Как составить уведомление об обработке персональных данных в Роскомнадзор

Экспертный материал

Алексей Залецкий | Эксперт в области информационной безопасности

Уведомление об обработке персональных данных (ПДн) необходимо подавать в Роскомнадзор до начала их обработки. Большинство компаний были созданы до появления закона о ПДн и соответственно занимались их обработкой. Они также должны подавать уведомление.

Подача уведомления регламентирует статьёй 22 ФЗ №152 (ссылка на материал). Во 2-ой части 2 статьи указаны исключения из этого требования:

• Обработка ПДн включенных в государственных информационных системах (ГИС), созданные в целях защиты безопасности государства и общественного порядка (то есть в основном ГИС силовых ведомств и спецслужб);

• Обработка ПДн только неавтоматизированная (если в вашей компании ПДн только на бумаге);

• ПДн обрабатываются в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Остальные пункты этой части статьи 2 были отменены с 1 сентября 2022 года, то есть во всех иных случаях нужно подавать уведомление.

Подавать уведомление о начале обработки ПДн необходимо в Роскомнадзор. Возможные формы представлены на сайте Роскомнадзора.

Ниже приводим подробный чек-лист, какие шаги необходимо пройти для подачи уведомления:

1. Сформировать уведомление и направить в бумажном виде.

Вы можете заполнить форму, распечатать и отправить в территориальный орган.

2. Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи.

Вы можете заполнить форму и подписать ее электронной подписью. В этом случае подача в бумажном виде не потребуется. У вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним.

3. Сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.

Пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде. У Вас должна быть подтвержденная учетная запись. Отправка копии в бумажном виде в данном случае не потребуется. В случае если Вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале Госуслуг.

Данные, которые нужно указать:

1. Выбрать из выпадающего списка наименование территориального органа Роскомнадзора, куда будет отправлено уведомление (например, Центральный федеральный округ).

   

2. Указать тип оператора (например, Юридическое лицо)

   

3. Указать полное наименование оператора с указанием организационно-правовой формы (Общество с ограниченной ответственностью «Компания») в соответствии с учредительными документами.

   

4. Указать сокращенное наименование оператора, осуществляющего обработку персональных данных (не обязательно).

   

5. Указать адрес местонахождения и почтовый адрес, можно выбрать из списка. Если совпадают, то можно ввести только адрес местонахождения и поставить галочку, что почтовый адрес совпадает.

   

6. Укажите контактную информацию (не обязательно, кроме адреса электронной почты. Адрес сотрудника лучше не указывать, так как он будет опубликован в публично доступном реестре операторов персональных данных. Лучше использовать адрес корпоративного почтового ящика.

   

7. Указать регионы, в которых осуществляется обработка ПДн. Например, если центральный офис и филиалы находятся в разных регионах, то нужно перечислить их все. Но, если филиалы это отдельные юридические лица, которые самостоятельно будут подавать уведомления, то только регион центрального офиса.

8. Указать ИНН и ОГРН, а также можно и остальные коды. В соответствии с учредительными документами. При наличии филиалов перечислить их.

   

9. Указать правовое основание обработки персональных данных. Тут надо перечислить все документы от верхнеуровневых, до локальных нормативно-правовых актов. Например:

   • Персональные данные обрабатываются на основании и руководствуясь Конвенцией Совета Европы «О защите физических лиц в отношении автоматизированной обработки персональных данных» (ETS № 108) от 28.01.1981 и Федеральным законом от 19.02.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки Персональных данных»;
   • Конституцией Российской Федерации от 12.12.1993г.;
   • Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
   • Трудовым кодексом РФ от 30.12.2001 № 197-ФЗ;
   • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
   • Федеральным законом «О бухгалтерском учете» от 06.12.2011 № 402-ФЗ;
   • Налоговым кодексом РФ;
   • Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
   • Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
   • Уставом ООО «Компания»;
   • Локальными актами ООО «Компания об обработке персональных данных в ООО «Компания»», «Положение об обеспечении безопасности персональных данных ООО «Компания», «Политика защиты персональных данных в ООО «Компания», «Политика в отношении обработки персональных данных в ООО «Компания»).

   

10. Указать цели обработки персональных данных. Будьте осторожны, помня, про часть 2 статьи 5 ФЗ-152, которая сообщает нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Например:

    • исполнение соглашения или договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
    • идентификация стороны в рамках договоров или соглашений с ООО «Компания»;
    • предоставление информации в государственные органы Российской Федерации в порядке, предусмотренном действующим законодательством;
    • соблюдение норм и требований по охране труда и обеспечению личной безопасности работников ООО «Компания», сохранности имущества;
    • страхование по программам добровольного медицинского страхования;
    • связь с субъектом в случае необходимости, в том числе направление уведомлений, информации и запросов, связанных с осуществлением деятельности ООО «Компания»;
    • исполнение условий трудового договора и осуществления прав и обязанностей в соответствии с трудовым законодательством;
    • принятие решения о приёме, либо отказе в приёме на работу;
    • ведение кадрового резерва;
    • обеспечение соблюдения законов и иных правовых актов; соблюдение локальных нормативных актов ООО «Компания»;
    • обучение и карьерное продвижение работников ООО «Компания»;
    • контроль количества и качества выполняемой работы;
    • начисление заработной платы; организация командировок работников ООО «Компания»;
    • публикация во внутренних справочниках, адресных книгах ООО «Компания».

    

11. Указать описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных».

