Использование шифровальных криптографических средств что писать роскомнадзор
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Программа разработана совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Рекомендации по заполнению формы Уведомления об обработке (о намерении осуществлять обработку) персональных данных (утв. Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций 29 января 2016 г.)
1. Настоящие Рекомендации разработаны в целях разъяснения порядка заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее — Уведомление).
2. Оформление Уведомления рекомендуется производить на бланке оператора, осуществляющего обработку персональных данных (далее — Оператор), по форме, определенной Приложением № 2 к Административному регламенту Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор) по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденному приказом Министерства связи и массовых коммуникаций Российской Федерации от 21 декабря 2011 г. № 346), и направлять в территориальный орган Роскомнадзора (далее — ТУ Роскомнадзора) по месту регистрации Оператора в налоговом органе.
Электронная форма Уведомления и порядок ее заполнения размещены на «Едином портале государственных и муниципальных услуг (функций)» (www.gosuslugi.ru), а также на Портале персональных данных Роскомнадзора (www.pd.rkn.gov.ru).
3. Уведомление направляется в ТУ Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.
4. Под полем «Наименование (фамилия, имя, отчество), адрес Оператора» понимается:
4.1. Для юридических лиц (Операторов):
полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;
наименование филиала(ов) (представительства(в)) юридического лица (Оператора), осуществляющего обработку персональных данных;*(1)
индивидуальный номер налогоплательщика (ИНН).
4.2. Для физических лиц:
фамилия, имя, отчество физического лица (Оператора);
данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;
индивидуальный номер налогоплательщика (ИНН).
4.3. Для государственных, муниципальных органов (Операторов):
полное и сокращенное наименование государственного, муниципального органа;
наименование территориального(ых) органа(ов), осуществляющего(их) обработку персональных данных;
индивидуальный номер налогоплательщика (ИНН).
При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).
5. Поле «Цель обработки персональных данных» отражает цели обработки персональных данных (а также их соответствие полномочиям Оператора).*(5)
6. В поле «Категории персональных данных» рекомендуется учитывать все категории персональных данных, подлежащих обработке Оператором:
6.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных).
6.2. Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни).
6.3. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных).
7. В поле «Категории субъектов, персональные данные, которых обрабатываются» предлагается указать категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (Оператором) и др.).
8. В поле «Правовое основание обработки персональных данных» могут быть указаны правовые основания, которые соответствуют полномочиям Оператора, отраженных в уставных документах, Федеральных законах и принятых на их основе нормативных правовых актов в части, касающейся компетенции Оператора, закрепляющий основание и порядок обработки Оператором персональных данных*(6)
(номер, дата выдачи и наименование лицензии на осуществляемый вид деятельности, с указанием лицензионных условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных).*(7)
9. Поле «Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных» предусматривает действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:
— неавтоматизированная обработка персональных данных;
— исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
— смешанная обработка персональных данных.*(8)
10. Поле «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», предполагает:
а) описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
б) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
в) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, признаются следующие сведения:
а) наименование используемых криптографических средств;
б) класс средств криптографической защиты информации (СКЗИ).
Представление данной информации рекомендуется на основании приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
11. В поле «Сведения о наличии или об отсутствии трансграничной передачи персональных данных» рекомендуется относить сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки с указанием перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.
12. В поле «Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации (далее — База данных)» указываются:
— страна (страны) размещения базы данных;
— конкретный адрес (адреса) местонахождения базы данных.
Детальная градация сведений, которые могут быть включены по Базе данных, приведена на Портале персональных данных в электронной форме Уведомления.
13. В поле «Сведения об обеспечении безопасности персональных данных» рекомендуется указывать сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
14. Поле «Дата начала обработки персональных данных» предусматривает конкретную дату (число, месяц, год) начала любого действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (как правило, это дата начала осуществление Оператором деятельности, закрепленной в уставных документах).
15. В поле «Срок или условие прекращения обработки персональных данных» рекомендуется отражать конкретную дату (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.
Заместитель руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций |
А.А. Приезжева |
*(1) Для юридических лиц с филиальной структурой рекомендуется указывать список субъектов Российской Федерации (с указанием кода субъекта — согласно Приложению № 2 «Коды субъектов РФ и иных территорий», утвержденному Приказом ФНС России от 30.10.2015 № ММВ-7-11/485@ «Об утверждении формы сведений о доходах физического лица, порядка заполнения и формата ее представления в электронном виде», на территории которых находятся филиалы (представительства) юридического лица и (или) где оператором производится обработка персональных данных. Направление Уведомления производится юридическим лицом в соответствующее территориальное управление Роскомнадзора по месту своего нахождения с указанием всех имеющихся филиалов (представительств).
*(2) Под адресом понимается место нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, почтовый адрес юридического лица, контактная информация.
Организациям, учреждениям, имеющим филиалы (представительства), рекомендуется отражать юридический и почтовый адреса (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных (все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных). При этом рекомендуется обратить внимание — обработка персональных данных осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами).
*(3) Под адресом понимается место нахождения физического лица в соответствии со свидетельством о постановке на учет физического лица в налоговом органе, почтовый адрес физического лица, контактная информация.
*(4) Под адресом понимается место нахождения государственного, муниципального органа в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, почтовый адрес государственного, муниципального органа, контактная информация.
*(5) «Целью обработки персональных данных» в данном случае являются как цели, указанные в учредительных документах Оператора, так и цели, фактически осуществляемой Оператором деятельности по обработке персональных данных.
*(6) Признаются не только соответствующие статьи Федерального закона «О персональных данных», но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных (например: ст. ст. 85 — 90 Трудового кодекса Российской Федерации, ст. 85.1 Воздушного кодекса Российской Федерации, ст. 12 Федерального закона «Об актах гражданского состояния» и др.).
*(7) Номер лицензии и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), допускается при наличии лицензии и (или) соответствующего пункта лицензионных условий.
*(8) При автоматизированной обработке персональных данных либо смешанной обработке желательно указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица) либо информация передается с использованием сети общего пользования Интернет либо без передачи полученной информации.
Обзор документа
Даны рекомендации по составлению уведомления об обработке персональных данных (о намерении ее выполнять).
Его необходимо оформлять на бланке оператора и направлять в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе.
Использование шифровальных криптографических средств что писать роскомнадзор
Типичные ошибки при заполнении уведомления
Проблемные вопросы и часто допускаемые ошибки
при заполнении уведомлений (информационных писем).
Дополнительные разъяснения для практического применения
Чтобы не пропустить поля, обязательные для заполнения, заполняйте уведомление (информационное письмо) с помощью портала персональных данных .
Предварительно рекомендуем ознакомиться с примерами для заполнения уведомления – Как заполнить уведомление .
Разница между уведомлением и информационным письмом заключается в том, что в информационном письме обязательными для заполнения являются поля:
— «Сокращенное наименование оператора»,
— «Адрес оператора» (адрес местонахождения и почтовый адрес),
Далее заполняются лишь те поля, в содержание которых вносятся изменения. При этом поля необходимо заполнять ПОЛНОСТЬЮ, то есть информация не ДОБАВЛЯЕТСЯ в поле, а содержание поля в реестре ЗАМЕНЯЕТСЯ на новое.
Ошибка 1. Документ оформлен не на бланке организации
Правильно: Уведомление должно быть оформлено на бланке оператора или заверено печатью организации (на подписи руководителя или уполномоченного лица). По правилам делопроизводства, документ должен быть зарегистрирован и иметь исходящий номер и дату.
Ошибка 2. В поле «Наименование (фамилия, имя, отчество), адрес оператора»
Не указывается или не полно указывается адрес оператора (отсутствует почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус – если имеются).
Наименования организации в уведомлении не соответствует указанному на бланке и (или) печати, сведениям в ЕГРЮЛ.
