SavePearlHarbor

Инструкция: как подать уведомление об обработке персональных данных в Роскомнадзор?

от автора

admin

Общие сведения: зачем вообще это нужно?

Уведомление об обработке персональных данных представляет собой сообщение оператора в Роскомнадзор о намерении осуществлять обработку персональных данных. По общему правилу такое уведомление подается до начала обработки.

В уведомлении оператор сообщает регулятору, кто, с какой целью, какие категории данных и субъектов подлежат использованию и какими способами будет осуществляться обработка и защита личной информации.

Бизнесу уведомление об обработке персональных данных нужно прежде всего потому, что почти любая компания или ИП работает с личной информацией: данными сотрудников, соискателей, клиентов, покупателей, посетителей сайта или пользователей сервиса.

Никакой IT-бизнес не может существовать без обработки персональных данных:

  • у Вас есть хотя бы один работник? вы оператор!

  • вы заключили хотя бы один договор с физическим лицом? вы оператор!

  • у вас можно оставить заявку на сайте с номером телефона? вы оператор!

Если уведомление не подать вовремя, компания может столкнуться со штрафами и предписаниями со стороны Роскомнадзора. После ужесточения ответственности вопрос стал особенно чувствительным для предпринимателей, которые собирают заявки на сайте, используют клиентские базы, подбирают работников или используют личную информацию другими способами. Всё вышеуказанное является обработкой персональных данных и согласно требованиям закона необходимо подать уведомление об обработке персональных данных.

Непредставление уведомления является нарушением порядка обработки персональных данных и влечёт административную ответственность по ч. 10 ст. 13.11 КоАП РФ и влечёт от 100 000 до 300 000 руб. Кроме этого, при отсутствии уведомления возможны предписания, ограничение обработки и даже блокировка сайта.

Подать уведомление о начале обработки персональных данных можно через электронный сервис Роскомнадзора доступный по адресу: https://pd.rkn.gov.ru/operators-registry/notification/form/

Для начала подачи необходимо выбрать форму подачи. Сервис Роскомнадзора предоставляет возможность выбрать следующие формы подачи:

  • Бумажная подача, после формирования проекта уведомления его необходимо распечатать и отправить почтовым отправлением в Роскомнадзор.

  • Подача с помощью портала «Госуслуги», после формирования проект уведомления подписывается с помощью учетной записи ЕСИА. Данный способ доступен для подтвержденных профилей физических лиц, индивидуальных предпринимателей и юридических лиц.

  • Подача с помощью ЭЦП оператора, после формирования проект уведомления подписывается с помощью ЭЦП.

Порядок заполнения уведомления

Шаг № 1. Заполнение сведений об операторе

1.1.Здесь необходимо выбрать регион, в котором зарегистрирован оператор.

Рис. 1

Рис. 1

1.2. Необходимо выбрать тип оператора, например, «Юридическое лицо».

Рис. 2

Рис. 2

1.3. Необходимо указать адрес оператора. Адрес формируется путем выбора из предлагаемых вариантов от региона до улицы (дом, стр., корпус, кв/офис заполняются вручную):

Рис. 3

Рис. 3

1.4. Идентификационные и контактные данные оператора заполняются по желанию, за исключением граф, помеченных «*».

Рис. 4

Рис. 4

Например, минимальными данными, которые можно указать, являются:

Рис. 5

Рис. 5

Обращаю внимание, что датой рядом с графой ОГРН, является дата создания оператора.

Шаг № 2. Заполнение сведений о целях обработки, составе данных и порядок их обработки

2.1. Сначала выбирается цель обработки персональных данных, например, стандартными целями обработки персональных данных для оператора-юридического лица являются:

  • Ведение кадрового и бухгалтерского учёта;

  • Обеспечение соблюдения трудового законодательства;

  • Обеспечение соблюдения налогового законодательства;

  • Обеспечение соблюдения пенсионного законодательства;

  • Подбор персонала (соискателей) на вакантные должности оператора;

  • Подготовка, заключение гражданско-правового договора;

  • Осуществление воинского учёта.

Также часто встречающимися целями являются:

  • Осуществление рекламных и информационных рассылок;

  • Обработка данных посетителей сайта оператора;

  • Осуществление видеонаблюдения;

  • Публикация данных о работника на сайте;

  • Использование сведений, собираемых посредством метрических программ;

  • Использование функциональных возможностей сервиса Оператора.

