Форма уведомления Роскомнадзора об обработке персональных данных: содержание документа и правила заполнения в электронном и бумажном виде

Рекомендации по заполнению формы Уведомления об обработке (о намерении осуществлять обработку) персональных данных (утв. Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций 29 января 2016 г.)

1. Настоящие Рекомендации разработаны в целях разъяснения порядка заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее – Уведомление).

2. Оформление Уведомления рекомендуется производить на бланке оператора, осуществляющего обработку персональных данных (далее – Оператор), по форме, определенной Приложением № 2 к Административному регламенту Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденному приказом Министерства связи и массовых коммуникаций Российской Федерации от 21 декабря 2011 г. № 346), и направлять в территориальный орган Роскомнадзора (далее – ТУ Роскомнадзора) по месту регистрации Оператора в налоговом органе.

Электронная форма Уведомления и порядок ее заполнения размещены на «Едином портале государственных и муниципальных услуг (функций)» (www.gosuslugi.ru), а также на Портале персональных данных Роскомнадзора (www.pd.rkn.gov.ru).

3. Уведомление направляется в ТУ Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

4. Под полем «Наименование (фамилия, имя, отчество), адрес Оператора» понимается:

4.1. Для юридических лиц (Операторов):

полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;

наименование филиала(ов) (представительства(в)) юридического лица (Оператора), осуществляющего обработку персональных данных;*(1)

индивидуальный номер налогоплательщика (ИНН).

4.2. Для физических лиц:

фамилия, имя, отчество физического лица (Оператора);

данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;

индивидуальный номер налогоплательщика (ИНН).

4.3. Для государственных, муниципальных органов (Операторов):

полное и сокращенное наименование государственного, муниципального органа;

наименование территориального(ых) органа(ов), осуществляющего(их) обработку персональных данных;

индивидуальный номер налогоплательщика (ИНН).

При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).

5. Поле «Цель обработки персональных данных» отражает цели обработки персональных данных (а также их соответствие полномочиям Оператора).*(5)

6. В поле «Категории персональных данных» рекомендуется учитывать все категории персональных данных, подлежащих обработке Оператором:

6.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных).

6.2. Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни).

6.3. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных).

7. В поле «Категории субъектов, персональные данные, которых обрабатываются» предлагается указать категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (Оператором) и др.).

8. В поле «Правовое основание обработки персональных данных» могут быть указаны правовые основания, которые соответствуют полномочиям Оператора, отраженных в уставных документах, Федеральных законах и принятых на их основе нормативных правовых актов в части, касающейся компетенции Оператора, закрепляющий основание и порядок обработки Оператором персональных данных*(6)

(номер, дата выдачи и наименование лицензии на осуществляемый вид деятельности, с указанием лицензионных условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных).*(7)

9. Поле «Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных» предусматривает действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

– неавтоматизированная обработка персональных данных;

– исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

– смешанная обработка персональных данных.*(8)

10. Поле «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», предполагает:

а) описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

б) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

в) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, признаются следующие сведения:

а) наименование используемых криптографических средств;

б) класс средств криптографической защиты информации (СКЗИ).

Представление данной информации рекомендуется на основании приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

11. В поле «Сведения о наличии или об отсутствии трансграничной передачи персональных данных» рекомендуется относить сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки с указанием перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.

12. В поле «Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации (далее – База данных)» указываются:

– страна (страны) размещения базы данных;

– конкретный адрес (адреса) местонахождения базы данных.

Детальная градация сведений, которые могут быть включены по Базе данных, приведена на Портале персональных данных в электронной форме Уведомления.

13. В поле «Сведения об обеспечении безопасности персональных данных» рекомендуется указывать сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

14. Поле «Дата начала обработки персональных данных» предусматривает конкретную дату (число, месяц, год) начала любого действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (как правило, это дата начала осуществление Оператором деятельности, закрепленной в уставных документах).

15. В поле «Срок или условие прекращения обработки персональных данных» рекомендуется отражать конкретную дату (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.

Заместитель руководителя
Федеральной службы по надзору
в сфере связи, информационных технологий
и массовых коммуникаций
А.А. Приезжева

*(1) Для юридических лиц с филиальной структурой рекомендуется указывать список субъектов Российской Федерации (с указанием кода субъекта – согласно Приложению № 2 «Коды субъектов РФ и иных территорий», утвержденному Приказом ФНС России от 30.10.2015 № ММВ-7-11/485@ «Об утверждении формы сведений о доходах физического лица, порядка заполнения и формата ее представления в электронном виде», на территории которых находятся филиалы (представительства) юридического лица и (или) где оператором производится обработка персональных данных. Направление Уведомления производится юридическим лицом в соответствующее территориальное управление Роскомнадзора по месту своего нахождения с указанием всех имеющихся филиалов (представительств).