Правильно: Почтовый адрес – это адрес, по которому организация (ИП, физическое лицо) зарегистрирована в ЕГРЮЛ (ЕГРИП, адрес по прописке), адрес местонахождения – это адрес, по которому фактически осуществляется деятельность.
Затруднения в заполнении поля «Филиалы»
Имеются в виду отделения, корпуса учреждения, другие территориально обособленные отделы, магазины и иные подразделения, филиалы, имеющие отношение к Оператору и входящие в его состав.
Затруднения в заполнении поля «Правовое основание обработки персональных данных»
Не указываются соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных.
Часто операторы указывают только Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Закон). Закон не дает правовых оснований операторам для обработки персональных данных. Законом регулируются отношения, связанные с обработкой персональных данных.
Правильно: Необходимо указать все отраслевые нормативно-правовые акты, которыми руководствуется Оператор, обрабатывая персональные данные с указанием реквизитов: дата, номер и название.
Устав ООО ____ от ___ №, Положение об ______ от ____ № ____, лицензия на ___ от ____ № _____ и т. д. (см. примеры для заполнения).
Кроме того, в данном поле необходимо указать локальные акты, принятые Оператором в соответствии с законодательством о персональных данных – это Положение об обработке персональных данных ООО (ИП, физ. Лицо) _____ от _____ № _____, а также приказы, инструкции и др.
Затруднения в заполнении поля «Цель обработки персональных данных»
Необходимо обратиться к уставу организации, а также не забывать, что каждое юридическое лицо в обязательном порядке осуществляет бухгалтерский и кадровый учет, в рамках которого обрабатываются персональные данные работников, а также членов их семьи (в личных делах хранятся копии свидетельств о рождении детей, свидетельств о браке, справки с места учебы ребенка и пр.).
ИП представляют отчеты в налоговые органы, пенсионный фонд и пр., для них может иметь место формулировка «подача отчетности в федеральные органы исполнительной власти».
— «осуществление полномочий органа власти по ….»
— «выполнение государственных функций по ….»
— «оказание государственных (муниципальных) услуг по …»
— «оказание (предоставление) услуг по ….»
Ошибка 3. В поле «Категории персональных данных»
Указываются персональные данные конкретных физических лиц – работников, клиентов, абонентов и др.; используются фразы и др.», «и т.п.», «другая информация», «анкетные данные».
Перечень категорий персональных данных должен быть полный и исчерпывающий, сокращения недопустимы.
Информация, относящаяся к физическому лицу, то есть, документы: паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр., принадлежащие физическому лицу, не могут быть категориями персональных данных. Они являются материальными носителями персональных данных.
Правильно следует указывать конкретно, например, фамилия, имя, отчество, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни.
При заполнении поля для начала необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.
После того, как предложенные системой позиции в поле «Категории персональных данных» закончились (если уведомление или информационное письмо заполняется на портале персональных данных), а категории персональных данных еще остались (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), необходимо перейти к заполнению поля «Другие категории персональных данных», где эти категории и перечислить (указать).
Ошибка 4. В поле «Категории субъектов, персональные данные которых обрабатываются».
Указываются не все категории субъектов персональных данных, применяются фразы «и др.», «и т.п.», «другая информация», упоминаются сторонние юридические лица.
Правильно: Содержание поля «вытекает» из «Цель обработки персональных данных». Необходимо указывать категории физических лиц и виды отношений с ними. Под видами отношений могут пониматься трудовые, гражданско-правовые, договорные отношения, отношения в целях исполнения закона или любого другого нормативно-правового акта, регламентирующего обработку персональных данных согласно сфере деятельности юридического лица (индивидуального предпринимателя). Например: физические лица (заказчики; пассажиры; налогоплательщики; работники образовательного учреждения (колледжа, техникума), учащиеся, их родители; государственные гражданские служащие; обслуживающий персонал); лица, состоящие в трудовых отношениях с учреждением (предприятием); физические лица, обратившиеся в организацию по страхованию имущества; пенсионеры, физические лица находящихся на обслуживании банка (клиенты); законные представители физических и юридических лиц; больные, состоящие на диспансерном учёте по соответствующим диагнозам, медицинский персонал; граждане, имеющие право на меры социальной поддержки, пособия, доплаты к пенсии, ежемесячные денежные выплаты, компенсации и иные выплаты; лица, состоящие трудовых, в договорных и иных гражданско-правовых отношениях с юридическим лицом, законные представители физических и юридических лиц.
Если есть работники, работающие по договору, то к ним справедлива формулировка «физические лица, состоящие в иных договорных отношениях»
Категория «члены семьи работника» указывается, если например в бухгалтерии хранятся справки с места учебы ребенка, копии свидетельств о рождении, свидетельств о браке; в отделе кадров хранятся анкеты, содержащие информацию о супругах, родителях, детях, иных родственниках работника и другие документы, содержащие персональные данные членов семьи.
Затруднения в заполнении поля «Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных»
Из перечня действий, указанных в требованиях ч. 3 ст. 3 Федерального Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», необходимо выбрать только те действия, которые оператор непосредственно совершает с персональными данными.
У подавляющего большинства операторов это как минимум — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, уничтожение.
Ошибка 5. В поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»»
Копируется текст, приведенный в примерах для заполнения.
Правильно: проанализировать предложенное в примере, и если применять какие-либо слова, то только те, которые относятся к деятельности Оператора.
Подраздел «средства обеспечения безопасности» — это технические меры по обеспечению безопасности персональных данных при их обработке. Содержание подраздела «правовые меры» может быть отнесено как в Поле «Правовое основание обработки персональных данных», так и находиться здесь (либо там, либо тут, дублировать не нужно).
Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.
Если проведена классификация информационных систем персональных данных, то необходимо в уведомлении так же указать к какому классу они относятся (см. Приказ от 13.02.2008 №55, №86, №20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»)
К техническим мерам можно отнести:
1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применение технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учет машинных носителей персональных данных;
6) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
Затруднения в заполнении поля «Дата начала обработки персональных данных»
Фактически это дата, которая указана в свидетельстве ИНН.
Ошибка 6. Уведомление подписано неуполномоченным лицом
Уполномоченным лицом является:
— единоличный исполнительный орган, действующий на основании устава (генеральный директор, директор, президент, управляющий);
— руководитель или начальник, действующий на основании положения;
— представитель юридического лица, действующий на основании доверенности, в которой содержится соответствующее полномочие. В этом случае к уведомлению необходимо приложить документ, подтверждающий полномочия лица на подписание документов.
Ошибка 7. Не указан исполнитель, контактная информация исполнителя
Поле необходимо заполнить для обратной связи с исполнителем документа.
Время публикации: 22.07.2013 15:24
Последнее изменение: 08.09.2022 10:53
Как заполнить форму уведомления в Роскомнадзор
Согласно 152-ФЗ «О персональных данных» все, кто осуществляет обработку персональных данных, должны уведомлять об этом Роскомнадзор, чтобы зарегистрироваться в качестве оператора персональных данных.
В статье поделимся пошаговой инструкцией, которая поможет заполнить форму уведомления и отправить её в Роскомнадзор:
Способы отправки уведомления
Прежде чем перейти к заполнению формы, выберите удобный способ её отправки на странице:
1. В бумажном виде.
Заполненную форму потребуется распечатать и направить в территориальный орган по месту регистрации оператора.
2 . В электронном виде с использованием усиленной квалифицированной электронной подписи.
Заполненную форму потребуется подписать электронной подписью перед отправкой на сайте. Для создания и проверки подписи установите плагин «КриптоПро ЭЦП Browser plug-in» и настройте работу с ним.
3. В электронном виде с использованием средств аутентификации ЕСИА.
Если у вас есть подтвержденная учетная запись на портале «Госуслуги», вы можете зайти в свой аккаунт на портале, заполнить форму и направить её в электронном виде.
Важно! Если вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале «Госуслуги».
Уведомление Роскомнадзора об обработке персональных данных с 01.09.2022
С 1 сентября 2022 года работодатели должны сообщать в Роскомнадзор о намерении обрабатывать персональные данные работников. Уведомлять ведомство необходимо, даже если работодатели получили данные в рамках трудовых отношений. Такой вывод можно сделать из письма Роскомнадзора от 19.08.2022 № 08-75348.
В письме отмечается, что с 1 сентября 2022 года статья 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) будет действовать в новой редакции с учетом изменений, внесенных Федеральным законом от 14.07.2022 № 266-ФЗ .
Напомним, в этой статье закреплена обязанность операторов персональных данных уведомлять Роскомнадзор о намерении обрабатывать эти данные, а также определен перечень случаев, когда подача такого уведомления не требуется. С 1 сентября этот перечень будет существенно сокращен, сообщать в Роскомнадзор о таком намерении потребуется практически во всех случаях обработки перс. данных. В частности, из перечня исключен п. 1, согласно которому не требуется подавать уведомление, если персональные данные обрабатываются в соответствии с трудовым законодательством. Иными словами, теперь подавать уведомление нужно будет и перед заключением трудового договора, и при оформлении пропусков для прохода работников на территорию работодателя и т. д.
В письме напомнили, что уведомление направляется в территориальное управление Роскомнадзора по месту нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе.
Уведомление можно направить по форме, приведенной в приложении № 1 к Методическим рекомендациям, утв. приказом Роскомнадзора от 30.05.2017 № 94, в виде документа на бумажном носителе или в форме электронного документа.
Электронная форма уведомления и порядок ее заполнения размещены на Портале персональных данных Роскомнадзора. На интернет-странице оператору предоставлена возможность сформировать уведомление в электронной форме и направить в его в территориальный орган Роскомнадзора одним из следующих способов:
- в бумажном виде;
- в электронном виде с использованием усиленной квалифицированной электронной подписи (УКЭП);
- в электронном виде с использованием средств аутентификации ЕСИА.
Напоминаем, что согласно ч. 1 ст. 22 Закона № 152-ФЗ подать в Роскомнадзор уведомление необходимо до начала обработки персональных данных. При этом под обработкой понимается любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение ( п. 3 ч. 1 ст. 3 Закона № 152-ФЗ ).
Учитывая это требование, работодатели должны направлять уведомление в Роскомнадзор:
- до приема сотрудника на работу (по каждому вновь принимаемому сотруднику подавать уведомление не требуется);
- до обработки данных соискателей (если они будут направлять работодателю резюме с именем, фамилией, номером телефона, адресом электронной почты и т. д.).
Вместе с тем остается вопрос о дате начала обработки персональных данных, которая должна быть указана в уведомлении. В случае с соискателем эта дата неизвестна, поскольку она напрямую зависит от воли самого соискателя. Работодатель не может предположить, когда соискатель пришлет свое резюме, и, соответственно, не может сообщить об этом заранее в Роскомнадзор. Полагаем, для решения этого вопроса следует дождаться дополнительных разъяснений от Роскомнадзора.
Поскольку Федеральным законом от 14.07.2022 № 266-ФЗ не предусмотрены переходные положения, считаем целесообразным работодателям после вступления в силу Закона № 152-ФЗ отправить уведомление в Роскомнадзор об обработке персональных данных сотрудников. Уведомление подается один раз и не содержит сведений о данных конкретных лиц. Поэтому такое уведомление формально будет касаться и всех действующих сотрудников, и тех, кого работодатель только планирует принять в будущем.
Пример заполнения данного уведомления, приведенный на сайте Роскомнадзора:
об обработке (о намерении осуществлять обработку) персональных данных
Наименование оператора: Общество с ограниченной ответственностью «Домовой» (ООО «Домовой»),
Адрес оператора
Адрес местонахождения: 241020, г. Брянск, проспект Московский, дом 6
Почтовый адрес: 241020, г. Брянск, проспект Московский, дом 6
Контактная информация оператора:
адрес электронной почты: domovoy@mail.ru
Регионы: Брянская область;
Коды: ОГРН 1063254011000; ОКВЭД 45.44.1; ОКПО 95276087; ОKФС 16; ОКОГУ 49013; ОКОПФ 65;
Обособленное подразделение (241050, г. Брянск, ул. Дуки, 4);
Правовое основание обработки персональных данных
руководствуясь Трудовым кодексом РФ от 30.12.2001 № 197-ФЗ; Налоговым кодексом РФ; Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи», указать федеральные законы по основному виду деятельности, предполагающие обработку персональных данных, договоры с контрагентами (третьими лицами) на оказание услуг (при наличии), согласие на обработку персональных данных (при наличии) , Уставом ООО «Домовой»
Цель обработки персональных данных
с целью оказания услуг в сфере ЖКХ, ведения кадровой работы и бухгалтерского учета
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:
Разработаны локальные акты по вопросам обработки персональных данных: положение об обработке персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных. Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Опубликован и размещен на стенде организации документ, определяющий политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных. Персональные данные доступны для строго определенного круга сотрудников, в здании установлены охранная и пожарная сигнализации, сведения на бумажных носителях хранятся в сейфах или запирающихся металлических шкафах, определены места хранения персональных данных, физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации; учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме).
средства обеспечения безопасности: электронная цифровая подпись, используются антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ: Определены места хранения персональных данных (материальных носителей). Определен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ. Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Обеспечен учет материальных носителей. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, учтены в соответствующих журналах. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации.
Дата начала обработки персональных данных: 28.06.2006
Срок или условие прекращения обработки персональных данных: прекращение деятельности ООО «Домовой»
Сведения об информационной системе № 1:
Категории персональных данных
осуществляет обработку следующих категорий персональных данных:
Фамилия, Имя, Отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; образование; профессия; доходы;
а также: СНИЛС, ИНН, стаж, данные документа, удостоверяющего личность
Категории субъектов, персональные данные которых обрабатываются
принадлежащих: работникам, членам семьи работника
Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, удаление.
обработка вышеуказанных персональных данных будет осуществляться путем: автоматизированная; без передачи по внутренней сети юридического лица; без передачи по сети Интернет;
осуществление трансграничной передачи персональных данных: не осуществляется
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ:
адрес ЦОДа: Брянская обл, Брянск г, , Московский пр-кт, дом 6
собственный ЦОД: да
Сведения об информационной системе № 2:
Категории персональных данных
осуществляет обработку следующих категорий персональных данных:
Фамилия, Имя, Отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; профессия; доходы;
а также: СНИЛС, ИНН, данные документа, удостоверяющего личность
Категории субъектов, персональные данные которых обрабатываются
принадлежащих: работников ООО «Домовой», членов семьи работника
Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, удаление
обработка вышеуказанных персональных данных будет осуществляться путем: автоматизированная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет;
осуществление трансграничной передачи персональных данных: не осуществляется
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ:
адрес ЦОДа: Брянская обл, Брянск г, , Московский пр-кт, дом 6
собственный ЦОД: нет
наименование организации: ООО «СистемаПлюс»
организационно-правовая форма: общество с ограниченной ответственностью
адрес организации: 1178596, г. Москва, ул. Дорожная, д.4 стр.4
использование шифровальных (криптографических) средств: используются
наименование, регистрационные номера и производители используемых криптографических средств: КриптоПРО 3.6, ООО «Информационные системы»
уровень криптографической защиты персональных данных: К1
Ответственный за организацию обработки персональных данных: Иванов Иван Иванович,
номера контактных телефонов, почтовые адреса и адреса электронной почты: 241020, Брянская обл, Брянск г, , Московский пр-кт, дом 6, телефон 22-00-00
Документ сформирован на портале Роскомнадзора
Номер уведомления: _____, ключ: _____
(должность) (подпись) (расшифровка подписи)
«___» ____________ 20___ г.
Исполнитель: Петров П.П.;
Контактная информация исполнителя: 22-00-00;
(473) 202-20-10 (495) 145-94-84