Типичные ошибки при заполнении уведомления роскомнадзор

Роскомнадзор проверяет, как работодатели соблюдают правила обработки персональных данных. Расскажем о 10 нарушениях, которые выявляют чаще всего. Пока не выписали штраф или предписание, проверьте, все ли требования вы соблюдаете.

Ошибка № 1. Не разработали и не опубликовали политику обработки персональных данных

Что нужно сделать. Не только разработать политику обработки данных, но и опубликовать ее на сайте или другим способом обеспечить неограниченный доступ к документу (ч. 2 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Разработайте политику или актуализируйте ту, что у вас есть, по Рекомендациям Роскомнадзора от 27.07.2017. Важно: не копируйте готовые формулировки, а отобразите в документе особенности именно вашей компании. За нарушение грозит штраф до 30 000 руб. (ч. 3 ст. 13.11 КоАП РФ).

Ошибка № 2. Не назначили ответственного за обработку персональных данных

Что нужно сделать. Назначить одного сотрудника, который будет отвечать за обработку персональных данных. Ответственный должен подчиняться непосредственно генеральному директору и у него должны быть полномочия давать указания руководителям подразделений (ч.2 ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ).

Ошибка № 3. Не утвердили перечень лиц, которые имеют доступ к персональным данным

Что нужно сделать. С помощью приказа утвердите перечень сотрудников, которым может понадобиться доступ к персональным данным в связи с их должностными обязанностями. Получать они должны только те данные, которые им нужны в работе (ст. 88 ТК РФ). В приказе можно указать ФИО, должности конкретных сотрудников, структурное подразделение или перечень должностей и структурное подразделение.

Ошибка № 4. Собираете и храните лишние документы

Что нужно сделать. Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ). Для этого воспользуйтесь чек-листом.

Ошибка № 5. Не проводите внутренний аудит работы с персональными данными

Что нужно сделать. Разработайте процедуру внутреннего контроля или аудита и периодически его проводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Для этого создайте комиссию, которая будет анализировать документы, изучать процессы обработки персональных данных и давать рекомендации по их защите.

Ошибка № 6. Не знакомите работников под подпись с законом о персональных данных

Что нужно сделать. Оформите лист ознакомления работников с положениями законодательства о персональных данных и внутренними документами по вопросам обработки персональных данных (п. 6 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Другой вариант — включите положения в трудовой договор с работником.

Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных

Что нужно сделать. Ваша задача – уведомить территориальный орган Роскомнадзора о том, что будете обрабатывать персональные данные. Для этого используйте Методические рекомендации Роскомнадзора, утв. приказом от 30.05.2017 № 94. Роскомнадзор предупреждает: не берите готовые шаблоны из интернета, они могут быть ошибочными.

Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных

Что нужно сделать. Если изменили сведения, которые указывали в уведомлении, направьте в 10-дневный срок в Роскомнадзор информационное письмо. Форма информационного письма есть в Приложении № 2 к Рекомендациям № 94. Заполните те поля, в которых меняются сведения.

Ошибка № 9. Не утвердили перечень мест хранения персональных данных

Что нужно сделать. Издайте приказ, которым утвердите перечень мест хранения материальных носителей персональных данных – журналов, личных дел и т.д. (п. 13 Положения, утв. постановлением Правительства РФ от 15.09.2008 № 687). Во всех кабинетах, где обрабатываете персональные данные на бумаге, определите места хранения — например, сейфы. Местом хранения может быть и само помещение, к примеру, архив организации.

Ошибка № 10. Используете неверный бланк согласия на обработку персональных данных

Что нужно сделать. Согласие на обработку персональных данных должно включать все обязательные реквизиты, которые предусматривает закон (ч. 4 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ). За некорректную форму согласия предусмотрен штраф до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Реестр операторов, осуществляющих обработку персональных данных

В соответствии со статьей 22 Федерального закона № 152-ФЗ «О персональных данных», организации, осуществляющие обработку персональных данных, уведомляют уполномоченный орган по защите прав субъектов персональных данных путем подачи Уведомления об обработке персональных данных для последующего занесения организации в Реестр операторов, осуществляющих обработку персональных данных.

Консультации по вопросам подачи уведомлений об обработке персональных данных проводятся инспекторами территориального Управления Роскомнадзора (в Москве — каждый вторник в 15:00 по адресу Старокаширское шоссе, д.2, корп.10).

Подача уведомления

Кто должен подавать?

В первую очередь необходимо определить, требуется ли подавать уведомление. В соответствии с частью 2 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1. обрабатываемых в соответствии с трудовым законодательством;
2. полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4. сделанных субъектом персональных данных общедоступными;
5. включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6. необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7. включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8. обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9. обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

В большинстве организаций персональные данные обрабатываются сверх вышеперечисленных исключений.

Как подать уведомление?

