Руководство по заполнению уведомления оператора персональных данных

Руководство по заполнению уведомления оператора персональных данных

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.

Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.

Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей.

С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.

Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы.

В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия.

Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Приведем один пример, как делать не нужно.

Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны.

Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя.

Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных».

Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]».

Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18.1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда?

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ.

Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации).
В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации».

В разделе «Категории персональных данных» сначала отмечаем чекбоксами обрабатываемые категории, а потом в поле «Другие категории персональных данных, не указанные в данном перечне» указываем те ПДн, которых в списке нет, причем лучше это сделать раздельно для различных категорий субъектов, например: «Другие категории ПДн работников: [перечень ПДн работников]. Другие категории ПДн клиентов: [перечень ПДн клиентов]».

В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.

В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж.

Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».

Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные.

И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения.

Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе. Да, не удивляйтесь, локальная база 1С-Бухгалтерии, развернутая на компьютере главбуха это в понимании Роскомнадзора тоже ЦОД…

Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.

Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.

Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.

Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru/operators-registry/notification/form/).

В первых пунктах необходимо выбрать территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем, тип оператора. Необходимо ввести полное и сокращенное наименование оператора в соответствии с учредительными документами.

Далее указываются фактический и юридический адреса организации. Заполняется регион (или регионы), в которых организация осуществляет свою деятельность. Заполняются реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.

В графе Правовое основание обработки персональных данных (рисунок 3) необходимо указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПД. Например, можно начать с 152-ФЗ и ТК РФ, продолжить законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и закончить перечень уставом предприятия.

Графа Цель обработки персональных (рисунок 4) данных для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг (перечень услуг).

В разделе Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» берутся положения указанных статей закона и подтверждается что все выполнено.

В разделе Сведения об обеспечении безопасности персональных данных (рисунок 6) необходимо указать перечень средств защиты информации, применяемых в Информационная система персональных данных (можно перечислить все фактически используемые СЗИ). Дата начала обработки ПД обычно совпадает с датой основания компании (регистрации). В графе Условие окончания обработки ПД необходимо выбрать из списка подходящее значение и в качестве условия указывается Прекращение деятельности организации.

В разделе Категории персональных данных необходимо отметить обрабатываемые категории, а потом в поле Другие категории персональных данных, не указанные в данном перечне указываются те ПД, которых нет в списке.

В разделе Категории субъектов, персональные данные которых обрабатываются (рисунок необходимо указать перечень категорий лиц, чьи данные хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Необходимо обратить внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.

В поле Перечень действий с персональными данными можно процитировать определение обработки ПД из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Действия, которые не актуальны для организации (например, обезличивание) необходимо убрать из этого списка.

Далее указывается способ обработки ПД, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».

Далее необходимо указать передаются ли ПД за границу. Если нет, то декларируется отсутствие трансграничной передачи. Если да, необходимо указать все страны, в которые передаются данные.

Использование шифровальных средств, если не используются, то пункт пропускается. Если используются, то необходимо написать наименования средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Если используются разные СКЗИ разных классов, то форма позволяет указать все необходимые сведения.

В разделе Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ (рисунок 9) необходимо выбрать страну, в которой располагается «ЦОД» и указываем его адрес. Дальше указывается является ли «ЦОД» собственностью организации или нет и если нет, то указываются данные владельца площадки. Если в организации несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно.

Далее заполняются данные физического лица, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны в реестре операторов ПД.

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнившее уведомление. Это может быть не ответственный, а совсем другой человек. Но, как видно, поля эти не обязательные, поэтому, если исполнителя не указывать, то им автоматически становится ответственный.

Затем проставляются галочки и нажимается кнопка Отправить электронное уведомление и подготовить форму к распечатке. Далее форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить почтой в свое управление Роскомнадзора. Через некоторое время, данные внесут в реестр.

Источники: Федеральный закон от 14.07.2022 N 266-ФЗ, Письмо Роскомнадзора от 19.08.2022 N 08-75348

Информация для: всех организаций и ИП

С 01.09.2022 большинство компаний и ИП обязаны уведомлять Роскомнадзор о начале обработки персональных данных. До выполнения этой обязанности нельзя будет работать с личной информацией людей: заключать договоры с сотрудниками, оформлять пропуска посетителям, использовать персданные клиентов и т. д.

Уведомление в Роскомнадзор об обработке персональных данных

Форма уведомления содержится Приложении 1 к Методическим рекомендациям (Приказ Роскомнадзора от 30.05.2017 N 94). Для каждой цели обработки в нем указываются:

• субъекты, данные которых обрабатываются;
• категории персданных;
• правовое основание обработки;
• перечень действий с персданными.

1. Если вы ранее оповещали РКН о намерении обрабатывать персданные, убедитесь, что вас включили в реестр операторов.
2. Если вы не нашли себя в реестре, заполните уведомление на сайте Роскомнадзора.

Форму удобно заполнить здесь >>

Подать Уведомление можно и после 01.09.2022. Об этом Роскомнадзор сообщил на своем сайте.

В письме Управления Роскомнадзора по Республике Татарстан от 24.08.2022 N 12413-04/16 даны пояснения по заполнению Уведомления в т.ч. по дате представления и дате начала обработки персданных — это разные даты.

Образец уведомления, как заполнить

Электронного формата нет, поэтому по ТКС в т.ч. через 1С-Отченость не отправить.

Но можно с помощью ЭЦП это сделать или через Госуслуги, как показано ниже.

Автоматизацию в 1С можно отслеживать здесь.

Далее:

Если выбрали через ЕСИА, то далее так:

Примерный образец заполнения ниже. Можно менять, дополнять по своей ситуации. Если что-то будет недозаполнено, то при отправке всплывет сообщение, и проблемное поле подсветится красным цветом.

Текст для заполнения:

– Трудовым кодексом РФ, Гражданским кодексом РФ, Федеральным законом № 152-ФЗ от 27.07.2006.

– ведение кадрового и бухгалтерского учета, оформления трудовых и гражданско-правовых отношений, обработки персональных данных в соответствии с трудовым и гражданским законодательством

Текст для заполнения:

– назначение лица, ответственного за обработку и хранение персональных данных, которым является …, …, тел. +7 …, …, …;

– разработка и утверждение локальных нормативных актов, регламентирующих работу с персональными данными (Положение о работе с персональными данными, Политика обработки персональных данных и др.);

– осуществление внутреннего контроля и аудита соответствия обработки персональных данных законодательству РФ;

– оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;

– ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями к их защите, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

– применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных;

– применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

– оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

– учет машинных носителей персональных данных;

– обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

– установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;

– контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем и другие меры в соответствии с законодательством.

– реализация разрешительной системы допуска пользователей, регистрация действий пользователей;

– учет и хранение съемных носителей информации;

– использование средств защиты информации, использование защищенных каналов связи;

– организация физической защиты помещений.

Текст для заполнения:

сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (распространения, предоставления, доступа), извлечения, использования, обезличивания, блокирования,  удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники, смешанной обработки персональных данных, информация передается с использованием сети связи общего пользования (Интернет)

Текст для заполнения:

– профессия, гражданство, должность, изображение (фотография), контакты (номера телефонов, электронной почты), ИНН, данные паспорта, военного билета, медицинского полиса, СНИЛС, сведения о близких родственниках работников

– работникам (субъектам), состоящим в трудовых отношениях с … (Оператором), исполнителям по гражданско-правовым договорам, соискателям, близким родственникам работников

Как отправить Уведомление в Роскомнадзор

Уведомление передайте в РКН любым из способов:

• отправьте письмом в адрес территориального отделения Роскомнадзора по месту регистрации компании или ИП (или привезите лично);
• в электронном виде через сайт РКН, используя УКЭП;
• через ЛК на портале Госуслуг с использованием средств аутентификации ЕСИА.

Кстати, Роскомнадзор планирует поменять форму уведомления и уже разработал три новых бланка:

• о намерении осуществлять обработку персональных данных;
• о внесении изменений в ранее представленные сведения;
• о прекращении обработки персональных данных.

Проект приказа об утверждении этих форм опубликован на федеральном портале НПА (ID проекта 02/08/08-22/00130665).

См. также:

• Уведомление в Роскомнадзор с 1 сентября 2022 — порядок и сроки
• Как контролировать доступ к персональным данным в 1С?
• Электронный кадровый документооборот и порядок обработки персональных данных. Законодательный обзор

Подписывайтесь на наши YouTube и Telegram чтобы не пропустить
важные изменения 1С и законодательства

Помогла статья?

Получите еще секретный бонус и полный доступ к справочной системе БухЭксперт8 на 14 дней бесплатно