*(2) Под адресом понимается место нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, почтовый адрес юридического лица, контактная информация.

Организациям, учреждениям, имеющим филиалы (представительства), рекомендуется отражать юридический и почтовый адреса (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных (все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных). При этом рекомендуется обратить внимание – обработка персональных данных осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами).

*(3) Под адресом понимается место нахождения физического лица в соответствии со свидетельством о постановке на учет физического лица в налоговом органе, почтовый адрес физического лица, контактная информация.

*(4) Под адресом понимается место нахождения государственного, муниципального органа в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, почтовый адрес государственного, муниципального органа, контактная информация.

*(5) «Целью обработки персональных данных» в данном случае являются как цели, указанные в учредительных документах Оператора, так и цели, фактически осуществляемой Оператором деятельности по обработке персональных данных.

*(6) Признаются не только соответствующие статьи Федерального закона «О персональных данных», но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных (например: ст. ст. 85 – 90 Трудового кодекса Российской Федерации, ст. 85.1 Воздушного кодекса Российской Федерации, ст. 12 Федерального закона «Об актах гражданского состояния» и др.).

*(7) Номер лицензии и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), допускается при наличии лицензии и (или) соответствующего пункта лицензионных условий.

*(8) При автоматизированной обработке персональных данных либо смешанной обработке желательно указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица) либо информация передается с использованием сети общего пользования Интернет либо без передачи полученной информации.

Обзор документа.

Пример заполнения электронной формы уведомления о намерении осуществлять обработку персональных данных

заполнения электронной формы уведомления о намерении осуществлять обработку персональных данных

(в соответствии со ст.22 ФЗ )

Ленинская, д.

Документы по персональным данным необходимые в 2020 году

Как еще может называться данный документ:

  • Политика обработки персональных данных
  • Политика в отношении обработки данных
  • Privacy policy

Зачем нужен документ:

Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

Как еще может называться данный документ:

  • Согласие на обработку персональных данных
  • Согласие пользователя

Зачем нужен документ:

Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.

Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.

Как еще может называться данный документ:

  • Правила обработки персональных данных

Зачем нужен документ:

Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

Зачем нужен документ:

Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.

Зачем нужен документ:

Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.

Зачем нужен документ:

Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

Как еще может называться данный документ:

  • Правила рассмотрения запросов субъектов персональных данных или их представителей

Зачем нужен документ:

Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.

Зачем нужен документ:

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

Как еще может называться данный документ:

  • Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Зачем нужен документ:

Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:

– Постановление Правительства РФ от 01.10.2012 г. №1119
– Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
– Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

Как еще может называться данный документ:

  • Поручение обработки персональных данных
  • Договор на обработку персональных данных
  • Договор обработки персональных данных
  • Дополнительное соглашение на поручение обработки персональных данных

Зачем нужен документ:

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

Зачем нужен документ:

Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

Зачем нужен документ:

Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.

Зачем нужен документ:

Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.

Зачем нужен документ:

Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

Читайте также:  Как пополнить счет МТС с банковской карты Сбербанка через смс 900 и мобильный банк

Как еще может называться данный документ:

  • Перечень информационных систем персональных данных

Зачем нужен документ:

В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

Как еще может называться данный документ:

  • Приказ об определении границ контролируемой зоны и требований к ее безопасности

Зачем нужен документ:

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

Зачем нужен документ.

Где его заполнить?

Электронная форма бланка содержится на Портале Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций: http://pd.rkn.gov.ru/operators-registry/notification/form/.

Бланк представляет собой Приложение к методическим рекомендациям по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30 мая 2017 г. №94.

Заполнить бланк информационного письма в Роскомнадзор не составит особого труда для этого создан единый образец.

Уведомление Роскомнадзора об обработке персональных данных в 2020 г.

Уведомление Роскомнадзора об обработке персональных данных в 2020 г.

Перед тем, как начать собирать персональные данные, оператору необходимо уведомить об этом Роскомнадзор в соответствии ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Без уведомления Роскомнадзора можно обойтись если вы:

  • Обрабатываете данные в соответствии с трудовым законодательством.
  • Данные получены в связи с заключением договора, стороной которого является субъект персональных данных. При этом сведения должны не распространятся и не передаваться третьим лицам без согласия субъекта. Только использование для исполнения договора и заключения договоров с субъектом.
  • Сделанных субъектом ПДн общедоступными.
  • Полученных для однократного пропуска субъекта ПДн на территорию, на которой находится оператор.
  • Включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.
  • Обрабатываемых без использования средств автоматизации.

Бумажный носитель vs электронный документ: форма уведомления об обработке персональных данных в Роскомнадзор

При отправке уведомлений об обработке персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций у операторов часто возникает вопрос: нужно ли отправлять письмо с распечатанным уведомлением или достаточно заполнить электронную форму уведомления на портале Роскомнадзора.

