Уведомление об обработке персональных данных, составить пример

Уведомление об обработке персональных данных, составить пример

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля. Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих. Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей. Уведомление об обработке персональных данных, составить пример С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них. Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы. Уведомление об обработке персональных данных, составить пример В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия. Уведомление об обработке персональных данных, составить пример Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Приведем один пример, как делать не нужно. Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны. Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя. Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных». Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]». Уведомление об обработке персональных данных, составить пример Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18.1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда? Пример заполнения поля «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»

Назначено лицо, ответственное за организацию обработки персональных данных. Утверждены документы, определяющие политику организации в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства.

К таким документам в частности относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн «Бухгалтерия и кадры»; перечень персональных данных, подлежащих защите; перечень информационных систем персональных данных; положение о разграничении доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение об обработке и защите персональных данных; политика в отношении обработки персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении. Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных. Для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства. На сайте www.example.ru опубликована политика в отношении обработки персональных данных. Для информационной системы персональных данных разработано техническое задание на создание системы защиты информации и эскизный проект системы защиты информации, предусматривающий выполнение определенных законодательством мер для информационной системы третьего уровня защищенности, а также мер, направленных на нейтрализацию угроз, определенных как актуальные в модели угроз безопасности. Эскизный проект полностью реализован, что говорит о выполнении определенных законодательством мер и о нейтрализации актуальных угроз безопасности в информационной системе персональных данных. Проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных. Учет машинных носителей производится в соответствующем журнале. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности. Правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации. Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, ознокамливаются с документами по защите персональных данных под роспись.

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ. Уведомление об обработке персональных данных, составить пример Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации). В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации». Уведомление об обработке персональных данных, составить пример В разделе «Категории персональных данных» сначала отмечаем чекбоксами обрабатываемые категории, а потом в поле «Другие категории персональных данных, не указанные в данном перечне» указываем те ПДн, которых в списке нет, причем лучше это сделать раздельно для различных категорий субъектов, например: «Другие категории ПДн работников: [перечень ПДн работников]. Другие категории ПДн клиентов: [перечень ПДн клиентов]». В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения. В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж. Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет». Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные. И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения. Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе. Да, не удивляйтесь, локальная база 1С-Бухгалтерии, развернутая на компьютере главбуха это в понимании Роскомнадзора тоже ЦОД… Уведомление об обработке персональных данных, составить пример Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.

Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.

Читайте также:  Исковое заявление о взыскании алиментов на содержание родителя, пример

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.

Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.

Источник: https://habr.com/post/454690/

Как составить уведомление об обработке персональных данных

Каждый человек является носителем и источником большого количества информации: от имени и даты день рождения до любимого сорта какой кофе.

Всё это можно применить для того, чтобы идентифицировать личность и использовать полученные знания в своих интересах, некоторые из этих сведений подлежат охране и защите.

Необходимость законодательно обеспечить защиту личных сведений привела к появлению понятия «обработка персональных данных». Что это такое и какие меры безопасности предприняты законом далее в статье.

За понятием персональных данных стоит вся информация, каким-либо образом характеризующая человека, это не только полное имя, паспортные данные и реквизиты документов (ИНН, СНИЛС).

Уведомление об обработке персональных данных, составить примерСюда входят любые сведения, в частности:

  • адрес проживания и регистрации;
  • место рождения, дата;
  • информация о семье, социальном положении;
  • контактные данные;
  • состояние здоровья;
  • образование, доходы и так далее.

Индивидуальной информацией обладает как отдельный человек, так и юридическое лицо.

Например:

  1. Наименование организации.
  2. Адрес.
  3. Организационная форма.
  4. Информация о документах, реквизитах.

Проще говоря, если по имеющейся информации можно понять к кому она относится, то это и есть персональные данные.

Эти сведения постоянно используются в разных сферах жизни: чтобы взять кредит, устроиться на работу, обратиться в поликлинику или купить что-то через интернет. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» обязывает получателей информации иметь письменное разрешение граждан для совершения манипуляций с их личными данными.

Сама процедура обработки подразумевает:

  • сбор сведений;
  • содержание на хранении;
  • применение в своих целях;
  • передача другим лицам.

Перечисленные действия строго регулируются законодательством, установлены следующие правила:

  1. Правомерность и добросовестность – в первую очередь относится к назначению информации и способам обработки.
  2. Соответствие совершаемых в отношении личных данных действий целям, для которых они собирались.
  3. Объем и характер требуемых сведений, должен соответствовать их назначению.
  4. Недопустимость объединения баз данных, собранных для разных целей.

Любая информация запрашивается, прежде всего, у того, к кому она относится. Привлечение посторонних для получения сведений, возможно, только если есть письменное согласие.

Портал Роскомнадзора: что это

Оператор персональных данных – человек, учреждение, организация, располагающие доступом к индивидуальной информации, выполняющие в отношении неё действия, направленные на достижение собственных целей. Под это определение попадают также лица, привлечённые для работы с полученными сведениями, хотя правовую ответственность за деятельность третьих лиц несёт оператор.

Учитывая, что любой человек владеет чужими личными данными (например, полное имя друзей, знакомых, родственников, их номера телефонов, адрес и так далее), понятие оператора данных нуждается в некоторой конкретизации. Так, закон «О персональных данных» не применяется:

  • Уведомление об обработке персональных данных, составить примерв случае пользования индивидуальной информацией в личных целях, если это не приносит вред;
  • в отношении работы архивных учреждений;
  • если сведения относятся к государственной тайне;
  • когда материалы касаются деятельности судов.

Все остальные обязаны заявить о себе в Роскомнадзор для занесения в общую базу операторов персональных данных.

Для контроля деятельности лиц, обладающих доступом к персональным данным, Роскомнадзором создан интернет-портал. На нём опубликована информация обо всём, что касается этого вопроса: нормативные документы, рекомендации, дополнительные материалы, новости.

Основная цель создания портала в обеспечении взаимодействия между гражданами и операторами, а также в организации возможности сообщить контролирующему органу о нарушениях в работе с индивидуальными сведениями.

Возможности сайта доступны для всех желающих, для получения справки об интересующем операторе достаточно указать его ИНН.

На середину 2018 года, в реестре Роскомнадзора зарегистрировано около 400 тыс. операторов персональных данных.

Порядок уведомления

Уведомление об обработке персональных данных, составить примерГраждане и организации, прежде чем проводить работу по сбору материалов о ком-либо и их обработке, обязаны отправить уведомление в контролирующую организацию и пройти регистрацию. Органы контроля создали методические рекомендации для заполнения и подачи уведомления.

Порядок оповещения оператором о своих действиях включает в себя:

  1. Заполнение и отправку электронной формы на портале.
  2. Отправку распечатанной на фирменном бланке и подписанной бумажной формы в Управление Роскомнадзора своего региона.

На то, чтобы принять решение о занесении оператора в реестр, отведено 30 дней, этот срок исчисляется с момента получения формы на бланке организации.

При указании неправильных данных или выяснение, что каких-то сведений недостаёт, может потребоваться их уточнение.

Пример заполнения, образец

Пример заполнения уведомления можно посмотреть на сайте Роскомнадзора в нужном регионе. Образец представлен ниже.

Уведомление об обработке персональных данных, составить пример

Читайте так же:   Внесение изменений в ПВТР

Электронное уведомление

При отправке уведомления оператору нужно указать:

  • Название организации (полное, сокращённое);
  • адрес (почтовый, фактический);
  • субъект федерации;
  • реквизиты (ИНН, ОГРН, ОКВЭД и так далее);
  • чем обоснована обработка персональных данных (юридическое основание);
  • цель;
  • меры и средства, принятые чтобы обеспечить безопасность данных;
  • дата начала и прекращения совершения действий по отношению к личной информации;
  • какие именно материалы требуются заявителю и кому они принадлежат;
  • какие действия будут проводиться;
  • как будет осуществляться передача данных;
  • информацию об ответственных лицах.

