Пример заполнения электронной формы уведомления о намерении осуществлять обработку персональных данных

Основания для составления документа

В соответствии с ч. 1 ст. 22 152-ФЗ «О персональных данных», организация обязана уведомить Роскомнадзор о том, что хочет работать с такой информацией еще до начала обработки.

Если ваша компания уже работает или только планирует взаимодействовать с данными, позволяющими идентифицировать человека (сотрудника, клиента, соискателя, контрагента), необходимо заполнить и направить в Роскомнадзор уведомление об обработке персональных данных (скачать форму и образец заполнения можно ниже) в самые кратчайшие сроки.

Что нужно знать об уведомлении Роскомнадзора об обработке персональных данных

В мае 2020 года Роскомнадзор утвердил методические рекомендации о том, как известить об обработке сведений, которые компании получают от сотрудников и клиентов. Рассмотрим, в каких случаях требуется уведомление Роскомнадзора об обработке персональных данных и как подготовить документ. Правила обработки персональных данных и обязанности компаний-операторов изложены в «О персональных данных».

В частности, в ст. 22 этого закона указали, что компания-оператор перед началом своей деятельности обязана известить Роскомнадзор. Уведомление Роскомнадзора об обработке персональных данных осуществляют в соответствии с …, утв. приказом Роскомнадзора от 30 мая 2020 г.

№ 94. Обратите внимание, что согласно приказу № 94 утратили силу , утв. Роскомнадзором от 29 января 2020 г. Также с 21 августа 2017 года больше не действует приказ Минкомсвязи России .

✔ Памятки по работе с персональными данными Направить в адрес Роскомнадзора уведомление об обработке персональных данных должен каждый . Компания является оператором, если в том или ином виде взаимодействует с информацией, которую получает у граждан и которая входит в такие данные. В частности, если компания получает у клиентов сведения о месте проживания, паспортные данные и т.

п., она является оператором. Из общего правила есть исключения. Уведомлять Роскомнадзор не нужно, если:

1. персональные данные используют только в договорной работе – например, в договоре указывают персональные данные представителя контрагента;
2. компания получает и обрабатывает информацию только о ;
3. при обработке данных не применяют средства автоматизации (см. ).

Ч.

2 ст. 22 закона № 152-ФЗ содержит перечень исключений. Во всех остальных случаях Роскомнадзор должен получить уведомление об обработке персональных данных.

Уведомлять Роскомнадзор об обработке персональных нужно при помощи документа, составленного по форме. Воспользуйтесь сайтом ведомства, чтобы подготовить уведомление Роскомнадзора об обработке персональных данных, форма документа .

Ведомство ведет реестр операторов персональных данных. После того, как уведомление об обработке персональных данных направляют в Роскомнадзор, в течение 30 дней документ должны обработать и поместить сведения о компании в реестр.

Рекомендуем прочесть: Межведомственная комиссия по защите государственной тайны уменьнение ограничения на аыкзж

Внесение компании в список операторов можно проверить на сайте. Информация о файле Если уведомлять Роскомнадзор будут в электронном виде, нужно:

1. распечатать получившийся документ;
2. поставить подпись и переслать в территориальный орган ведомства по месту нахождения компании.
3. заполнить образец формы уведомления об обработке, который есть на сайте;

Подавать уведомление в ведомство можно не только через портал Роскомнадзора, уведомление об обработке персональных данных примут на . Также для извещения Роскомнадзора можно использовать бумажную форму документа: , заполнить его и направить по почте.

В уведомление на обработку персональных данных Роскомнадзор включил разделы, которые касаются характера сведений, цели их сбора, методов работы.

Содержание

Для того чтобы попасть в реестр операторов персональных данных (ПДн), необходимо предоставить следующую информацию:

• наименование (или ФИО), адрес;
• цель обработки;
• категории ПДн;
• категории субъектов, персональные данные которых обрабатываются;
• правовое основание;
• перечень действий с ПДн и их способы обработки;
• описание мер, предусмотренных статьей 18.1 и статьей 19 Федерального закона №152-ФЗ, в том числе, сведения о наличии шифровальных средств;
• данные физического или юридического лица, ответственных за организацию обработки персональных данных;
• дата начала обработки информации;
• срок или условие прекращения обработки;
• сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
• сведения о месте нахождения базы данных информации, содержащей ПДн граждан Российской Федерации;
• сведения об обеспечении безопасности ПДн.

Как подать уведомление в Роскомнадзор

Трансграничная передача персональных данных:

Не осуществляется.

