иных правовых актов; соблюдение локальных нормативных актов ООО «Компания»;
    • обучение и карьерное продвижение работников ООО «Компания»;
    • контроль количества и качества выполняемой работы;
    • начисление заработной платы; организация командировок работников ООО «Компания»;
    • публикация во внутренних справочниках, адресных книгах ООО «Компания».

    цели обработки персональных данных

  11. Указать описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных».

    В данном пунктеможно расписать много чего, особенно если есть проект по системе защиты, реализованы технические и организационные меры. Но тут стоит ограничится разумным объемом для поля онлайн-формы. Можно определить для себя 0,5 – 1 страница печатного текста. Например:

    • Назначен ответственный за организацию обработки персональных данных.
    • Разработаны и утверждены документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
    • Применяются меры по обеспечению безопасности персональных данных.
    • Осуществляется внутренний контроль и аудит соответствия обработки персональных данных Федеральному закону №152 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам.
    • Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных и утвержденной политикой защиты персональных данных и иными локальными актами по вопросам обработки персональных данных.
    • Политика защиты персональных данных опубликована на сайтах company.com.
    • Разработаны и приняты модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
    • Назначена комиссия с целью проведения работы по определению уровней защищенности информационных систем персональных данных, по итогам работы которой приняты акты определения уровней защищенности информационных систем персональных данных.
    • Введены в обращение новые формы согласий субъектов персональных данных на обработку персональных данных в соответствии с требованиями действующего законодательства.
    • Ведется обнаружение фактов несанкционированного доступа к персональным данным.
    • Установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных.
    • Применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
    • Выполняется восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
    • Ведется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
    • Средства защиты информации можно перечислить в виде категорий, например, антивирусное ПО, межсетевой экран и т.п. Да и в целом на этапе подачи уведомления их просто может и не быть. И надо помнить, что эта информация будет опубликована, а он будет лакомым куском на этапе разведки для злоумышленника.

    описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных».

  12. Указать сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:

    • Работники ООО «Компания», осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных локальными актами ООО «Компания».
    • В ООО «Компания» определены места хранения персональных данных, ведется учет лиц, допущенных к обработке персональных данных. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
    • В ООО «Компания» локальными нормативными актами установлен перечень мер по обеспечению сохранности персональных данных и исключению несанкционированного к ним доступа.
    • В ООО «Компания» произведено определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных. Обработка персональных данных осуществляется в соответствии с установленным уровнями защищенности персональных данных.

    сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных

  13. Указать дату начала обработки персональных данных.

    Указать дату регистрации юридического лица, так как с этого момента почти всегда начинается обработка персональных данных.

    дата начала обработки персональных данных

  14. Указать условие прекращения обработки персональных данных.

    Типичные условия: достижение целей обработки, отзыв физическим лицом согласия на обработку персональных данных, истечение сроков хранения документов, прекращение деятельности ООО «Компания» в связи с ликвидацией, реорганизация ООО «Компания».

    условия прекращения обработки персональных данных

  15. Указать способы обработки ПДн.

    Тут указываем как есть для выбранной ИС. Например: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    способы обработки ПДн

  16. Указать категории персональных данных.

    Перечислить все категории ПДн, которые обрабатываются в информационной системе: паспортные данные; специализация; адрес электронной почты; резюме; должность; зарплата; специализация; пол; местоположение; номер телефона; ИНН; запись видеособеседования; паспортные данные; документы подтверждающие работу в компании; ссылки на профили в профессиональных сообществах; навыки и опыт; условия работы; СНИЛС; контактная информация; почтовый адрес; банковские реквизиты; организация; адрес организации; образец подписи; реквизиты юридического лица.

    категории персональных данных

  17. Указать категории субъектов персональных данных.

    Например, принадлежащих: работникам, соискателям, пользователям сайта, представителям контрагентов.

    категории субъектов персональных данных

  18. Указать действия с персональными данными.

    Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    действия с персональными данными

  19. Указать информацию об осуществлении трансграничной передачи данных (передаются ли персональные данные за рубеж, но помните, что первичный сбор ПДн в БД обязателен на территории РФ, при нарушении самые суровые штрафы).

    информацию об осуществлении трансграничной передачи данных

  20. Указать, используются ли шифровальные (криптографические) средства.

    Обычно требуются для шифрования данных выходящих за контролируемую зону (чаще всего периметр офиса или предприятия). И здесь без нюансов тоже не обошлось. Криптографию в России регулирует ФСБ, а их требования приводят к тому, что нужно использовать сертифицированные криптошлюзы или ПО, которые поддерживают российские алгоритмы шифрования. То есть OpenVPN не подойдёт.

    используются ли шифровальные (криптографические) средства

  21. Указать адреса ЦОДов, если, например, пользуетесь услугами облачных провайдеров.

    Эту информацию можно получить у облачного провайдера.

    адреса ЦОДов

    Шаги 15-21 нужно будет повторить для всех информационных систем персональных данных.

  22. Указать информацию об ответственном за организацию обработки персональных данных.

    Помните о том, что они станут публичными. Поэтому контакты исключительно указываем рабочие.

    информацию об ответственном за организацию обработки персональных данных

    А также указать контактные данные исполнителя, который будет их заполнять.

После заполнения формы уведомления о намерении осуществлять обработку персональных данных и отправки ее в информационную систему Уполномоченного органа по защите прав субъектов персональных данных вам необходимо распечатать заполненную форму, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора. (Например, Управление Роскомнадзора по Центральному федеральному округу).

Нововведения

С 26 декабря 2022 года в силу вступил
Приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных». Поэтому, если планируете заполнять исключительно в бумажном виде уведомление, то воспользуйтесь формой из приложения к данному приказу. В нём же есть форма для уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных,  а также форма уведомления о прекращении обработки персональных данных.

Ошибки при заполнении уведомления

Типичные ошибки при заполнении уведомления Роскомнадзора перечислены на сайте по
ссылке.

К ним можно добавить следующие ошибки:

  1. При описании целей обработки персональных данных, они сформулированы слишком обще или указаны в рамках видов деятельности, которые не ведутся в настоящее время организацией. Тут нужно изучать устав и лицензии, чтобы исключить лишние цели. При этом надо помнить, что если обработка ПДн ведётся вне рамок указанных целей, то это может трактоваться как нарушение.

  2. Меры защиты указаны слишком конкретно, например, точные модели средств защиты информации. Такой подход ведёт к тому, что часто нужно будет направлять информации о внесении изменений в уведомление. Лучше указать наименование подсистем системы защиты персональных данных.

  3. И ещё, бывает, указывают личные адреса электронной почты и номера телефонов. Надо понимать, что реестр операторов персональных данных публично доступен, и данные быстро утекут в различные спам-базы и к мошенникам. Поэтому указывайте только рабочие номера телефонов и адреса электронной почты.

Решение для соблюдения законодательства о персональных данных

Источник

Понравилась статья? Поделить с друзьями:
  • Типичные ошибки родителей во время адаптации ребенка к доу
  • Типичные ошибки при заполнении денежного чека
  • Тигуан ошибка 0883
  • Типичные ошибки при формировании схем бизнес процессов
  • Типичные ошибки при выполнении стойки на лопатках