Обработка персональных данных

В соответствии с Федеральным законом №152-ФЗ «О персональных данных», любая организация или физическое лицо, занимающееся обработкой персональных данных, обязана встать на учет в Роскомнадзор и получить статус оператора персональных данных.

Чтобы уведомить Роскомнадзор нужно:

1. Зайти на сайт Роскомнадзора, на страницу «Формы уведомления»
   

2. Выбрать подходящий способ уведомления:
   - бумажный вид;
   - электронный вид с использованием усиленной квалифицированной электронной подписи;
   - электронный вид с использованием средств аутентификации ЕСИА

3. После выбора нужного способа открывается форма для заполнения
   
   

4. Выберите «Регион регистрации». Укажите регион, где была зарегистрирована ваша организация.
   
   

5. Укажите свои основные данные в «Сведениях об операторе»
   
   

6. В «Целях обработки персональных данных» в пункте «Цель обработки ПД» выбери «иная». В поле ниже указываете цель обработки персональных данных, например:
   - оказание услуг клиенту;
   - сбор и анализ данных о клиентах;
   - установление обратной связи с клиентами.
   
   

7. В пункте «Категории персональных данных» укажите все данные, которые вы собираете для дальнейшей обработки.
   
   

8. В пункте «Категории субъектов, персональные данные которых обрабатываются» укажите категории, которые ведут с вашей организацией любые договорные отношения. Будь-то ваш сотрудник, который официально устроен в вашей организации и тогда нужно выбрать категорию «Работники» или же это прямые ваши клиенты и тогда нужно выбрать категорию «Клиенты».
   
   

9. В пункте «Правовое основание обработки персональных данных» выберите вариант, указанный на скриншоте:
   
   

10. В пункте «Перечень действий» заполните те действия, которые вы будете производить с собранными персональными данными.
    
    

11. В «Способах обработки» выберите следующее.
    1) Автоматизированная — если собираете данные только с помощью вычислительных машин.
    Смешанная — если собираете данные при помощи вычислительных машин и материальных носителей (например, бумажные документы).
    2) С передачей по внутренней сети юридического лица — если сгружаете данные в дополнительные внутрикорпоративные источники (например, внутренняя сеть).
    3) Без передачи по внутренней сети юридического лица — если данные не сгружаются и не передаются в дополнительные внутрикорпоративные источники.
    4) С передачей по сети Интернет.
    
    

12. В «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона “О персональных данных”» опишите меры, которые будете применять, например как на скриншоте:
    

13. В «средствах обеспечения безопасности» укажите технические и организационные инструменты, направленные на защиту ПДн от несанкционированного доступа, утечек, уничтожения, подделки и т. д.
    Например:
    - Антивирусное ПО и защита от вредоносных программ
    - Межсетевые экраны
    - Шифрование
    - Резервное копирование
    
    Во всех случаях нужно подробно описать, какие программы или устройства используются для тех или иных средств обеспечения безопасности.
    
    

14. В пункте «Использование шифровальных (криптографических) средств» укажите:
    - используется — если используете устройства, программы или службы, которые помогают зашифровать и дешифровать информацию, проверить ее целостность;
    - не используется — если не используете устройства, программы или службы, которые помогают зашифровать и дешифровать информацию, проверить ее целостность.
    
    

15. В пункте «Ответственный за организацию обработки персональных данных» укажите данные работника, которому поручено осуществлять контроль за обработкой персональных данных:
    - если вы — ИП или самозанятый, то ответственным назначаетесь вы сами и нужно выбрать «Физическое лицо»;
    - если вы — ООО, то вы можете назначить любого сотрудника и для этого также нужно выбрать «Физическое лицо»;
    - если функции по обработке персональных данных выполняет внешний поставщик услуг, выберите вариант «Сторонняя организация» и укажите полные реквизиты компании.
    
    

16. «Дата начала обработки персональных данных».
    1) Если уже ведёте бизнес с клиентами через AppEvent или другие формы сбора ПДн — указываете дату начала фактической обработки данных. Например: Дата начала обработки персональных данных: 01.09.2023
    2) Если только запускаете проект — можно указать предполагаемую дату начала использования ПДн. Например: 15.06.2026
    3) Если не уверены — берите дату регистрации ИП/ООО или запуска CRM. Важно, чтобы дата не была позже даты подписания политики.
    
    

17. В «Сроках или условиях прекращения обработки персональных данных» либо указываете конкретную дату, либо выбираете «Условие окончания» и описываете причины, например:
    «Обработка персональных данных прекращается при достижении целей обработки, по истечении сроков хранения, предусмотренных законодательством, по отзыву согласия субъекта персональных данных, либо при прекращении деятельности оператора (включая ликвидацию, реорганизацию, исключение из реестра юридических лиц)»
    
    

18. В пункте «Осуществление трансграничной передачи персональных данных» указываете:
    - осуществляется — если будете передавать данные с территории Российской Федерации на территорию иностранного государства;
    - не осуществляется — если не будете передавать данные с территории Российской Федерации на территорию иностранного государства.
    
    

19. В «Сведениях о местонахождении базы данных информации, содержащей персональные данные граждан РФ» заполните данные по ЦОДу. Если используете AppEvent, то можете указать следующие данные:
    - Страна: Россия;
    - Адрес ЦОД: г. Москва;
    - Адрес ООО «Единая сеть»: г. Москва, ул. Большая Ордынка, дом 17, корпус 1;
    - ИНН: 7723635132;
    - ОГРН: 1077762353074.
    

20. Если используете AppEvent, то «Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах» можете не заполнять.
    
    

21. В «Сведениях об обеспечении безопасности персональных данных», в пункте «Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ» необходимо перечислить все меры защиты персональных данных, реализуемые в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 для информационных систем.
    
    

22. В данных об исполнителе нужно внести информацию об исполнителе - лице, которое заполняет форму уведомления в Роскомнадзор. Обратите внимание, что исполнителем может быть как человек, представляющий интересы организации, так и любое другое лицо, фактически выполняющее данную работу.
    
    

23. После заполнения формы уведомления поставьте галочки в опциях ниже, подпишите документ и отправьте выбранным способом.
    

    
    
    

    В случае возникновения вопросов
    Вы можете обратиться к обратиться к профильным специалистам для консультации или непосредственно в контролирующий орган, удобным для Вас способом, более подробно:
    
    Телефон +7 (495) 198-65-01
    Электронная почта rsoc_in@rkn.gov.ru
    Сайт
    Telegram