Информация по каждой цели заполняется отдельно путём проставления галочек. Для того, чтобы начать заполнять новую цель, необходимо нажать на кнопку «Добавить цель обработки»

Рис. 6

Рис. 6

2.2. Цель «Ведение кадрового и бухгалтерского учёта» (здесь и далее будет показано, как должна быть заполнена информация по указанной цели, состав обрабатываемых данных может немного различаться):

Рис. 7

Рис. 7
Рис. 8

Рис. 8
Рис. 9

Рис. 9
Рис. 10

Рис. 10

2.3. Цель «Обеспечение соблюдения трудового законодательства»:

Рис. 11

Рис. 11

Примечание. В случаях, если работник в рамках исполнения трудовых обязанностей должен водить транспортное средство, то необходимо дополнительно выбрать категорию «Данные водительского удостоверения».

Рис. 12

Рис. 12

Примечания. Для некоторых категорий работников, например, для работников сферы питания и производства продуктов для трудоустройства, необходимо иметь медицинскую книжку, соответственно работодатель обрабатывает медицинские данные такого работника.

Рис.13

Рис.13
Рис. 14

Рис. 14

2.4. Цель «Обеспечение соблюдения налогового законодательства»

Рис. 15

Рис. 15
Рис. 16

Рис. 16
Рис. 17

Рис. 17

2.5. Цель «Обеспечение соблюдения пенсионного законодательства»:

Рис. 18

Рис. 18
Рис. 19

Рис. 19
Рис. 20

Рис. 20

2.6. Цель «Подбор персонала (соискателей) на вакантные должности оператора:

Рис. 21

Рис. 21
Рис. 22

Рис. 22
Рис. 23

Рис. 23
Рис. 24

Рис. 24

2.6. Цель «Подбор персонала (соискателей) на вакантные должности оператора»:

Рис. 25

Рис. 25
Рис. 26

Рис. 26
Рис. 27

Рис. 27
Рис. 28

Рис. 28

2. 7. Цель «Подготовка, заключение гражданско-правового договора»:

Рис. 29

Рис. 29
Рис. 30

Рис. 30
Рис. 31

Рис. 31
Рис. 32

Рис. 32

2.8. Цель «Осуществление воинского учёта»:

Рис. 33

Рис. 33
Рис. 34

Рис. 34
Рис. 35

Рис. 35

2.9. Цель «Осуществление рекламных и информационных рассылок»:

Рис. 36

Рис. 36

Примечание. В случаях, если рекламная или информационная рассылки осуществляется только по номеру телефона или электронной почте, выбирается только одна из указанных категорий персональных данных.

Рис. 37

Рис. 37
Рис. 38

Рис. 38

2.10. Цель «Обработка данных посетителей сайта оператора»:

Рис. 39

Рис. 39

Примечание. Здесь выбираются категории, которые обработаются с помощью сайта, чаще всего на сайте обрабатываются следующие категории персональных данных:

Рис. 40

Рис. 40

Примечание. Категория персональных данных «Сведения, собираемые посредством метрических программ» указывается всегда, когда на сайте используются Яндекс Метрика или аналогичные системы аналитики.

Рис. 41

Рис. 41

Примечание. В случаях, если сайт представляет собой интернет-сервис, то также выбирается следующее основание:

Рис. 42

Рис. 42
Рис. 43

Рис. 43

2.11. Цель «Осуществление видеонаблюдения»:

Рис. 44

Рис. 44

Примечание. В случае, если видеонаблюдение ведётся со звуком необходимо добавить категорию «Данные голоса человека»

Рис. 45

Рис. 45
Рис. 46

Рис. 46

2.12. Цель «Публикация данных о работника на сайте оператора»:

Рис. 47

Рис. 47

Примечание. Здесь выбираются категории данных о работниках, которые публикуются (распространяются) на сайте, чаще всего это следующие категории данных:

Рис. 48

Рис. 48
Рис. 49

Рис. 49
Рис. 50

Рис. 50

2.13. Способы обработки. Чаще всего способы обработки у вас будут такие же, как указаны выше, но иногда они могут меняться, например,

  • если у вас документооборот ведется только на бумажных носителях, у вас будет неавтоматизированная обработка, без передачи по внутренней сети юридического лица и без передачи по сети Интернет:

Рис. 51

Рис. 51

  • при наличии у юридического лица локальной сети необходимо выбирать «с передачей по внутренней сети юридического лица»

Рис. 52

Рис. 52

Шаг № 3. Заполнение раздела «Описание мер, предусмотренных ст.ст. 18.1 и 19 Закона». Здесь стоит использовать стандартные формулировки, если не используются специфические меры.

