Заявление в роскомнадзор оператор персональных данных

Содержание

Как стать оператором персональных данных в реестре Роскомнадзора

Заявление в роскомнадзор оператор персональных данных

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail.

Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.

2006 № 152-ФЗ:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД.

Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

  • разъяснять субъекту ПД, какие данные и для чего собирают, а также получать его предварительное согласие на обработку личной информации. Такое согласие запрашивают в письменной форме: человеку предлагают подписать специальную бумагу, где уточняется, что сбор информации производится по правилам закона № 152-ФЗ и она будет соответствующим образом храниться, использоваться, а позже — уничтожаться. Хотя чаще всего согласие «прячется» в самом конце подписываемого соглашения и выглядит как галочка, рядом с которой надо поставить свою подпись, существует и специальная форма такого согласия. Вот бланк, которым предлагает пользоваться Роскомнадзор (скачать форму можно в конце статьи):
  • разработать и публично представлять политику в отношении обработки ПД. Обнародовать такой документ можно любым удобным для компании способом, но чаще всего это делается с помощью интернета — на странице организации просто публикуют политику без сокращений;
  • обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения. Как правило, речь идет о технических и организационных мерах — установление паролей и специальных программ, гарантирующих сохранность информации, оперативное устранение последствий хакерских атак, иные мероприятия по обеспечению безопасности;
  • уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели. Согласно статье 21 закона N152-ФЗ, уничтожается информация только после обращения лица, чьи данные обрабатывались с нарушениями, либо его представителя. Запрос обязательно подается в письменной форме, и отреагировать на него оператор должен в сроки, прописанные в законе. Рекомендованный образец такого обращения доступен на сайте Роскомнадзора;
  • блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя). Это не значит, что оператор полностью удаляет имеющуюся информацию, но он не может ею пользоваться.

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

  • работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;
  • компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
  • общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
  • организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
  • любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;
  • системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
  • граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687;
  • организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346. Бесплатно скачать нужный документ можно и в конце этой статьи.

Роскомнадзор рекомендует подавать уведомление на бланке организации, на бумаге либо в электронном варианте. Бумажный вариант надо будет заполнить, подписать и отправить в территориальный орган Роскомнадзора (по почте или отнести лично). Электронный документ можно оформить прямо на сайте ведомства — в разделе «Электронные формы заявлений».

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

  • полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
  • цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
  • категории ПД, которые будут обрабатываться;
  • субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
  • основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
  • описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
  • сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
  • информация о шифровальных (криптографических) средствах;
  • дата начала, а также условия и сроки прекращения обработки ПД;
  • сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
  • сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119.

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок.

Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления.

Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13.

11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных.

В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Форма заявления об исключении из реестра

Подготовить документы по персданным для сайта онлайн

Источник: https://ppt.ru/art/personal-data/reestr

Как пройти проверку в Роскомнадзоре и стать оператором персональных данных?

Заявление в роскомнадзор оператор персональных данных

Если Вы получили уведомление Роскомнадзора о проведении проверки в Вашей компании — не спешите паниковать. Мы участвовали уже в нескольких и знаем весь процесс изнутри.

Рассказываем, зачем становится оператором персональных данных, как избежать штрафов и пройти всю процедуру максимально легко.

Персональные данные — это любая информация, с помощью которой можно идентифицировать личность: например, ФИО, дата рождения, образование, доходы или даже семейное положение.

Оператор — человек, компания или государственный орган, который собирает, хранит, обрабатывает и совершает иные действия с персональными данными.

Любой контакт с человеком, в том числе в интернете, позволяющий однозначно определить кто это — и вот вы уже владелец персональных данных в лице оператора.

И кстати, один из самых больших штрафов предусмотрен как раз за сбор личной информации гражданина без его согласия.

С терминологией определились. Теперь поговорим подробнее, как официально стать оператором персональных данных:

1 этап: предоставить перечень запрашиваемых документов

Они должны быть заверены подписью руководителя и печатью организации. Также, необходимо приложить сопроводительное письмо с указанием списка предоставляемых документов и, по возможности, их сканированные образцы.

Подготовку лучше поручить специалисту с юридическим образованием или компании, которая занимается электронной отчетностью и документооборотом. Если решили формировать самостоятельно — будьте внимательны, можно получить множество предписаний.