В случае, если организация не внесена в Реестр и не подпадает по исключение, необходимо подготовить и внести сведения на Портале персональных данных. Для этого необходимо выбрать на интернет-сайте Роскомнадзора меню «Реестр операторов» «Электронные формы заявлений» предложение «Перейти к заполнению формы электронного уведомления» либо перейти по прямой ссылке http://pd.rkn.gov.ru/operators-registry/notification/form.

После заполнения всех полей электронной формы заявления и отправки формы электронного уведомления (кнопка «Отправить электронное уведомление и подготовить форму к распечатке») заполненную форму необходимо сохранить для последующего формирования письма на бланке организации. После подтверждения корректности внесенных сведений необходимо сформировать письмо на бланке организации с заполненной формой, распечатать, поставить подпись и печать организации, направить в Управление Роскомнадзора в двух экземплярах.

Рекомендации по внесению изменений в Реестр операторов персональных данных

В случае, если организация внесена в Реестр, следует открыть форму уведомления об обработке персональных данных в Реестре и просмотреть содержание. Поиск организации, внесенной в Реестр операторов, осуществляющих обработку персональных данных, осуществляется на Портале персональных данных уполномоченного органа по защите прав субъектов персональных данных: «Реестр операторов» «Реестр» или по прямой ссылке http://pd.rkn.gov.ru/operators-registry/operators-list. Поиск удобно проводить по ИНН организации.

Если в Уведомление не внесены сведения о месте нахождения баз данных, содержащих персональные данные граждан Российской Федерации, либо указаны устаревшие сведения (утратившие силу нормативные правовые акты, номера телефонов, иная информация), необходимо внести изменения в сведения об организации в Реестре. Для этого нужно заполнить информационное письмо, выбрав на интернет-сайте Роскомнадзора меню «Реестр операторов» «Электронные формы заявлений» предложение «Перейти к заполнению информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных» либо по прямой ссылке https://rkn.gov.ru/personal-data/forms/p333. В данной форме заполняются все обязательные поля, а также поля, подлежащие изменению. После заполнения формы информационного письма необходимо сохранить его для последующего формирования письма на бланке организации. Письмо необходимо распечатать, подписать и направить в Управление Роскомнадзора в двух экземплярах.

Рекомендации по заполнению формы информационного письма о внесении изменений в уведомление, а также примеры по заполнению информационного письма можно посмотреть в меню «Реестр операторов» «Документы» либо по прямой ссылке http://pd.rkn.gov.ru/operators-registry/operators-registry-documents.

Как сделать это правильно?

Перед составлением уведомления рекомендуется провести аудит соответствия.

Что должно содержать уведомление?

В соответствии с частью 3 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» уведомление должно содержать следующие сведения:

1. наименование (фамилия, имя, отчество), адрес оператора;
2. цель обработки персональных данных;
3. категории персональных данных;
4. категории субъектов, персональные данные которых обрабатываются;
5. правовое основание обработки персональных данных;
6. перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7. описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 7.1. фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8. дата начала обработки персональных данных;
9. срок или условие прекращения обработки персональных данных;
10. сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 10.1. сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
11. сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Роскомнадзор во время плановых и внеплановых проверок проверяет содержание уведомления по каждому вышеперечисленному пункту и почти у всех Операторов выявляет нарушения.

Рекомендации Роскомнадзора

29 января 2016 г. Роскомнадзор выпустил рекомендации по заполнению формы Уведомления об обработке персональных данных.

Оформление Уведомления производится на бланке оператора и направляется в территориальный орган Роскомнадзора по месту регистрации Оператора в налоговом органе. Уведомление направляется в территориальный орган Роскомнадзора в бумажном или электронном виде и подписывается уполномоченным лицом.

Под полем «Наименование (фамилия, имя, отчество), адрес Оператора» понимается:

для юридических лиц (Операторов):

• полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;
• наименование филиала(ов) (представительства(в)) юридического лица (Оператора), осуществляющего обработку персональных данных;
• адрес Оператора;
• индивидуальный номер налогоплательщика (ИНН).

для физических лиц:

• фамилия, имя, отчество физического лица (Оператора);
• адрес Оператора;
• данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;
• индивидуальный номер налогоплательщика (ИНН).

Поле «Цель обработки персональных данных» отражает цели обработки персональных данных (а также их соответствие полномочиям Оператора), указанные в учредительных документах Оператора и фактически осуществляемые Оператором в деятельности по обработке персональных данных.

В поле «Категории персональных данных» указываются все категории персональных данных, подлежащих обработке Оператором:

• Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных).
• Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни).
• Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных).

В поле «Категории субъектов, персональные данные, которых обрабатываются» указываются категории субъектов, персональные данные которых обрабатываются (например: работники, соискатели, уволенные работники, родственники работников и т.д.).