Электронное уведомление заполняется на сайте регионального Управления Роскомнадзора. В этот же орган направляется бумажный вариант.

Обязанность ставить контролирующую инстанцию в известность о начале деятельности, направленной на обработку персональных данных установлена ст. 22 ФЗ от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Избежать уведомления можно в нескольких случаях:

  1. Уведомление об обработке персональных данных, составить примерИнформация обрабатывается в связи с трудовым законодательством.
  2. Данные нужны только для работы в рамках заключённого договора, без распространения и передачи третьим лицам.
  3. Это данные членов религиозных организаций, используемые для их законной деятельности, без распространения и передачи.
  4. Если владелец данных сделал их общедоступными.
  5. Если это только полное имя гражданина или его часть (фамилия, имя, отчество).
  6. Для оформления одноразового пропуска на территорию.
  7. Включение в АИС и ГИС персональных данных.
  8. Если сведения обрабатываются без автоматизации.
  9. Если действия с данными осуществляются в соответствии с законодательством РФ о транспортной безопасности.

При отсутствии регистрации без наличия одного из перечисленных условий, оператора ожидает административная ответственность.

Роскомнадзор систематически проводит проверки действующих операторов и тех, кто не попадает под это определение. Если гражданин, организация или учреждение всё же осуществляет какие-либо действия с индивидуальными сведениями, но уведомление об этом направлено не было, придётся представить доказательства, что для отсутствия регистрации есть законные основания.

В противном случае придётся нести ответственность. Ст. 19.7. КоАП РФ за непредставление обязательной информации в контролирующие органы устанавливает штраф:

  • для граждан – от 100 до 300 рублей;
  • для должностных лиц – от 300 до 500 рублей;
  • для юридических лиц – от 3 до 5 тысяч рублей.
  • Кроме того, сведения о нарушителях размещаются на сайте Роскомнадзора и становятся общедоступны, что может повлиять на репутацию организации.
  • Остаётся добавить, что ответственность наступает не только за неподанное уведомление, но и за внесение недостоверных данных или отсутствие их своевременной корректировки.
  • Подробнее о заполнении формы уведомления смотрите ниже на видео.
  •  

Рекомендуем другие статьи по теме

Источник: https://ZnayBiz.ru/kadry/rezhim/trudovaya-disciplina/uvedomlenie-ob-obrabotke.html

Нюансы заполнения уведомления об обработке персональных данных в Роскомнадзор: примеры и образец для скачивания

Уведомление об обработке персональных данных, составить пример

В современном мире очень многие компании сталкиваются с необходимостью работы с персональными данными и, в соответствие с законами, одной из первых обязанностей фирм является составление уведомления для территориального управления Роскомнадзора о намерении осуществлять обработку указанной информации. Как заполнить уведомление об обработке персональных данных в Роскомнадзор (скачать образец можно ниже), мы расскажем в нашей статье. Также рекомендуем посмотреть видео на данную тему.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер. 

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92. Это быстро и бесплатно!

Скрыть содержание

Основания для составления документа

В соответствии с ч. 1 ст. 22 152-ФЗ «О персональных данных», организация обязана уведомить Роскомнадзор о том, что хочет работать с такой информацией еще до начала обработки.

Если ваша компания уже работает или только планирует взаимодействовать с данными, позволяющими идентифицировать человека (сотрудника, клиента, соискателя, контрагента), необходимо заполнить и направить в Роскомнадзор уведомление об обработке персональных данных (скачать форму и образец заполнения можно ниже) в самые кратчайшие сроки.

