Инструкция по заполнению уведомления по обработке персональных данных

Источники: Федеральный закон от 14.07.2022 N 266-ФЗ, Письмо Роскомнадзора от 19.08.2022 N 08-75348

Информация для: всех организаций и ИП

С 01.09.2022 большинство компаний и ИП обязаны уведомлять Роскомнадзор о начале обработки персональных данных. До выполнения этой обязанности нельзя будет работать с личной информацией людей: заключать договоры с сотрудниками, оформлять пропуска посетителям, использовать персданные клиентов и т. д.

Содержание

  • Уведомление в Роскомнадзор об обработке персональных данных
  • Как уведомить Роскомнадзор с 1 сентября 2022
  • Образец уведомления, как заполнить
  • Как отправить Уведомление в Роскомнадзор

Уведомление в Роскомнадзор об обработке персональных данных

Форма уведомления содержится Приложении 1 к Методическим рекомендациям (Приказ Роскомнадзора от 30.05.2017 N 94). Для каждой цели обработки в нем указываются:

  • субъекты, данные которых обрабатываются;
  • категории персданных;
  • правовое основание обработки;
  • перечень действий с персданными.
  1. Если вы ранее оповещали РКН о намерении обрабатывать персданные, убедитесь, что вас включили в реестр операторов.
  2. Если вы не нашли себя в реестре, заполните уведомление на сайте Роскомнадзора.

Форму удобно заполнить здесь >>

Подать Уведомление можно и после 01.09.2022. Об этом Роскомнадзор сообщил на своем сайте.

В письме Управления Роскомнадзора по Республике Татарстан от 24.08.2022 N 12413-04/16 даны пояснения по заполнению Уведомления в т.ч. по дате представления и дате начала обработки персданных — это разные даты.

Образец уведомления, как заполнить

Электронного формата нет, поэтому по ТКС в т.ч. через 1С-Отченость не отправить.

Но можно с помощью ЭЦП это сделать или через Госуслуги, как показано ниже.

Автоматизацию в 1С можно отслеживать здесь.

Далее:

Если выбрали через ЕСИА, то далее так:

Примерный образец заполнения ниже. Можно менять, дополнять по своей ситуации. Если что-то будет недозаполнено, то при отправке всплывет сообщение, и проблемное поле подсветится красным цветом.

Текст для заполнения:

– Трудовым кодексом РФ, Гражданским кодексом РФ, Федеральным законом № 152-ФЗ от 27.07.2006.

– ведение кадрового и бухгалтерского учета, оформления трудовых и гражданско-правовых отношений, обработки персональных данных в соответствии с трудовым и гражданским законодательством

Текст для заполнения:

– назначение лица, ответственного за обработку и хранение персональных данных, которым является …, …, тел. +7 …, …, …;

– разработка и утверждение локальных нормативных актов, регламентирующих работу с персональными данными (Положение о работе с персональными данными, Политика обработки персональных данных и др.);

– осуществление внутреннего контроля и аудита соответствия обработки персональных данных законодательству РФ;

– оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;

– ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями к их защите, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

– применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных;

– применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

– оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

– учет машинных носителей персональных данных;

– обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

– установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;

– контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем и другие меры в соответствии с законодательством.

– реализация разрешительной системы допуска пользователей, регистрация действий пользователей;

– учет и хранение съемных носителей информации;

– использование средств защиты информации, использование защищенных каналов связи;

– организация физической защиты помещений.

Текст для заполнения:

сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (распространения, предоставления, доступа), извлечения, использования, обезличивания, блокирования,  удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники, смешанной обработки персональных данных, информация передается с использованием сети связи общего пользования (Интернет)

Текст для заполнения:

– профессия, гражданство, должность, изображение (фотография), контакты (номера телефонов, электронной почты), ИНН, данные паспорта, военного билета, медицинского полиса, СНИЛС, сведения о близких родственниках работников

– работникам (субъектам), состоящим в трудовых отношениях с … (Оператором), исполнителям по гражданско-правовым договорам, соискателям, близким родственникам работников

Как отправить Уведомление в Роскомнадзор

Уведомление передайте в РКН любым из способов:

  • отправьте письмом в адрес территориального отделения Роскомнадзора по месту регистрации компании или ИП (или привезите лично);
  • в электронном виде через сайт РКН, используя УКЭП;
  • через ЛК на портале Госуслуг с использованием средств аутентификации ЕСИА.

Кстати, Роскомнадзор планирует поменять форму уведомления и уже разработал три новых бланка:

  • о намерении осуществлять обработку персональных данных;
  • о внесении изменений в ранее представленные сведения;
  • о прекращении обработки персональных данных.

Проект приказа об утверждении этих форм опубликован на федеральном портале НПА (ID проекта 02/08/08-22/00130665).

См. также:

  • Уведомление в Роскомнадзор с 1 сентября 2022 — порядок и сроки
  • Как контролировать доступ к персональным данным в 1С?
  • Электронный кадровый документооборот и порядок обработки персональных данных. Законодательный обзор

Подписывайтесь на наши YouTube и Telegram чтобы не пропустить
важные изменения 1С и законодательства

Помогла статья?

Получите еще секретный бонус и полный доступ к справочной системе БухЭксперт8 на 14 дней бесплатно

Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru/operators-registry/notification/form/).

В первых пунктах необходимо выбрать территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем, тип оператора. Необходимо ввести полное и сокращенное наименование оператора в соответствии с учредительными документами.

Сведения об операторе

Рисунок 1 — Сведения об операторе

Далее указываются фактический и юридический адреса организации. Заполняется регион (или регионы), в которых организация осуществляет свою деятельность. Заполняются реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.

Реквизиты организации

Рисунок 2 — Реквизиты организации

В графе Правовое основание обработки персональных данных (рисунок 3) необходимо указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПД. Например, можно начать с 152-ФЗ и ТК РФ, продолжить законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и закончить перечень уставом предприятия.

Графа правовое основание обработки персональных данных

Рисунок 3 — Графа правовое основание обработки персональных данных

Графа Цель обработки персональных (рисунок 4) данных для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг (перечень услуг).

Графа цель обработки персональных

Рисунок 4 — Цель обработки персональных

В разделе Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» берутся положения указанных статей закона и подтверждается что все выполнено.

Описание мер, предусмотренных статьями 18 и 19 Федерального закона

Рисунок 5 — Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона

В разделе Сведения об обеспечении безопасности персональных данных (рисунок 6) необходимо указать перечень средств защиты информации, применяемых в Информационная система персональных данных (можно перечислить все фактически используемые СЗИ). Дата начала обработки ПД обычно совпадает с датой основания компании (регистрации). В графе Условие окончания обработки ПД необходимо выбрать из списка подходящее значение и в качестве условия указывается Прекращение деятельности организации.

Сведения об обеспечении безопасности персональных данных

Рисунок 6 — Сведения об обеспечении безопасности персональных данных

В разделе Категории персональных данных необходимо отметить обрабатываемые категории, а потом в поле Другие категории персональных данных, не указанные в данном перечне указываются те ПД, которых нет в списке.

Категории персональных данных

Рисунок 7 — Категории персональных данных

В разделе Категории субъектов, персональные данные которых обрабатываются (рисунок 8) необходимо указать перечень категорий лиц, чьи данные хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Необходимо обратить внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.

В поле Перечень действий с персональными данными можно процитировать определение обработки ПД из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Действия, которые не актуальны для организации (например, обезличивание) необходимо убрать из этого списка.

Далее указывается способ обработки ПД, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».

Далее необходимо указать передаются ли ПД за границу. Если нет, то декларируется отсутствие трансграничной передачи. Если да, необходимо указать все страны, в которые передаются данные.

Использование шифровальных средств, если не используются, то пункт пропускается. Если используются, то необходимо написать наименования средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Если используются разные СКЗИ разных классов, то форма позволяет указать все необходимые сведения.

Раздел категории субъектов

Рисунок 8 — Раздел категории субъектов

В разделе Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ (рисунок 9) необходимо выбрать страну, в которой располагается «ЦОД» и указываем его адрес. Дальше указывается является ли «ЦОД» собственностью организации или нет и если нет, то указываются данные владельца площадки. Если в организации несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно.

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ

Рисунок 9 — Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ

Далее заполняются данные физического лица, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны в реестре операторов ПД.

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнившее уведомление. Это может быть не ответственный, а совсем другой человек. Но, как видно, поля эти не обязательные, поэтому, если исполнителя не указывать, то им автоматически становится ответственный.

Данные ответственного за организацию обработки ПД

Рисунок 10 — Данные ответственного за организацию обработки ПД

Затем проставляются галочки и нажимается кнопка Отправить электронное уведомление и подготовить форму к распечатке. Далее форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить почтой в свое управление Роскомнадзора. Через некоторое время, данные внесут в реестр.

Завершение процедуры оформления уведомления РКН

Рисунок 11 — Завершение процедуры оформления уведомления РКН

Руководство по заполнению уведомления оператора персональных данных

Время на прочтение
8 мин

Количество просмотров 112K

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.

Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.

Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей.

С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.

Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы.

В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия.

Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Приведем один пример, как делать не нужно.

Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны.

Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя.

Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных».

Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]».

Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18.1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда?

Пример заполнения поля «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»

Назначено лицо, ответственное за организацию обработки персональных данных. Утверждены документы, определяющие политику организации в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства. К таким документам в частности относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн «Бухгалтерия и кадры»; перечень персональных данных, подлежащих защите; перечень информационных систем персональных данных; положение о разграничении доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение об обработке и защите персональных данных; политика в отношении обработки персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении. Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных. Для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства. На сайте www.example.ru опубликована политика в отношении обработки персональных данных. Для информационной системы персональных данных разработано техническое задание на создание системы защиты информации и эскизный проект системы защиты информации, предусматривающий выполнение определенных законодательством мер для информационной системы третьего уровня защищенности, а также мер, направленных на нейтрализацию угроз, определенных как актуальные в модели угроз безопасности. Эскизный проект полностью реализован, что говорит о выполнении определенных законодательством мер и о нейтрализации актуальных угроз безопасности в информационной системе персональных данных. Проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных. Учет машинных носителей производится в соответствующем журнале. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности. Правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации. Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, ознокамливаются с документами по защите персональных данных под роспись.

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ.

Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации).
В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации».

В разделе «Категории персональных данных» сначала отмечаем чекбоксами обрабатываемые категории, а потом в поле «Другие категории персональных данных, не указанные в данном перечне» указываем те ПДн, которых в списке нет, причем лучше это сделать раздельно для различных категорий субъектов, например: «Другие категории ПДн работников: [перечень ПДн работников]. Другие категории ПДн клиентов: [перечень ПДн клиентов]».

В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.

В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж.

Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».

Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные.

И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения.

Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе. Да, не удивляйтесь, локальная база 1С-Бухгалтерии, развернутая на компьютере главбуха это в понимании Роскомнадзора тоже ЦОД…

Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.

Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.

Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.

После публикации письма Роскомнадзора от 16 сентября 2022 г. № 08 – 84259 некоторые наши читатели и подписчики были встревожены новыми обязанностями инициатора общего собрания, как лица, которое обрабатывает персональные данные собственников.

О чем речь

ФИО и адрес собственников – это персональные данные. При проведении собрания и оформлении протокола осуществляется обработка этих данных.

Лица, которые обрабатывают персональные данные, называются операторами.
Чаще всего роль оператора играют инициаторы собрания, но также это могут быть председатель, секретарь, члены счетной комиссии.

У оператора есть обязанности, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Например, он должен уведомлять РКН об обработке персональных данных и прекращении этой обработки (статья 22).

Раньше закон предусматривал множество исключений из этой обязанности, поэтому инициатор собрания мог никого ни о чем не уведомлять.

Однако с 1 сентября 2022 года перечень исключений сильно сократился. Теперь в большинстве случаев операторы должны направить уведомления в РКН.

Одно из оставшихся исключений – обработка данных без использования средств автоматизации. Однако инициатор работает как с бумагами, так и с файлами на компьютере. Последнее считается автоматизированной обработкой персональных данных.

Теоретически возможен сценарий, когда инициатор получает полнейший реестр собственников от управляющей компании, на компьютере печатает неименные бюллетени, а также остальные части и приложения протокола без персональных данных, а потом все они заполняются ручкой, при этом подсчет голосов происходит тоже на бумаге, и дальше инициатор игнорирует свою обязанность по загрузке протокола в ГИС ЖКХ. В таком случае обработку можно было бы считать неавтоматизированной и не уведомлять РКН. Но такой вариант маловероятен, поэтому разбираемся с уведомлениями дальше.

Дополнительные разъяснения Роскомнадзора

Мы направили в РКН два обращения с просьбой о дополнительном разъяснении обязанности инициатора общего собрания собственников уведомлять Роскомнадзор об обработке персональных данных.

Вот что написало ведомство в своих двух ответах от 07.11.2022 № 08 – 98470 и от 10.11.2022 № 08 – 99909.

  • Обязанность по направлению уведомления об обработке персональных данных возлагается, в том числе на физическое лицо – инициатора общего собрания, независимо от формы проведения общего собрания (спрашивали про собрания в ГИС ЖКХ).
  • Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Таким образом, обработка персональных данных в системе программ «Excel» и «Word» признаётся осуществляемой с использованием средств автоматизации (спрашивали про эти программы).
  • Поручение оператора на обработку данных другому лицу не отменяет возложенную на оператора обязанность по уведомлению об обработке (спрашивали про подготовку документов с помощью сторонних юристов или сервисов).
  • В случае прекращения обработки персональных данных оператору необходимо направить уведомление о прекращении обработки персональных данных (спрашивали про прекращение обработки).

Итак, РКН ничего обнадеживающего не написал, поэтому придется направлять два уведомления – о начале обработки и ее прекращении.

Отправка уведомлений об обработке персональных данных

Формы уведомлений: сейчас действуют утвержденные формы уведомлений (приказ РКН от 28.10.2022 № 180). 

Когда: до начала обработки данных.

Куда: уведомление направляется в территориальный орган Роскомнадзора (то есть в Управление РКН по вашему региону или федеральному округу).

Как: уведомление можно направить бумажным письмом или электронно, используя авторизацию через ЕСИА (проще всего). Также возможен вариант с электронной подписью.
Для отправки нужно зайти на портал персональных данных, выбрать удобный способ и перейти к заполнению форм.
Формы для бумажной и электронной отправки практически идентичны, поэтому дальше приводим универсальную инструкцию.

Как инициатору собрания заполнить уведомление об обработке персональных данных (инструкция)

Ниже приводим образец заполнения уведомления: можно копировать и вставлять в форму применительно к своему собранию. 

1. Выбрать регион регистрации, а также заполнить свои данные, включая адрес и электронную почту).

2. После своих данных надо будет выбрать регион, на территории которого инициатор будет обрабатывать данные.

3. Заполнить раздел «Цели обработки персональных данных».

Цель обработки персональных данных: обеспечение соблюдения жилищного законодательства. 

Категории персональных данных: отметить галочки у «Фамилия, имя, отчество», «адрес регистрации», «адрес места жительства» и «иные». В поле «иные» указать «информация о праве собственности на помещение (номер записи о регистрации права собственности с указанием долей собственности, дата регистрации права собственности, адрес помещения)». 

Категории субъектов, персональные данные которых обрабатываются: «иные категории субъектов персональных данных, персональные данные которых обрабатываются».
В поле вставить: физические лица – собственники помещений в многоквартирном доме по адресу…

Правовое основание обработки персональных данных: 
«обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей».

Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление,
уничтожение, распространение.

Расставить точки в способах обработки:

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:

Организационные меры: разграничение прав доступа к базе персональных данных, информация хранится и обрабатывается в строго контролируемом помещении, расположенном в пределах границ контролируемой зоны. Технические меры: установлены системы защиты информации – антивирус. Разграничение прав доступа к информационной системе на уровне операционной системы и парольной защиты файлов.

Сведения обеспечения безопасности:
В соответствии с постановлением Правительства от 01.11.2012 №1119 для обеспечения 4‑го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; перечень лиц, имеющих доступ к персональным данным, обрабатываемых в информационной системе ограничен одним лицом, являющимся инициатором общего собрания собственников.
В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, определено место хранения персональных данных, а перечень лиц, осуществляющих обработку персональных данных ограничены решением общего собрания об избрании председателя, секретаря и членов счётной комиссии.

