Путеводитель по госуслугам для юридических лиц представление уведомления об обработке персональных данных
Скачать 350.7 Kb.
|
2. ПОРЯДОК ПРЕДСТАВЛЕНИЯ УВЕДОМЛЕНИЯ 2.1. Заполнение формы уведомления об обработке персональных данных >>> 2.2. Представление уведомления в уполномоченный орган >>> 2.1. Заполнение формы уведомления об обработке персональных данных Уведомление об обработке (о намерении осуществлять обработку) персональных данных должно быть составлено по форме, приведенной в Приложении N 2 к Регламенту (п. 22 Регламента). Необходимо отметить, что в Приложении к Рекомендациям (которые были приняты ранее, чем Регламент) также приведена форма уведомления. Она практически идентична той форме, которая установлена Регламентом. Единственное отличие заключается в том, что в форме уведомления, предусмотренной Регламентом, не требуется указания наименования уполномоченного органа, в который оно представляется. Уведомление оформляется на бланке оператора (п. 2 Рекомендаций). Оно может быть составлено и направлено в уполномоченный орган как на бумажном носителе, так и в электронной форме (ч. 3 ст. 22 Закона, п. 3 Рекомендаций). Об особенностях заполнения и представления уведомления в электронной форме см. в разделе материала о представлении уведомления в уполномоченный орган. В уведомлении указываются следующие сведения: 1. Наименование (ФИО), адрес оператора; Операторы - юридические лица указывают в данной графе (п. 4.1 Рекомендаций): - полное наименование с указанием организационно-правовой формы, а также сокращенное наименование; - для юридических лиц с филиальной структурой - наименование филиалов (представительств), осуществляющих обработку персональных данных. Также необходимо указать список субъектов РФ (с указанием кода субъекта РФ согласно Справочнику "Коды регионов" - приложение N 6 к Приказу ФНС России от 17.11.2010 N ММВ-7-3/611@), на территории которых находятся такие филиалы (представительства) и (или) где оператор производит обработку персональных данных; - место нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию. Для организаций, имеющих филиалы (представительства), указываются также юридический и почтовый адреса филиалов и представительств, осуществляющих непосредственную обработку персональных данных. При этом необходимо уточнить, осуществляется ли обработка только самим юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами); - ИНН. Операторы - физические лица указывают (п. 4.2 Рекомендаций): - ФИО; - место нахождения в соответствии со свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию; - данные документа, удостоверяющего личность, дату его выдачи, наименование органа, выдавшего документ; - ИНН. Операторы - государственные и муниципальные органы указывают (п. 4.3 Рекомендаций): - полное и сокращенное наименование; - наименование территориальных органов, осуществляющих обработку персональных данных; - место нахождения в соответствии с учредительными документами и свидетельством о постановке на учет в налоговом органе, почтовый адрес, контактную информацию; - ИНН. В п. 4 Рекомендаций установлено, что при указании наименования (фамилии, имени, отчества) оператора, а также направления деятельности рекомендуется использовать также ссылки на коды классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС). 2. Правовое основание обработки персональных данных. В данной графе необходимо указать федеральный закон, постановление Правительства РФ, иной нормативно-правовой акт, закрепляющий основание и порядок обработки персональных данных. При этом указываются не только соответствующие статьи Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных (например: ст. ст. 85 - 90 ТК РФ, ст. 85.1 Воздушного кодекса РФ, ст. 12 Федерального закона от 15.11.1997 N 143-ФЗ "Об актах гражданского состояния" и др.) (п. 8 Рекомендаций). При осуществлении лицензируемого вида деятельности необходимо указать также номер, дату выдачи и наименование лицензии на осуществляемый вид деятельности. Также согласно п. 8 Рекомендаций должны быть приведены (при их наличии и распространении на лицензиата) лицензионные условия (конкретный их пункт), закрепляющие запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных. 3. Цель обработки персональных данных. Согласно п. 5 Рекомендаций в данной графе необходимо указать как цели, обозначенные в учредительных документах оператора, так и цели фактически осуществляемой им деятельности по обработке персональных данных. Например: - "оказание услуг по..."; - "выполнение работ по..."; - "осуществление... деятельности". 4. Категории персональных данных. В данном поле указываются все категории персональных данных, подлежащих обработке (п. 6 Рекомендаций): - персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации относятся фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация, относящаяся к субъекту персональных данных (п. 6.1 Рекомендаций); - специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, состояние здоровья, интимной жизни) (п. 6.2 Рекомендаций). Перечень случаев, при которых допускается обработка специальных категорий персональных данных, установлен в ч. 2 ст. 10 Закона; - биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность) (п. 6.3 Рекомендаций). Данные сведения могут обрабатываться оператором только при наличии письменного согласия субъекта персональных данных (за исключением случаев, установленных в ч. 2 ст. 11 Закона) (ч. 1 ст. 11 Закона). 5. Категории субъектов, персональные данные которых обрабатываются. Указываются категории субъектов (физических лиц) и виды отношений с ними, например (п. 7 Рекомендаций): - работники, состоящие в трудовых отношениях с юридическим лицом; - физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом. 6. Перечень действий с персональными данными, общее описание используемых оператором способов их обработки. Указывается способ обработки персональных данных (п. 9 Рекомендаций): - неавтоматизированная обработка персональных данных; - исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой; - смешанная обработка персональных данных. При автоматизированной либо смешанной обработке персональных данных необходимо указать, передается полученная в ходе обработке информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников), с использованием сети Интернет либо вообще не передается (п. 9 Рекомендаций). На практике уполномоченный орган может потребовать четкого указания в уведомлении соответствующих вариантов: - "информация передается по внутренней сети юридического лица"; - "информация не передается по внутренней сети юридического лица"; - "информация доступна лишь для строго определенных сотрудников"; - "информация передается с использованием сети общего доступа Интернет"; - "без передачи полученной информации". 