В поле «Правовое основание обработки персональных данных» указываются правовые основания, которые соответствуют полномочиям Оператора, отраженных в уставных документах, Федеральных законах и принятых на их основе нормативных правовых актов в части, касающейся компетенции Оператора, закрепляющий основание и порядок обработки Оператором персональных данных (например: Федеральные законы, согласие на обработку персональных данных субъекта, договор и т.д.).

Поле «Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных» предусматривает действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

• неавтоматизированная обработка персональных данных;
• исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
• смешанная обработка персональных данных.

Поле «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», предполагает:

1. описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
2. фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
3. организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, указываются следующие сведения:

1. наименование используемых криптографических средств;
2. класс средств криптографической защиты информации (СКЗИ).

В поле «Сведения о наличии или об отсутствии трансграничной передачи персональных данных» рекомендуется относить сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки с указанием перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.

В поле «Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации (далее — База данных)» указываются:

• страна (страны) размещения базы данных;
• конкретный адрес (адреса) местонахождения базы данных.

В поле «Сведения об обеспечении безопасности персональных данных» указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Поле «Дата начала обработки персональных данных» предусматривает конкретную дату (число, месяц, год) начала любого действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (как правило, это дата начала осуществление Оператором деятельности, закрепленной в уставных документах).

В поле «Срок или условие прекращения обработки персональных данных» указывается основание (условие), наступление которого повлечет прекращение обработки персональных данных.

Типовые ошибки при подаче Уведомления

Многие Операторы допускают ошибки при заполнении сведений пунктов 3 и 4. Ошибки заключаются в указании неполного перечня категорий персональных данных и категорий субъектов персональных данных. Роскомнадзор хочет видеть по 3 пункту все категории персональных данных, обрабатываемые Оператором, вплоть до времени входа/ухода посетителя и работника, если такие данные обрабатываются. По 4 пункту Операторы не указывают такие категории как уволенные работники и родственники работников.

Также распространенная ошибка по 5 пункту заключается в указании неполного перечня правовых оснований обработки персональных данных. Операторы не указывают в перечне правовых оснований такие основания как согласие на обработку персональных данных и договор, заключаемый с субъектом персональных данных.

По пункту 7.1 Операторы иногда не указывают почтовый адрес ответственных за организацию обработки персональных данных, что является нарушением.

В перечне действий с персональными данными Операторы обычно указывают все действия, перечисленные в статье 3 152 Федерального закона «О персональных данных», что очень часто не соответствует фактически осуществляемым действиям и приводит к нарушению. Также операторы указывают в перечне действий обезличивание. По последней позиции Роскомнадзора, так как в настоящий момент Методические рекомендации по обезличиванию разработаны только для государственных органов, коммерческие организации не вправе осуществлять такое действие с персональными данными.

В ходе анализа Уведомления на соответствие требованиям Роскомнадзор старается опираться на указанную информацию в представленных Оператором локальных актах, касающихся обработки персональных данных, поэтому рекомендуется заполнять уведомление строго в соответствии с локальными актами. Ошибка, допущенная по любому из вышеперечисленных пунктов, ведет к нарушению части 7 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» и к выдачи предписания об устранении нарушений. Перед подачей Уведомления для снижения риска несоответствия рекомендуется провести Аудит соответствия обработки персональных данных, который позволит определить процессы обработки персональных данных, подготовить/обновить локальные акты по вопросам обработки персональных данных и подготовить Уведомление, опираясь на локальные акты.

Лента сообщений в удобном формате:

Кому необходимо подать уведомление в реестр операторов персональных данных. В 152-ФЗ широкое определение обработки. Практически любое действие с персональными данными (далее – ПДн) – обработка.

Если лицо собирает сведения о гражданине в заранее установленных целях, определяет состав сведений и действия с ними, то такое лицо становится оператором ПДн.

В процессе обработки может участвовать лицо, осуществляющее обработку персональных данных по поручению оператора (далее — Обработчик). Обработчик заключает с оператором договор-поручение и действует только в интересах последнего. Обработчик не преследует свои цели.

Если оператор обрабатывает (собирает, обезличивает, уточняет, использует, хранит и пр.) ПДн с использованием сайта, веб-приложения или мобильного приложения и др., работающих в инфраструктуре облачного провайдера или стороннего ЦОДа, тогда в цепочке «субъект ПДн — оператор — провайдер облачных услуг/ЦОД» провайдеры и дата-центры выступают в качестве обработчиков. Данные таким компаниям поступают не напрямую от субъекта.

Если возникает необходимость в услугах облачных сервисов, проверьте реализуемые меры защиты ПДн и правильно оформите договор-поручение. Как выбрать облачную инфраструктуру, соответствующую 152-ФЗ, можно узнать здесь.

Обязанность подать уведомление об обработке персональных данных

Операторы обязаны сообщить в РКН о своем намерении осуществлять обработку сведений о физических лицах (статья 22 Закона). Заполнить уведомление в Роскомнадзор и привести процессы обработки в соответствие с установленными требованиями рекомендуется до начала взаимодействия с ПДн.

