Работа с персональными данными: инструкция для предпринимателей
Если в своей работе вы производите какие-либо действия с персональными данными граждан (используете, собираете, храните, передаете), вы являетесь оператором персональных данных и обязаны направить уведомление об их обработке в Управление Роскомнадзора по Томской области.
Что такое «персональные данные»?
Персональные данные — это любая информация о физическом лице (субъекте персональных данных). Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» к ним относятся:
• фамилия,
• имя,
• отчество,
• дата рождения,
• адрес местожительства (регистрации),
• социальное положение,
• имущественное положение,
• семейное положение,
• сведения о доходах,
• сведения о образовании,
• сведения о профессии,
• расовая принадлежность,
• национальная принадлежность,
• религиозные убеждения,
• философские убеждения,
• политические взгляды,
• состояние здоровья,
• состояние интимной жизни,
• и другие.
Операторами персональных данных являются, например, туристические компании, запрашивающие данные клиента для оформления тура; магазины, оформляющие дисконтные или бонусные карты; кафе, запрашивающие данные посетителей при бронировании столиков и так далее. Кроме того, абсолютно любой работодатель тоже является оператором персональных данных своих работников.
Что будет, если вы не уведомите Роскомнадзор о том, что являетесь оператором персональных данных?
Данное нарушение подпадает под действие ст. 5.39, 13.11, 13.14 КОАП РФ, а также ст. 137, 140, 272 УК РФ. В первую очередь ответственность за нарушения несет руководитель (законный представитель) организации.
Непредоставление информации влечет предупреждение или наложение административного штрафа на граждан в размере от 100 до 300 рублей; на должностных лиц — от 300 до 500 рублей; на юридических лиц — от 3 000 до 5 000 рублей.
Как выполнить требование закона?
Для этого необходимо подготовить сведения о вашей организации в специальной форме, скачав ее на свой компьютер, затем занести эти сведения в электронную форму на сайте Роскомнадзора, распечатать ее, заверить и направить в Роскомнадзор по Томской области.
Шаг 1. Заполнить уведомление об обработке персональных данных в специальной форме.
Скачайте форму на свой компьютер >>
Обратите внимание: по тексту уведомления «оператор» — это представляемое Вами юридическое лицо или индивидуальный предприниматель, которое осуществляет обработку персональных данных.
| № | Раздел уведомления | Что необходимо указать | Как это указывать |
| 1. | Тип оператора | Необходимо указать форму ведения бизнеса (ИП, юрлицо). | Выбрать из предлагаемого программой перечня свою форму ведения бизнеса (ИП, юридическое лицо). |
| 2. | Наименование оператора | Необходимо указать Ваше ФИО, если Вы – ИП, или наименование Вашей организации, если Вы заполняете форму на юрлицо. | Записать свое наименование, как оно указано в Свидетельстве о регистрации. |
| 3. | Адрес оператора | Необходимо указать адрес, указанный в выписке из ЕГРЮЛ, ЕГРИП, а также фактический адрес ИП или ЮЛ. | Указывается полный адрес регистрации ЛЮ или ИП, а также адрес фактического местонахождения, включая индекс. |
| 4. | Правовое основание обработки персональных данных | Указываются федеральные законы, постановления Правительства, иные правовые акты, на основании которых оператор обрабатывает персональные данные. Например, если имеются работники, то обязательно указываются Трудовой кодекс РФ, Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «Об обязательном пенсионном страховании в РФ» и др. Если оператор — частная медицинская организация, то также указывается ГК РФ, НК РФ, Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и т.п. Если оператор — строительная организация, то указывается НК РФ, ГК РФ, Федеральный закон от 30.12.2004 N 214-ФЗ «Об участии в долевом строительстве многоквартирных домов и иных объектов недвижимости и о внесении изменений в некоторые законодательные акты Российской Федерации» и т.д. Если оператор — организация торговли, что указывается ГК РФ, НК РФ, Федеральный закон от 28.12.2009 N 381-ФЗ «Об основах государственного регулирования торговой деятельности в Российской Федерации», Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» и т.д. |
Руководствуясь: требованиями Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ, Трудового кодекса РФ, Гражданского кодекса РФ, Налогового кодекса РФ, Федеральных законов «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «Об обязательном пенсионном страховании в РФ», «О страховых взносах в Пенсионный фонд РФ, Фонд социального страхования РФ, Федеральный фонд обязательного медицинского страхования», Постановлений Правительства РФ «О трудовых книжках», «О воинском учете», «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты» — общие правовые акты для всех. Также указываете правовые акты, в зависимости от сферы деятельности — ГК РФ, НК РФ и т.д. |
| 5. | Цель обработки персональных данных | Указываются цели фактически осуществляемой деятельности, указанной в учредительных документах. Например, для перевозчиков — оказание услуг по осуществлению перевозки грузов, для торговых организаций — осуществление деятельности в торговой сфере и др. | Например: сцелью обеспечения производственной деятельности предприятия, оказания услуг в области организации деятельности по производству и реализации товаров, продукции и услуг, а также извлечения прибыл. |
| 6. |
Описание мер, предусмотренных статьями 18.1 и 19 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» |
Необходимо описать, какие организационные и технические меры приняты для защиты обрабатываемых персональных данных (назначено лицо, ответственное за организацию обработки персональных данных, разработаны необходимые документы, на компьютерах установлено специальное программное обеспечение для защиты персональных данных от взлома и т.д.) | • Назначено лицо, ответственное за организацию обработки персональных данных; • разработано и утверждено Положение об обработке персональных данных, и Политика в отношении обработки персональных данных; - регулярное ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, с требованиями по защите персональных данных, с собственными документами по вопросам обработки персональных данных; • обучение работников, осуществляющих обработку персональных данных, по вопросам организации и осуществления обработки в соответствии с требования законодательства РФ, принятыми нормативными правовыми актами Правительства РФ и ведомственными нормативными правовыми актами; • осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ в области персональных данных; • установлены правила доступа работников к обрабатываемым документам, содержащим персональные данные; • определены угрозы безопасности персональным данным при их обработке в информационных системах персональных данных и установление необходимого уровня защищенности; • применяются необходимые организационные и технические меры по обеспечению безопасности персональных данных, обрабатываемых в информационных системах, необходимых для обеспечения установленного уровня защищенности; • организован учет съемных и машинных носителей документов, содержащих персональные данные; • применяются средства защиты информации прошедшие процедуру соответствия (сертифицированные); • обеспечивается обнаружение фактов несанкционированного доступа к персональным данным, обрабатываемым в информационных системах; • установлены правила доступа к персональным данным, обрабатываемым в информационных системах; • обеспечивается регистрация и учет всех действий, совершаемых с персональными данными, в информационной системе персональных данных; • осуществляется контроль за принимаемыми мерами по обеспечению безопасности в информационных системах персональных данных. И другие меры, предусмотренные ст.ст. 18.1 и 19 Федерального закона «О персональных данных». |
| 7. | Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ | Необходимо описать, какие меры, установленные Правительством РФ, приняты для защиты обрабатываемых персональных данных (выбрать из предлагаемого списка, исходя из фактически осуществляемой деятельности). | 1. Постановление Правительства РФ от 15.09.2008 № 687: • лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки; • используются типовые формы, установленные Госкомстатом РФ от 05.01.2004 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»; • определены места хранения документов, содержащих персональные данные; • установлен перечень работников, осуществляющих обработку документов, содержащих персональные данные; • установлен перечень работников, имеющих доступ к документам, содержащим персональные данные; • обеспечивается раздельное хранение документов, содержащих персональные данные, обработка которых производится в различных целях; • соблюдаются условия, обеспечивающие сохранность документов, содержащих персональные данные, и исключение к ним несанкционированного доступа; • установлен перечень мер, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный к ним доступ. 2. ПП РФ от 01.11.2012 № 1119: • определены актуальные угрозы для информационных систем; • установлены уровни защищенности персональных данных, обрабатываемых в информационных системах. |
| 8. | Дата начала обработки персональных данных | Необходимо указать дату, с которой фактически началась обработка персональных данных. Это может быть дата регистрации юрлица или индивидуального предпринимателя или дата, когда началась фактическая деятельность. | Дата указывается в формате ЧЧ.ММ.ГГГГ, например, 10.10.2016. |
| 9. | Срок или условие прекращения обработки персональных данных | Указывается дата или условия, при которых произойдет прекращение обработки персональных данных (например, прекращение деятельности). | Прекращение деятельности, ликвидация организации и т.п. |
