В помощь оператору! Информация, при заполнении Информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных (далее - Информационное письмо) (с учетом, часто встречающихся ошибок)
Информационное письмо (так же как и Уведомление) – это визитная карточка оператора, обрабатывающего персональные данные, поэтому:
- Вся информация, содержащаяся в Информационном письме, должна быть достоверной, юридически грамотной. Внимательно и осознано заполняйте данный документ (помните о юридических последствиях подаваемой информации). При этом рекомендуется заполнение данного документа с участием ответственного должностного лица за организацию обработки персональных данных, при соответствующем контроле представителя единоличного исполнительного органа (Руководителя, Директора).
- Предложения должны быть построены грамматически правильно, в каждом пункте должен быть логический смысл.
- Обязательны для заполнения пункты 5, 7.1, 10 и 11 части 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152), остальные пункты Информационного письма заполняются, если в них вносятся изменения. Если информация в пунктах не изменялась, не следует ее повторно прописывать.
- Не забывайте подписать Информационное письмо. Информационное письмо должно быть подписано уполномоченным лицом юридического лица (генеральный директор, директор, заведующий (МОУ, ДОУ), руководитель и иные).
- Информационное письмо заполняется на фирменном бланке (с угловым штампом) юридического лица, если бланка нет, то в конце Информационного письма рядом с подписью, ставится печать.
- Желательно писать каждый пункт в именительном падеже. Начало каждого пункта с заглавной буквы, всю последующую информацию в конкретном пункте через запятую (и или) точка с запятой.
Кроме того, согласно ч. 6 ст. 22 Федерального закона № 152, в случае предоставления неполных или недостоверных сведений, указанных в ч. 3 ст. 22, уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов. Поэтому, следуете нашим рекомендациям по заполнению пунктов в Информационном письме.
N п/п
|
Наименование сведений, в Информационном письме
|
Сведения (Пример)
|
Примечание
|
I
|
II
|
III
|
IV
|
1.
|
Полное наименование оператора
|
Общество с ограниченной ответственностью «Первый»
|
Указывается наименование юридического лица, согласно записи в Свидетельстве о государственной регистрации юридического лица (ЕГРЮЛ)!
|
2.
|
Сокращённое наименование оператора
|
ООО «Первый»
|
Указывается сокращенное наименование юридического лица, согласно записи в Свидетельстве о государственной регистрации юридического лица (ЕГРЮЛ)!
|
3.
|
Адрес местонахождения
|
664000, РФ, Иркутская обл., г. Иркутск, ул. Первая, д. 1, оф. 1.
|
Указывается адрес в соответствии с записью в ЕГРЮЛ.
|
4.
|
Адрес почтовый
|
664000, РФ, Иркутская обл., г. Иркутск, ул. Вторая, д. 2, оф. 2, а/я 2.
|
Указывается адрес по месту фактического нахождения юридического лица, куда направляются почтовые отправления.
|
|
Филиалы, представительства
|
Филиал г. Усолье, адрес:
|
Для организаций, учреждений, имеющих филиалы (представительства), указываются юридический и почтовый адреса (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных. При этом, необходимо уточнить - обработка персональных данных осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами).
|
5.
|
Тип оператора
|
- юридическое лицо;
- физическое лицо;
- государственный орган;
- муниципальный орган.
|
Выбрать только один из вариантов!
Государственные и муниципальные органы, при определении типа оператора должны руководствоваться Общероссийским классификатором органов государственной власти и управления, юридические лица - ГК РФ.
|
6.
|
ИНН
ОГРН
|
|
Указываются в соответствии с записью в ЕГРЮЛ.
Рекомендуется использовать (указать) также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).
|
7
|
Регистрационный номер в Реестре операторов ПД
|
№ 00-0000001
|
Указывается регистрационный номер записи необходимо взять в реестре операторов, осуществляющих обработку персональных данных на Портале персональных данных (http://pd.rsoc.ru/operators-registry/operators-list/), поиск по ИНН.
|
8.
|
Основание внесения изменений
|
Пункт 2.1 статьи 25 (часть 7 статьи 22) Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»; Изменение наименования оператора, обработка дополнительных категорий персональных данных, дополнительные меры безопасности…
|
Желтым выделенное, указывается только в случае фактических изменений, произошедшие у оператора по обработке персональных данных. Изменения могут вноситься в пункты, подаваемого ранее Уведомления.
Внимание!
В случае изменения сведений, указанных в ч. 3 ст. 22 Федерального закона № 152, оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) в течение десяти рабочих дней, с даты возникновения таких изменений.
|
9.
|
Правовое основание обработки персональных данных
|
Конституция Российской Федерации; Трудовой кодекс Российской Федерации; Гражданский кодекс Российской Федерации; Налоговый кодекс Российской Федерации; Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»; постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»; Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; постановление Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; постановление Правительства РФ от 16.04.2003 № 225 «О трудовых книжках»; постановление Минтруда РФ от 10.10.2003 № 69 «Об утверждении инструкции по заполнению трудовых книжек»; Устав (краткое название организации в соответствии с п. 2 данного Информационного письма), утверждённый (кем и когда) …
|
Посмотрите внимательно весь представленный перечень нормативно-правовых документов, как в III столбце данного пункта. Если какие-то документы к Вам не имеют отношения удаляете их из списка. Если Вам есть что добавить (Федеральные законы РФ, постановления Правительства РФ, нормативные документы Новосибирской области, регламентирующие деятельность Вашей организации) добавляете в список.
Далее указывается Устав юридического лица, кем он утвержден, дата и номер документа, которым он утверждён (см. титульный лист Устава). При этом указывается первичная дата утверждения Устава. Если впоследствии вносились изменения, дополнения то в скобках написать так: (с последующими изменениями и дополнениями).
|
10.
|
Цель обработки персональных данных
|
Осуществление деятельности согласно Уставу (краткое название организации в соответствии с п. 2 данного Информационного письма).
Кадровое обеспечение деятельности (краткое название организации в соответствии с п. 2 данного Информационного письма); ведение бухгалтерского учёта в соответствии с законодательством РФ.
|
Посмотрите внимательно представленный текст как в III столбце данного пункта.
Если Вам есть что добавить вносите информацию в соответствии с фактически осуществляемой (уставной) деятельностью Вашего юридического лица.
|
11.
|
Категории персональных данных
|
Фамилия, имя, отчество; дата рождения; месяц рождения; год рождения; место рождения; адрес; образование; профессия; семейное положение; социальное положение; имущественное положение; доходы.
|
Делается выборка на портале персональных данных «галочкой».
Если заполняете не на портале, перечисляете ч/з запятую в формате Word.
|
12.
|
Другие категории персональных данных
|
Паспортные данные: серия, номер, дата выдачи, организация, выдавшая паспорт, адрес по месту регистрации; адрес по месту фактического проживания; ИНН; серия и номер свидетельства государственного пенсионного страхования; данные полиса обязательного медицинского страхования; данные справки медицинского освидетельствования; данные документа об образовании: серия и номер, дата выдачи, наименование образовательного учреждения, квалификация по документу; сведения об аттестации; сведения о повышении квалификации; сведения о переподготовке кадров; сведения о наградах, поощрениях; контактная информация (номер домашнего телефона, номер рабочего телефона, номер мобильного телефона, e-mail); сведения о воинском учете; данные трудовой книжки: серия, номер, сведения о трудовом стаже, сведения о предыдущих местах работы.
|
Посмотрите внимательно представленный перечень категорий персональных данных. Обратите внимание на категории персональных данных, выделенные желтым цветом.
Если какую-то из представленных категорий персональных данных Вы не обрабатываете удалите её.
Если Вам есть что добавить внесите через точку с запятой.