В некоторых ситуациях разрешено не состоять в реестре:

1. Компания обрабатывает информацию только о сотрудниках.
2. Сведения нужны в рамках договорных отношений между оператором и субъектом ПДн (например, для того, чтобы клиент мог сделать заказ и получить его).
3. Общественные объединения, религиозные организации обрабатывают информацию об участвующих в них лицах.
4. В состав собираемых сведений входит только ФИО.
5. Компания собирает ПДн субъекта для оформления разового прохода на территорию.
6. ПДн хранятся в бумажном виде, и вы их не дублируете на электронные носители. При этом бумажные документы должны быть надежно защищены от посторонних лиц.

С 1 марта 2021 года в перечне появился новый пункт — уведомлять не нужно, если гражданин разрешил распространять сведения о себе. Однако для правомерности таких действий оператор обязан получить отдельное согласие.

О чем нужно уведомлять Роскомнадзор

Если вы уже являетесь оператором или только имеете намерение осуществлять обработку, то предоставьте следующую информацию в РКН:

• ФИО или название компании, адрес;
• цели, преследуемые при сборе данных;
• перечень собираемых ПДн;
• какие НПА, локальные акты и иные документы (с указанием конкретных статей и пунктов) закрепляют основания и порядок обработки;
• действия с ПДн, применяемые способы обработки;
• меры безопасности;
• кто выступает ответственным за обработку;
• когда вы начали или планируете начать обработку;
• в каких случаях вы планируете завершить обработку;
• передаются ли собранные данные за рубеж;
• где находятся базы данных;
• какой уровень защищенности установлен в вашей компании.

Образец заполнения и рекомендации

Форма уведомления об обработке персональных данных в Роскомнадзор расположена на официальном сайте. Ниже рассмотрен общий порядок заполнения.

Сначала выберите территориальный орган, в который направляется документ. Территориальный орган выбирается на основании местонахождения оператора:

Далее указываются общие сведения о лице, подающем уведомление. Обязательные поля помечены красной отметкой:

Укажите адреса филиалов компании при наличии. Компании часто забывают об этом и приводят сведения только о головной организации.

Далее следует раздел «Общие сведения»:

Под правовым основанием понимаются законы, локальные акты (здесь не забудьте указать внутреннее положение об обработке в компании) и иные документы, в соответствии с которыми вы действуете. Однако не рекомендуется указывать 152-ФЗ — это одна из ошибок, часто отмечаемая РКН в разъяснениях.

Нужно обязательно привести конкретные статьи и пункты. Пример заполнения поля:

Сведения о целях, для достижения которых вы ведете обработку, рекомендуется привести в отношении каждой категории субъектов отдельно. Для начала проверьте, есть ли у вас сведения о:

• работниках;
• заказчиках;
• посетителях сайта;
• соискателях.

Сведения о соискателях не могут быть использованы в тех же целях, что сведения о заказчиках, и наоборот. Если вы укажете цели для всех категорий одной строкой, это будет нарушением.

Вариант заполнения:

При описании предусмотренных Федеральным законом мер желательно перечислить полный список таких мер. Предварительно ознакомьтесь с содержанием соответствующих статей, поскольку важно не только заявлять декларативно о применении мер, но и действительно внедрять их в компании. В противном случае может грозить привлечение к ответственности.

Пример:

В графе о средствах безопасности укажите меры, которые позволяют вам следить за сохранностью ПДн — это могут быть меры как технического, так и организационного характера. В каждой организации в зависимости от вероятности утечек и иных факторов используются свои способы обеспечения информационной безопасности.

Для иллюстрации можно привести следующие:

Для правильного заполнения поля «Сведения об обеспечении безопасности» нужно установить, какие угрозы актуальны для вашей компании. Уровень защищенности можно определить, исходя из:

• типов угроз (1, 2 или 3 типа);
• категорий ПДн (специальные, биометрические, общедоступные, иные);
• количества субъектов ПДн (менее 100000, более 100000).

Для каждого уровня из четырех отдельные требования к безопасности Нужный уровень защищенности ПДн поможет определить калькулятор (см. раздел «определить уровень защищенности»).

Дата начала обработки чаще всего совпадает с датой регистрации компании. Маловероятно, что компания не обрабатывает данные граждан с самого начала своей деятельности. Обычно сразу появляется информация о клиентах, о представителях сторонних организаций (например, курьеров, ремонтных служб, служб доставки).

Дату окончания обработки определить затруднительно. Поэтому лучше укажите условия, при которых вы больше не будете обрабатывать сведения.

Вариант заполнения:

Заполняем категории персональных данных

Создайте отдельную ИСПДн для каждой категории субъектов. Это правило следует из законодательного принципа недопустимости объединения ПДн, которые обрабатываются в несовместимых между собой целях.

Перед заполнением уведомления:

1. Установите категории физических лиц, сведения о которых вы собираете.
2. Установите точный перечень ПДн, которые вы собираете в рамках отдельной категории.
3. Определите цели использования ПДн по каждой категории.
4. Установите, есть ли передача ПДн за границу применительно к отдельной категории.

В разделе уведомления «Сведения об информационных системах» каждую категорию физических лиц укажите отдельно. Например, сначала вы заполняете перечень действий, категории и иные сведения об обработке ПДн клиентов. Если вы также обрабатываете сведения о других субъектах, добавьте новую ИС и заполните раздел для новой категории субъектов ПДн.

В поле «Перечень действий» указываются действия, которые вы осуществляете с данными. Выберите все действия из перечня, закрепленного в законе:

Если ПДн хранятся только в электронной форме, то обработка является автоматизированной.

Смешанная обработка возможна, если данные хранятся как в бумажной форме, так и в электронных базах. Например, сведения о работниках, как правило, хранятся в карточке Т-2, трудовой книжке и одновременно в электронных базах (СКУД, 1С, SAP), следовательно, обработка смешанная.

Также обязательно указать, передаются ли ПДн внутри организации и с использованием сети интернет.

Вариант заполнения формы:

В графе «Категории персональных данных» нужно перечислить личные сведения о субъектах, которые вы обрабатываете. Если вы собираете данные, не перечисленные в форме уведомления, дополнительно сообщите об этом в соответствующем поле.

Вариант заполнения:

Особое внимание уделите при указании специальных категорий и биометрических ПДн. К обработке указанных категорий законодательство устанавливает повышенные требования, в том числе к основаниям сбора(требуется письменное согласие) и защите.

В поле «Категории субъектов» рекомендуется писать только одну категорию (например, работники). Как уже отмечено, каждая отдельная категория указывается при помощи добавления новой ИС путем нажатия кнопки:

Если компания передает данные в другие страны, нужно также уведомить об этом РКН. Нередки случаи, когда информация передается в организацию, расположенную за рубежом: например, если сайт интернет-магазина имеет направленность на российских потребителей и принадлежит международной компании; компания имеет филиалы по всему миру и данные работников передаются в материнскую компанию; иные ситуации.

Также укажите СКЗИ, которые вы используете, и класс таких средств (если применимо). Если вы не применяете СКЗИ, укажите, что их нет. Вариант заполнения:

Указание адреса ЦОДа

Важно верно указать адреса ЦОДов, в которых размещены ИС со сведениями о субъектах. До передачи информации в ЦОД или облако необходимо заключить договор-поручение на обработку ПДн с ЦОДом или облачным провайдером. Данное требование было отдельно отмечено представителями РКН в ходе публичного семинара по итогам контрольно-надзорной деятельности ведомства за 9 месяцев 2020 года.

ПДн российских граждан должны первично обрабатываться на территории России соответственно. При этом дальнейшая трансграничная передача ПДн не запрещена. Если вы пользуетесь облачным провайдером, расположенным за границами Российской Федерации, то необходимо создавать первичную базу данных на территории России. Штрафы за несоблюдение могут доходить до 18 млн руб.

Перед трансграничной передачей разместите базы данных у российского провайдера. В уведомлении укажите первичный адрес базы данных. Адрес ЦОД обычно указан в договоре-поручении на обработку ПДн, заключаемом между оператором и облачным провайдером.

Ответственный за обработку персональных данных

В конце уведомления укажите сведения о назначенном лице (или компании), ответственном за обработку ПДн, в том числе ФИО (или название компании) и контакты. На практике назначается приказом сотрудник компании. Рекомендуется указывать достоверную контактную информацию, поскольку Роскомнадзор может связаться с представителем оператора для оперативного взаимодействия.

Частые ошибки

Типичные ошибки при заполнении уведомления:

1. Неверно указано правовое основание обработки ПДн. Считается, что для обработки достаточно согласия субъекта. Этот подход неверный, согласие не «панацея» во всех случаях. Важно перечислить перечень законов и подзаконных актов, в соответствии с которыми осуществляется обработка.
2. Неправильно определены цели обработки ПДн. Например, ошибочно указывать в качестве цели «хранение персональных данных». Хранение — это одно из действий по обработке. Кроме того, недопустимо собирать сведения о субъекте только для того, чтобы хранить в базах данных. В 2019 году РКН составил 111 протоколов по данному нарушению.
3. Ошибочно установлен уровень защищенности ПДн. Как следствие, не указаны необходимые меры безопасности. Для правильного определения уровня рекомендуется привлекать специалистов по информационной безопасности.
4. Данные всех категорий субъектов заполнены в рамках одной ИС. Напомним, что сведения о каждой группе физических лиц (сотрудники, посетители сайта и т.п.) в уведомлении лучше выделить отдельно, поскольку недопустимо объединение баз ПДн, обрабатываемых в разных целях.
5. Указаны не все категории субъектов ПДн. Без проведения аудита обработки сложно выявить все группы субъектов. Например, компании забывают про обработку сведений о соискателях.
6. Отсутствуют сведения о первичной базе данных в России.Это прямой повод для проведения проверки Роскомнадзором, по итогам которой компанию могут оштрафовать за отсутствие локализации.