| 10. | Сведения об информационной системе Категории персональных данных |
Необходимо указать, обработку каких общих персональных данных осуществляет оператор (выбрать из предлагаемого списка, исходя из вида деятельности: фамилия, имя, отчество. Специальные категории персональных данных указываются в том случае, если оператор осуществляет их обработку. К специальной категории персональных данных относят: расовую принадлежность, национальную принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни. Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности человека. Например, фотоизображение, видеоизображение, дактилоскопическая информация и другие при наличии. |
Выбрать те персональные данные, которые обрабатывает оператор: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное положение, имущественное положение, образование, профессия, доходы. Специальные категории персональных данных: расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни. Информация указывается лишь в случае обработки данной категории персональных данных Биометрические персональные данные: фотоизображения, видеоизображения, дактилоскопическая информация др. Информация указывается только в случае обработки персональных данных данной категории. |
| 11. | Категории субъектов, персональные данные которых обрабатываются* |
Указываются категории физических лиц, сведения о которых обрабатываются (работники, клиенты, контрагенты). |
Принадлежащих: физическим лицам, состоящих в договорных и иных гражданско-правовых отношениях с ИП (организацией), физическим лицам, обратившихся с обращением, жалобой или заявлением к ИП (организации) |
| 12. |
Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных |
Указывается, что именно производится с персональными данными: их накопление, хранение, использование, уничтожение. Если персональные данные передаются в другие организации, другим лицам или размещаются для всеобщего обозрения, то и «распространение». |
Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), уничтожение персональных данных. (выбираются те действия, которые производятся с персональными данными). |
| 13. | Обработка вышеуказанных персональных данных будет осуществляться путем | Необходимо указать, каким путем будет осуществляться обработка персональных данных, выбрав один из вариантов: • автоматизированная обработка — если только с использованием компьютера; • неавтоматизированная обработка — если только на бумажных носителях; • смешанная обработка - на компьютере и на бумажных носителях. Обычно указывается смешанный тип обработки персональных данных. По способу распространения информации, указывается: • с передачей или без передачи по внутренней сети юридического лица. Указать, используется ли для передачи персональных данных сеть Интернет: • с передачей или без передачи по сети Интернет. |
• Автоматизированная обработка. • Неавтоматизированная обработка. • Смешанная обработка. Необходимо выбрать один из вариантов. • С передачей по внутренней сети юридического лица. • Без передачи по внутренней сети юридического лица. Необходимо выбрать один из вариантов. • С передачей по сети Интернет. • Без передачи по сети Интернет. Необходимо выбрать один из вариантов. |
| 14. | Осуществление трансграничной передачи персональных данных | В случае, если оператор не осуществляет передачу персональных данных на территорию иностранного государства, то необходимо указать «не осуществляется». Если передача персональных данных в иностранное государство производится, то указывается перечень иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных. |
1) Осуществление трансграничной передачи персональных данных: не осуществляется (если персональные данные не отправляются в иностранные государства). или: 2) Трансграничная передача персональных данных: осуществляется на территорию следующих государств: Австрия, Испания и т.д. (Если персональные данные отправляются в иностранные государства) |
| 15. | Использование шифровальных (криптографических) средств | Если шифровальные (криптографические) средства не используются, то указывается: не используется. При использовании шифровальных (криптографических) средств указываются: наименование, регистрационные номера производителей используемых средств, уровень криптографической защиты, уровень специальной защиты от утечек по каналам побочных излучений и наводок, уровень защиты от несанкционированного доступа. Представление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством Центра Федеральной службы безопасности РФ 12 февраля 2008 г. № 149/5-144. |
1) Использование шифровальных (криптографических) средств: не используется. |