ФЗ-152, как и п. 3.2 Методических рекомендаций по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 разрешают отправлять уведомление на бумажном носителе или в форме электронного документа.

Несмотря на это полностью исключить бумажные носители из документооборота не удалось – так как правовым основанием для совершения регистрационных действий являются бумажные варианты документов, операторы обязаны направлять бумажные носители независимо от того, подавались ли они в электронном виде.

На практике направление уведомления о персональных данных в Роскомнадзор происходит в два этапа:

1) заполнение формы уведомления Роскомнадзора в электронном виде – необходимо для ускорения работы по внесению данных в реестр и получения готовой заполненной формы для печати на бумажном носителе;

2) отправка формы уведомления на бумажном носителе – является основанием для совершения Роскомнадзором регистрационных действий (уведомление регистрируется в уполномоченном органе и является основанием для внесения оператора в реестр).

В будущем планируется полный переход на электронный документооборот, но до этого момента операторы не могут избежать бумажной работы и должны направлять оформленные и подписанные уведомления на бумажном носителе.

Форма уведомления Роскомнадзора об обработке персональных данных в 2020 г.

ФЗ-152 не утверждает обязательную форму или бланк уведомления об обработке персональных данных. По закону главное – предоставить сведения, которые указаны в норме.

Форма уведомления об обработке персональных данных, рекомендуемая к использованию Роскомнадзором, содержится в Приложении № 1 к Методическим рекомендациям по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017. Данная форма содержит сведения, требуемые ст. 22 ФЗ-152 и необходимые для включения в реестр операторов.

На практике самый простой и быстрый способ получить заполненное уведомление о персональных данных в Роскомнадзор – заполнить форму, предложенную на портале персональных данных и без изменений распечатать её на бумажном носителе для направления в Роскомнадзор. Далее в статье мы рассмотрим, как заполнить форму уведомления Роскомнадзора об обработке персональных данных.

Заполнение уведомления в Роскомнадзор: подпись, оформление и отправка уведомлений об обработке персональных данных

При оформлении и отправке уведомлений об обработке персональных данных у операторов часто возникают вопросы, связанные с подписанием и оформлением уведомлений. Ниже мы ответили на самые популярные из них.

Кто может подписывать уведомление о персональных данных в Роскомнадзор?

Согласно ФЗ-152 уведомление в Роскомнадзор должны быть подписано уполномоченным лицом. Специальных требований к подписанию уведомлений не установлено.

Исходя из общих положений законодательства здесь возможно несколько вариантов:

  • Подписание уведомления лицом, имеющим право подписи без доверенности – к ним чаще всего относятся руководители (можно проверить в ЕГРЮЛ).
  • Подписание уведомления по доверенности – может подписывать иное лицо. В таком случае к уведомлению нужно приложить доверенность на право подписи.

Есть ли дополнительные требования к оформлению уведомлений?

Оператору необходимо распечатать, подписать уведомление, проставить на нем печать и направить в территориальное отделение Роскомнадзора. В уведомлении на бумажном носителе необходимо указать текущую дату отправки уведомления в бумажном виде. Если уведомление подписано по доверенности, необходимо также приложить к нему оформленную доверенность или надлежащим образом заверенную копию.

Из дополнительных требований – Роскомнадзор также рекомендует размещать уведомление на фирменном бланке оператора.

Как нужно оформлять и отправлять письма с уведомлением о персональных данных в Роскомнадзор?

Отдельных требований к оформлению или отправке писем с уведомлением об обработке не предусмотрено. В то же время важно понимать, что получение Роскомнадзором документа на бумажном носителе является основанием для совершения регистрационных действий, поэтому фиксация факта получения письма Роскомнадзором, находится в интересах оператора.

Заполнение уведомления в Роскомнадзор: сроки и порядок отправки уведомления об обработке персональных данных

ФЗ-152 обязывает операторов персональных данных высылать уведомление о начале обработки персональных данных. Операторам не стоит пренебрегать выполнением этого требования – не уведомление Роскомнадзора может повлечь привлечение к административной ответственности.

Уведомление в Роскомнадзор подразумевает включение оператора в реестр операторов по обработке персональных данных.

Для включения в реестр оператору необходимо заполнить и отправить уведомление по обработке персональных данных.

Срок направления уведомления оператором – до начала обработки персональных данных.

Срок включения в реестр – 30 дней с даты регистрации уведомления Роскомнадзором.

Как правило, оператор о включении в реестр не уведомляется. Отслеживать статус уведомления можно самостоятельно по ссылке. Для проверки статуса уведомления нужно запомнить его номер и ключ – их можно найти в конце каждого электронного уведомления после его заполнения.

Заполнение уведомления в Роскомнадзор: цели обработки уведомления об обработке персональных данных

Направление уведомления об обработке персональных данных является условием начала обработки персональных данных, а его неправильное заполнение может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.

Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.

Определяем цели обработки данных

Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.

При определении целей обработки персональных данных и заполнении уведомления необходимо проанализировать следующее:

1) Цели деятельности оператора, определённые в его уставе, локальных актах, согласии на обработку персональных данных, анкетах, договорах, предусматривающих передачу персональных данных и пр.

2) Основания получения персональных данных, деятельность, которую оператор осуществляет при получении и обработке персональных данных на таких основаниях.

Заполняем уведомление: цели обработки персональных данных

Цели, указываемые в уведомлении, должны охватывать все случаи обработки персональных данных. При этом нужно учитывать как внешнюю деятельность компании – работа с клиентами, пользователями, заключение и исполнение договоров, маркетинговая активность и пр., так и внутреннюю – подбор и приём кадров, сбор данных о сотрудниках, организация пропускного режима.

Примеры заполнения информации о целях обработки персональных данных в уведомлениях:

«цель обработки, регистрации сведений, необходимых для оказания услуг учащимся в области образования, персональных данных работников, сведений об их профессиональной служебной деятельности»

«цель обработки, регистрации сведений, необходимых для оказания жилищно-коммунальных услуг собственникам, жильцам помещений, персональных данных работников, сведений об их профессиональной служебной деятельности»

При определении целей рекомендуется привлекать специалистов, которые знакомы со всей деятельностью компании, а не заняты в одном отделе – это обеспечит правильность и полноту работы в сфере обработки персональных данных.

Специалисты ПДМастер смогут задать правильные вопросы и определить цели обработки данных, актуальные для вашей компании.

Заполняем уведомления об обработке персональных данных: категории персональных данных

Указание неполного перечня обрабатываемых персональных данных – одно из типовых нарушений в сфере обработки персональных данных. Чтобы избежать сложностей в заполнении уведомления разберёмся, какие сведения о персональных данных нужно указывать в уведомлении об обработке.

Категории персональных данных

Из законодательства следует, что категории персональных данных – это перечень персональных данных, конкретные сведения о субъекте, с помощью которых он идентифицируется или может быть идентифицирован.

Персональные данные группируются в зависимости от их особенностей, на основе чего их относят к специальным, биометрическим и иным видам категорий персональных данных.

Как внести уведомление Роскомнадзора корректные категории персональных данных?

Электронная форма уведомления на портале Роскомнадзора предлагает при определении категорий персональных данных указать конкретные сведения, которые будет собирать оператор – ФИО, дата, место рождения, семейное и социальное положение и пр.

Сложность в определении категории персональных данных при заполнении уведомления связана с тем, что сам по себе перечень персональных данных не является исчерпывающим.

В электронной форме уведомления есть графа «Другие категории персональных данных, не указанные в данном перечне», в которой оператор самостоятельно вписывает обрабатываемые персональные данные.

Операторы указывают не все «иные категории» и, как результат, нарушают требования законодательства. Так, операторы часто не указывают сведения о составе семьи; о трудовом и общем стаже, воинском учете; ИНН; СНИЛС и пр.

Во избежание неверного заполнения уведомления об обработке необходимо чётко определить цели обработки персональных данных, после чего указать, какие именно данные субъектов персональных данных будут обрабатываться.

При этом нужно учитывать особенности толкования положений законодательства в части отнесения тех или иных данных к персональным. Так, согласно подходу Роскомнадзора к биометрическим персональным данным могут относиться не только данные изображения отпечатка пальца, радужной оболочки глаза и т.д., но и изображения лица.

Заполняем уведомления об обработке персональных данных: категории субъектов персональных данных

Статья 22 ФЗ-152 обязывает операторов указывать категории субъектов, персональные данные которых обрабатываются. Логично, что субъектами персональных данных являются физические лица, но остаётся открытым вопрос, как их нужно идентифицировать в уведомлении Роскомнадзора.

Категории субъектов персональных – это указание на правовой статус субъектов персональных данных, определение места физических лиц в отношениях с оператором.

Так, если оператор обрабатывает информацию в целях обработки персональных данных персонала, то такое физическое лицо определяется в уведомлении как «работник», что и является категорией субъектов персональных данных. Контрагентов необходимо идентифицировать как сторону вида заключаемых с ними гражданско-правовых договоров.

Роскомнадзор в Методических рекомендациях по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 рекомендует указывать в уведомлениях виды отношений оператора с субъектами персональных данных, т.е. определять, какие отношения (трудовые, гражданско-правовые и пр.) связывают оператора и физическое лицо-субъекта персональных данных.