Указанное уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Смотрите также:

Образец заполнения формы уведомления об обработке персональных данных Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных образовательного учреждения Правила обработки персональных данных при проведении медицинских исследований Советы по обеспечению требований к обработке данных Направление уведомлений Инструкция операторам по обработке персональных данных на пэвм Инструкция пользователя при обработке персональных данных на объектах вычислительной техники Общие положения Положение о персональных данных работника Инструкция пользователя, осуществляющего обработку персональных данных Положение об обработке и защите персональных данных работников и обучающихся образовательного учреждения I. Общие положения Положение «О защите, хранении, обработке и передаче персональных данных работников муниципальных образовательных учреждений» Положение по обработке и защите персональных данных Положение «Об обработке персональных данных обучающихся мбоу сош №40»

Рекомендации по оформлению

ВНИМАНИЕ: Как правило, заполнением уведомления об обработке персональных данных в Роскомнадзор и отправкой составляемого документа занимается специалист по защите информации, администратор безопасности или ответственный за организацию обработки ПДн.

Но при оформлении уведомления о намерении осуществлять обработку персональных данных для ООО в Роскомнадзор (скачать форму и пример заполнения можно ниже) вы также должны следовать правилам:

1. Проверьте полноту и правильность заполнения всех пунктов. Отвечать на вопросы, не отмеченные звездочкой, не обязательно.
2. При поздней отправке уведомления датой начала работы с ПДн правильно будет обозначить дату регистрации вашей компании.
3. Обратите внимание, что при заполнении электронной формы уведомления на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, ее необходимо распечатать, подписать и направить в территориальный орган.
4. Обо всех изменениях, касающихся систем, указанных в документе, необходимо уведомлять территориальное управление Роскомнадзора в срок до 10 дней.

Информационное письмо роскомнадзор

Содержание Роскомнадзор ведёт реестр операторов — компаний, выполняющих требования закона «О персональных данных». Чтобы попасть в реестр, компания подаёт уведомление об обработке персональных данных.

Это может быть непросто сделать: непонятно, когда подавать уведомление, как его заполнить и как убедиться, что информация дошла до Роскомнадзора. Закон «О персональных данных» требует, чтобы каждая компания подала уведомление.

В законе есть несколько исключений, позволяющих ряду компаний избежать этого. В этом случае нужно быть готовым юридически грамотно доказать контролирующему органу, что исключения на компанию распространяются. Сделать это не так-то просто: отсутствие уведомления — одно из самых частых нарушений, выявляемых в ходе проверок Роскомнадзора.

Самый лучший вариант — подать уведомление и обезопасить компанию от вопросов контролирующего органа, почему это не было сделано.

Иногда компании опасаются, что подача уведомления привлечёт излишнее внимание Роскомнадзора, и он придёт с проверкой.

На практике этого не происходит. Уведомление подаётся до начала обработки персональных данных.

Исходя из буквы закона, это нужно сделать в первые дни после государственной регистрации юридического лица или ИП.

Часто решение подать уведомление принимается тогда, когда компания работает уже несколько месяцев или несколько лет. Не стоит опасаться штрафа или других санкций за «опоздание» с подачей уведомления. А вот если компанией заинтересуется Роскомнадзор (придёт с проверкой или пришлёт «письмо счастья», где потребует подать уведомление), тогда штрафа будет не избежать.

Важный нюанс: даже если уведомление подаётся с «опозданием», в качестве «даты начала обработки персональных данных» лучше указать дату государственной регистрации компании.

Уведомление нужно подать через интернет (в электронном виде) и направить по почте (в печатном виде).

Электронная форма уведомления заполняется на сайте Роскомнадзора.

Требуется указать достаточно много информации, и это не так-то просто сделать, несмотря на наличие подсказок. Нужно быть готовым сформулировать правовые основания и цели обработки персональных данных, описать совершаемые с ними действия и указать, каким образом обеспечивается их безопасность. После отправки электронной формы сайт Роскомнадзора предложит скачать уже заполненную печатную форму.

Её нужно будет распечатать, подписать и удостоверить печатью компании, после чего отправить по почте в территориальный орган Роскомнадзора. Это необходимо, чтобы подтвердить сведения, поданные через интернет.

Ещё можно заполнить уведомление в электронном виде на Портале государственных услуг, однако это менее удобный способ.

После заполнения уведомления на сайте Роскомнадзора компания получит номер уведомления и секретный ключ. С их помощью на специальной странице можно уточнить статус уведомления и узнать, когда его сведения попадут в реестр операторов. Вся информация в реестре операторов общедоступна, кроме сведений об обеспечении безопасности персональных данных.

Как правильно заполнить?

Теперь рассмотрим правила заполнения документа (и образец заполненного уведомления об обработке персональных данных в Роскомнадзор можно ниже):

1. Первые пункты электронной формы уведомления содержат информацию об операторе – самой организации, которая будет им являться. Название, тип, адрес, контактные данные, ИНН, и необязательные для заполнения пункты: ОГРН, ОКВЭД, ОКФС, ОКОГУ, ОКОП, перечислить все филиалы фирмы.
2. Правовое основание. В пункте указываются все нормативно-правовые акты, касающиеся ПДн. Например, 152-ФЗ «О персональных данных», Трудовой кодекс, Устав организации, основные законы, регулирующие деятельность компании, включающие в себя необходимость сбора и обработки информации о людях, позволяющие их идентифицировать.
3. Цель. Важно указать все цели обработки информации, так как работа с избыточным количеством ПДн — серьезное нарушение, за которым последует штраф. Как правило, целью является обеспечение или ведение кадровой и бухгалтерской деятельности, оказание определенных услуг.
4. Описание мер, предусмотренных статьей 18.1 и статьей 19 ФЗ «О персональных данных». Здесь важно описать все перечисленные в законе меры в том виде, что они реализованы.
   ВАЖНО: Реализация всех указанных в пунктах 18.1 и 19 мер обязательна!

   Разработан ряд внутренних документов: положение по обработке ПДн, перечень ИСПДн, перечень персональных данных, подлежащих защите и другие. Необходимо перечислить все разработанные в соответствии с законом документы.

   Приказом номер N Назначен сотрудник, ответственный за обработку персональных данных. Все работники ознакомлены с инструкциями по работе в ИСПДн, проводится своевременное обучение новых кадров. Обеспечено разграничение доступа к данным, реализованное с помощью установленных сертифицированных средств защиты информации (СЗИ), возможность их восстановления, в случае утери.

   При работе с документами используется электронная подпись, лицензионное антивирусное программное обеспечение.

5. Сведения об обеспечении безопасности. Здесь необходимо перечислить все используемые средства защиты информации, можно указать данные о лицензиях, сертификатах. Указанного пункта анкеты не будет в открытом доступе, поэтому заполненная информация не повлияет на защищенность вашей системы.
6. Дата начала обработки. Как правило, дата совпадает со временем начала работы компании, следует ее указать.
7. Срок или условие прекращения обработки. Самый распространенный пример заполнения: «Завершение работы .
8. Категории ПДн. Отмечаете галочками ту информацию, которая у вас действительно обрабатывается. Если организация работает с категориями, не указанными в перечне, перечислите их ниже. Не нужно о пункты. Только то, что действительно есть. За обработку избыточного количества информации, позволяющих идентифицировать человека, возможен штраф.
9. Категории субъектов, данные которых обрабатываются. К примеру, сотрудники компании, члены их семьи, соискатели, клиенты организации.
10. Перечень действий. Согласно 152-ФЗ, это может быть сбор, запись, систематизация, накопление, хранение, уточнение. Лишние пункты удалите.
11. Способ обработки. Чаще всего системы являются смешанными, реже автоматизированными, с передачей по внутренней сети юридического лица и без передачи по сети Интернет.
12. Осуществление трансграничной передачи информации. В этом пункте указывается, отправляете ли вы информацию заграницу. Если да, необходимо перечислить все страны.
13. Использование шифровальных средств. Если они установлены, необходимо поставить галочку, перечислить название и класс средств защиты информации.
14. Сведения о местонахождении базы данных информации, содержащей ПДн граждан РФ. Указывается страна, адрес и является ли центр обработки данных (ЦОД) собственностью компании. Последний пункт не является обязательным, не обязательно указывать лишнюю информацию. В качестве ЦОДа может выступать даже персональный компьютер пользователя.
15. Далее необходимо ввести данные сотрудника, ответственного за организацию обработки персональных данных, назначенный соответствующим приказом (указать номер, дату подписания), либо юридическое лицо, с кем заключен контракт на проведение работ в этой области. Данная контактная информация будет находиться в открытом доступе, предупредите об этом коллегу.

Указывать данные исполнителя не обязательно, тем более если им выступал указанный выше сотрудник. Проверить, внесли ли ваши данные в реестр операторов, можно будет через пару недель.

Подробнее о том, как правильно заполнить форму уведомления Роскомнадзора об обработке персональных данных, читайте тут.

Уведомление о персональных данных в роскомнадзор образец заполнения

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами.Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.Здесь важно учесть, что запрос Роскомнадзора — это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность. Возможны две ситуации: Для начала рассмотрим первую ситуацию.Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. В соответствии со статьей 19.7 Ко АП РФ за непредоставление информации в срок предусмотрена административная ответственность. Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.Другая распространенная ошибка – непродуманный ответ.

Следует обратить внимание на то, все ли пункты уведомления заполнены.Статья 19.7 Ко АП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок.Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. Прежде всего, найдите непосредственную форму уведомления — она находится на сайте Роскомнадзора.Изучив форму, вы поймете, что заполнение уведомления — это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную. Прежде всего необходимо выполнить самообследование.

Для этого и послужит отправной точкой форма уведомления.В нем четко видно, что необходимо определить: В качестве помощника в затруднительных ситуациях можно использовать

«Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных»

утвержденных приказом Роскомнадзора от г.Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.Если вам удалось провести полноценное обследование, и вы выявили самое главное — цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных».