Экспертный материал
Алексей Залецкий | Эксперт в области информационной безопасности
Уведомление об обработке персональных данных (ПДн) необходимо подавать в Роскомнадзор до начала их обработки. Большинство компаний были созданы до появления закона о ПДн и соответственно занимались их обработкой. Они также должны подавать уведомление.
Подача уведомления регламентирует статьёй 22 ФЗ №152 (ссылка на материал). Во 2-ой части 2 статьи указаны исключения из этого требования:
-
Обработка ПДн включенных в государственных информационных системах (ГИС), созданные в целях защиты безопасности государства и общественного порядка (то есть в основном ГИС силовых ведомств и спецслужб);
-
Обработка ПДн только неавтоматизированная (если в вашей компании ПДн только на бумаге);
-
ПДн обрабатываются в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Остальные пункты этой части статьи 2 были отменены с 1 сентября 2022 года, то есть во всех иных случаях нужно подавать уведомление.
Подавать уведомление о начале обработки ПДн необходимо в Роскомнадзор. Возможные формы представлены на сайте Роскомнадзора.
Ниже приводим подробный чек-лист, какие шаги необходимо пройти для подачи уведомления:
1. Сформировать уведомление и направить в бумажном виде.
Вы можете заполнить форму, распечатать и отправить в территориальный орган.
2. Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи.
Вы можете заполнить форму и подписать ее электронной подписью. В этом случае подача в бумажном виде не потребуется. У вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним.
3. Сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.
Пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде. У Вас должна быть подтвержденная учетная запись. Отправка копии в бумажном виде в данном случае не потребуется. В случае если Вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале Госуслуг.
Данные, которые нужно указать:
-
Выбрать из выпадающего списка наименование территориального органа Роскомнадзора, куда будет отправлено уведомление (например, Центральный федеральный округ).
-
Указать тип оператора (например, Юридическое лицо)
-
Указать полное наименование оператора с указанием организационно-правовой формы (Общество с ограниченной ответственностью «Компания») в соответствии с учредительными документами.
-
Указать сокращенное наименование оператора, осуществляющего обработку персональных данных (не обязательно).
-
Указать адрес местонахождения и почтовый адрес, можно выбрать из списка. Если совпадают, то можно ввести только адрес местонахождения и поставить галочку, что почтовый адрес совпадает.
-
Укажите контактную информацию (не обязательно, кроме адреса электронной почты. Адрес сотрудника лучше не указывать, так как он будет опубликован в публично доступном реестре операторов персональных данных. Лучше использовать адрес корпоративного почтового ящика.
-
Указать регионы, в которых осуществляется обработка ПДн. Например, если центральный офис и филиалы находятся в разных регионах, то нужно перечислить их все. Но, если филиалы это отдельные юридические лица, которые самостоятельно будут подавать уведомления, то только регион центрального офиса.
-
Указать ИНН и ОГРН, а также можно и остальные коды. В соответствии с учредительными документами. При наличии филиалов перечислить их.
-
Указать правовое основание обработки персональных данных. Тут надо перечислить все документы от верхнеуровневых, до локальных нормативно-правовых актов. Например:
- Персональные данные обрабатываются на основании и руководствуясь Конвенцией Совета Европы «О защите физических лиц в отношении автоматизированной обработки персональных данных» (ETS № 108) от 28.01.1981 и Федеральным законом от 19.02.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки Персональных данных»;
- Конституцией Российской Федерации от 12.12.1993г.;
- Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Трудовым кодексом РФ от 30.12.2001 № 197-ФЗ;
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
- Федеральным законом «О бухгалтерском учете» от 06.12.2011 № 402-ФЗ;
- Налоговым кодексом РФ;
- Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Уставом ООО «Компания»;
- Локальными актами ООО «Компания об обработке персональных данных в ООО «Компания»», «Положение об обеспечении безопасности персональных данных ООО «Компания», «Политика защиты персональных данных в ООО «Компания», «Политика в отношении обработки персональных данных в ООО «Компания»).
-
Указать цели обработки персональных данных. Будьте осторожны, помня, про часть 2 статьи 5 ФЗ-152, которая сообщает нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Например:
- исполнение соглашения или договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- идентификация стороны в рамках договоров или соглашений с ООО «Компания»;
- предоставление информации в государственные органы Российской Федерации в порядке, предусмотренном действующим законодательством;
- соблюдение норм и требований по охране труда и обеспечению личной безопасности работников ООО «Компания», сохранности имущества;
- страхование по программам добровольного медицинского страхования;
- связь с субъектом в случае необходимости, в том числе направление уведомлений, информации и запросов, связанных с осуществлением деятельности ООО «Компания»;
- исполнение условий трудового договора и осуществления прав и обязанностей в соответствии с трудовым законодательством;
- принятие решения о приёме, либо отказе в приёме на работу;
- ведение кадрового резерва;
- обеспечение соблюдения законов и иных правовых актов; соблюдение локальных нормативных актов ООО «Компания»;
- обучение и карьерное продвижение работников ООО «Компания»;
- контроль количества и качества выполняемой работы;
- начисление заработной платы; организация командировок работников ООО «Компания»;
- публикация во внутренних справочниках, адресных книгах ООО «Компания».
-
Указать описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных».
В данном пунктеможно расписать много чего, особенно если есть проект по системе защиты, реализованы технические и организационные меры. Но тут стоит ограничится разумным объемом для поля онлайн-формы. Можно определить для себя 0,5 – 1 страница печатного текста. Например:
- Назначен ответственный за организацию обработки персональных данных.
- Разработаны и утверждены документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
- Применяются меры по обеспечению безопасности персональных данных.
- Осуществляется внутренний контроль и аудит соответствия обработки персональных данных Федеральному закону №152 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам.
- Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных и утвержденной политикой защиты персональных данных и иными локальными актами по вопросам обработки персональных данных.
- Политика защиты персональных данных опубликована на сайтах company.com.
- Разработаны и приняты модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
- Назначена комиссия с целью проведения работы по определению уровней защищенности информационных систем персональных данных, по итогам работы которой приняты акты определения уровней защищенности информационных систем персональных данных.
- Введены в обращение новые формы согласий субъектов персональных данных на обработку персональных данных в соответствии с требованиями действующего законодательства.
- Ведется обнаружение фактов несанкционированного доступа к персональным данным.
- Установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных.
- Применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
- Выполняется восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
- Ведется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
- Средства защиты информации можно перечислить в виде категорий, например, антивирусное ПО, межсетевой экран и т.п. Да и в целом на этапе подачи уведомления их просто может и не быть. И надо помнить, что эта информация будет опубликована, а он будет лакомым куском на этапе разведки для злоумышленника.
-
Указать сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:
- Работники ООО «Компания», осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных локальными актами ООО «Компания».
- В ООО «Компания» определены места хранения персональных данных, ведется учет лиц, допущенных к обработке персональных данных. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
- В ООО «Компания» локальными нормативными актами установлен перечень мер по обеспечению сохранности персональных данных и исключению несанкционированного к ним доступа.
- В ООО «Компания» произведено определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных. Обработка персональных данных осуществляется в соответствии с установленным уровнями защищенности персональных данных.
-
Указать дату начала обработки персональных данных.
Указать дату регистрации юридического лица, так как с этого момента почти всегда начинается обработка персональных данных.
-
Указать условие прекращения обработки персональных данных.
Типичные условия: достижение целей обработки, отзыв физическим лицом согласия на обработку персональных данных, истечение сроков хранения документов, прекращение деятельности ООО «Компания» в связи с ликвидацией, реорганизация ООО «Компания».
-
Указать способы обработки ПДн.
Тут указываем как есть для выбранной ИС. Например: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
-
Указать категории персональных данных.
Перечислить все категории ПДн, которые обрабатываются в информационной системе: паспортные данные; специализация; адрес электронной почты; резюме; должность; зарплата; специализация; пол; местоположение; номер телефона; ИНН; запись видеособеседования; паспортные данные; документы подтверждающие работу в компании; ссылки на профили в профессиональных сообществах; навыки и опыт; условия работы; СНИЛС; контактная информация; почтовый адрес; банковские реквизиты; организация; адрес организации; образец подписи; реквизиты юридического лица.
-
Указать категории субъектов персональных данных.
Например, принадлежащих: работникам, соискателям, пользователям сайта, представителям контрагентов.
-
Указать действия с персональными данными.
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
-
Указать информацию об осуществлении трансграничной передачи данных (передаются ли персональные данные за рубеж, но помните, что первичный сбор ПДн в БД обязателен на территории РФ, при нарушении самые суровые штрафы).
-
Указать, используются ли шифровальные (криптографические) средства.
Обычно требуются для шифрования данных выходящих за контролируемую зону (чаще всего периметр офиса или предприятия). И здесь без нюансов тоже не обошлось. Криптографию в России регулирует ФСБ, а их требования приводят к тому, что нужно использовать сертифицированные криптошлюзы или ПО, которые поддерживают российские алгоритмы шифрования. То есть OpenVPN не подойдёт.
-
Указать адреса ЦОДов, если, например, пользуетесь услугами облачных провайдеров.
Эту информацию можно получить у облачного провайдера.
Шаги 15-21 нужно будет повторить для всех информационных систем персональных данных.
-
Указать информацию об ответственном за организацию обработки персональных данных.
Помните о том, что они станут публичными. Поэтому контакты исключительно указываем рабочие.
А также указать контактные данные исполнителя, который будет их заполнять.
После заполнения формы уведомления о намерении осуществлять обработку персональных данных и отправки ее в информационную систему Уполномоченного органа по защите прав субъектов персональных данных вам необходимо распечатать заполненную форму, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора. (Например, Управление Роскомнадзора по Центральному федеральному округу).
Нововведения
С 26 декабря 2022 года в силу вступил Приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных». Поэтому, если планируете заполнять исключительно в бумажном виде уведомление, то воспользуйтесь формой из приложения к данному приказу. В нём же есть форма для уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, а также форма уведомления о прекращении обработки персональных данных.
Ошибки при заполнении уведомления
Типичные ошибки при заполнении уведомления Роскомнадзора перечислены на сайте по ссылке.
К ним можно добавить следующие ошибки:
-
При описании целей обработки персональных данных, они сформулированы слишком обще или указаны в рамках видов деятельности, которые не ведутся в настоящее время организацией. Тут нужно изучать устав и лицензии, чтобы исключить лишние цели. При этом надо помнить, что если обработка ПДн ведётся вне рамок указанных целей, то это может трактоваться как нарушение.
-
Меры защиты указаны слишком конкретно, например, точные модели средств защиты информации. Такой подход ведёт к тому, что часто нужно будет направлять информации о внесении изменений в уведомление. Лучше указать наименование подсистем системы защиты персональных данных.
-
И ещё, бывает, указывают личные адреса электронной почты и номера телефонов. Надо понимать, что реестр операторов персональных данных публично доступен, и данные быстро утекут в различные спам-базы и к мошенникам. Поэтому указывайте только рабочие номера телефонов и адреса электронной почты.