Помимо основного пакета компании, нужно предоставить еще несколько дополнительных документов:

  1. Приказ о назначении комиссии;
  2. Приказ о криптографической защите;
  3. Приказ о контролируемой зоне;
  4. Приказ о проведении работ по защите ПДн;
  5. Приказ о допуске сотрудников к ПДн;
  6. Приказ о назначении ответственных;
  7. Приказ об утверждении форм документов;
  8. Приказ об учете сейфов, металлических шкафов и ключей от них;
  9. Должностные инструкции;
  10. Журнал прохождения инструктажей.

2 этап: сформировать пакет документов по работе с личной информацией

Сотрудники, работающие с персональными данными, должны пройти инструктаж. Им нужно знать правила обработки и хранения личных данных клиентов. После чего, поставить подпись в журнале прохождения инструктажей.

Не забудьте про политику конфиденциальности — она должна быть отражена на сайте и всех ресурсах, где собираются персональные данные. Если у вас есть формы, где пользователи оставляют свои данные, под ними обязательно нужно поставить фразу «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то сделайте чекбокс и с ним.

И еще момент, политика конфиденциальности должна быть зарегистрирована приказом и зафиксирована в документах.

3 этап: подать заявление, чтобы официально стать оператором персональных данных

Для этого, на сайте Роскомнадзора www.rkn.gov.ru оформите уведомление об обработке персональных данных.

Небольшой лайфхак: всю заполненную информацию скопируйте себе в отдельный документ, т.к. сайт может подвисать, и Вам придется заполнять все сначала.

Форма лучше всего работает на компьютерах с операционной системой Windows и заполнять лучше всего в браузере Internet Explorer. Там форма работает быстрее и реже выдаёт ошибки.

ВАЖНЫЙ МОМЕНТ: после заполнения документа и выводе на печать — не закрывайте окно формы! Там прописывается номер уведомления и ключ. Запишите их себе — при печати может произойти ошибка и придется начинать все сначала.

4 этап: посетить приемную Роскомнадзора и зарегистрировать уведомление лично

Подготовьте уведомление в двух экземплярах: одно Вы оставите там, одно, с подписью секретаря или инспектора, заберете себе.

Обязательно должно быть отражено: входящий №, дата, подпись и расшифровка, кто принял уведомление.

Проверка занимает от 1 до 7 дней, после чего, Вам укажут на ошибки, выпишут предписания и дадут время на их устранение.

Но штрафа удастся избежать, т.к. основной перечень необходимых документов будет у Вас на руках.

Отнеситесь к этому серьезно — штрафы составляют несколько сотен тысяч рублей.

Если остались вопросы, или понадобится помощь в прохождении проверки — команда Aqua Delivery готова Вам в этом помочь. Напишите нам в личные сообщения или оставляйте заявку на сайте aqua-delivery.ru.

Источник: https://zen.yandex.ru/media/id/5e3afa12264b2e658df216a7/kak-proiti-proverku-v-roskomnadzore-i-stat-operatorom-personalnyh-dannyh-5e3c26f2d86469218fd6530a

Регистрация в реестре Роскомнадзора: когда требуется и как ее провести? | Двитекс

Заявление в роскомнадзор оператор персональных данных

1.ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика конфиденциальности в отношении обработки персональных данных пользователей сайта https://www.dvitex.

ru/ (далее – Политика конфиденциальности) разработана и применяется в ООО Юридическая фирма «Двитекс», ОГРН 1107746800490, г. Москва, пер. Голутвинский 1-й, дом 3-5, оф 4-1 (далее – Оператор) в соответствии с пп. 2 ч. 1 ст. 18.

1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – Закон о персональных данных).

1.2.

Настоящая Политика конфиденциальности определяет политику Оператора в отношении обработки персональных данных, принятых на обработку, порядок и условия осуществления обработки персональных данных физических лиц, передавших свои персональные данные для обработки Оператору (далее – субъекты персональных данных) с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

1.3. Политика конфиденциальности разработана с целью обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также с целью установления ответственности должностных лиц Оператора, имеющих доступ к персональным данным субъектов персональных данных, за невыполнение требований и норм, регулирующих обработку персональных данных.

1.4. Персональные данные Субъекта персональных данных – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

1.5. Оператор осуществляет обработку следующих персональных данных Пользователей:

  • Фамилия, Имя, Отчество;
  • Адрес электронной почты;
  • Номер телефона;
  • иные данные, необходимые Оператору при оказании услуг Пользователям, для обеспечения функционирования Сайта.