Содержание

Для того чтобы попасть в реестр операторов персональных данных (ПДн), необходимо предоставить следующую информацию:

  • наименование (или ФИО), адрес;
  • цель обработки;
  • категории ПДн;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание;
  • перечень действий с ПДн и их способы обработки;
  • описание мер, предусмотренных статьей 18.1 и статьей 19 Федерального закона №152-ФЗ, в том числе, сведения о наличии шифровальных средств;
  • данные физического или юридического лица, ответственных за организацию обработки персональных данных;
  • дата начала обработки информации;
  • срок или условие прекращения обработки;
  • сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
  • сведения о месте нахождения базы данных информации, содержащей ПДн граждан Российской Федерации;
  • сведения об обеспечении безопасности ПДн.

Рекомендации по оформлению

ВНИМАНИЕ: Как правило, заполнением уведомления об обработке персональных данных в Роскомнадзор и отправкой составляемого документа занимается специалист по защите информации, администратор безопасности или ответственный за организацию обработки ПДн.

Но при оформлении уведомления о намерении осуществлять обработку персональных данных для ООО в Роскомнадзор (скачать форму и пример заполнения можно ниже) вы также должны следовать правилам:

  1. Проверьте полноту и правильность заполнения всех пунктов. Отвечать на вопросы, не отмеченные звездочкой, не обязательно.
  2. При поздней отправке уведомления датой начала работы с ПДн правильно будет обозначить дату регистрации вашей компании.
  3. Обратите внимание, что при заполнении электронной формы уведомления на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, ее необходимо распечатать, подписать и направить в территориальный орган.
  4. Обо всех изменениях, касающихся систем, указанных в документе, необходимо уведомлять территориальное управление Роскомнадзора в срок до 10 дней.
Читайте также:  Исковое заявление о возмещении ущерба от преступления, образец

Как правильно заполнить?

Теперь рассмотрим правила заполнения документа (скачать бланк и образец заполненного уведомления об обработке персональных данных в Роскомнадзор можно ниже):

  1. Первые пункты электронной формы уведомления содержат информацию об операторе – самой организации, которая будет им являться. Название, тип, адрес, контактные данные, ИНН, и необязательные для заполнения пункты: ОГРН, ОКВЭД, ОКФС, ОКОГУ, ОКОП, перечислить все филиалы фирмы.
  2. Правовое основание. В пункте указываются все нормативно-правовые акты, касающиеся ПДн. Например, 152-ФЗ «О персональных данных», Трудовой кодекс, Устав организации, основные законы, регулирующие деятельность компании, включающие в себя необходимость сбора и обработки информации о людях, позволяющие их идентифицировать.
  3. Цель. Важно указать все цели обработки информации, так как работа с избыточным количеством ПДн — серьезное нарушение, за которым последует штраф. Как правило, целью является обеспечение или ведение кадровой и бухгалтерской деятельности, оказание определенных услуг.
  4. Описание мер, предусмотренных статьей 18.1 и статьей 19 ФЗ «О персональных данных». Здесь важно описать все перечисленные в законе меры в том виде, что они реализованы.

    ВАЖНО: Реализация всех указанных в пунктах 18.1 и 19 мер обязательна!

    Разработан ряд внутренних документов: положение по обработке ПДн, перечень ИСПДн, перечень персональных данных, подлежащих защите и другие. Необходимо перечислить все разработанные в соответствии с законом документы.

    Приказом номер N Назначен сотрудник, ответственный за обработку персональных данных. Все работники ознакомлены с инструкциями по работе в ИСПДн, проводится своевременное обучение новых кадров. Обеспечено разграничение доступа к данным, реализованное с помощью установленных сертифицированных средств защиты информации (СЗИ), возможность их восстановления, в случае утери.

    При работе с документами используется электронная подпись, лицензионное антивирусное программное обеспечение.