Формулировка:

«Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

  • определяет угрозы безопасности персональных данных при их обработке;

  • принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

  • назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора; • создает необходимые условия для работы с персональными данными;

  • организует учет документов, содержащих персональные данные;

  • организует работу с информационными системами, в которых обрабатываются персональные данные; • хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

  • организует инструктаж работников Оператора, осуществляющих обработку персональных данных».

Шаг № 4. Заполнение раздела «Средства обеспечения безопасности».

Здесь стоит использовать стандартные формулировки, если не используются специфические меры:

  • «Управление доступом: Доступ к персональным данным ограничен только для авторизованных сотрудников, обеспечивается разделение доступа на уровне ролей и функций.

  • Аудит безопасности: Регулярно проводится аудит безопасности для выявления уязвимостей и пробелов в безопасности.

  • Уведомление о нарушениях: Разработаны процедуры по уведомлению о нарушениях безопасности данных и соблюдению законодательных требований о таких уведомлениях.

  • Согласие субъектов данных: Получение согласия от субъектов данных на обработку и хранение их персональных данных, а также информирование их о целях сбора данных.

  • Защита серверов: Обеспечивается безопасность серверов, где хранятся персональные данные.

  • Установлены средства защиты: брандмауэр и антивирусное программное обеспечение.

  • Обучение сотрудников: Проводится инструктаж сотрудников о правилах обработки и защиты персональных данных.

  • Мониторинг и реагирование: Используются мониторинговые системы, которые позволяют выявлять и реагировать на возможные инциденты безопасности.

  • Соблюдение законодательства: Осуществляется отслеживание изменений в законодательстве о защите персональных данных и соблюдением требований, установленных Правительством Российской Федерации и другими соответствующими органами.

  • Резервное копирование данных: Регулярно производится резервное копирование персональных данных для обеспечения возможности восстановления в случае инцидентов».

Шаг № 5. Заполнение графы «Использование шифровальных (криптографических) средств».

Использование шифровальных (криптографических) средств.

Чаще всего обычный оператор думает, что не использует шифровальные (криптографические) средства, но это не так. С развитием электронного документооборота операторы в своей повседневной деятельности используют Электронно-цифровые подписи (ЭЦП), программы для использования ЭЦП являются средствами шифрования (криптографии). Например, если вы используете для работы с ЭЦП программу СКЗИ «КриптоПро CSP», то необходимо указывать следующее:

Рис. 53

Рис. 53

В случаях, когда СКЗИ «КриптоПро CSP» или аналоги не используются, то необходимо выбрать следующее:

Рис. 54

Рис. 54

Шаг № 6. Данные о лице, ответственном за обработку персональных данных у оператора.

Пример заполнения данных для ответственного – физического лица:

Рис. 55

Рис. 55

В случае, если ответственным за обработку персональных данных является юридическое лицо, стоит выбрать соответствующую категорию и заполнить данные, например:

Рис. 56

Рис. 56

Примечание. Обратите внимание, что ответственным может быть только другое физическое лицо (в том числе работник оператора) или сторонняя организация, но не сам оператор.

Шаг № 7. Дата начала обработки, срок или условие прекращения обработки персональных данных.

Следующим шагом надо указать дату начала обработки персональных данных. У операторов-юридических лиц датой начала обработки является дата регистрации юридического лица. У остальных операторов дата начала обработки указывается с даты фактического начала обработки персональных данных.

Рис. 57

Рис. 57

Далее необходимо заполнить графу «Срок или условие прекращения обработки персональных данных», чаще всего срок обработки персональных данных (дата окончания) заранее неизвестен, в связи с этим стоит выбирать графу условия окончания.

