Не думаю что на «Клерке» мимо хоть кого-то прошла тема с Роскомнадзором. Наверняка вы уже много всего прочитали и посмотрели. Сегодня я решила проверить, а числится ли моя фирма в реестре операторов, ведь уведомление я подала уже давно. Та-дам! Поиск меня в реестре не нашел 👀. Так что я просто покажу, как заполнить уведомление на сайте РКН и проверить себя, чтобы не оказаться на моем месте.
С гордостью смотрела на суету с новыми штрафами, уверенная, что у меня то давно все отправлено. Если и вы так думаете — проверьте-ка себя в реестре. Проще всего искать по ИНН.
Вот пример:
Моей организации в реестре не нашлось, придется похоже дублировать уведомление — лучше подать его второй раз, чем не отправить и потом виновато шаркать ножкой перед руководством, объясняя, почему у нас штраф на 100 или даже 300 тысяч.
Итак, самое главное, что надо сделать сейчас — это подать «Уведомление о намерении осуществлять обработку персональных данных». Тут лучше не мудрить и заполнить форму прямо на сайте Роскомнадзора вот тут.
Для тех, кому нужно здесь и сейчас разобраться с новыми правилами, уведомлениями, штрафами, вопросами работы сайта с персональными данными — вам на вебинар. Сможете и послушать и задать вопросы.
Тем, кому надо разобраться с нуля или для тех, кто уже подал уведомление и решил на этом остановиться — изучаем подробный курс по персональным данным, чтобы потом не было мучительно больно вашему расчетному счету.
А мы давайте заполним уведомление.
Как заполнить уведомление в РКН
В форме есть поля со звездочкой — обязательные к заполнению и без — их можно не заполнять. Например, полное наименование организации нужно указать обязательно, а сокращенное — нет.
Далее идут в общем-то стандартные реквизиты.
А вот дальше можно немного запутаться, вам надо выбрать цель обработки ПД. К примеру, ведение бухгалтерского учета или соблюдение ТК, но при этом выбрать можно одну цель! Не пугайтесь, если пролистать форму до самого низа, там есть вот такая кнопка:
Нажмете и снова заполняете цель и дальнейшие пункты к ней.
Вроде ничего сложного — выбираем, что именно обрабатываем, какие данные, потом субъекты — работники, контрагенты и т.д. , правовое обоснование, перечень действий и способ обработки.
Как заполнить пункт о мерах и средствах, которые используются для защиты данных
Дальше сложнее — нужно описать меры и средства, которые используются для защиты данных. Тут надо сначала почитать ст. 18.1 и 19 Федерального закона «О персональных данных». Можно использовать формулировки прямо из этих статей.
Вот пример:
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:
1) назначено лицо, ответственное за организацию обработки персональных данных;
2) изданы документы, определяющих политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) обеспечено применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона «О персональных данных»;
4) осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
5) обеспечено проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
6) работники, непосредственно осуществляющих обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, проведено обучение указанных работников. средства обеспечения безопасности: определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных, применяются модели актуальных угроз и выполняются меры по их нейтрализации, обеспечен учет машинных носителей персональных данных, осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, ограничен доступ посторонних лиц в помещения, предназначенные для обработки персональных данных.
Использование шифровальных (криптографических) средств: используются класс СКЗИ: КС1.
Между прочим, вам стоит проверить сайт компании на соответствие всем актуальным требованиям в части персональных данных в 2025 году. Найти проблемы можно с помощью нового инструмента от «Клерка» — Сервис проверки сайта на наличие сервисов cookies и метрических программ.
Заполняем остальные сведения в уведомлении
Дальше заполняем данные ответственно лица — в небольшой компании, скорее всего, им будет руководитель.
В дате начала обработки данных ставим не дату подачи уведомления, а дату реального начала обработки, например, дату создания компании.
В сроке или условии прекращении обработки ПД можно написать: Ликвидация организации (это из примера на сайте РКН).
Потом заполняем все, что касается трансграничной передачи данных, если вы за границу ничего из ПД не передает — выбираете «Не осуществляется».
Обратите внимание, к каждому пункту формы есть подсказки — достаточно на название пункта кликнуть.
Дальше нужно описать сведения об обеспечении безопасности персональных данных в соответствии с постановлением Правительства № 1119.
Вот пример как можно их заполнить:
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:
- организован режим обеспечения безопасности помещений, в которых размещена информационная система персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечена сохранность носителей персональных данных; утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе персональных данных, необходим для выполнения ими служебных (трудовых) обязанностей; используются средства защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Если уведомление подписывает уполномоченное лицо с МЧД — нужно добавить сведения о доверенности. И все — можно подписывать документ электронной подписью и отправлять в РКН.
Вы великолепны! Ведь вы теперь не получите многотысячный штраф от РКН.
Напишите, как у вас на работе относятся к ажиотажу вокруг изменений по персональным данным и кто у вас отвечает за их защиту?