0

Разъяснения по вопросам уведомления об обработке персональных данных


В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.
Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.
Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.
Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей.

С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.
Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы.

В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия.

Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Приведем один пример, как делать не нужно.
Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны.

Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя.
Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных».
Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг «.

Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18.1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда?
Пример заполнения поля «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных» Назначено лицо, ответственное за организацию обработки персональных данных. Утверждены документы, определяющие политику организации в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства. К таким документам в частности относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн «Бухгалтерия и кадры»; перечень персональных данных, подлежащих защите; перечень информационных систем персональных данных; положение о разграничении доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение об обработке и защите персональных данных; политика в отношении обработки персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении. Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных. Для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства. На сайте www.example.ru опубликована политика в отношении обработки персональных данных. Для информационной системы персональных данных разработано техническое задание на создание системы защиты информации и эскизный проект системы защиты информации, предусматривающий выполнение определенных законодательством мер для информационной системы третьего уровня защищенности, а также мер, направленных на нейтрализацию угроз, определенных как актуальные в модели угроз безопасности. Эскизный проект полностью реализован, что говорит о выполнении определенных законодательством мер и о нейтрализации актуальных угроз безопасности в информационной системе персональных данных. Проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных. Учет машинных носителей производится в соответствующем журнале. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности. Правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации. Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, ознокамливаются с документами по защите персональных данных под роспись.

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ.

Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации).
В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации».

В разделе «Категории персональных данных» сначала отмечаем чекбоксами обрабатываемые категории, а потом в поле «Другие категории персональных данных, не указанные в данном перечне» указываем те ПДн, которых в списке нет, причем лучше это сделать раздельно для различных категорий субъектов, например: «Другие категории ПДн работников: . Другие категории ПДн клиентов: «.
В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.
В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж.
Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».
Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные.
И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения.
Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе. Да, не удивляйтесь, локальная база 1С-Бухгалтерии, развернутая на компьютере главбуха это в понимании Роскомнадзора тоже ЦОД…

Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.

Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.
В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.
Затем ставим галочки «на все согласен», вводим и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.

Пример заполнения уведомления оператора персональных данных для дома культуры

? Ссылка на форму: 1. Если я являюсь консультантом сетевой компании (МЛМ) и работаю как Индивидуальный предприниматель, по договору с компанией Орифлэйм, без офиса и без наемных сотрудников.

При этом у меня имеется свой сайт в Интернет с виджетом на форму регистрации Моей основной деятельностью является: Регистрация пользователей в компании Орифлэйм которые подали анкету на моем сайте, а далее предоставление им информационных услуг и консультирование по тому как работать в компании или размещать заказы на продукцию Орифлэйм.

При этом я храню все их анкеты посредством CRM сервиса на котором я так же могу из обрабатывать, передавать 3 лицам в рамках CRM системы, удалять, создавать. От Вас нужно дать четкую инструкция с заполненными примерами по каждому пункту формы «для копирования» с моей конкретной ситуацией, чтобы я заполнил форму и её успешно приняли в РКН.

Рекомендации по заполнению формы Уведомления об обработке (о намерении осуществлять обработку) персональных данных (утратили силу на основании приказа Роскомнадзора от 30.05.2017 N 94)

Настоящие Рекомендации разработаны в целях разъяснения порядка заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее — Уведомление).2.

Оформление Уведомления рекомендуется производить на бланке оператора, осуществляющего обработку персональных данных (далее — Оператор), по форме, определенной , утвержденному ), и направлять в территориальный орган Роскомнадзора (далее — ТУ Роскомнадзора) по месту регистрации Оператора в налоговом органе.Электронная форма Уведомления и порядок ее заполнения размещены на «Едином портале

Разъяснения по вопросам уведомления об обработке персональных данных

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Многие юридические лица уже столкнулись с такими запросами.

Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.

Здесь важно учесть, что запрос Роскомнадзора — это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Уведомление об обработке персональных данных

Согласно статье 22 ФЗ «О персональных данных», оператор до начала обработки ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) о своем намерении осуществлять обработку ПДн. За нарушение этого требования придется заплатить административный штраф.

Образец уведомления об обработке персональных данных обычно необходим госорганам, муниципальным учреждениям, а также юридическим и физическим лицам, организующим и выполняющим обработку ПДн. Приказом Роскомнадзора от 30 мая 2017 г. № 94 утвержден образец заполнения уведомления об обработке персональных данных.

Образец заполнения формы уведомления об обработке персональных данных

биометрические персональные данные (сведения, которые характеризируют физиологические особенности человека и на основании которых можно установить его личность).

Примечание(3): Обращаем Ваше внимание на то, что в данном пункте необходимо толькоперечислить категории персональных данных, фактически обрабатываемые Оператором, без указания персональных данных сотрудников и контрагентов. 5. Категории субъектов, персональные данные которых обрабатываются: Физические лица/работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором).

Физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик) (субъекты), состоящие в договорных и иных отношениях с юридическим лицом (оператором) (4)Примечание(4):Необходимо указать категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются.

Пример заполнения Уведомления на сайте для образовательного учреждения

ru/operators-registry/notification/form/ УВЕДОМЛЕНИЕ об обработке (о намерении осуществлять обработку) персональных данных Наименование ТО Роскомнадзора: Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Крым и городу Севастополь Тип оператора: (выбрать из выпадающего меню необходимое) Юридическое лицо Наименование оператора: полное наименование – Муниципальное бюджетное дошкольное образовательное учреждение детский сад №99 «Ромашка» сокращенное наименование – МБДОУ детский сад №99 «Ромашка».

Адрес оператора: адрес местонахождения: 295???, г. Симферополь, ул. Ленина, д. 1; почтовый адрес: 295???, г. Симферополь, ул. Уличная, д. 2.

Как правильно заполнить уведомление в Роскомнадзор о сборе персональных данных ИП

Затрудняюсь в написании следующих пунктов я ИП: 1) Правовое основание обработки персональных данных * 2)Цель обработки персональных данных * 3)Описание мер, предусмотренных статьями 18.1.

и 19 Федерального закона «О персональных данных» 4)Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ 19 Октября 2017, 10:08, вопрос №1785168 Роман Соловьёв, г. Киров 400 стоимость вопросавопрос решён Консультация юриста онлайн Ответ на сайте в течение 15 минут Ответы юристов (4) 10,0 Правовед.ru 2555 ответов 1277 отзывов эксперт Общаться в чате Бесплатная оценка вашей ситуации Юрист, г.

Санкт-Петербург Бесплатная оценка вашей ситуации

Добрый день!Образец от Роскомнадзора. 19 Октября 2017,

Как составить уведомление об обработке персональных данных

Каждый человек является носителем и источником большого количества информации: от имени и даты день рождения до любимого сорта какой кофе.

Всё это можно применить для того, чтобы идентифицировать личность и использовать полученные знания в своих интересах, некоторые из этих сведений подлежат охране и защите. Необходимость законодательно обеспечить защиту личных сведений привела к появлению понятия «обработка персональных данных».

Что это такое и какие меры безопасности предприняты законом далее в статье. статьи За понятием персональных данных стоит вся информация, каким-либо образом характеризующая человека, это не только полное имя, паспортные данные и реквизиты документов (ИНН, СНИЛС).

Сюда входят любые сведения, в частности: адрес проживания и регистрации; место рождения, дата;

Образец заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных

» » «Образец заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных Газовые напольные котлы Viessmann продает компания ТеплоПрофис Можно скачать этот документ в формате MS Word.

Скачивание доступно только зарегистрированным пользователям.

( Бланк организации) Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Московской области УВЕДОМЛЕНИЕ об обработке (о намерении осуществлять обработку) персональных данных Наименование, адрес оператора: Закрытое акционерное общество «Сувенир» (ЗАО «Сувенир» ), 100000, г. Москва, ул. Сувенирная, д.1, тел 8 (495) 111-11-11.

ИНН 5011111111, КПП 501101001, ОГРН 1055011111111. Правовое основание обработки персональных данных: руководствуясь Уставом ЗАО «Сувенир», ст.

Уведомление о персональных данных

23, 24 Конституции Российской Федерации, ст.ст.

Руководство по заполнению уведомления оператора персональных данных

4 июня 2020 в 09:09

В , которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать.

Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.

Возможно Вас так же заинтересует:

admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *