Согласно 152-ФЗ «О персональных данных» все, кто осуществляет обработку персональных данных, должны уведомлять об этом Роскомнадзор, чтобы зарегистрироваться в качестве оператора персональных данных.
Важно сделать это до того, как вы начнете сбор личных данных на сайте, т. к. за несвоевременную регистрацию в Роскомнадзоре предусмотрены штрафы.
В этой инструкции мы описали, как заполнить форму уведомления и отправить её в Роскомнадзор:
o Способы отправки уведомления
o Регион регистрации и сведения об операторе
o Цели обработки персональных данных
o Сведения о местонахождении базы данных, содержащей ПДн граждан РФ
o Сведения об обеспечении безопасности персональных данных
Как отправить форму уведомления в Роскомнадзор
Прежде чем перейти к заполнению формы, выберите удобный способ её отправки на странице:
- В бумажном виде. Заполненную форму потребуется распечатать и направить в территориальный орган по месту регистрации оператора.
- В электронном виде с использованием усиленной квалифицированной электронной подписи. Заполненную форму потребуется подписать электронной подписью перед отправкой на сайте. Для создания и проверки подписи установите плагин «КриптоПро ЭЦП Browser plug-in» и настройте работу с ним.
- В электронном виде с использованием средств аутентификации ЕСИА. Если у вас есть подтвержденная учетная запись на портале «Госуслуги», вы можете зайти в свой аккаунт на портале, заполнить форму и направить её в электронном виде.
Важно
Если вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале «Госуслуги».
После выбора подходящего способа отобразятся поля формы для заполнения.
В поле «Регион регистрации» укажите субъект Российской Федерации, на территории которого зарегистрирована ваша организация в качестве юридического лица (ЮЛ), индивидуального предпринимателя (ИП) или самозанятого.
В разделе «Сведения об операторе» заполняется информация о реквизитах вашей компании (ЮЛ, ИП или самозанятом), которая обрабатывает персональные данные своих клиентов.
Важно!
Информацию необходимо указывать без сокращений — согласно паспортным данным и данным регистрации в налоговой инспекции и действующей классификации.
При выборе варианта «Другой документ гражданина РФ» вручную укажите тип документа. Например: заграничный паспорт гражданина РФ или удостоверение военнослужащего.
В подразделе «Адрес оператора» укажите индекс и кликните на «Выбрать», чтобы заполнить свой адрес проживания. Нажмите «Ок» после заполнения.
Если ваш почтовый адрес совпадает с местом проживания, поставьте галочку, чтобы данные автоматически подставились из предыдущих полей.
Если адреса не совпадают, кликните на «Выбрать», заполните поля и нажмите «Ок».
Укажите свой адрес электронной почты и при необходимости добавьте телефон и факс.
В поле «Регионы обработки» укажите все субъекты Российской Федерации, где могут проживать ваши клиенты. Можно поставить отметку «Все субъекты Российской Федерации», чтобы не перечислять все возможные регионы.
Если у вас ИП или Юр.лицо, то также заполните ИНН и ОГРН/ОГРНИП.
Пример полного заполнения раздела «Сведения об операторе» для самозанятого.
Цели обработки персональных данных
В поле «Цель обработки ПД» выберите «Продвижение товаров, работ, услуг на рынке».
Если ваша компания выступает в качестве ЮЛ или ИП, у которого есть сотрудники, добавьте дополнительную цель «ведение кадрового и бухгалтерского учёта».
Если у вашей организации есть лицензия на образовательную или медицинскую деятельность, добавьте еще одну цель — «Обеспечение соблюдения законодательства РФ в сфере образования» или «Обеспечение соблюдения законодательства РФ в сфере здравоохранения»
Важно
Дальнейшая информация заполняется одинаково для каждой добавленной вами цели.
В подразделе «Категории персональных данных» необходимо отметить всю информацию, которую вы собираете от своих клиентов для обработки
В качестве категории субъектов укажите «Клиенты». Если у вас на сайте есть форма обратной связи (бронь столика, запись к мастеру и пр.), выберите категорию «Посетители сайта». Если у вашего ИП или ЮЛ есть сотрудники, также выберите категорию «Работники».
В подразделе «Правовое основание обработки персональных данных» выберите два варианта:
В подразделе «Перечень действий» нужно выбрать все действия, которые ваша компания осуществляет с персональными данными. Укажите следующие:
В подразделе «Способы обработки» нужно указать, каким образом ваша школа обрабатывает персональные данные.
Выберите следующие способы:
· «автоматизированная», если данные в вашу базу попадают только с карт, которые самостоятельно устанавливают ваши клиенты. Выберите «смешанная», если вы также выдаете карты вручную;
· с передачей по внутренней сети юридического лица;
· с передачей по сети Интернет.
В качестве мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных», можно указать следующие:
· издание оператором документов, определяющих политику оператора в отношении обработки персональных данных;
· применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
· осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству;
· определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
· обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Если в вашем проекте (ИП или ЮЛ ) есть сотрудники в найме, также добавьте следующие меры:
· назначение ответственного лица за обработку персональных данных;
· установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
· применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
В поле «Средства обеспечения безопасности» укажите технические средства, которые обеспечивают безопасность персональных данных при их обработке. Например:
· использование антивирусных средств защиты информации (перечислите программы, которые используются);
· идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия.
В поле «Использование шифровальных (криптографических) средств» выберите «не используются», класс СКЗИ выберите КС2
В подразделе «Ответственный за организацию обработки персональных данных» выберите «Сторонняя организация» и пропишите наши реквизиты:
· наименование организации - ООО «Локардс»
· почтовый адрес - 119072, Болотная набережная, 7 с3
· номера контактных телефонов - +7 (499) 938-92-23
· адрес электронной почты - support@lo.cards
В поле «Дата начала обработки персональных данных» укажите дату регистрации ИП, ЮЛ, статуса самозанятого.
В поле «Срок или условие прекращения обработки персональных данных» выберите «Условие окончания», а ниже укажите «Прекращение деятельности организации».
В поле «Осуществление трансграничной передачи персональных данных» выберите «не осуществляется».
Сведения о местонахождении базы данных, содержащей персональные данные граждан РФ
В данном разделе указывается информация о серверах LOCARDS, арендуемых у Облакотеки.
Дата-центр находится по адресу г. Москва, Научный проезд, д.20, стр.2
Заполните «Сведения об организации, ответственной за хранение данных», как указано в примере ниже:
· «Тип организации» — юридическое лицо;
· «Организационно-правовая форма» — Общество с ограниченной ответственностью;
· «Наименование организации» — ООО «Виртуальные инфраструктуры»;
· «ОГРН» — 1127746253656;
· «ИНН» — 7703765969;
· «Страна местонахождения организации, ответственной за хранение данных» — Россия;
· «Адрес местонахождения организации, ответственной за хранение данных» — г. Москва, Научный проезд, д.20, стр.2 (юр. адрес организации).
В качестве лица, имеющего доступ к персональным данным, укажите данные своей организации, как оператора.
Сведения об обеспечении безопасности персональных данных
В данном разделе указываются меры, которые предпринимает ваша организация, чтобы соблюдать требования, установленные постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Укажите следующие меры:
· обеспечена сохранность носителей персональных данных;
· используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Если ваша компания выступает в качестве ЮЛ или ИП с сотрудниками, то также добавьте:
утвержден руководителем оператора документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
Заполните информацию об исполнителе. Исполнителем является лицо, заполняющее форму уведомления в Роскомнадзор. Это может быть не ответственный за обработку персональных данных, а совсем другой человек, фактически заполнивший уведомление.
Важно
Если планируется подача уведомления в электронном виде с использованием ЭЦП, необходимо указывать данные лица, которому принадлежит ЭЦП.
После заполнения формы уведомления поставьте галочки в опциях ниже, подпишите документ и отправьте выбранным способом.
Запишите в блокнот сформированные код/номер уведомления и ключ. Они потребуются в дальнейшем для проверки статуса уведомления.
Отправленная заявка рассматривается в течение 30 дней, после чего организация вносится в реестр операторов.
Проверить состояние отправленного уведомления можно по ссылке с помощью номера и кода, который вы получили после отправки уведомления.
Если спустя указанный срок организация не внесена в реестр операторов, вы можете обратиться в электронную приемную Роскомнадзора для уточнения информации.
ВАЖНО! Ответственность за нарушение
Законодательства о персональных данных.
Штраф до 520 000 р. за отсутствие локальных актов по 152-ФЗ – создайте и храните документы о назначении ответственного лица за обработку персональных данных, о правилах доступа к персональным данным. Не передавайте пароль от Личного кабинета своим сотрудникам, если они не являются ответственными за обработку персональных данных.
Штраф до 150 000 р. за передачу персональных данных работников третьим лицам без согласия – позаботьтесь о безопасности вашей ИТ-инфраструктуры - используйте антивирусное ПО.
Штраф до 60 000 р. за отсутствие политики конфиденциальности – ваша политика конфиденциальности прописана нами в вашем личном кабинете, раздел Настройки – Текст пользовательского соглашения. Каждый ваш клиент, установивший карту лояльности, подписал ознакомление с этой политикой. Если вы добавляете клиентов в базу иным способом, берите с каждого клиента письменное ознакомление с политикой конфиденциальности.
Штраф до 100 000 р. за отсутствие согласия пользователя на обработку персональных данных – каждый ваш клиент, установивший карту лояльности, подписал согласие на обработку персональных данных. Если вы добавляете клиентов в базу иным способом (с форм на сайте или офлайн), берите с каждого клиента письменное согласие на обработку персональных данных.
Штраф до 500 000 р. за незаконную рекламную рассылку клиентам – направляя клиентам сообщения (даже напоминание о записи/брони столика/информацию о доставке), вы должны руководствоваться 38-ФЗ - реклама без согласия получателя является незаконной, перед отправкой сообщения вы должны получить задокументированное согласие на отправку сообщений. Каждый ваш клиент, установивший карту лояльности, подписал согласие на получение рассылки, если коммуницируете с клиентами, которые не являются держателями ваших карт, перед началом коммуникации берите с каждого клиента письменное согласие получение рассылки.
Штраф до 18 000 000 р. за трансграничную передачу персональных данных без согласия Роскомнадзора – не работайте с компаниями, которые хранят данные не на российских серверах. Прежде чем начать работать, убедитесь, что ваш оператор включен в реестр российского ПО.
Блокировка сайта за любое нарушение 152-ФЗ «О персональных данных».
Лишение свободы до 2 лет за нарушение неприкосновенности частной жизни.