Непредоставление полной информации по данным отчета РКН за 2019 год составляет 17% от общего числа нарушений.

Сроки и порядок отправки уведомления

Подайте уведомление до начала обработки в бумажном или в электронном виде. Роскомнадзор включает в реестр по истечении 30 дней с момента регистрации уведомления. Для проверки статуса уведомления и факта включения в реестр достаточно в поисковой строке указать ИНН.

Форма уведомления: бумажный носитель или электронный документ.

Есть три способа подачи уведомления:

• в бумажном варианте;
• в электронном виде с применением усиленной электронной подписи;
• электронно с использованием портала Госуслуг.

Для подачи на бумажном носителе можно заполнить форму на сайте Роскомнадзора. После заполнения автоматически сформируется документ с уникальным номером и ключом. Заполненный бланк нужно распечатать и направить по адресу выбранного органа.

Появилась возможность электронной подачи. Однако потребуется усиленная квалифицированная ЭП или подтвержденная учетная запись на портале Госуслуг.

Подпись, оформление и отправка уведомления

Если уведомление подается в бумажном виде, его необходимо оформить на бланке организации (но если бланка нет, то можно без него). Затем подпишите и поставьте печать. Подписать может либо генеральный директор, либо лицо по доверенности — в таком случае должна быть приложена доверенность. Оформленное уведомление направьте по адресу территориального органа заказным письмом. Это позволит в дальнейшем отследить получение.

Последствия неуведомления

Даже если оператор уже давно обрабатывает данные и не состоит в реестре, целесообразно подать уведомление (на практике операторов не привлекали к ответственности, если уведомление подано позже начала обработки). Существует ошибочное мнение, что в поле зрения уполномоченного органа только компании в реестре. Роскомнадзор вправе направить запрос о подаче уведомления в любую организацию.

За несообщение предусмотрен штраф (статья 19.7. КоАП РФ):

для граждан	100-300 рублей
для должностных лиц	300-500 рублей
для юридических лиц	3000-5000 рублей

Штрафовать могут неоднократно. В 2019 году РКН составил 5191 протокол по статье 19.7. и наложил штрафы в размере 4 231 430 рублей.

Необходимость внесения изменений в реестр операторов

При изменении процессов обработки или общих сведений оператор должен уведомить об этом. Например, если компания:

• стала получать информацию о новой группе субъектов ПДн;
• переехала в другое место или изменила название;
• назначила новое ответственное лицо.

Помимо уведомления Роскомнадзора не забудьте внести изменения в поручения на обработку ЦОДам или провайдерам облачных сервисов.

Сведения об изменениях сообщаются путем отправки информационного письма:

• форма письма размещена на сайте РКН, совпадает с уведомлением;
• заполнить нужно только те разделы, в которые вносятся изменения;
• порядок оформления и отправки аналогичен действиям с уведомлением.

Экспертный материал

Алексей Залецкий | Эксперт в области информационной безопасности

Уведомление об обработке персональных данных (ПДн) необходимо подавать в Роскомнадзор до начала их обработки. Большинство компаний были созданы до появления закона о ПДн и соответственно занимались их обработкой. Они также должны подавать уведомление.

Подача уведомления регламентирует статьёй 22 ФЗ №152 (ссылка на материал). Во 2-ой части 2 статьи указаны исключения из этого требования:

• Обработка ПДн включенных в государственных информационных системах (ГИС), созданные в целях защиты безопасности государства и общественного порядка (то есть в основном ГИС силовых ведомств и спецслужб);

• Обработка ПДн только неавтоматизированная (если в вашей компании ПДн только на бумаге);

• ПДн обрабатываются в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Остальные пункты этой части статьи 2 были отменены с 1 сентября 2022 года, то есть во всех иных случаях нужно подавать уведомление.

Подавать уведомление о начале обработки ПДн необходимо в Роскомнадзор. Возможные формы представлены на сайте Роскомнадзора.

Ниже приводим подробный чек-лист, какие шаги необходимо пройти для подачи уведомления:

1. Сформировать уведомление и направить в бумажном виде.

Вы можете заполнить форму, распечатать и отправить в территориальный орган.

2. Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи.

Вы можете заполнить форму и подписать ее электронной подписью. В этом случае подача в бумажном виде не потребуется. У вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним.

3. Сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.

Пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде. У Вас должна быть подтвержденная учетная запись. Отправка копии в бумажном виде в данном случае не потребуется. В случае если Вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале Госуслуг.

Данные, которые нужно указать:

1. Выбрать из выпадающего списка наименование территориального органа Роскомнадзора, куда будет отправлено уведомление (например, Центральный федеральный округ).