| 16. | Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ | Страна Необходимо указать страну, в которой находится база с персональными данными (выбрать из предлагаемого списка). Адрес ЦОДа Указывается полный адрес центра обработки данных (дата-центр, серверная), который используется для обработки персональных данных. Если нет своего ЦОДа, то указываются сведения об организации, ответственной за хранение персональных данных (наименование, ИНН, юридический адрес). |
Страна Россия (или иная страна, в которой находится база с персональными данными). Адрес ЦОДа 1) г. Томск, ул. Лебедева, д. 10, оф. 105. Адрес местонахождения базы данных — если ЦОД находится у оператора персональных данных. 2) ООО «Скиф», ИНН 5412345678, г. Новосибирск, ул. Пушкина, 12, оф. 15 — если ЦОД находится в другой организации. |
| 17. | Ответственный за организацию обработки персональных данных | Указываются сведения о лице в организации, назначенном приказом юридического лица ответственным за организацию обработки персональных данных (обычно назначается руководитель или заместитель руководителя организации), если ИП не имеет сотрудников, то указывается сам предприниматель. Необходимо указать фамилию, имя, отчество, номера контактных телефонов, почтовый адрес и адрес электронной почты данного лица. Если оператор поручил обработку персональных данных сторонней организации (на основании договора), то необходимо указать наименование данной организации, ее адрес, сведения о лице, ответственном за обработку персональных данных, его контактные данные. |
Например: Иванов Иван Иванович, тел: 555555, e-mail: xxx@mail.ru, ул. ххх, х-х, г. Х (если ответственным за обработку персональных данных является лицо — сотрудник оператора персональных данных). Например: ООО «Профиль», г. Томск, ул. Пушкина, д. 12, оф. 11, тел: 55555, e-mail: xxx@mail.ru (если обработка персональных данных поручена другому юридическому лицу). |
Ели вы не уверены, что заполнини уведомление верно, вы можете направить его в электронном виде на проверку специалистам Роскомнадзора: rsockanc70@rkn.gov.ru.
По всем вопросам, возникающим в ходе заполнения уведомления, можно проконсультироваться по тел.: 8 (3822) 60-90-07, добавочный основной: 714, вспомогательные: 711, 717, 718.
Шаг 2. Заполнить электронную форму на сайте Роскомнадзора.
После проверки уведомления (если вы направляли его в электронном виде, см. Шаг 1) или сразу заполните электронную форму на сайте Роскомнадзора, копируя информацию из заполненного вами файла в поля формы на сайте.
Заполнив все поля, в нижней части страницы нажмите «отправить электронное уведомление и подготовить форму к распечатке».
Электронное уведомление направлено в Роскомнадзор, а вы переходите к шагу №3.
Шаг 3. Направить бумажное уведомление в Управление Роскомнадзора по Томской области.
Распечатанный документ должен подписать законный представитель юрлица или ИП, поставить печать (при ее наличии).
Этот документ вам необходимо направить почтой или принести лично в Управление Роскомнадзора по Томской области (ул. Енисейская, д. 23/1, г. Томск, 634041).
Поздравляем! Обязанность по регистрации в Реестре операторов персональных данных Вами исполнена.
В течение тридцати дней с даты поступления уведомления об обработке персональных данных Роскомнадзор вносит направленные вами сведения в Реестр операторов персональных данных.
Если ваша организация уже зарегистрирована в Реестре операторов персональных данных
В этом случае вам необходимо проверить информацию о себе на актуальность и соответствие требованиям ч. 3 ст. 22 Федерального закона «О персональных данных».
Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Если какая-либо информация в Реестре о вашей организации утратила свою актуальность или не соответствует ч. 3 ст. 22 Федерального закона «О персональных данных», вам необходимо заполнить информационное письмо о внесении изменений в сведения и направить его в Роскомнадзор.
Порядок действий следующий:
• Скачайте и заполните информационное письмо. Образец информационного письма (.doc, 69 кб) >>
• Заполненное информационное письмо можно направить на проверку по электронной почте: rsockanc70@rkn.gov.ru.
• После его проверки (если вы направляли его в электронном виде) или сразу заполите электронную форму на сайте Роскомнадзора, копируя информацию из заполненного вами файла в поля формы на сайте.
• Заполнив все поля, в нижней части страницы нажмите «отправить электронное уведомление и подготовить форму к распечатке».
• Распечатанный документ должен подписать законный представитель юрлица или ИП, поставить печать (при ее наличии). Этот документ вам необходимо направить почтой или принести лично в Управление Роскомнадзора по Томской области (ул. Енисейская, д. 23/1, г. Томск, 634041).
Поздравляем! Вы актуализировали информацию о вашей организации в Реестре операторов персональных данных.
Пройдите тест и узнайте, содержатся ли сведения о вашей организации в Реестре операторов персональных данных, и насколько они корректны (кликните на изображении и откройте полную версию теста)