В данном пункте нельзя указывать: «и другая информация», «другие категории персональных данных, не указанные в этом пункте».
|
13.
|
Категории субъектов, персональные данные которых обрабатываются
|
Сотрудники юридического лица, состоящие в трудовых (договорных) отношениях с (краткое название организации в соответствии с п. 2 данного Информационного письма). Физические лица (контрагенты, клиенты и т.п.), состоящие в гражданско-правовых, договорных отношения с (краткое название организации в соответствии с п. 2 данного Информационного письма) во исполнение уставных полномочий.
|
Вместо выделенных красным цветом строк вставляете краткое название своего учреждения в соответствии с п. 2 данного Информационного письма.
Вместо фрагмента, выделенного бирюзовым цветом оставляете те названия физических лиц, с которыми Вы работаете, как это принято в Вашей организации.
|
14.
|
Перечень действий с персональными данными
|
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
|
Из указанной цепочки действий с персональными данными Вы выбираете те действия, которые осуществляет Ваша организация.
Определения понятий представленных действий даны в ст. 3 Федерального закона № 152.
Обратите внимание на действия с персональными данными, выделенные желтым цветом. Если Вы эти действия не делаете удалите их.
|
15.
|
Общее описание используемых оператором способов обработки персональных данных.
|
1. вариант: - Смешанная (автоматизированной и неавтоматизированной) обработка персональных данных:
- Информация передаётся по внутренней сети,
либо
- Информация не передается по внутренней сети;
- Информация передаётся по сети Интернет,
либо
- Информация не передается по сети Интернет
2. вариант: - Неавтоматизированная, обработка персональных данных.
- Информация передаётся по внутренней сети,
либо
- Информация не передается по внутренней сети;
- Информация передаётся по сети Интернет,
либо
- Информация не передается по сети Интернет
3. вариант: - Автоматизированная, обработка персональных данных.
- Информация передаётся по внутренней сети,
либо
- Информация не передается по внутренней сети;
- Информация передаётся по сети Интернет,
либо
- Информация не передается по сети Интернет
|
Выбрать один из вариантов.
Внимание! Не допускается противоречие информации! Персональные данные либо передаются, либо не передаются, необходимо выбрать что-то одно!
Как показывает практика, юридические лица чаще всего использует 1 вариант (смешанная обработка).
|
16.
|
Осуществление трансграничной передачи персональных данных
|
- Используется
- Нет
|
Делается выборка на портале персональных данных «галочкой».
Если заполняете не на портале, перечисляете ч/з запятую в формате Word.
|
17.
|
Ответственное должностное лицо за организацию обработки персональных данных
|
Назначено ответственное должностное лицо за организацию обработки персональных данных (далее – ПДн) в (краткое название организации в соответствии с п. 2 данного Информационного письма):
Фамилия, имя, отчество, должность; раб. тел.; почтовый адрес; e-mail.
|
Обязательно нужно указать фамилию, имя, отчество должностного лица, ответственного за организацию обработки персональных данных, а также его контактную информацию (см. подпункт 7.1 п. 3 ст. 22 и ст. 22.1 Федерального закона № 152).
Согласно ст. 22.1 вышеназванного закона, ответственным должностным лицом, за организацию обработки персональных данных не может быть представитель единоличного исполнительного органа (Руководитель, Заместитель).
Ответственное должностное лицо за организацию обработки персональных данных и должностное лицо, имеющее доступ к персональным данным – не одно и тоже! Помните об этом при заполнении этого пункта! Как правило ответственным должностным лицом за организацию обработки персональных данных является один (два) человека, не указывайте весь штатный состав Вашей организации.
Внимание! При указании личных сотовых телефонов помните, что данная информация носит публичный характер! Можно указать сотовый телефон, если он является рабочим, e-mail указывать, если имеется.
|
18.
|
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
|
Разработаны внутренние документы, регламентирующие обработку ПДн и доступ к информации о ПДн: Приказ от (дата) № … «О чем?»; Положение «О чем?», утвержденное (должность руководителя в творительном падеже) (краткое название организации в соответствии с п. 2 данного Информационного письма) от (дата); должностные инструкции; Перечень должностных лиц, имеющих право доступа к информации о ПДн, утвержденный (должность руководителя в творительном падеже) (краткое название организации в соответствии с п. 2 данного Информационного письма) от (дата).