7. Описание мер, предусмотренных статьями 18.1 и 19 Закона. В данной графе оператор должен указать (п. 10 Рекомендаций): а) описание мер, предусмотренных ст. ст. 18.1 и 19 Закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств. В ст. 18.1 Закона установлен перечень мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Законом. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения данных обязанностей (если иное не предусмотрено Законом или иными федеральными законами). К таким мерам могут относиться, в частности (ч. 1 ст. 18.1 Закона): - назначение оператором-организацией лица, ответственного за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1 Закона); - издание оператором-организацией документов, определяющих его политику в отношении обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1 Закона); - применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона (п. 3 ч. 1 ст. 18.1 Закона); - осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативно-правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора (п. 4 ч. 1 ст. 18.1 Закона); - оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение его с принимаемыми оператором мерами (п. 5 ч. 1 ст. 18.1 Закона); - ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите таких данных, документами, определяющими политику оператора в отношении их обработки, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников (п. 6 ч. 1 ст. 18.1 Закона). В уведомлении следует перечислить конкретные меры, которые будут приниматься оператором в соответствии со ст. 18.1 Закона. В ст. 19 Закона предусмотрены возможные меры по обеспечению безопасности персональных данных при их обработке. Оператор должен принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий (ч. 1 ст. 19 Закона). Примерный перечень таких мер приведен в ч. 2 ст. 19 Закона, к ним, в частности, относятся: - определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных (п. 1 ч. 2 ст. 19 Закона); - организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных (п. 2 ч. 2 ст. 19 Закона); - применение прошедших процедуру оценки соответствия средств защиты информации (п. 3 ч. 2 ст. 19 Закона); - оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (п. 4 ч. 2 ст. 19 Закона); - учет машинных носителей персональных данных (п. 5 ч. 2 ст. 19 Закона); - обнаружение фактов несанкционированного доступа к персональным данным и принятие мер (п. 6 ч. 2 ст. 19 Закона); - восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (п. 7 ч. 2 ст. 19 Закона); - установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных (п. 8 ч. 2 ст. 19 Закона); - контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем (п. 9 ч. 2 ст. 19 Закона). В уведомлении следует перечислить конкретные меры, которые будут приниматься оператором в соответствии со ст. 19 Закона. Необходимо отметить, что на практике уполномоченный орган особое внимание обращает на наличие в уведомлении конкретного перечня организационных и технических мер. К организационным мерам, в частности, можно отнести принятие организацией локальных нормативных актов (внутренних документов - приказов, положений, регламентов). К техническим мерам, например, относятся: - защита от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах); - защита паролем компьютеров с персональными данными; - использование системы паролей при работе в сети (на портале); - ограничение доступа к компьютерной технике для определенных категорий работников. При смешанной обработке персональных данных уполномоченный орган может потребовать, чтобы перечень мер по обеспечению безопасности персональных данных был приведен отдельно для персональных данных на бумажных носителях и на электронных носителях. В случае использования оператором шифровальных (криптографических) средств в уведомлении также указываются следующие сведения (п. 10 Рекомендаций): - наименование, регистрационные номера и производители используемых средств; - уровень криптографической защиты персональных данных; - уровень специальной защиты от утечки по каналам побочных излучений и наводок; - уровень защиты от несанкционированного доступа. Данная информация предоставляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утв. руководством 8 Центра ФСБ России от 21.02.2008 по делу N 149/5-144; б) фамилию, имя, отчество физического лица или сотрудника юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты. Оператор-организация должен назначить лицо, ответственное за организацию обработки персональных данных (ч. 1 ст. 22.1 Закона). Данное лицо должно получать указания непосредственно от исполнительного органа оператора и подотчетно ему (ч. 2 ст. 22.1 Закона). Обязанности лица, ответственного за обработку персональных данных, установлены в ч. 4 ст. 22.1 Закона; в) класс информационной системы персональных данных оператора. Порядок проведения классификации информационных систем персональных данных (далее - Порядок классификации) утвержден Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20. Согласно п. 10 Рекомендаций класс информационной системы указывается в заявлении в соответствии с п. 14 Порядка классификации: - класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; - класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; - класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; - класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных. Классификация информационных систем должна проводиться оператором (п. 2 Порядка классификации). Необходимая для этого последовательность действий подробно изложена в Порядке классификации. |
Похожие:
 | «Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных») | | Выбрать раздел «персональные данные» и подпункт «заполнить форму уведомления об обработке (о намерении осуществлять обработку) персональных... |
 | Настоящие Рекомендации разработаны в целях разъяснения порядка заполнения формы уведомления об обработке (о намерении осуществлять... | | Уведомление оформляется на бланке Оператора, осуществляющего обработку персональных данных |
| Уведомление оформляется на бланке Оператора, осуществляющего обработку персональных данных | | Настоящие Рекомендации разработаны в целях установления единых принципов и порядка заполнения уведомления об обработке (о намерении... |
| Государственная аккредитация образовательных учреждений и научных организаций регулируется | | Уполномоченный орган по защите прав субъектов персональных данных Уведомление об обработке персональных данных (на территории Республики... |
| На сайте Роскомнадзора https://pd rkn gov ru/operators-registry/notification/form/, в Форме уведомления необходимо заполнить все... | | «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных», Постановлением... |