1.6. Оператор осуществляет обработку персональных данных Субъектов персональных данных в следующих целях:

  • обеспечение возможности обратной связи от Специалистов Оператора по запросам Пользователей;
  • обеспечение возможности онлайн оплаты заказанных на Сайте услуг;
  • обеспечения исполнения обязательств Оператора перед Пользователями;
  • в целях исследования рынка;
  • информирования Субъекта персональных данных об акциях, конкурсах, специальных предложениях, о новых услугах, скидок, рекламных материалов и других сервисов, а также получения коммерческой или рекламной информации и бесплатной продукции, участия в выставках или мероприятиях, выполнения маркетинговых исследований и уведомления обо всех специальных инициативах для клиентов;
  • статистических целях;
  • в иных целях, если соответствующие действия Оператора не противоречат действующему законодательству, деятельности Оператора, и на проведение указанной обработки получено согласие Субъекта персональных данных.

1.7. Оператор осуществляет обработку персональных данных субъектов персональных данных посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. При обработке персональных данных Оператор руководствуется следующими принципами:

  • законности и справедливости;
  • конфиденциальности;
  • своевременности и достоверности получения согласия субъекта персональных данных на обработку персональных данных;
  • обработки только персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;
  • уничтожения либо обезличивания персональных данных по достижению целей, их обработки или в случае утраты необходимости в достижении этих целей.

2.2. Обработка персональных данных Оператором осуществляется с соблюдением принципов и правил, предусмотренных:

  • Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных»;
  • Настоящей Политикой конфиденциальности;
  • Всеобщей Декларацией прав человека 1948 года;
  • Международного пакта о гражданских и политических правах 1966 года;
  • Европейской конвенции о защите прав человека и основных свобод 1950 года;
  • Положениями Конвенции Содружества Независимых Государств о правах и основных свободах человека (Минск, 1995 год), ратифицированной РФ 11.08.1998 года;

Источник: https://www.dvitex.ru/poleznoe/biznes/intellektualnaya-sobstvennost/registratsiya-v-reestre-roskomnadzora-kogda-trebuetsya-i-kak-ee-provesti/

Руководство по заполнению уведомления оператора персональных данных

Заявление в роскомнадзор оператор персональных данных

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля. Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.
Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей. С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них. Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы. В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия. Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Приведем один пример, как делать не нужно. Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны. Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя. Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных». Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]». Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18.1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда? Пример заполнения поля «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»

Назначено лицо, ответственное за организацию обработки персональных данных. Утверждены документы, определяющие политику организации в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства.

К таким документам в частности относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн «Бухгалтерия и кадры»; перечень персональных данных, подлежащих защите; перечень информационных систем персональных данных; положение о разграничении доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение об обработке и защите персональных данных; политика в отношении обработки персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении. Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных. Для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства. На сайте www.example.ru опубликована политика в отношении обработки персональных данных. Для информационной системы персональных данных разработано техническое задание на создание системы защиты информации и эскизный проект системы защиты информации, предусматривающий выполнение определенных законодательством мер для информационной системы третьего уровня защищенности, а также мер, направленных на нейтрализацию угроз, определенных как актуальные в модели угроз безопасности. Эскизный проект полностью реализован, что говорит о выполнении определенных законодательством мер и о нейтрализации актуальных угроз безопасности в информационной системе персональных данных. Проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных. Учет машинных носителей производится в соответствующем журнале. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности. Правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации. Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, ознокамливаются с документами по защите персональных данных под роспись.

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ. Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации). В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации». В разделе «Категории персональных данных» сначала отмечаем чекбоксами обрабатываемые категории, а потом в поле «Другие категории персональных данных, не указанные в данном перечне» указываем те ПДн, которых в списке нет, причем лучше это сделать раздельно для различных категорий субъектов, например: «Другие категории ПДн работников: [перечень ПДн работников]. Другие категории ПДн клиентов: [перечень ПДн клиентов]». В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения. В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж. Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет». Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные. И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения. Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе. Да, не удивляйтесь, локальная база 1С-Бухгалтерии, развернутая на компьютере главбуха это в понимании Роскомнадзора тоже ЦОД… Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.

Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.

Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.

Источник: https://habr.com/ru/company/ic-dv/blog/454690/

Кому не нужно уведомлять Роскомнадзор об обработке персональных данных

Заявление в роскомнадзор оператор персональных данных
По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно.

 

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ. 

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

  • При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.

    2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации.

    Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.

  • При сборе личных сведений сотрудников в рамках трудовых отношений.

    Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст.

    22 Федерального закона от 27.07.2006 № 152-ФЗ).

  • При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

    Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.

  • При сборе сведений общественным объединением или религиозной организацией.

    Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

  • При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

  • При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье “Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017”.

Источник: https://buh.ru/articles/documents/59315/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.