Таким образом, для указания полной и достоверной информации об обработке персональных данных, правильного уведомления Роскомнадзора необходимо описывать категории персональных данных по следующему образцу:

«работники, состоящие в трудовых отношениях с оператором»

«физические лица (абонент, пассажир, заказчик), состоящие в договорных или иных гражданско-правовых отношениях с оператором»

Заполнение уведомления в Роскомнадзор: внесение изменений в уведомление об обработке персональных данных

Если в уведомлении, направляемом в Роскомнадзор, произошли изменения, оператору персональных данных необходимо направить информационное письмо в течение 10 рабочих дней с момента возникновения поправок.

Информационное письмо оформляется на бланке оператора по форме, определенной Приложением 2 к Рекомендациям, и направляется в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе. Далее мы рассмотрим образец письма в Роскомнадзор, где заполнять необходимо только те поля, в которые вносятся изменения. Поля, отмеченные *, обязательны для заполнения.

Если установится факт размещения в реестр операторов недостоверной или неполной информации, сотрудник Роскомнадзора информирует ответственное лицо в компании оператора путем направления в его адрес письма о перечне недостающих или неточных сведений. Решить вопрос необходимо в течение 30 дней со дня получения такого запроса. Далее мы рассмотрим как заполнить информационное письмо.

Образец заполнения уведомления в Роскомнадзор

Ниже мы приведем примеры заполнения уведомления о персональных данных и информационного письма.

Обращаем внимание! Текст примера следует переработать с учетом особенностей деятельности вашей компании. Убедитесь в том, что в подаваемом уведомлении или информационном письме указаны полные и достоверные сведения о компании.

Образец заполнения уведомления Роскомнадзора
об обработке персональных данных для юр.лиц.

УВЕДОМЛЕНИЕ
об обработке (о намерении осуществлять обработку) персональных данных

Допустим, со временем у компании изменяются:

  • Ответственное лицо.
  • Адрес.
  • Номер телефона.

Образец информационного письма
о внесении изменений в сведения
в реестре операторов персональных данных

В таком случае к уведомлению нужно приложить доверенность на право подписи.

Содержание документа

В уведомлении об обработке персональных данных указываются:

  • сведения об операторе ПДн: наименование, фактический и почтовый адреса, регион, данные паспорта и т.д.;
  • цель и правовое основание обработки персональных данных;
  • ПДн, которые будут использоваться: ФИО, дата рождения, место рождения, семейное положение, профессия, адрес, образование, расовая принадлежность, биометрические данные и т.д.;
  • категории субъектов ПДн;
  • перечень предполагаемых действий с персональными данными;
  • ответственный за организацию обработки персональных данных: ФИО или наименование организации, номера контактных телефонов, почтовые адреса и адреса электронной почты;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ;
  • дата начала обработки персональных данных;
  • срок или условие прекращения обработки;
  • ФИО и контактная информация исполнителя.

Подавать уведомление не нужно в случаях, описанных в статье 22 ФЗ «О персональных данных». Например, если речь идет о информации, которая используется в рамках трудовых отношений, или о сведениях, которые есть в общедоступных источниках.

Рекомендации по заполнению основных полей документа.

Руководство по заполнению уведомления оператора персональных данных

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Читайте также:  Как переоформить квартиру с мужа на жену и детей. мой малыш - основной

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.

Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.

Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей.

С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.

Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы.

В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия.

Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Приведем один пример, как делать не нужно.

Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны.

Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя.

Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных».

Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]».

Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18.1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда?

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ.

Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации).
В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации».

В разделе «Категории персональных данных» сначала отмечаем чекбоксами обрабатываемые категории, а потом в поле «Другие категории персональных данных, не указанные в данном перечне» указываем те ПДн, которых в списке нет, причем лучше это сделать раздельно для различных категорий субъектов, например: «Другие категории ПДн работников: [перечень ПДн работников]. Другие категории ПДн клиентов: [перечень ПДн клиентов]».

В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.

В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж.

Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».

Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные.

И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения.

Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе. Да, не удивляйтесь, локальная база 1С-Бухгалтерии, развернутая на компьютере главбуха это в понимании Роскомнадзора тоже ЦОД…

Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.

Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.

Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.

Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора.

Администрация Климовского района

Почтовый адрес: 243040, Брянская обл., пгт Климово, пл.Ленина, 1

Телефон приемной: 8 (48347) 2-13-38

Электронная почта: kladm@inbox.ru

  • Главная
  • Администрация района
    • Глава администрации
    • Структура администрации района
    • Полномочия
    • Решения коллегии при главе администрации
    • Комиссии администрации района
    • План работы администрации
  • Районный Совет
    • Глава района
    • Паспорт района
    • Герб района
    • Устав района
    • Депутаты
    • Решения Совета
  • Нормативные акты
    • Проекты
    • Постановления
    • Распоряжения
  • Новости
    • Мероприятия
    • Выступления
    • Новости
    • Объявления
  • Фотогалерея
  • Контакты

    2008 687 Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации , постановлением Правительства от 01.

