Как заполнить уведомление в роскомнадзор об обработке персональных данных образец
Прием обращений граждан (автоответчик) (843) 528-04-39
«Горячая линия» для редакций СМИ и журналистов (843) 528-04-33
Образец формы уведомления и рекомендации по заполнению
Рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (PDF, 2,5МБ )
Приказ Роскомнадзора от 30.10.2018 № 159 «О внесении изменений в Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утверждённые приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94» (PDF, 800КБ)
Пример заполнения уведомления об обработке персональных данных
Пример формы уведомления для юридического лица (DOCX, 30 КБ)
Пример формы уведомления для индивидуального предпринимателя (DOCX, 20КБ)
Пример формы уведомления для юридического лица с использованием 2-х информационных систем и Интернет-сайта (DOCX, 30КБ)
Пример формы уведомления об обработке персональных данных для индивидуального предпринимателя с использованием 2-х информационных систем и Интернет-сайта (DOCX, 30КБ)
Пример формы уведомления для нотариуса с использованием 2-х информационных систем (DOCX, 30КБ)
Пример формы уведомления для учреждения здравоохранения с использованием 5-ти информационных систем (DOCX, 30КБ)
Пример заполнения информационного письма о внесении изменений в сведения об операторе в реестре операторов, осуществляющих обработку персональных данных
Пример формы информационного письма для юридического лица, ПАО (DOCX, 30КБ)
Пример формы информационного письма для юридического лица, ООО (DOCX, 30КБ)
Пример формы информационного письма для юридического лица, Совет СП (DOCX, 30КБ)
Пример формы информационного письма для юридического лица, Исполком СП (DOCX, 30КБ)
Пример формы информационного письма для юридического лица, Школа (DOCX, 30КБ)
Пример формы информационного письма для юридического лица, Детсад (DOCX, 30КБ)
Пример формы информационного письма для юридического лица с использованием 2-х информационных систем (DOCX, 30КБ)
Пример формы информационного письма для индивидуального предпринимателя с использованием 2-х информационных систем и Интернет-сайта (DOCX, 30КБ)
Пример формы информационного письма для нотариуса с использованием 2-х информационных систем (DOCX, 30КБ)
Пример формы информационного письма для учреждения здравоохранения с использованием 5-ти информационных систем (DOCX, 30КБ)
Пример формы информационного письма для юридического лица (Образовательное учреждение) с использованием 2-х информационных систем (DOCX, 30КБ)
Пример короткой формы информационного письма о внесении изменений в сведения об операторе в реестр ОПД (DOCX, 30КБ)
Образец информационного письма для операторов персональных данных (ст. 25 и п. 10.1) (DOCX, 30КБ)
О внесении изменений в отдельные законодательные акты Российской Федерации
Федеральный закон Российской Федерации от 21 июля 2014 г. N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
Информационное сообщение для юридических и физических лиц (индивидуальных предпринимателей)
Как заполнить уведомление в роскомнадзор об обработке персональных данных образец
Соответствующие виды деятельности отражаются в общероссийских классификаторах услуг, видов деятельности (ОКВЭД), в правоустанавливающих документах юридического лица и т.д.
3. Категории персональных данных:
Другие категории персональных данных, такие как: паспортные данные, ИНН, данные СНИЛС, сведения о воинском учете, номер телефона и другие, не присутствующие в указанном списке, необходимо дописать текстом.
Недопустимо использовать слова «и т.д.», «и т.п.», «и другие», «анкетные данные», «другая информация». В Уведомлении должен быть исчерпывающий (закрытый) перечень категорий персональных данных.
Обращаем Ваше внимание на то, что в данном пункте необходимо только перечислить категории персональных данных, фактически обрабатываемые Оператором, без указания персональных данных физических лиц.
4. Категории субъектов, персональные данные которых обрабатываются:
Работники, состоящие в договорных отношениях с ООО «Первый»/ИП Иванова И.И., члены семьи работника, родственники, кандидаты, физические лица, получающие услуги от ООО «Первый»/ИП Иванова И.И., а также физические лица, состоящие в гражданско-правовых и иных договорных отношениях с ООО «Первый»/ИП Иванова И.И, физические лица (заказчики; пассажиры; налогоплательщики; учащиеся, их родители; государственные гражданские служащие; обслуживающий персонал); физические лица, обратившиеся в организацию по страхованию имущества; пенсионеры, физические лица находящихся на обслуживании банка (клиенты); законные представители физических и юридических лиц; больные, состоящие на диспансерном учёте по соответствующим диагнозам, медицинский персонал; граждане, имеющие право на меры социальной поддержки, пособия, доплаты к пенсии, ежемесячные денежные выплаты, компенсации и иные выплаты; законные представители физических и юридических лиц.
Необходимо указать категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются. Обращаем Ваше внимание, что категории субъектов (физических лиц) должны соответствовать целям обработки персональных данных, указанным в п. 2 настоящего Образца.
5. Правовое основание:
Ст. 23, 24 Конституции Российской Федерации, ст. 85-90 Трудового кодекса Российской Федерации,а также указать названия других федеральных и региональных нормативных актов (если такие имеются), регламентирующих деятельность организации и касающихся обработки персональных данных,Устав ООО «Первый», Положение о работе с персональными данными в ООО «Первый», лицензия № 0000001 от 00.00.0000, выданная ___________(кем выдана) на осуществление _________________ (указывается лицензируемый вид деятельности)______________________ (номер лицензии и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), отражается только при наличии лицензии и (или) соответствующего пункта лицензионных условий)
6. Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных:
Необходимо указать один из способов обработки персональных данных:
При обработке персональных данных информация: передается/не передается(указать что-либо одно)по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица), информация передается/не передается(указать что-либо одно)с использованием сети общего пользования Интернет.
7. Для обеспечения безопасности персональных данных применяются следующие меры (описание мер, предусмотренных ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):
— Разработано и утверждено Положение об обработке персональных данных в ООО «Первый». Приказом № 1 от 01.01.01 назначено лицо, ответственное за организацию обработки персональных данных. Опубликован и размещен на стенде организации документ, определяющий политику в отношении обработки персональных данных. Разработаны локальные акты по вопросам обработки персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных. Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Разработана модель угроз безопасности в информационной системе. Обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
— Средства обеспечения безопасности: обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем применения электронной подписи, используются антивирусные средства защиты информации(наименование, версия, № лицензионного соглашения), межсетевое экранирование, присвоение персональных паролей для каждого рабочего места (конкретного работника), наличие средств восстановления системы защиты персональных данных. Установлены сейфы для хранения личных дел работников и персональных данных физических лиц, запирающиеся металлические шкафы, установлена пожарная сигнализация, видеонаблюдение, круглосуточный охранный пост(обращаем Ваше внимание на то, что применяемые Оператором меры по обеспечению безопасности персональных данных должны соответствовать используемому Оператором способу обработки персональных данных, указанному в п. 6 настоящего Образца.)
— Сведения о наличии шифровальных (криптографических) средств и наименования этих средств :
не используется/ используется «КриптоПро CSP 2.0», ООО «Крипто-Про», регистрационный номер № 0000001(в случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:
а) наименование, регистрационные номера и производителей используемых криптографических средств;
б) уровень криптографической защиты персональных данных;
в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;
г) уровень защиты от несанкционированного доступа. Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью крипто средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 г. № 149/5-144).
7.1. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты:
Иванов Иван Иванович(не допускается написание инициалов ответственного лица, фамилия, имя и отчество (при наличии) должны быть указаны в полном объеме)
Общество с ограниченной ответственностью «Второй» (указывается сторонняя организация, являющаяся ответственной за организацию обработки персональных данных у Оператора, сам Оператор не может быть указан)
664000, г. Иркутск, а/я 000, тел. 00-00-00, iii@mail.ru(указываются рабочие контактные данные).
НЕОБХОДИМО УКАЗАТЬ ЛИБО НАИМЕНОВАНИЕ И КОНТАКТНЫЕ ДАННЫЕ ИНОГО ЮРИДИЧЕСКОГО ЛИЦА, ЛИБО ФАМИЛИЮ, ИМЯ, ОТЧЕСТВО ВАШЕГО СОТРУДНИКА, ОТВЕТСТВЕННЫХ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, А ТАКЖЕ КОНТАКТНЫЕ ДАННЫЕ.
8. Дата начала обработки персональных данных:
16 октября 1998 года(дата постановки на учет в налоговом органе).
9. Срок или условие прекращения обработки персональных данных:
Прекращение деятельности ООО «Первый», ликвидация ООО «Первый», реорганизация ООО «Первый», истечение срока хранения предусмотренного законом, договором или согласием субъекта пдн на обработку его пдн, отзыв субъектом пдн (или его представителя) согласия на обработку его пдн с учетом достижения условий, предусмотренных ст. 21 ФЗ «О персональных данных».
10. Трансграничная передача персональных данных:
Не осуществляется/осуществляется в США (указать что-либо одно, в случае трансграничной передачи указывается перечень иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных).
10.1 Сведения о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации:Россия, 664000, Иркутская обл., г. Иркутск, ул. Первая, д. 1, оф. 1, собственный ЦОД, Наименование ИС: «1С:Зарплата и Кадры»(указываются: страна (страны) размещения базы данных, конкретный адрес (адреса) местонахождения базы данных, собственный ЦОД (да/нет), наименование информационной системы (базы данных).
11. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации:
Необходимо указать сведения о мерах принятых юридическим лицом, в целях исполнения требований установленных Постановлением Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и Постановлением Правительства РФ от 01 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»».
Определены места хранения персональных данных (материальных носителей). Определен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ. Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Обеспечен учет материальных носителей. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, учтены в соответствующих журналах. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации.Лица, осуществляющие обработку ПДн без использования средств автоматизации проинформированы о факте обработки ими персональных данных, а так же об особенностях и правилах осуществления такой обработки.
12. Территория обработки:
ООО «Первый» осуществляет свою деятельность на территории Иркутской области.
Указанное уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом.
Уполномоченным лицом является:
Время публикации: 09.02.2011 10:21 Последнее изменение: 27.12.2017 15:16
Руководство по заполнению уведомления оператора персональных данных
В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.
Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.
Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.
Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей.
С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.
Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы.
В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия.
Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Приведем один пример, как делать не нужно.
Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны.
Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя.
Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных».
Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]».
Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18.1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда?
В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ.
Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации). В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации».
В разделе «Категории персональных данных» сначала отмечаем чекбоксами обрабатываемые категории, а потом в поле «Другие категории персональных данных, не указанные в данном перечне» указываем те ПДн, которых в списке нет, причем лучше это сделать раздельно для различных категорий субъектов, например: «Другие категории ПДн работников: [перечень ПДн работников]. Другие категории ПДн клиентов: [перечень ПДн клиентов]».
В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.
В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж.
Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».
Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные.
И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения.
Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе. Да, не удивляйтесь, локальная база 1С-Бухгалтерии, развернутая на компьютере главбуха это в понимании Роскомнадзора тоже ЦОД…
Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.
Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.
В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.
Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.
