Уведомление в роскомнадзор

Пример заполнения электронной формы уведомления об обработке персональных данных

Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций

по _______________________________________

(наименование территориального органа Роскомнадзора)

УВЕДОМЛЕНИЕ

об обработке (о намерении осуществлять обработку) персональных данных

_________________________________________________________________________________________________________________________________________ _

(полное и сокращенное наименования, фамилия, имя отчество)

(адрес местонахождения и почтовый адрес Оператора)

руководствуясь:
(Указываются не только соответствующие статьи Федерального закона «О персональных данных», но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных) ст.ст. 23, 24 Конституции Российской Федерации, ст.ст. 85-90 Трудового кодекса Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», Положением о защите персональных данных работников (наименование юридического лица), утвержденным (приказом, распоряжением руководителя от (дата приказа) №), Уставом организации.

(правовое основание обработки персональных данных)

с целью:
(указываются цели, определенные учредительными документами оператора, а так же цели, фактически осуществляемой оператором деятельности по обработке персональных данных) начисления и выплаты заработной платы, заключения трудовых и иных договоров, ведения личных карточек, регистрации и обработки сведений о профессиональной служебной деятельности работников, предоставления сведений в Управление ПФ РФ, ИФНС № ___ по Чувашской Республике, регистрации сведений, необходимых для оказания услуг ___, регистрации обращений граждан.

(цель обработки персональных данных)

осуществляет обработку:
фамилия, имя, отчество; доходы; профессия; образование; имущественное положение; социальное положение; семейное положение; адрес; место рождения; дата рождения; месяц рождения; год рождения; специальные категории персональных данных: (если такие категории обрабатываются)
состояние здоровья
биометрические персональные данные: (если такие категории обрабатываются)
фотография
а также:
ИНН, свидетельство об образовании, данные паспорта, военного билета, медицинского полиса, страхового свидетельства, сведений из личных карточек, сведения воинского учета, пол, гражданство, сведения о близких родственниках, контактные телефоны.

(категории персональных данных)

принадлежащих:
гражданам Российской Федерации, физическим лицам – сотрудникам организации (учреждения), учащимся, родителям, пациентам и т.д.

(категории субъектов, персональные данные которых обрабатываются)

Обработка вышеуказанных персональных данных будет осуществляться путем:
смешанная; с передачей или без передачи по внутренней сети юридического лица; с передачей или без передачи по сети Интернет;

(перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных)

Для обеспечения безопасности персональных данных принимаются следующие меры:
Назначены, в соответствии с утвержденным списком лиц, ответственные за обеспечение безопасности обработки персональных данных, и сотрудники, отвечающие непосредственно за обработку персональных данных, утверждены должностные инструкции, ограничен доступ в помещения, где обрабатываются персональные данные;

(описание мер, предусмотренных ст.ст. 18.1. и 19 Федерального закона от 27.07.2006 № 152-ФЗ)

не используется (В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:
а) наименование, регистрационные номера и производителей используемых криптографических средств;
б) уровень криптографической защиты персональных данных;
в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;
г) уровень защиты от несанкционированного доступа.

Разъяснения по вопросам уведомления об обработке персональных данных

Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 г. N 149/54-144.)

«О персональных данных», в т. ч. сведения о наличии шифровальных (криптографических)

антивирусное ПО; межсетевые экраны; использование электронно-цифровой подписи (ЭЦП); пароли на компьютерах, на которых осуществляется обработка персональных данных; резервное копирование; ограничение доступа в помещения в которых осуществляется обработка персональных данных; установка сигнализации; дополнительных замков; металлических дверей; хранение документов в сейфе, запираемых шкафах, средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование 

юридического лица, ответственных за организацию обработки  персональных данных,и  номера их контактных телефонов, почтовые адреса и адреса электронной почты)

Сведения о наличии или об отсутствии трансграничной передачи персональных данных

(при наличии трансграничной передачи персональных данных в процессе их обработки, указывается перечень иностранных государств, на территорию которых осуществляется трансграничная

передача персональных данных)

Сведения об обеспечении безопасности персональных данных
утверждены инструкции и положения, регламентирующие порядок обработки персональных данных, с которыми ознакомлены все работники организации (предприятия) под роспись, ограничен доступ в помещение(я), где обрабатываются персональные данные, передача информации осуществляется по защищенным каналам связи (в соответствии с договорами или лицензией), предоставление необходимого помещения (помещений) для хранения документов, содержащих персональные данные, организация режима обеспечения безопасности в этом(их) помещении(ях)

(сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации)

Дата начала обработки персональных данных _________________________________

                                                                                                                   (число, месяц, год)

Срок или условие прекращение обработки персональных данных
реорганизация или ликвидация юридического лица.

 ____________________________                               ___________________                             _________________________

                (должность)                                                                            (подпись)                                                          расшифровка подписи

«___»__________20__г.

Методические рекомендации по составлению уведомления об обработке персональных данных

Методические рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (https://pd.rkn.gov.ru/operators-registry-documents/)

Угловой  штамп, бланк организации  

Руководителю Управления Федеральной службы
по надзору в сфере связи,
информационных технологий и массовых коммуникаций
по Челябинской области
М.И. Олениной

УВЕДОМЛЕНИЕ

об обработке (о намерении осуществлять обработку) персональных данных

1. Наименование ТО Роскомнадзора: Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Челябинской области

2. Тип оператора: Юридическое лицо, индивидуальный предприниматель, государственный орган, муниципальный орган, физическое лицо, иностранный гражданин

3. Наименование оператора / Фамилия, имя, отчество оператора:

  • Для юридического лица: Полное наименование с указанием организационно-правовой формы, Сокращенное наименование; Телефон, Факс, Адрес электронной почты; ИНН, ОГРН, Дата присвоения ОГРН, ОКВЭД, ОКПО, ОКФС, ОКОГУ, ОКОПФ; Наименование филиала(ов), осуществляющих обработку персональных данных, Адрес филиала(ов);
  • Для индивидуального предпринимателя: Наименование оператора, Документ, удостоверяющий личность, Телефон, Факс, Адрес электронной почты;
  • Для государственного органа, муниципального органа: Полное наименование с указанием организационно-правовой формы, Сокращенное наименование; Телефон, Факс, Адрес электронной почты;
  • Для физического лица: Фамилия, Имя, Отчество, Документ, удостоверяющий личность, СНИЛС, Телефон, Факс, Адрес электронной почты;
  • Для иностранного гражданина: Фамилия, Имя, Отчество, Гражданство, Документ, удостоверяющий личность, Адрес, Телефон, Факс, Адрес электронной почты.

Публичное акционерное общество «Челябэнергосбыт» (сокращенное — ПАО «Челябэнергосбыт»); Российская Федерация, 454091, г. Челябинск, ул. Российская, д. 260. 

ИНН 7451213318; ОГРН 1057423505732, 21.10.2005;  ОКВЭД …;  ОКПО 74225849;  ОКФС 41;  ОКОГУ 41002;  ОКОПФ 47. 

Если есть филиалы (в другом регионе), то указать — Новосибирский ф-л ПАО «Челябэнергосбыт», Российская Федерация, 630014, г.

Новосибирск, ул. Кирова, 10, Ф.И.О. руководителя, тлф., ИНН, ОГРН, дата присвоения ОГРН, ОКВЭД, ОКПО, ОКФС, ОКОГУ, ОКОПФ.

4. Правовое основание обработки персональных данных (обязательное указание соответствующей статьи, пункта связанных с обработкой персональных данных): п. 2 ч. 2 ст.

Роскомнадзор: уведомление об обработке персональных данных

6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»; ст. 53, ч. 2 ст. 54 Федерального закона от 07.07.2003 г. № 126-ФЗ «О связи»; ст.ст. 86-90 Трудового кодекса РФ; п. 4.5 Лицензии № 33799 от 10.08.2005 г., выдана ПАО «Челябэнергосбыт» Федеральной службой по надзору в сфере связи на осуществление деятельности по оказанию телематических услуг связи; п.3 Устава ПАО «Челябэнергосбыт» утверждённого на общем собрании акционеров 20.01.2006 г.,  протокол № 1.

5. Цель обработки персональных данных (то, что отражено в Уставе; Положении; Лицензии): Выполнение договорных обязательств; проведение расчетов с клиентами; ведение личных дел сотрудников; работа с жалобами, заявлениями граждан обратившихся в ПАО «Челябэнергосбыт»; обеспечение кадрового резерва.

6. Описание мер, по обеспечению безопасности персональных данных, которые оператор обязуется осуществлять при их обработке:

Организационные меры: разграничение прав доступа сотрудников к базе персональных данных; наличие положения и инструкций об обработке персональных данных.

Технические меры:  обеспечение охраны помещений с базами персональных данных; информация передается на магнитных и бумажных  носителях, а также по специально выделенной сети.

Средства обеспечения безопасности: сейф, шкаф (запирающийся на ключ) для хранения носителей информации с персональными данными;  наличие установленного антивирусного программного обеспечения.

В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств (есть лицензия ФСБ на использование этих средств!)  указываются следующие сведения:

а) наименование, регистрационные номера и производителей используемых криптографических средств;

б) уровень криптографической защиты персональных данных;

в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;

г) уровень защиты от несанкционированного доступа.

Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 года № 149/5-144.

7. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации: Разработано и утверждено Положение по обработке персональных данных в ПАО "Челябэнергосбыт", приказами определены лица ответственные и допущенные к обработке персональных данных в ПАО "Челябэнергосбыт", приказом определены места хранения носителей, содержащих персональные данные, обеспечивается раздельное хранение материальных носителей, содержащих персональные данные, разработано и утверждено Положение о работе с персональными данными в информационной системе персональных данных, назначено должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе. Несанкционированный доступ к базам персональных данных исключён. Не контролируемое проникновение или пребывание посторонних лиц в помещениях, где ведётся обработка персональных данных, исключено. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки (*). На основании модели угроз безопасности информации (частной модели угроз безопасности персональных данных) разработана система защиты информации (СЗИ). Хранение сведений организовано на электронных носителях (в ИСПДн) с использованием средств обеспечения безопасности, на бумажных носителях — в сейфах (шкафах исключающих  несанкционированный доступ).

8.  Дата начала обработки персональных данных (число, месяц, год): 31.05.2009 г.

9Срок или условие прекращения обработки персональных данных: ликвидация (реорганизация) ПАО «Челябэнергосбыт».

10. Категории персональных данных: непосредственно  персональные данные  (фамилия,  имя,   отчество;  год, месяц, дата; место рождения; адрес; семейное, социальное, имущественное положение; образование; профессия; доходы); специальные категории ПД (расовая, национальная принадлежность, политические взгляды, религиозные, философские убеждения, состояние здоровья, состояние интимной жизни); биометрические ПД (сведения, которые характеризуют физиологические особенности человека и на основании, которых можно установить его личность — фото, отпечатки пальцев, ДНК и т.д.). Другие категории ПД (паспортные данные: где, кем, когда выдан; ИНН, СНИЛС, № контактного телефона).

11. Категории субъектов, персональные данные которых обрабатываются: физические   лица,   состоящие   в   договорных   отношениях   с   ПАО   «Челябэнергосбыт»; сотрудники ПАО   «Челябэнергосбыт», с которыми заключены трудовые договоры; граждане обратившиеся в ПАО «Челябэнергосбыт» с жалобами, заявлениями; граждане направившие резюме при устройстве на работу, для участия в конкурсе на замещение вакантных должностей.

12. Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных:Сбор, анализ, обобщение, хранение, изменение, дополнение, передача (без (или) с трансграничной передачей), уничтожение персональных данных. Автоматизированная / Неавтоматизированная / Смешанная обработка персональных данных; С передачей (без передачи) по внутренней сети юридического лица; С передачей (без передачи) по сети Интернет.

13. Осуществление трансграничной передачи персональных данных: Осуществляется (не осуществляется).

14. Использование шифровальных (криптографических) средств: Используется (не используется).

15. Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ: Страна, Адрес ЦОДа, Собственный ЦОД (Да / Нет).

Страна: Россия

Адрес ЦОДа: Челябинская обл, Челябинск г, Российская ул, дом 260

Собственный ЦОД: Да.

16. Ответственный за организацию обработки персональных данных: Фамилия Имя Отчество (для физического лица) / Наименование организации (для сторонней организации), Номера контактных телефонов, почтовые адреса и адреса электронной почты:

Иванов Иван Иванович, тел. 8(351) 000-00-00, 454091, г. Челябинск, ул. Российская, д. 260, E-mail: secr@esbt.ru.

17. Фамилия Имя Отчество исполнителя, Должность, Контактная информация исполнителя.

(*) -Указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Постановлением Правительства РФ от 15.09.08 г. № 687, Постановлением Правительства РФ от 01.11.12 г. № 1119.

Директор      подпись    (И.И. Иванов)   дата 

Время публикации: 15.02.2011 08:01
Последнее изменение: 24.08.2017 15:33

Внесение сведений об Операторе в Реестр (уведомление об обработке ПД)

Внесение сведений об Операторе в Реестр (уведомление об обработке ПД)

Уведомление об обработке (намерении осуществлять обработку) персональных данных (Уведомление)

1. Уведомление уполномоченного органа по защите прав субъектов персональных данных осуществляется Оператором до начала обработки персональных данных и включает следующие сведения:

1.1. Наименование (фамилия, имя, отчество), адрес Оператора, включающие в себя:

1.1.1. Для юридических лиц (Операторов):

  • полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;
  • наименование филиалов (представительств) юридического лица (Оператора), осуществляющего обработку персональных данных;
  • адрес Оператора;
  • индивидуальный номер налогоплательщика (ИНН);
  • основной государственный регистрационный номер (ОГРН).

1.1.2. Для физических лиц:

  • фамилия, имя, отчество (при наличии) физического лица (Оператора);
  • адрес Оператора;
  • данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;
  • индивидуальный номер налогоплательщика (ИНН, при наличии).

1.1.3. Для государственных и муниципальных органов (Операторов):

  • полное и сокращенное наименование государственного, муниципального органа;
  • наименование территориальных органов, осуществляющих обработку персональных данных;
  • адрес Оператора;
  • индивидуальный номер налогоплательщика (ИНН);
  • основной государственный регистрационный номер (ОГРН).

При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).

1.2. Цель обработки персональных данных. Указываются цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.

1.3. Категории персональных данных. Рекомендуется учитывать все категории персональных данных, подлежащих обработке Оператором.

1.4. Категории субъектов, персональные данные которых обрабатываются.

Рекомендуется указать категории субъектов персональных данных и виды отношений Оператора с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных или иных гражданско-правовых отношениях с юридическим лицом (Оператором), и др.).

1.5. Правовое основание обработки персональных данных.

Рекомендуется указать весь перечень нормативных правовых актов, которые закрепляют основания и порядок обработки Оператором персональных данных и соответствуют полномочиям Оператора.

Кому не нужно уведомлять Роскомнадзор об обработке персональных данных

Не рекомендуется указывать в качестве правового основания часть 1 статьи 6 Закона N 152-ФЗ. Номер и наименование лицензии на осуществляемый вид деятельности (для лицензируемых видов деятельности) и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся субъектов персональных данных) (при наличии такого запрета).

1.6. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.