    В данном пунктеможно расписать много чего, особенно если есть проект по системе защиты, реализованы технические и организационные меры. Но тут стоит ограничится разумным объемом для поля онлайн-формы. Можно определить для себя 0,5 – 1 страница печатного текста. Например:

    • Назначен ответственный за организацию обработки персональных данных.
    • Разработаны и утверждены документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
    • Применяются меры по обеспечению безопасности персональных данных.
    • Осуществляется внутренний контроль и аудит соответствия обработки персональных данных Федеральному закону №152 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам.
    • Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных и утвержденной политикой защиты персональных данных и иными локальными актами по вопросам обработки персональных данных.
    • Политика защиты персональных данных опубликована на сайтах company.com.
    • Разработаны и приняты модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
    • Назначена комиссия с целью проведения работы по определению уровней защищенности информационных систем персональных данных, по итогам работы которой приняты акты определения уровней защищенности информационных систем персональных данных.
    • Введены в обращение новые формы согласий субъектов персональных данных на обработку персональных данных в соответствии с требованиями действующего законодательства.
    • Ведется обнаружение фактов несанкционированного доступа к персональным данным.
    • Установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных.
    • Применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
    • Выполняется восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
    • Ведется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
    • Средства защиты информации можно перечислить в виде категорий, например, антивирусное ПО, межсетевой экран и т.п. Да и в целом на этапе подачи уведомления их просто может и не быть. И надо помнить, что эта информация будет опубликована, а он будет лакомым куском на этапе разведки для злоумышленника.

    

12. Указать сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:

    • Работники ООО «Компания», осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных локальными актами ООО «Компания».
    • В ООО «Компания» определены места хранения персональных данных, ведется учет лиц, допущенных к обработке персональных данных. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
    • В ООО «Компания» локальными нормативными актами установлен перечень мер по обеспечению сохранности персональных данных и исключению несанкционированного к ним доступа.
    • В ООО «Компания» произведено определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных. Обработка персональных данных осуществляется в соответствии с установленным уровнями защищенности персональных данных.

    

13. Указать дату начала обработки персональных данных.

    Указать дату регистрации юридического лица, так как с этого момента почти всегда начинается обработка персональных данных.

    

14. Указать условие прекращения обработки персональных данных.

    Типичные условия: достижение целей обработки, отзыв физическим лицом согласия на обработку персональных данных, истечение сроков хранения документов, прекращение деятельности ООО «Компания» в связи с ликвидацией, реорганизация ООО «Компания».

    

15. Указать способы обработки ПДн.

    Тут указываем как есть для выбранной ИС. Например: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    

16. Указать категории персональных данных.

    Перечислить все категории ПДн, которые обрабатываются в информационной системе: паспортные данные; специализация; адрес электронной почты; резюме; должность; зарплата; специализация; пол; местоположение; номер телефона; ИНН; запись видеособеседования; паспортные данные; документы подтверждающие работу в компании; ссылки на профили в профессиональных сообществах; навыки и опыт; условия работы; СНИЛС; контактная информация; почтовый адрес; банковские реквизиты; организация; адрес организации; образец подписи; реквизиты юридического лица.

    

17. Указать категории субъектов персональных данных.

    Например, принадлежащих: работникам, соискателям, пользователям сайта, представителям контрагентов.

    

18. Указать действия с персональными данными.

    Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    

19. Указать информацию об осуществлении трансграничной передачи данных (передаются ли персональные данные за рубеж, но помните, что первичный сбор ПДн в БД обязателен на территории РФ, при нарушении самые суровые штрафы).

    

20. Указать, используются ли шифровальные (криптографические) средства.

    Обычно требуются для шифрования данных выходящих за контролируемую зону (чаще всего периметр офиса или предприятия). И здесь без нюансов тоже не обошлось. Криптографию в России регулирует ФСБ, а их требования приводят к тому, что нужно использовать сертифицированные криптошлюзы или ПО, которые поддерживают российские алгоритмы шифрования. То есть OpenVPN не подойдёт.

    

21. Указать адреса ЦОДов, если, например, пользуетесь услугами облачных провайдеров.

    Эту информацию можно получить у облачного провайдера.

    

    Шаги 15-21 нужно будет повторить для всех информационных систем персональных данных.

22. Указать информацию об ответственном за организацию обработки персональных данных.

    Помните о том, что они станут публичными. Поэтому контакты исключительно указываем рабочие.

    

    А также указать контактные данные исполнителя, который будет их заполнять.

После заполнения формы уведомления о намерении осуществлять обработку персональных данных и отправки ее в информационную систему Уполномоченного органа по защите прав субъектов персональных данных вам необходимо распечатать заполненную форму, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора. (Например, Управление Роскомнадзора по Центральному федеральному округу).

Нововведения

С 26 декабря 2022 года в силу вступил Приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных». Поэтому, если планируете заполнять исключительно в бумажном виде уведомление, то воспользуйтесь формой из приложения к данному приказу. В нём же есть форма для уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных,  а также форма уведомления о прекращении обработки персональных данных.

Ошибки при заполнении уведомления

Типичные ошибки при заполнении уведомления Роскомнадзора перечислены на сайте по ссылке.

К ним можно добавить следующие ошибки:

1. При описании целей обработки персональных данных, они сформулированы слишком обще или указаны в рамках видов деятельности, которые не ведутся в настоящее время организацией. Тут нужно изучать устав и лицензии, чтобы исключить лишние цели. При этом надо помнить, что если обработка ПДн ведётся вне рамок указанных целей, то это может трактоваться как нарушение.

2. Меры защиты указаны слишком конкретно, например, точные модели средств защиты информации. Такой подход ведёт к тому, что часто нужно будет направлять информации о внесении изменений в уведомление. Лучше указать наименование подсистем системы защиты персональных данных.

3. И ещё, бывает, указывают личные адреса электронной почты и номера телефонов. Надо понимать, что реестр операторов персональных данных публично доступен, и данные быстро утекут в различные спам-базы и к мошенникам. Поэтому указывайте только рабочие номера телефонов и адреса электронной почты.