Периодически ведется ознакомление работников (краткое название организации в соответствии с п. 2 данного Информационного письма), непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
Информация на бумажных носителях хранится в соответствии с законодательством РФ об архивном деле. Наличие сейфов, пожарно-охранной сигнализации, на окнах установлены металлические решетки. Заключен договор с частным охранным предприятием.
Информация на компьютерах защищена системой паролей. Наличие антивирусной программы. Доступ к информации определённого круга лиц.
Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора. Обеспечен неограниченный доступ к документу, определяющему политику оператора в отношении обработки персональных данных.
|
Внимательно смотрите подпункт 7 п. 3 ст. 22 Федерального закона № 152. Вам следует указать меры безопасности, предусмотренные статьями 18.1 и 19 названного Федерального закона.
При разработке внутренних документов, регламентирующих обработку ПДн и доступ к информации о ПДн, руководствуйтесь постановлениями правительства РФ от 01.11.2012 № 1119; от 15.09.2008 № 687 (см. п. 9, III столбец данного Информационного письма).
Перечень Ваших внутренних документов Вы определяете сами!
Обратите внимание на выделенные фрагменты желтым и зеленым цветом. Если у Вас это имеет место оставляете. Если чего-то нет - удаляете. Может быть Вам есть что-то другое добавить по этому разделу.
|
19.
|
Средства обеспечения безопасности
|
Пароли, логины, защищённые каналы связи, сейфы, пожарно-охранная сигнализация…
|
Выбираете необходимое или добавляете другие, применяемые Вами средства, не указанные в данном перечне.
|
20.
|
Использование шифровальных (криптографичес-ких) средств
|
- Используется,
- Не используется
|
Делается выборка на портале персональных данных «галочкой».
Если заполняете не на портале, перечисляете ч/з запятую в формате Word.
При использовании криптозащиты
Смотреть приказ Роскомнадзора от 19.08.2011 № 706 (Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, п. 10).
Вы должны указать следующую информацию, а именно:
а) наименование, регистрационные номера и производителей используемых криптографических средств;
б) уровень криптографической защиты персональных данных;
в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;
г) уровень защиты от несанкционированного доступа.
Все эти параметры указываются с помощью выборки на портале персональных данных «галочкой».
Если заполняете не на портале, перечисляете ч/з запятую в формате Word.
|
21.
|
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ
|
В отношении каждой категории персональных данных определены места хранения материальных носителей персональных данных и установлен перечень должностных лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Обеспечено раздельное хранение материальных носителей персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
Установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечены регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.
В оперативном порядке осуществляется обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер по их восстановлению.
|
Указывается текст, представленный в 3 столбце данного пункта. Если Вам есть что добавить добавляете необходимые сведения.
В данном пункте не нужно дублировать информацию из п. 17 (описание мер, предусмотренных статьями 18.1. и 19 Федерального закона № 152).
|
22.
|
Дата начала обработки персональных данных
|
|
Указывается конкретная дата: день, месяц, год. Часто это может быть дата занесения организации в Единый государственный реестр юридических лиц (ЕГРЮЛ), т.е. дата присвоения действующего ИНН, ОГРН.
|
23.
|
Условие прекращения обработки персональных данных
|
Ликвидация или реорганизация (краткое название организации в соответствии с п. 2 данного Информационного письма).
|
Как правило, это является общим условием прекращения обработки персональных данных для всех юридических лиц.
|
24.
|
Исполнитель,
Номер контактного телефона (e-mail)
|
|
Указывается Фамилия, Имя, Отчество самого исполнителя Информационного письма; номер контактного телефона (e-mail), по которому можно с ним связаться.
|
Подпись (обязательно!), печать (если заполняете не на фирменном бланке, без углового штампа)
| |