   

2. Указать тип оператора (например, Юридическое лицо)

   

3. Указать полное наименование оператора с указанием организационно-правовой формы (Общество с ограниченной ответственностью «Компания») в соответствии с учредительными документами.

   

4. Указать сокращенное наименование оператора, осуществляющего обработку персональных данных (не обязательно).

   

5. Указать адрес местонахождения и почтовый адрес, можно выбрать из списка. Если совпадают, то можно ввести только адрес местонахождения и поставить галочку, что почтовый адрес совпадает.

   

6. Укажите контактную информацию (не обязательно, кроме адреса электронной почты. Адрес сотрудника лучше не указывать, так как он будет опубликован в публично доступном реестре операторов персональных данных. Лучше использовать адрес корпоративного почтового ящика.

   

7. Указать регионы, в которых осуществляется обработка ПДн. Например, если центральный офис и филиалы находятся в разных регионах, то нужно перечислить их все. Но, если филиалы это отдельные юридические лица, которые самостоятельно будут подавать уведомления, то только регион центрального офиса.

8. Указать ИНН и ОГРН, а также можно и остальные коды. В соответствии с учредительными документами. При наличии филиалов перечислить их.

   

9. Указать правовое основание обработки персональных данных. Тут надо перечислить все документы от верхнеуровневых, до локальных нормативно-правовых актов. Например:

   • Персональные данные обрабатываются на основании и руководствуясь Конвенцией Совета Европы «О защите физических лиц в отношении автоматизированной обработки персональных данных» (ETS № 108) от 28.01.1981 и Федеральным законом от 19.02.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки Персональных данных»;
   • Конституцией Российской Федерации от 12.12.1993г.;
   • Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
   • Трудовым кодексом РФ от 30.12.2001 № 197-ФЗ;
   • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
   • Федеральным законом «О бухгалтерском учете» от 06.12.2011 № 402-ФЗ;
   • Налоговым кодексом РФ;
   • Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
   • Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
   • Уставом ООО «Компания»;
   • Локальными актами ООО «Компания об обработке персональных данных в ООО «Компания»», «Положение об обеспечении безопасности персональных данных ООО «Компания», «Политика защиты персональных данных в ООО «Компания», «Политика в отношении обработки персональных данных в ООО «Компания»).

   

10. Указать цели обработки персональных данных. Будьте осторожны, помня, про часть 2 статьи 5 ФЗ-152, которая сообщает нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Например:

    • исполнение соглашения или договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
    • идентификация стороны в рамках договоров или соглашений с ООО «Компания»;
    • предоставление информации в государственные органы Российской Федерации в порядке, предусмотренном действующим законодательством;
    • соблюдение норм и требований по охране труда и обеспечению личной безопасности работников ООО «Компания», сохранности имущества;
    • страхование по программам добровольного медицинского страхования;
    • связь с субъектом в случае необходимости, в том числе направление уведомлений, информации и запросов, связанных с осуществлением деятельности ООО «Компания»;
    • исполнение условий трудового договора и осуществления прав и обязанностей в соответствии с трудовым законодательством;
    • принятие решения о приёме, либо отказе в приёме на работу;
    • ведение кадрового резерва;
    • обеспечение соблюдения законов и иных правовых актов; соблюдение локальных нормативных актов ООО «Компания»;
    • обучение и карьерное продвижение работников ООО «Компания»;
    • контроль количества и качества выполняемой работы;
    • начисление заработной платы; организация командировок работников ООО «Компания»;
    • публикация во внутренних справочниках, адресных книгах ООО «Компания».

    

11. Указать описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных».

    В данном пунктеможно расписать много чего, особенно если есть проект по системе защиты, реализованы технические и организационные меры. Но тут стоит ограничится разумным объемом для поля онлайн-формы. Можно определить для себя 0,5 – 1 страница печатного текста. Например:

    • Назначен ответственный за организацию обработки персональных данных.
    • Разработаны и утверждены документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
    • Применяются меры по обеспечению безопасности персональных данных.
    • Осуществляется внутренний контроль и аудит соответствия обработки персональных данных Федеральному закону №152 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам.
    • Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных и утвержденной политикой защиты персональных данных и иными локальными актами по вопросам обработки персональных данных.
    • Политика защиты персональных данных опубликована на сайтах company.com.
    • Разработаны и приняты модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
    • Назначена комиссия с целью проведения работы по определению уровней защищенности информационных систем персональных данных, по итогам работы которой приняты акты определения уровней защищенности информационных систем персональных данных.
    • Введены в обращение новые формы согласий субъектов персональных данных на обработку персональных данных в соответствии с требованиями действующего законодательства.
    • Ведется обнаружение фактов несанкционированного доступа к персональным данным.
    • Установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных.
    • Применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
    • Выполняется восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
    • Ведется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
    • Средства защиты информации можно перечислить в виде категорий, например, антивирусное ПО, межсетевой экран и т.п. Да и в целом на этапе подачи уведомления их просто может и не быть. И надо помнить, что эта информация будет опубликована, а он будет лакомым куском на этапе разведки для злоумышленника.