Предполагаются действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

неавтоматизированная обработка персональных данных;

исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

смешанная обработка персональных данных.

При автоматизированной обработке персональных данных либо смешанной обработке желательно указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети Оператора (информация доступна лишь для строго определенных сотрудников) либо информация передается с использованием сети связи общего пользования (например, Интернет), либо без передачи полученной информации.

1.7. Описание мер, предусмотренных статьями 18.1 и 19 Закона N 152-ФЗ, предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.

При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств представляются следующие сведения:

а) наименование используемых криптографических средств;

б) класс средств криптографической защиты информации (СКЗИ).

Данную информацию рекомендуется представлять на основании приказа ФСБ России от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

1.8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.

1.9. Дата начала обработки персональных данных.

Рекомендуется указать конкретную дату (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными (как правило, это дата начала осуществления Оператором деятельности, закрепленной в уставных документах).

1.10. Срок или условие прекращения обработки персональных данных.

Рекомендуется указывать конкретную дату (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.

1.11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки предполагают указание перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.

1.12. Сведения о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации (далее — база данных), включают в себя:

наименование стран размещения базы данных;

конкретные адреса местонахождения базы данных.

Полный перечень сведений, которые могут быть включены в базу данных, содержится в электронной форме Уведомления, размещенной на Портале персональных данных.

1.13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Уведомление рекомендуется оформлять на бланке оператора по форме, определенной Приложением 1 к Рекомендациям, и направлять в территориальный орган Роскомнадзора (далее — ТО Роскомнадзора) по месту регистрации Оператора в налоговом органе.

2. Оператор направляет Уведомление в ТО Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа, подписанного уполномоченным лицом. Электронная форма Уведомления и порядок ее заполнения размещены на Портале персональных данных Роскомнадзора.

3. В случае представления оператором неполных или недостоверных сведений представленные данные в Реестр не вносятся, а в адрес Оператора направляется письмо, содержащее перечень недостающих сведений и предложение их предоставить.

4. Оператору рекомендуется сообщить по запросу Роскомнадзора (ТО Роскомнадзора) уточненные сведения в течение 30 дней со дня получения такого запроса. Если в течение 30 дней со дня получения запроса Оператор не представил уточненные сведения, то по истечении указанного срока Уведомление с неполными или недостоверными сведениями возвращается Оператору без внесения сведений о нем в Реестр.

5. Информация о внесении сведений об Операторе в Реестр размещается на официальном сайте и Портале персональных данных.

Обращаем ваше внимание, что Вы можете заполнить электронную форму Уведомления об обработке (намерении осуществлять обработку) персональных данных на Портале персональных данных уполномоченного органа по защите прав субъектов персональных данных (https://pd.rkn.gov.ru/operators-registry/notification/). 

Время публикации: 11.03.2010 14:25
Последнее изменение: 27.12.2017 14:56

Роскомнадзор ведёт реестр операторов — компаний, выполняющих требования закона «О персональных данных». Чтобы попасть в реестр, компания подаёт уведомление об обработке персональных данных. Это может быть непросто сделать: непонятно, когда подавать уведомление, как его заполнить и как убедиться, что информация дошла до Роскомнадзора.

Можно ли не подавать уведомление?

Закон «О персональных данных» требует, чтобы каждая компания подала уведомление.

В законе есть несколько исключений, позволяющих ряду компаний избежать этого. В этом случае нужно быть готовым юридически грамотно доказать контролирующему органу, что исключения на компанию распространяются. Сделать это не так-то просто: отсутствие уведомления — одно из самых частых нарушений, выявляемых в ходе проверок Роскомнадзора.

Самый лучший вариант — подать уведомление и обезопасить компанию от вопросов контролирующего органа, почему это не было сделано.

Иногда компании опасаются, что подача уведомления привлечёт излишнее внимание Роскомнадзора, и он придёт с проверкой. На практике этого не происходит.

