Опросы

Все опросы
Главная » Справочная информация  » Обработка персональных данных

Обработка персональных данных

Листовка

Методические рекомендации по заполнению форм уведомлений и информационных писем

Пример уведомления для органов МСУ

Пример уведомления для учреждений образования

Пример уведомления для ООО (ЗАО. ОАО и др.)

Пример уведомления для инд. предпринимателей

Пример уведомления для организаций в сфере (УК, ЖСК, ЖК, ТСЖ и др.)

 

Методические рекомендации по заполнению форм уведомлений и информацтонных писем

1. Заполнить Уведомление об обработке персональных данных.


Форма Уведомления и рекомендации по его заполнению размещены на сайте Управления Роскомнадзора по Томской области (http://70.rkn.gov.ru/directions/p1885/p5729/p6851). Уведомление можно заполнить в электронном виде и направить на предварительную проверку сотрудникам Управления Роскомнадзора по ТО на электронный адрес: knv@ugsn.tomsk.ru или rsockanc70@rkn.gov.ru. По всем возникающим в ходе заполнения Уведомления вопросам можно позвонить по телефонам 8 (3822) 60-90-04, 60-90-07 доб. 714, 60-90-07 доб. 719.

п/п

Наименование раздела Уведомления

Что необходимо указать

Как это указывать

1.

Тип оператора

Необходимо указать форму ведения бизнеса (ИП, юрлицо)

Выбрать из предлагаемого программой перечня свою форму ведения бизнеса (ИП, юридическое лицо)

2.

Наименование оператора

Необходимо указать Ваше ФИО, если Вы – ИП, или наименование Вашей организации, если Вы заполняете форму на юрлицо.

Записать свое наименование, как оно указано в Свидетельстве о регистрации

3.

Адрес оператора

Необходимо указать адрес, указанный в выписке из ЕГРЮЛ, ЕГРИП, а также фактический адрес ИП или ЮЛ

Указывается полный адрес регистрации ЛЮ или ИП, а также адрес фактического местонахождения, включая индекс

4.

Правовое основание обработки персональных данных

Указываются федеральные законы, постановления Правительства, иные правовые акта, на основании которых оператор обрабатывает персональные данные.

Например, если имеются работники, то обязательно указываются Трудовой кодекс РФ, Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «Об обязательном пенсионном страховании в РФ» и др.

Если оператор – частная медицинская организация, то также указывается ГК РФ, НК РФ, Федеральный закон от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" и т.п.

Если оператор – строительная организация, то указывается НК РФ, ГК РФ, Федеральный закон от 30.12.2004 N 214-ФЗ "Об участии в долевом строительстве многоквартирных домов и иных объектов недвижимости и о внесении изменений в некоторые законодательные акты Российской Федерации" и т.д.

Если оператор – организация торговли, что указывается ГК РФ, НК РФ, Федеральный закон от 28.12.2009 N 381-ФЗ "Об основах государственного регулирования торговой деятельности в Российской Федерации", Закон РФ от 07.02.1992 № 2300-1 "О защите прав потребителей" и т.д.

Руководствуясь: требованиями Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ, Трудового кодекса РФ, Гражданского кодекса РФ, Налогового кодекса РФ, Федеральных законов «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «Об обязательном пенсионном страховании в РФ», «О страховых взносах в Пенсионный фонд РФ, Фонд социального страхования РФ, Федеральный фонд обязательного медицинского страхования», Постановлений Правительства РФ «О трудовых книжках», «О воинском учете», «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты» - общие правовые акты для всех, также указываете правовые акты, в зависимости от сферы деятельности – ГК РФ, НК РФ и т.д.

5.

Цель обработки персональных данных

Указываются цели фактически осуществляемой деятельности, указанной в учредительных документах. Например, для перевозчиков -  оказание услуг по осуществлению перевозки грузов, для торговых организаций – осуществление деятельности в торговой сфере и др.

Например: целью обеспечения производственной деятельности предприятия, оказания услуг в области организации деятельности по производству и реализации товаров, продукции и услуг, а также извлечения прибыли

6.

Описание мер, предусмотренных статьями 18.1 и 19 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

 

Необходимо описать, какие организационные и технические меры приняты для защиты обрабатываемых персональных данных (назначено лицо, ответственное за организацию обработки персональных данных, разработаны необходимые документы, на компьютерах установлено специальное программное обеспечение для защиты персональных данных от взлома и т.д.)

- назначено лицо, ответственное за организацию обработки персональных данных;

- разработано и утверждено Положение об обработке персональных данных, и Политика в отношении обработки персональных данных;

- регулярное ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, с требованиями по защите персональных данных, с собственными документами по вопросам обработки персональных данных;

- обучение работников, осуществляющих обработку персональных данных, по вопросам организации и осуществления обработки в соответствии с требования законодательства РФ, принятыми нормативными правовыми актами Правительства РФ и ведомственными нормативными правовыми актами;

- осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ в области персональных данных;

- установлены правила доступа работников к обрабатываемым документам, содержащим персональные данные;

- определены угрозы безопасности персональным данным при их обработке в информационных системах персональных данных и установление необходимого уровня защищенности;

- применяются необходимые организационные и технические меры по обеспечению безопасности персональных данных, обрабатываемых в информационных системах, необходимых для обеспечения установленного уровня защищенности;

- организован учет съемных и машинных носителей документов, содержащих персональные данные;

- применяются средства защиты информации прошедшие процедуру соответствия (сертифицированные);

- обеспечивается обнаружение фактов несанкционированного доступа к персональным данным, обрабатываемым в информационных системах;

- установлены правила доступа к персональным данным, обрабатываемым в информационных системах;

- обеспечивается регистрация и учет всех действий, совершаемых с персональными данными, в информационной системе персональных данных;

- осуществляется контроль за принимаемыми мерами по обеспечению безопасности в информационных системах персональных данных.

 (и другие меры, предусмотренные ст.ст. 18.1 и 19 Федерального закона «О персональных данных»).

 

7.

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ

Необходимо описать, какие меры, установленные Правительством РФ, приняты для защиты обрабатываемых персональных данных (выбрать из предлагаемого списка, исходя из фактически осуществляемой деятельности)

1. Постановление Правительства РФ от 15.09.2008 № 687:

- лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;

- используются типовые формы, установленные Госкомстатом РФ от 05.01.2004 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;

- определены места хранения документов, содержащих персональные данные;

- установлен перечень работников, осуществляющих обработку документов, содержащих персональные данные;

- установлен перечень работников, имеющих доступ к документам, содержащим персональные данные;

- обеспечивается раздельное хранение документов, содержащих персональные данные, обработка которых производится в различных целях;

- соблюдаются условия, обеспечивающие сохранность документов, содержащих персональные данные, и исключение к ним несанкционированного доступа;

- установлен перечень мер, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный к ним доступ;

 

2. ПП РФ от 01.11.2012 № 1119:

- определены актуальные угрозы для информационных систем;

- установлены уровни защищенности персональных данных, обрабатываемых в информационных системах

8.

Дата начала обработки персональных данных

Необходимо указать дату, с которой фактически началась обработка персональных данных. Это может быть дата регистрации юрлица или индивидуального предпринимателя или дата, когда началась фактическая деятельность

Дата указывается в формате ЧЧ.ММ.ГГГГ, например, 10.10.2016

9.

Срок или условие прекращения обработки персональных данных

Указывается дата или условия, при которых произойдет прекращение обработки персональных данных (например, прекращение деятельности)

Прекращение деятельности, ликвидация организации и т.п.

10.

Сведения об информационной системе

Категории персональных данных

Необходимо указать, обработку каких общих персональных данных осуществляет оператор (выбрать из предлагаемого списка, исходя из вида деятельности: Фамилия, Имя, отчество

 

 

Специальные категории персональных данных указываются в том случае, если оператор осуществляет их обработку. К специальной категории персональных данных относят: расовую принадлежность, национальную принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни.

 

Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности человека. Например, отпечатки пальцев, радужная оболочка глаз, анализы ДНК, рост, вес.

 

 

Выбрать те персональные данные, которые обрабатывает оператор: Фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное положение, имущественное положение, образование, профессия, доходы.

 

Специальные категории персональных данных:

расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни.

 

Информация указывается лишь в случае обработки данной категории персональных данных

 

Биометрические персональные данные:

отпечатки пальцев, радужная оболочка глаз, анализы ДНК, рост, вес

 

Информация указывается только в случае обработки персональных данных данной категории.

 

11.

Категории субъектов, персональные данные которых обрабатываются *

Указываются категории физических лиц, сведения о которых обрабатываются (работники, клиенты, контрагенты).

 

 

Принадлежащих: физическим лицам, состоящих в договорных и иных гражданско-правовых отношениях с ИП (организацией), физическим лицам, обратившихся с обращением, жалобой или заявлением к ИП (организации).

12.

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных 

 

Указывается, что именно производится с персональными данными: их накопление, хранение, использование, уничтожение. Если персональные данные передаются в другие организации, другим лицам или размещаются для всеобщего обозрения, то и «распространение».

Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), уничтожение персональных данных. (выбираются те действия, которые производятся с персональными данными)

 

13.

Обработка вышеуказанных персональных данных будет осуществляться путем

Необходимо указать, каким путем будет осуществляться обработка персональных данных, выбрав один из вариантов:

- автоматизированная обработка - если только с использованием компьютера;

- неавтоматизированная обработка - если только на бумажных носителях;

- смешанная обработка - на компьютере и на бумажных носителях

Обычно указывается смешанный тип обработки персональных данных.

 

По способу распространения информации, указывается:

- с передачей или без передачи по внутренней сети юридического лица.

 

Указать, используется ли для передачи персональных данных сеть Интернет:

-с передачей или без передачи по сети Интернет.

 

- Автоматизированная обработка;

- Неавтоматизированная обработка;

- смешанная обработка

(необходимо выбрать один из вариантов)

 

 

 

 

 

 

 

 

- С передачей по внутренней сети юридического лица;

-без передачи по внутренней сети юридического лица

(необходимо выбрать один из вариантов)

 

 

-с передачей по сети Интернет;

- без передачи по сети Интернет

(необходимо выбрать один из вариантов)

 

14.

Осуществление трансграничной передачи персональных данных

В случае, если оператор не осуществляет передачу персональных данных на территорию иностранного государства, то необходимо указать «не осуществляется».

Если передача персональных данных в иностранное государство производится, то указывается перечень иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.

 

1) Осуществление трансграничной передачи персональных данных: не осуществляется (если персональные данные не отправляются в иностранные государства).

или

2) трансграничная передача персональных данных: осуществляется на территорию следующих государств: Австрия, Испания и т.д. (если персональные данные отправляются в иностранные государства)

 

15.

Использование шифровальных (криптографических) средств

Если шифровальные (криптографические) средства не используются, то указывается: не используется

При использовании шифровальных (криптографических) средств указываются: наименование, регистрационные номера производителей используемых средств, уровень криптографической защиты, уровень специальной защиты от утечек по каналам побочных излучений и наводок, уровень защиты от несанкционированного доступа. Представление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности РФ 12 февраля 2008 г. № 149/5-144).

1) Использование шифровальных (криптографических) средств: не используется (если шифровальные средства не используются);

2) Шифровальные (криптографические) средства используются. Наименование используемых криптографических средств, (например): СКЗИ «КрипПРО TYU 1.0», производство – РФ, г.Саратов, завод ООО «Позитрон», зав. № 16BЛBB917-60JC-4C16-BB7A-5F3H4ECA80, лицензия № 00-0000000 от 22.02.2002, указать класс СКЗИ: КС1, КС2, КС3, КВ, КА (При использовании шифровальных (криптографических) средств).

 

 

 

16.

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ

Страна:

Необходимо указать страну, в которой находится база с персональными данными (выбрать из предлагаемого списка)

Адрес ЦОДа:

Указывается полный адрес центра обработки данных (дата-центр, серверная), который используется для обработки персональных данных. Если нет своего ЦОДа, то указываются сведения об организации, ответственной за хранение персональных данных (наименование, ИНН, юридический адрес).

 

Страна:

Россия (или иная страна, в которой находится база с персональными данными)

 

Адрес ЦОДа:

1)                г. Томск, ул. Лебедева, д. 10, оф. 105. (адрес местонахождения базы данных) – если ЦОД находится у оператора персональных данных;

2)                ООО «Скиф», ИНН 5412345678, г. Новосибирск, ул. Пушкина, 12, оф. 15  - если ЦОД находится в другой организации.

 

17.

Ответственный за организацию обработки персональных данных

Указываются сведения о лице в организации, назначенном приказом юридического лица ответственным за организацию обработки персональных данных (обычно назначается руководитель или заместитель руководителя организации), если ИП не имеет сотрудников, то указывается сам предприниматель.

Необходимо указать фамилию, имя, отчество, номера контактных телефонов, почтовый адрес и адрес электронной почты данного лица.

 

Если оператор поручил обработку персональных данных сторонней организации (на основании договора), то необходимо указать наименование данной организации, ее адрес, сведения о лице, ответственном за обработку персональных данных, его контактные данные.

Иванов Иван Иванович, тел: 55555, e-mail: xxx@mail.ru, ул. ххх, х-х, г. Х. (если ответственным за обработку персональных данных является лицо – сотрудник оператора персональных данных)

 

 

 

 

 

 

 

ООО «Профиль», г. Томск, ул. Пушкина, д. 12, оф. 11, тел: 55555, e-mail: xxx@mail.ru (если обработка персональных данных поручена другому юридическому лицу)

 

 

2. Направить Уведомление в Управление Роскомнадзора по Томской области


2.1. Заполненное Уведомление Вы можете направить на проверку на e-mail: knv@ugsn.tomsk.ru или rsockanc70@rkn.gov.ru.
2.2. После проверки Уведомления или сразу заполняете электронную форму на сайте http://rkn.gov.ru/personal-data/forms/notification (копируя информацию с файла Microsoft office Word в поля формы письма на сайте). После чего нажимаете внизу отправить электронное уведомление и подготовить форму к распечатке. Распечатав, подписываете (законный представитель юрлица или ИП), ставите печать (при наличии) и НАПРАВЛЯЕТЕ ПИСЬМОМ ЛИБО ПРИВОЗИТЕ ЛИЧНО в Управление Роскомнадзора по Томской области (ул. Енисейская, д. 23/1, г. Томск, 634041)
Поздравляем, обязанность по регистрации в Реестре операторов персональных данных исполнена.


3. Проверить информацию о себе в Реестре операторов персональных данных


3.1. Если Ваша организация зарегистрирована в Реестре, то Вам необходимо проверить информацию на степень её актуальности и на соответствие ч. 3 ст. 22 Федерального закона «О персональных данных».
3.2. Если какая-либо информация в реестре о Вашей организации утратила свою актуальность или не соответствует ч. 3 ст. 22 Федерального закона «О персональных данных», Вам необходимо заполнить Информационное письмо о внесении изменений в сведения об операторе в реестре операторов, осуществляющих обработку персональных данных (заполняется по аналогии с Уведомлением). Для заполнения можно воспользоваться методикой, представленными на сайте образцами http://70.rkn.gov.ru/directions/p1885/p5729/p16931 или заполнять по аналогии с рекомендациями, предлагаемыми для заполнения Уведомления. 3.3. Заполненное Информационное письмо можно направить на проверку на email: knv@ugsn.tomsk.ru или rsockanc70@rkn.gov.ru.

3.4. После проверки Информационного письма или сразу заполняете электронную форму на сайте http://rkn.gov.ru/personal-data/forms/p333 (копируя информацию с файла Microsoft office Word в поля формы письма на сайте). После чего нажимаете внизу отправить электронное уведомление и подготовить форму к распечатке. Распечатав, подписываете (законный представитель юрлица или ИП), ставите печать (при наличии) и НАПРАВЛЯЕТЕ ПИСЬМОМ ЛИБО ПРИВОЗИТЕ ЛИЧНО в Управление Роскомнадзора по Томской области (ул. Енисейская, д. 23/1, г. Томск, 634041).


Полезные ссылки:
http://70.rkn.gov.ru/directions/p1885/p5729/p6851/ (Примеры заполнения Уведомлений);
http://70.rkn.gov.ru/directions/p1885/p5729/p16931/ (Примеры заполнения Информационных писем);
http://70.rkn.gov.ru/directions/p1885/p5729/p25122/ (Алгоритм для операторов персональных данных).