    

12. Указать сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:

    • Работники ООО «Компания», осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных локальными актами ООО «Компания».
    • В ООО «Компания» определены места хранения персональных данных, ведется учет лиц, допущенных к обработке персональных данных. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
    • В ООО «Компания» локальными нормативными актами установлен перечень мер по обеспечению сохранности персональных данных и исключению несанкционированного к ним доступа.
    • В ООО «Компания» произведено определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных. Обработка персональных данных осуществляется в соответствии с установленным уровнями защищенности персональных данных.

    

13. Указать дату начала обработки персональных данных.

    Указать дату регистрации юридического лица, так как с этого момента почти всегда начинается обработка персональных данных.

    

14. Указать условие прекращения обработки персональных данных.

    Типичные условия: достижение целей обработки, отзыв физическим лицом согласия на обработку персональных данных, истечение сроков хранения документов, прекращение деятельности ООО «Компания» в связи с ликвидацией, реорганизация ООО «Компания».

    

15. Указать способы обработки ПДн.

    Тут указываем как есть для выбранной ИС. Например: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    

16. Указать категории персональных данных.

    Перечислить все категории ПДн, которые обрабатываются в информационной системе: паспортные данные; специализация; адрес электронной почты; резюме; должность; зарплата; специализация; пол; местоположение; номер телефона; ИНН; запись видеособеседования; паспортные данные; документы подтверждающие работу в компании; ссылки на профили в профессиональных сообществах; навыки и опыт; условия работы; СНИЛС; контактная информация; почтовый адрес; банковские реквизиты; организация; адрес организации; образец подписи; реквизиты юридического лица.

    

17. Указать категории субъектов персональных данных.

    Например, принадлежащих: работникам, соискателям, пользователям сайта, представителям контрагентов.

    

18. Указать действия с персональными данными.

    Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    

19. Указать информацию об осуществлении трансграничной передачи данных (передаются ли персональные данные за рубеж, но помните, что первичный сбор ПДн в БД обязателен на территории РФ, при нарушении самые суровые штрафы).

    

20. Указать, используются ли шифровальные (криптографические) средства.

    Обычно требуются для шифрования данных выходящих за контролируемую зону (чаще всего периметр офиса или предприятия). И здесь без нюансов тоже не обошлось. Криптографию в России регулирует ФСБ, а их требования приводят к тому, что нужно использовать сертифицированные криптошлюзы или ПО, которые поддерживают российские алгоритмы шифрования. То есть OpenVPN не подойдёт.

    

21. Указать адреса ЦОДов, если, например, пользуетесь услугами облачных провайдеров.

    Эту информацию можно получить у облачного провайдера.

    

    Шаги 15-21 нужно будет повторить для всех информационных систем персональных данных.

22. Указать информацию об ответственном за организацию обработки персональных данных.

    Помните о том, что они станут публичными. Поэтому контакты исключительно указываем рабочие.

    

    А также указать контактные данные исполнителя, который будет их заполнять.

После заполнения формы уведомления о намерении осуществлять обработку персональных данных и отправки ее в информационную систему Уполномоченного органа по защите прав субъектов персональных данных вам необходимо распечатать заполненную форму, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора. (Например, Управление Роскомнадзора по Центральному федеральному округу).

Нововведения

С 26 декабря 2022 года в силу вступил
Приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных». Поэтому, если планируете заполнять исключительно в бумажном виде уведомление, то воспользуйтесь формой из приложения к данному приказу. В нём же есть форма для уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных,  а также форма уведомления о прекращении обработки персональных данных.

Ошибки при заполнении уведомления

Типичные ошибки при заполнении уведомления Роскомнадзора перечислены на сайте по
ссылке.

К ним можно добавить следующие ошибки:

1. При описании целей обработки персональных данных, они сформулированы слишком обще или указаны в рамках видов деятельности, которые не ведутся в настоящее время организацией. Тут нужно изучать устав и лицензии, чтобы исключить лишние цели. При этом надо помнить, что если обработка ПДн ведётся вне рамок указанных целей, то это может трактоваться как нарушение.

2. Меры защиты указаны слишком конкретно, например, точные модели средств защиты информации. Такой подход ведёт к тому, что часто нужно будет направлять информации о внесении изменений в уведомление. Лучше указать наименование подсистем системы защиты персональных данных.

3. И ещё, бывает, указывают личные адреса электронной почты и номера телефонов. Надо понимать, что реестр операторов персональных данных публично доступен, и данные быстро утекут в различные спам-базы и к мошенникам. Поэтому указывайте только рабочие номера телефонов и адреса электронной почты.