Использование шифровальных (криптографических) средств: не используются. 

Ответственный за организацию обработки персональных данных:
здесь снова указать данные об инициаторе общего собрания. 

Дата начала и окончания обработки персональных данных – заполняется применительно к вашему собранию. 

Дата окончания – дата передачи протокола в УК или ГЖИ либо дата составления акта об уничтожении персональных данных, если он будет составлен позже

4. Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ.

ЦОД – это компьютер, на котором инициатор хранит файлы с данными. Поэтому здесь заполняется просто адрес нахождения компьютера.

Собственный ЦОД – отметка «да».

5. Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах

Не заполняется.

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:
В соответствии с постановлением Правительства от 01.11.2012 №1119 для обеспечения 4‑го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; перечень лиц, имеющих доступ к персональным данным, обрабатываемых в информационной системе ограничен одним лицом, являющимся инициатором общего собрания собственников.
В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, определено место хранения персональных данных, а перечень лиц, осуществляющих обработку персональных данных ограничены решением общего собрания об избрании председателя, секретаря и членов счётной комиссии.

6. Заполнить данные об исполнителе (себе).

7. Отправить уведомление.

Для этого поставить галочки об ознакомлении с порядком подачи уведомления в электронном виде и согласием, и нажать на кнопку «отправить».

Если был выбран вариант заполнения без авторизации через ЕСИА, но с направлением бумаги почтой, то продублировать уведомление почтой. 

Отправка уведомлений о прекращении обработки персональных данных

Когда собрание проведено, а протокол передан в управляющую организацию (ГЖИ), то инициатор должен уведомить РКН о прекращении обработки персональных данных.
На это дается десять рабочих дней с даты прекращения обработки персональных данных.

Форма такого уведомления проще, но нужно приложить документы, подтверждающие прекращение обработки.
И еще из минусов: на сайте нашлась только та форма, которую нужно заполнить электронно и продублировать бумагой.

Вот сама форма.
Начало заполняется несложно – куда направляется (где находитесь) и от кого.
Дальше нужно найти и указать номер записи в реестре уведомлений.
Номер записи ищется в неудобном реестре уведомлений. В поле «организация» можно указать свою фамилию (фамилия и имя – уже не находит). 

Номер копируется в специальное поле. Осталось поставить отметку – «основание прекращения» и прикрепить подтверждающие документы:

Приложениями будут документы о передаче протокола, например, акт о передаче протокола в УК или сопроводительное письмо в ГЖИ, а также акт об уничтожении информационной системы персональных данных на компьютере.

В акте об уничтожении данных в комиссию, помимо инициатора собрания, можно включить членов счетной комиссии, председателя или секретаря собрания.

После отправки уведомления в электронном виде надо продублировать то же самое на бумаге. 

РКН рассматривает уведомления (и об обработке, и о прекращении) в течение 30 дней с даты поступления уведомления (обычно быстрее) и включает / исключает соответствующие сведения из реестра уведомлений.

Стоит ли инициатору собрания направлять уведомления в Роскомнадзор

Инициатор собрания (или другое лицо, которое участвует в обработке персональных данных) сам решает, соблюдать ли ему требования закона о персональных данных.

По мнению автора материала, уведомить РКН стоит, особенно если в доме есть оппозиция или соседи, чрезмерно озабоченные защитой своих персональных данных. 

А вообще, ответственность за неуведомление РКН достаточно смешная.
Она предусмотрена статьей 19.7 КоАП РФ – «Непредставление сведений (информации)». Наказание для граждан – предупреждение или административный штраф от 100 до 300 рублей.

Чтобы максимально упростить эту бюрократическую процедуру для тех, кто на нее решится, и был подготовлен этот материал.

Понравилась статья? Поделить с друзьями:
  • Игроленд конструктор с шестеренками 84 детали инструкция по сборке
  • Orzax ocean vitamin d3 инструкция на русском языке
  • Инструкция к мультиварке centek ct 1486
  • Как сделать конус из бумаги своими руками пошаговая инструкция
  • Бад мужская сила инструкция по применению