Наиболее частыми условиями окончания обработки персональных данных являются:

  • Прекращение деятельности оператора (Примечание. Подходит всем операторам);

  • Ликвидация оператора (Примечание. Подходит только операторам юридическим лицам и государственным органам);

  • Реорганизация оператора (Примечание. Подходит только операторам юридическим лицам);

  • Истечение срока обработки персональных данных, предусмотренного законом, договором или согласием субъекта персональных данных на обработку его персональных данных (Примечание. Подходит всем операторам);

  • Отзыв субъектом персональных данных (или его представителем) согласия на обработку его персональных данных (Примечание. Подходит всем операторам).

Пример заполнения данной графы:

Рис. 58

Рис. 58

Шаг № 8. Заполнение графы «Осуществление трансграничной передачи персональных данных».

Заполнение графы «Осуществление трансграничной передачи персональных данных».

Указывать, что вы осуществляете трансграничную передачу, стоит только в случаях, если вы подали в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных и по результатам вашего уведомления получено вот такое сообщение:

Рис. 59

Рис. 59

В остальных случаях стоит указывать, что трансграничная передача персональных данных не осуществляется.

Рис. 60

Рис. 60

Шаг № 9. Заполнение раздела «Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ».

Для заполнения раздела необходимо определиться собственный у вас центр обработки данных (ЦОД) или арендуемый.

При наличии собственного ЦОДа, данный раздел заполняется следующим образом:

Рис. 61

Рис. 61

В графе «Адрес ЦОДа» указывается адрес фактического местонахождения серверов, а не местонахождения оператора (за исключением случаев, если они одинаковые).

При аренде ЦОДа необходимо выяснить фактический адрес вашего сервера у арендодателя. Крупные дата-центры публикуют информацию о адресах ЦОДов в открытых данных, например, Яндекс.Облако или Селектел. В случаях, если у дата-центра есть несколько ЦОДов и определить, в каком именно находится арендуемый Вами сервер нет возможности, необходимо указать все адреса ЦОДов дата-центра.

Ниже приведен пример заполнения для Яндекс.Облако:

Рис. 62

Рис. 62
Рис. 63

Рис. 63
Рис. 64

Рис. 64
Рис. 65

Рис. 65

Шаг № 10. Раздел «Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах» нужен только в исключительных случаях, и в подавляющем большинстве случаев операторы его не используют, поэтому раздел следует удалить.

Шаг № 11. Заполнение раздела «Сведения об обеспечении безопасности персональных данных».

Здесь стоит использовать стандартные формулировки:

  • «Определены места хранения персональных данных (материальных носителей);

  • Определен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ;

  • Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

  • Обеспечен учет материальных носителей;

  • Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, учтены в соответствующих журналах;

  • Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещениях, где ведется работа с персональными данными;

  • Обеспечена сохранность носителей персональных данных и средств защиты информации».

Шаг № 12. Сведения о лице, которое подготовило уведомление, лучше всего указывать данные лица, ответственного за организацию обработки персональных данных. Пример заполнения:

Рис. 66

Рис. 66

Шаг № 13. Подписание и подача уведомления.

1) Подписание с помощью электронно-цифровой подписи (ЭЦП):

1.1) Проставить отметки («галочки») в местах, указанных ниже:

Рис. 67

Рис. 67

1.2) Нажать «Подписать и отправить электронное уведомление»;

1.3) Необходимо сохранить (а) код сформированного уведомления и (б) ключ уведомления для более легкого редактирования уведомления и после выбрать сертификат ЭЦП оператора и нажать «подписать».

Рис. 68

Рис. 68

2) Подача уведомления в бумажном виде:

Рис. 69

Рис. 69

2.1) Проставить отметки («галочки») в местах, указанных ниже:

2.2) Нажмите кнопку «Отправить электронное уведомление и подготовить форму к распечатке». После распечатайте, подпишите уведомление, поставьте печать (если есть) и отправьте уведомление Почтой России ценным письмом по адресу территориального подразделения Роскомнадзора, указанного в распечатанном уведомлении.

После подписания и подачи уведомления до внесения в реестр Операторов персональных данных занимает порядка 30 (тридцати) календарных дней.

 Надеюсь указанная инструкция была полезна для всех читателей Хабра:))

ссылка на оригинал статьи https://habr.com/ru/articles/1051866/