    Общие положения

    Для отправки уведомления необходимо пройти простой алгоритм и заполнить электронный вариант формы, представленной на сайте pd.rkn.gov.ru.

    Для отправки уведомления необходимо пройти простой алгоритм и заполнить электронный вариант формы, представленной на сайте pd.

    Разъяснения по вопросам уведомления об обработке персональных данных

    Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

    Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

    С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
    Здесь важно учесть, что запрос Роскомнадзора – это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

    Возможны две ситуации:

    1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
    2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

    Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

    В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

    Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

    Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

    Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

    Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.
    В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок. Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».
    Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления – она находится на сайте Роскомнадзора. Изучив форму, вы поймете, что заполнение уведомления – это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

    Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

    • категории персональных данных,
    • категории субъектов персональных данных,
    • цель обработки персональных данных,
    • правовое основание обработки персональных данных,
    • перечень действий с персональными данными,
    • описание способов обработки,
    • осуществление трансграничной передачи персональных данных,
    • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
    • ответственный за организацию обработки персональных данных,
    • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

    В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.
    Если вам удалось провести полноценное обследование, и вы выявили самое главное – цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа. Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.

    Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

    Важно понимать – наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

    Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки – в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора. Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

    Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

    И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
    Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации. Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе. Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706. В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

    Большинство вопросов связано со следующими пунктами:

    • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
    • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

    Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1. Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации – исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

    • назначить ответственного за организацию обработки;
    • издать политику оператора в отношении обработки персональных данных;
    • издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
    • и так далее.

    В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры. И так далее.

    С 19 статьей делаем то же самое.

    Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

    • Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 “Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных”;
    • Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;
    • Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 “Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”;
    • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.

    Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

    Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие – прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

    Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

    Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

    Напомним – Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

    Удачной Вам работы в сфере обработки и защиты персональных данных!

    У вас есть 30 дней на ответ.

    Кем оформляется документ

    Нормы того, как необходимо обрабатывать персональную информацию населения, и какие еще обязанности есть у компаний, выполняющих роль операторов, изложены в законе 152-ФЗ “О персональных данных” .

    В нем говорится о том, что прежде чем начинать такую деятельность, компания должна известить об этом Роскомнадзор.

    При этом есть определенные нормы того, как это сделать верно, найти их можно в Методических рекомендациях по уведомлению уполномоченного органа.

    Нюансы, которые действовали с 2011 года, больше недействительны, как и рекомендации от 2016 года, ведь датой последних изменений стало 21 августа 2017 года.

    Согласно законодательства, произвести оповещение Роскомнадзора о деятельности, связанной с обработкой персональных данных, должен любой оператор.

    Компания получает такой статус, если как-либо работает с информацией, запрашиваемой у граждан и относящейся к разряду личной.

    Так, при получении фирмой сведений о месте проживания клиентов, их паспортных реквизитов или иных сведений, которые могут связать их с конкретной личностью, следует обязательно отправлять документацию в контролирующую организацию.

    Но есть и исключения из этой нормы, например в следующих ситуациях:

    • если компания собирает и производит обработку информации только среди своих сотрудников;
    • личные сведения применяются только для формирования договоров, например, когда в соглашении указываются данные представителя другой компании;
    • обработка не связана с использованием автоматизационных методов.

    Во всех остальных ситуациях Роскомнадзор должен получать соответствующую информацию о ведении подобной деятельности.

    Делать это следует путем формирования документа, созданного по утвержденной в правовых нормах форме. На сайте РКН можно увидеть, как выглядит уведомление, и какие данные в него следует включать .

    Это ведомство формирует реестр операторов личных данных граждан, и после отсылки уведомления туда, за месяц документ обработают и внесут сведения в реестр всех распорядителей. А об успешном внесении можно узнать непосредственно на официальном ресурсе.

    Можно использовать не только стандартный способ передачи документа, то есть бумажный, но и задействовать электронный метод.

    Для этого нужно произвести заполнение уведомления, взятого на сайте, далее документ распечатывается. На нем ставится электронная цифровая подпись ответственного лица и отсылается через электронную почту.

    Также для этого подойдет функционал ресурса “Госуслуги”, что будет самым быстрым и удобным способом.

    При заполнении бумажного документа его можно как отнести лично, так и использовать почтовые услуги, создав заказное письмо с описью содержимого и уведомлением о прибытии получателю.

    Если этого не сделать вовремя, то компания будет привлечена к административной ответственности согласно КоАПа РФ.