Когда отправить уведомление?

Уведомление подаётся до начала обработки персональных данных. Исходя из буквы закона, это нужно сделать в первые дни после государственной регистрации юридического лица или ИП.

Часто решение подать уведомление принимается тогда, когда компания работает уже несколько месяцев или несколько лет. Не стоит опасаться штрафа или других санкций за «опоздание» с подачей уведомления. А вот если компанией заинтересуется Роскомнадзор (придёт с проверкой или пришлёт «письмо счастья», где потребует подать уведомление), тогда штрафа будет не избежать.

Важный нюанс: даже если уведомление подаётся с «опозданием», в качестве «даты начала обработки персональных данных» лучше указать дату государственной регистрации компании.

Как заполнить уведомление?

Уведомление нужно подать через интернет (в электронном виде) и направить по почте (в печатном виде).

Электронная форма уведомления заполняется на сайте Роскомнадзора. Требуется указать достаточно много информации, и это не так-то просто сделать, несмотря на наличие подсказок. Нужно быть готовым сформулировать правовые основания и цели обработки персональных данных, описать совершаемые с ними действия и указать, каким образом обеспечивается их безопасность.

После отправки электронной формы сайт Роскомнадзора предложит скачать уже заполненную печатную форму. Её нужно будет распечатать, подписать и удостоверить печатью компании, после чего отправить по почте в территориальный орган Роскомнадзора.

Как подать уведомление в Роскомнадзор

Это необходимо, чтобы подтвердить сведения, поданные через интернет.

Ещё можно заполнить уведомление в электронном виде на Портале государственных услуг, однако это менее удобный способ.

Как узнать, что уведомление принято?

После заполнения уведомления на сайте Роскомнадзора компания получит номер уведомления и секретный ключ. С их помощью на специальной странице можно уточнить статус уведомления и узнать, когда его сведения попадут в реестр операторов.

Вся информация в реестре операторов общедоступна, кроме сведений об обеспечении безопасности персональных данных. Можно найти уведомление любого оператора.

Сколько раз нужно подавать уведомление?

Уведомление подаётся только один раз.

Однако есть важный нюанс: закон «О персональных данных» требует оповещать Роскомнадзор об изменении сведений, указанных в уведомлении, в течение 10 дней после таких изменений. Уведомление содержит много сведений о компании, и изменения могут случаться довольно часто. Увы, следить за ними и вовремя реагировать бывает непросто.

Лучше всего подать уведомление как можно раньше и аккуратно следить за тем, чтобы сведения о компании в реестре операторов были актуальны. Это очень просто сделать с помощью нашего сервиса.

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
Здесь важно учесть, что запрос Роскомнадзора — это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Возможны две ситуации:

  1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
  2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.
В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок. Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».
Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ.

Что нужно знать об уведомлении Роскомнадзора об обработке персональных данных

Прежде всего, найдите непосредственную форму уведомления — она находится на сайте Роскомнадзора. Изучив форму, вы поймете, что заполнение уведомления — это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

  • категории персональных данных,
  • категории субъектов персональных данных,
  • цель обработки персональных данных,
  • правовое основание обработки персональных данных,
  • перечень действий с персональными данными,
  • описание способов обработки,
  • осуществление трансграничной передачи персональных данных,
  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
  • ответственный за организацию обработки персональных данных,
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.
Если вам удалось провести полноценное обследование, и вы выявили самое главное — цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа. Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.

Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

Важно понимать — наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки — в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора. Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации. Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе. Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706. В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

Большинство вопросов связано со следующими пунктами:

  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1. Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации — исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

  • назначить ответственного за организацию обработки;
  • издать политику оператора в отношении обработки персональных данных;
  • издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
  • и так далее…

В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры… И так далее.

С 19 статьей делаем то же самое.

Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

  • Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";
  • Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
  • Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие — прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

Напомним — Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

Удачной Вам работы в сфере обработки и защиты персональных данных.