  5. Сведения об обеспечении безопасности. Здесь необходимо перечислить все используемые средства защиты информации, можно указать данные о лицензиях, сертификатах. Указанного пункта анкеты не будет в открытом доступе, поэтому заполненная информация не повлияет на защищенность вашей системы.
  6. Дата начала обработки. Как правило, дата совпадает со временем начала работы компании, следует ее указать.
  7. Срок или условие прекращения обработки. Самый распространенный пример заполнения: «Завершение работы компании ООО «Фирма».
  8. Категории ПДн. Отмечаете галочками ту информацию, которая у вас действительно обрабатывается. Если организация работает с категориями, не указанными в перечне, перечислите их ниже. Не нужно отмечать лишние, «запасные» пункты. Только то, что действительно есть. За обработку избыточного количества информации, позволяющих идентифицировать человека, возможен штраф.
  9. Категории субъектов, данные которых обрабатываются. К примеру, сотрудники компании, члены их семьи, соискатели, клиенты организации.
  10. Перечень действий. Согласно 152-ФЗ, это может быть сбор, запись, систематизация, накопление, хранение, уточнение. Лишние пункты удалите.
  11. Способ обработки. Чаще всего системы являются смешанными, реже автоматизированными, с передачей по внутренней сети юридического лица и без передачи по сети Интернет.
  12. Осуществление трансграничной передачи информации. В этом пункте указывается, отправляете ли вы информацию заграницу. Если да, необходимо перечислить все страны.
  13. Использование шифровальных средств. Если они установлены, необходимо поставить галочку, перечислить название и класс средств защиты информации.
  14. Сведения о местонахождении базы данных информации, содержащей ПДн граждан РФ. Указывается страна, адрес и является ли центр обработки данных (ЦОД) собственностью компании. Последний пункт не является обязательным, не обязательно указывать лишнюю информацию. В качестве ЦОДа может выступать даже персональный компьютер пользователя.
  15. Далее необходимо ввести данные сотрудника, ответственного за организацию обработки персональных данных, назначенный соответствующим приказом (указать номер, дату подписания), либо юридическое лицо, с кем заключен контракт на проведение работ в этой области. Данная контактная информация будет находиться в открытом доступе, предупредите об этом коллегу.

Указывать данные исполнителя не обязательно, тем более если им выступал указанный выше сотрудник. Проверить, внесли ли ваши данные в реестр операторов, можно будет через пару недель.

Подробнее о том, как правильно заполнить форму уведомления Роскомнадзора об обработке персональных данных, читайте тут.

Источник: https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka/uvedomlenie/v-roskomnadzor.html

Уведомление об обработке персональных данных — образец

Полезная информация

Согласно статье 22 ФЗ «О персональных данных», оператор до начала обработки ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) о своем намерении осуществлять обработку ПДн.

Уведомление о намерении осуществлять обработку персональных данных направляется в Роскомнадзор в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

Как составить уведомление об обработке персональных данных

Если организация планирует собирать и использовать сведения о физлицах, она должна уведомить об этом Роскомнадзор до начала такой деятельности. За нарушение этого требования придется заплатить административный штраф.

Образец уведомления об обработке персональных данных обычно необходим госорганам, муниципальным учреждениям, а также юридическим и физическим лицам, организующим и выполняющим обработку ПДн.

Приказом Роскомнадзора от 30 мая 2017 г. № 94 утвержден образец заполнения уведомления об обработке персональных данных. Он нужен для установления единых правил составления извещений.

Содержание документа

В уведомлении об обработке персональных данных указываются:

  • сведения об операторе ПДн: наименование, фактический и почтовый адреса, регион, данные паспорта и т.д.;
  • цель и правовое основание обработки персональных данных;
  • ПДн, которые будут использоваться: ФИО, дата рождения, место рождения, семейное положение, профессия, адрес, образование, расовая принадлежность, биометрические данные и т.д.;
  • категории субъектов ПДн;
  • перечень предполагаемых действий с персональными данными;
  • ответственный за организацию обработки персональных данных: ФИО или наименование организации, номера контактных телефонов, почтовые адреса и адреса электронной почты;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ;
  • дата начала обработки персональных данных;
  • срок или условие прекращения обработки;
  • ФИО и контактная информация исполнителя.

Подавать уведомление не нужно в случаях, описанных в статье 22 ФЗ «О персональных данных». Например, если речь идет о информации, которая используется в рамках трудовых отношений, или о сведениях, которые есть в общедоступных источниках.

Рекомендации по заполнению основных полей документа

В уведомлении о намерении осуществлять обработку персональных данных есть раздел, посвященный целям использования конфиденциальной информации. В нем необходимо указать, для чего предприятию нужны личные сведения о гражданах. В разделе «Категории ПДн» следует перечислить данные, которые подлежат обработке: персональные, биометрические, специальные.

В документе также следует указать правовые основания обработки ПДн: ФЗ «О персональных данных», ТК РФ, ФЗ «Об актах гражданского состояния», другие нормативно-правовые акты. Еще один важный пункт уведомления об обработке персональных данных – перечень действий, производимых с личной информацией физических лиц. Это могут быть сбор, хранение, использование, изменение, передача и т.п.

Уведомление об обработке персональных данных направляется один раз за время деятельности организации, не влечет за собой каких-либо затрат и дополнительных обязательств. Проверить наличие организации в Реестре можно на Портале персональных данных Роскомнадзора.

За непредставление уведомления об обработке персональных данных предусмотрена административная ответственность по статье 19.7 КоАП РФ, которая влечет штраф для юрлиц от 3 000 до 5 000 рублей. За нарушение законодательства в области персональных данных также предусмотрена уголовная ответственность по статье 137 УК РФ (нарушение неприкосновенности частной жизни).

Источник: https://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/uvedomlenija/uvedomlenie_obrabotka_personalnyh_dannyh/

Уведомление об обработке (о намерении осуществлять обработку) персональных данных

  • Приложение № 1к Методическим рекомендациям
  • по уведомлению уполномоченного
  • органа о начале деятельности
  • по обработке персональных данных
  • и внесении изменений в ранее
  • представленные сведения
  • Уведомление об обработке (о намерении осуществлять обработку)персональных данных
  • Общество с ограниченной ответственностью «Бета» ООО «Бета»
  • (ИНН 7736046991, ОГРН 1236547890123), ОКПО 16035711 ОКВЭД 47.11
  • (полное и сокращенное наименования (ИНН, ОГРН), фамилия, имя, отчество (при наличии) Оператора)

127083, г. Москва, ул. Мишина, д. 56

  1. (адрес местонахождения и почтовый адрес Оператора)
  2. руководствуясь:
  3. Трудовым кодексом РФ, Федеральным законом № 152-ФЗ от 27 июля 2006 г.,
  4. (правовое основание обработки персональных данных)

гл. 48 Гражданского кодекса РФ, п. 2, 3 ст. 3, п. 1 ст. 5 Закона РФ № 4015-1 от 27 ноября 1992 г.

  • с целью:
  • предоставления персональных данных работников в страховые организации для осуществления
  • (цель обработки персональных данных)
  • добровольного медицинского страхования (ДМС) работников
  • осуществляет обработку:
  • общедоступных персональных данных (фамилия, имя, отчество, год, месяц, дата рождения,
  • (категории персональных данных)
  • место рождения, адрес, семейное положение, образование, профессия, должность)
  • принадлежащих:
  • работникам (субъектам), состоящим в трудовых отношениях с ООО «Бета» (Оператором),
  • (категории субъектов, персональные данные которых обрабатываются)
  • Обработка вышеуказанных персональных данных будет осуществляться путем:
  • сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (распространения, предоставления, доступа) персональных данных,
  • (перечень действий с персональными данными, общее описание используемых
  • смешанной обработки персональных данных, информация передается с использованием сети связи общего пользования (Интернет)
  • Оператором способов обработки персональных данных)
  • Для обеспечения безопасности персональных данных принимаются следующие меры:

– назначение лица, ответственного за обработку и хранение персональных данных, которым является Иванова Марина Евгеньевна, специалист по кадрам, тел. 8 (495) 123 45 67, ivanova@beta.ru, 117451, 127083, г. Москва, ул. Мишина, д. 56;

(описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона № 152-ФЗ от 27.07.2006 “О персональных данных”, в т. ч. сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

  1. – разработка и утверждение локальных нормативных актов, регламентирующих работус персональными данными (Положение о работе с персональными данными);
  2. фамилия, имя, отчество физического лица или наименование юридического лица,
  3. – осуществление внутреннего контроля и аудита соответствия обработки персональных данных законодательству РФ;
  4. ответственных за организацию обработки персональных данных,
  5. – использование специального программного обеспечения при обработке персональных данных;
  6. и номера их контактных телефонов, почтовые адреса и адреса электронной почты)
  7. Сведения о наличии или об отсутствии трансграничной передачи персональных данных:
  8. трансграничная передача персональных данных отсутствует
  9. (при наличии трансграничной передачи персональных данных в процессе их обработки указывается
  10. перечень иностранных государств, на территорию которых осуществляется трансграничная передача
  11. персональных данных)
  12. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации:

Россия, 117451, 127083, г. Москва, ул. Мишина, д. 56;

  • (страна, адрес местонахождения базы данных,
  • наименование информационной системы (базы данных)
  • Сведения об обеспечении безопасности персональных данных:
  • – реализация разрешительной системы допуска пользователей, регистрация действий пользователей;– учет и хранение съемных хранителей информации;
  • (сведения об обеспечении безопасности персональных данных в соответствии с требованиями
  • – использование средств защиты информации, использование защищенных каналов связи;– организация физической защиты помещений
  • к защите персональных данных, установленными Правительством Российской Федерации)
  • Дата начала обработки персональных данных
  • 1 сентября 2017 г.
  • (число, месяц, год)
  • Срок или условие прекращения обработки персональных данных:
  • ликвидация ООО «Бета»
  • (число, месяц, год или основание (условие), наступление которого повлечет
  • прекращение обработки персональных данных)
Читайте также:  Ходатайство о товароведческой экспертизе, образец и пример
Генеральный директор А.И. Петров
(должность) (подпись) расшифровка подписи

Источник: https://www.MoeDelo.org/spravka/form/uvedomlenie-ob-obrabotke-o-namerenii-osushchestvlyat-obrabotku-personalnykh/506806144513

Разъяснения по вопросам уведомления об обработке персональных данных

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами.

Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.

Здесь важно учесть, что запрос Роскомнадзора — это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Возможны две ситуации:

  1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
  2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.

В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок.

Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».

Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления — она находится на сайте Роскомнадзора.

Изучив форму, вы поймете, что заполнение уведомления — это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

  • категории персональных данных,
  • категории субъектов персональных данных,
  • цель обработки персональных данных,
  • правовое основание обработки персональных данных,
  • перечень действий с персональными данными,
  • описание способов обработки,
  • осуществление трансграничной передачи персональных данных,
  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
  • ответственный за организацию обработки персональных данных,
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.

Если вам удалось провести полноценное обследование, и вы выявили самое главное — цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа.

Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.

Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

Важно понимать — наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации.

Чтобы уложиться в отведенные для ответа на запрос сроки — в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора.

Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации.

Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе.

Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706.

В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

Большинство вопросов связано со следующими пунктами:

  • описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1.

Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации — исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

  • назначить ответственного за организацию обработки;
  • издать политику оператора в отношении обработки персональных данных;
  • издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
  • и так далее…

В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры… И так далее.

С 19 статьей делаем то же самое.

Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

  • Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
  • Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления.

В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие — прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

Напомним — Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

Удачной Вам работы в сфере обработки и защиты персональных данных.

Источник: https://centr.expert/mnenie/uvedomlenie-operatora-ob-obrabotke-personalnih-dannih

Ссылка на основную публикацию