    Граждане по этим нормам будут вынуждены заплатить от 100 до 300 рублей взыскания, должностные лица будут оштрафованы на сумму 300-500 рублей, а компания в целом, как юрлицо, получит санкцию на уровне 3-5 тыс. рублей.

    Название того отделения ведомства РКН По которому находится компания Разновидность оператора Это юридическое лицо, или другой тип организации деятельности Название фирмы Подающей документ Адрес нахождения компании По которому ее можно найти и идентифицировать Идентификационный код и ОГРН юридического лица Основания На которых производится обработка данных, и цель, которая преследуется в ее итоге Меры Которые принимаются для обеспечения безопасности и сохранения информации в тайне от третьих лиц Дату начала обработки Срок, в который это завершится, вместо последнего можно прописать условия, которые могут повлечь за собой прекращение работы с персональными данными Категории субъектов права Сведения о которых будет обрабатывать фирма Список операций Осуществляемых с данными, в том числе и способы обработки получаемой информации Будет ли производиться Трансграничная передача получаемых данных Адрес По которому находится база, где сведения хранятся физически и их можно будет достать Лицо Которое несет полную ответственность за работу с данными, либо перечисление всех таких людей, если их несколько.

    Кто и когда: просто о сложном

    Обязанность заполнения и отправки уведомления об обработке персональных данных может быть возложена на разных сотрудников:

    • руководитель компании;
    • юрист;
    • кадровик;
    • представитель администрации.

    Чаще всего заботы о получения статуса оператора ПД возлагаются на лицо, которое будет в дальнейшем заниматься обработкой полученных данных.

    Сроки подачи уведомлений законодательством не оговорены. Но в любом случае сделать это нужно до начала обработки персональных данных. Чтобы обезопасить себя, рекомендуется отправлять уведомление об обработке персональных данных сразу же после регистрации в качестве частного предпринимателя или юридического лица.

    В среднем штрафы за разные виды нарушений составляют от 700 до 75000 рублей.

    Сколько раз нужно подавать уведомление?

    Уведомление подаётся только один раз.

    Однако есть важный нюанс: закон «О персональных данных» требует оповещать Роскомнадзор об изменении сведений, указанных в уведомлении, в течение 10 дней после таких изменений. Уведомление содержит много сведений о компании, и изменения могут случаться довольно часто. Увы, следить за ними и вовремя реагировать бывает непросто.

    Лучше всего подать уведомление как можно раньше и аккуратно следить за тем, чтобы сведения о компании в реестре операторов были актуальны. Это очень просто сделать с помощью нашего сервиса.

    Образец
    заполнения формы уведомления об обработке персональных данных

    Уведомление оформляется на бланке органа, осуществляющего обработку персональных данных.

    И.о.руководителя Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области

    ул. Халтурина, д. 7, а/я 169

    г. Иркутск, 664011

    У В Е Д О М Л Е Н И Е
    об обработке персональных данных

    1. Тип оператора:
    — юридическое лицо.

    2. Наименование, адрес оператора:
    — полное наименование с указанием организационно-правовой формы: Муниципальное общеобразовательное учреждение «Начальная школа-детский сад № __»;

    — сокращенное наименование юридического лица (оператора), осуществляющего обработку персональных данных: МОУ «НШДС №__».

    — место нахождение: 664000, Российская Федерация, Иркутская область, город Иркутск, улица Первая, дом 1, оф. 1.
    — ИНН: 3800000000
    — ОГРН: 0000000000000
    — наименование филиала (представительства) юридического лица (оператора), осуществляющего обработку персональных данных с указанием кода субъекта — согласно справочнику “Коды регионов”: Филиал ООО “Первый”, находящийся по адресу: 630000, Российская Федерация, Новосибирская область, г. Новосибирск, ул. Новая, д. 1

    (1)-Наименование и место нахождения юридического лица указываются в строгом соответствии со свидетельством о постановке юридического лица на учет в налоговом органе.

    3. Цель обработки персональных данных:

    Кадровый и бухгалтерский учет сотрудников, оказание услуг в сфере образования, заключение договорных отношений с физическими лицами на оказание услуг, создания информационной базы данных об образовательной системе Иркутской области.

    4. Категории персональных данных:

    • непосредственно персональные данные: фамилия, имя, отчество; год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, паспортные данные, данные трудовой книжки, данные военного билета, сведения о пенсионном страховании, ИНН сведения об успеваемости учеников, социальная характеристика, информация о оказании помощи, другая информация.
    • специальные категории персональных данных (состояние здоровья).

    5. Категории субъектов, персональные данные которых обрабатываются:

    Физические лица/работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором). Физические лица (обучающиеся, воспитанники, родители, законные представителя обучающихся (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором).

    6. Правовое основание:

    • ст. 23, 24, Конституции Российской Федерации;
    • ст.85-90 Трудового кодекса Российской Федерации;
    • ст. ст 2, 5,6, 7, 9, 18-22 ФЗ «О персональных данных» от 27 июля 2006г. №152-ФЗ,
    • Закон РФ от 10.07.1992 г. № 3266-1 «Об образовании»;
    • Устав МОУ «НШДС №__»;
    • Лицензия №0000001, выдана МОУ «СОШ №__» ______ (кем выдана), на осуществление ________ (указывается лицензируемый вид деятельности).
    • Положение о работе с персональными данными МОУ «СОШ №__»;
    • Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20;
    • Письма Федерального агентства по образованию № ФАР – 6748/52/17-02-09/72 от 28.04.2008 г. «Об обеспечении безопасности персональных данных»;
    • Письмо Департамента образования Иркутской области от 08.04.2008 г. № 55-37-1354/8 «О программной обеспечении»;
    • Приказ Департамента образования Иркутской области № 351/1-дпр от 04.04.2008 г. «О создании единой информационной среды, реформировании бюджетного учета и унификации документооборота ОУ и МОУО»;
    • Приказ Департамента образования Иркутской области № 872 от 15.07.2008 г. «Об обработке и сборе персональных данных».

    7. Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных:

    Действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    Смешанная обработка персональных данных:

    • неавтоматизированная обработка – ведение трудовых книжек, личных дел на работников МОУ «НШДС №__», учет и хранение договоров, заключенными с физическими лицами, учет и хранение личных дел обучающихся, воспитанников, ведение журналов успеваемости обучающихся;
    • автоматизированная обработка – в ходе обработки персональных данных информация передается по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица) и с использованием сети общего пользования Интернет.

    8. Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных:
    8.1.
    При обработке персональных данных физических лиц применяются организационные и технические меры, такие как:

    • соблюдение положений Трудового кодекса Российской Федерации, Федерального Закона “О персональных данных” от 27 июля 2006 г. № 152-ФЗ.
    • присвоение персональных паролей для каждого пользователя вычислительной сети; разграничение доступа пользователей к защищаемым ресурсам; использование антивирусного ПО;
    • использование сейфов для хранения документов, содержащие персональные данные, запирающиеся металлические шкафы, установлена охранная сигналищация, круглосуточный охранный пост помещения.

    Класс информационной системы персональных данных К3.

    8.2. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты:

    Иванов Иван Иванович(8), 664000, г. Иркутск, а/я 000, тел. 00-00-00, iii@mail.ru.

    (8)Не допускается написание инициалов ответственного лица, имя и отчество должны быть указаны в полном объеме.

    9. Дата начала обработки персональных данных:
    16 октября 1998 года (дата постановки на учет в налоговом органе).

    10. Срок или условие прекращения обработки персональных данных:

    • Прекращение договорных отношений с работниками и физическими лицами.
    • Ликвидация МОУ «НШДС №__».

    11. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации:

    Разработано и утверждено Положение по обработке персональных данных в МОУ «НШДС №___», приказами определены лица ответственные и допущенные к обработке персональных данных в МОУ «НШДС №___», приказом определены места хранения носителей, содержащих персональные данные, обеспечивается раздельное хранение материальных носителей, содержащих персональные данные, разработана модель угроз, разработано.

    12. Территория обработки:
    МОУ «НШДС №___» осуществляет свою деятельность на территории Иркутской области.

    Как подать уведомление в Роскомнадзор.

    Разберемся с понятиями

    По роду деятельности компании (организации и индивидуальные предприниматели) имеют дело с персональными сведениями работников. В организациях хранятся документы, содержащие в себе персональные данные персонала:

    • личные карточки работников;
    • зарплатные ведомости;
    • личные дела;
    • тому подобные документы.

    Источниками сведений о себе являются, как правило, сами сотрудники. В случае если сведения о работнике можно получить только от третьих лиц, работодатель все равно должен заручиться согласием работника. Для этого его нужно предупредить о характере запрашиваемых сведений и последствиях отказа работника дать согласие на их получение (п. 3 ч. 1 ст. 86 ТК РФ).

    Отметим, что согласие на обработку персданных требуется не всегда. В ряде случаев никакого согласия не требуется. К примеру, это относится к ситуациям, связанным с выполнением оператором обязанностей, установленных действующим законодательством. К примеру, не нужно брать согласие на предоставление информации:

    • ФНС (ст. 24 НК РФ);
    • ПФР (ст. 9 Федерального закона от 01.04.1996 № 27-ФЗ);
    • военным комиссариатам (ст. 4 Федерального закона от 28.03.1998 № 53-ФЗ).

    22 Федерального закона от 27.

    Уведомление об обработке (о намерении осуществлять обработку) персональных данных

    Основания для составления документа.

Добавить комментарий