Как подать заявление в РКН* об обработке персональных данных на сайте

*Информация не является универсальной для всех.
Она сформирована, как пример, на основе моих данных

Как подготовиться к подаче уведомления в Роскомнадзор

 Законодательство допускает три способа заполнения и отправки уведомления в Роскомнадзор:

1.Заполнить электронную форму, распечатать и отправить почтой или любым удобным способом в Роскомнадзор;

• Сформировать и отправить на портале Роскомнадзора, подписав электронной подписью;
• Сформировать на портале Госуслуг и там же отправить.

Нужно учитывать, что время на заполнение уведомления на портале ограничено, а сохранить черновик нет технической возможности. Поэтому, прежде чем вносить данные в уведомление непосредственно на портале РКН, необходимо подготовиться и собрать все сведения – прервать работу и потом к ней вернуться не получится.

Я выбрала способ #3, тк. у меня нет электронной подписи и желания возится с бумажками

https://pd.rkn.gov.ru/operators-registry/notification/

Проходим авторизацию на Госуслугах, ваши данные автоматически подтянутся Регион. Если вы зарегистрированы в одном регионе, а деятельность ведете в другом, укажите регион фактического местонахождения.

Адрес электронной почты. Красными звездочками отмечены поля, обязательные к заполнению. Адрес электронной почты как раз относится к таким обязательным полям. Он нужен для оперативного взаимодействия с вами по вопросам подачи уведомлений и обработки персональных данных.

Регионы обработки. Регионы обработки – это та территория, на которой вы как оператор непосредственно работаете с персональными данными. Например, у вас есть филиалы, в которых обрабатывается личная информация сотрудников. Это может быть и несколько территорий, и вся Российская Федерация. На сегодня нет судебной практики, когда Роскомнадзор привлек бы к ответственности за то, что в Регионах обработки была указана Российская Федерация, а не конкретный субъект. Здесь важно не перепутать с территориями субъектов, чьи данные вы обрабатываете, потому что субъект может находиться в любом регионе.

Цели обработки данных

 Далее в уведомлении необходимо указать каждую цель, с которой компания планирует обрабатывать персональные данные. В зависимости от объемов обработки данных у организации может быть различное количество целей. Указать в одном поле несколько целей через запятую нельзя. Например, ведение кадрово-бухгалтерского учета, заключение договоров с клиентами и организация пропускного режима на территорию оператора – это три разные цели.

 В справочнике на портале Роскомнадзора предложены более 30 целей. Вы можете выбрать из имеющихся или добавить вручную свой вариант.

 Есть близкие по смыслу процессы, которые можно объединить в одну цель. Например, в рамках трудовых отношений это оформление трудоустройства, внесение персональных данных сотрудников в информационные системы, например СРМ, и направление персональных данных в банки для выплаты зарплаты.

Способы обработки данных

Обработка может быть автоматизированная, неавтоматизированная и смешанная. Способ указывается относительно каждой цели. Редко какие компании используют исключительно автоматизированный способ, поэтому лучше укажите по всем целям смешанную обработку. Кроме того, нужно конкретизировать: передача данных происходит через интернет, или в рамках внутренней сети, или используются оба варианта.

Меры по защите персональных данных

 Полный перечень мер содержится в ст. 18.1 и 19 Федерального закона №152-ФЗ. Те данные, которые вы укажете в уведомлении, могут быть проверены Роскомнадзором. Поэтому нужно указывать исключительно достоверную информацию. То же самое касается и сведений об использовании шифровальных криптографических средств. В электронной форме уведомления помимо наименования нужно указать изготовителей, серийные номера средств шифрования и класс из КЗИ. Если у вас нет полных сведений, то достаточно будет указать их наименование.

Ответственный за организацию обработки персональных данных

 Ответственным за организацию обработки персональных данных в компании может быть только один сотрудник. Внутри организации вы можете распределить обязанности между несколькими работниками, но ответственность перед проверяющими органами будет нести только человек, указанный в приказе.

 Если для целей обработки данных вы привлекаете компанию, то указываете наименование юридического лица. Индивидуальный предприниматель может как сам отвечать за этот процесс, так и назначить ответственного из лица сотрудников. В первом случае можно поле не заполнять.

 Обратите внимание, для ответственных лиц важно указывать исключительно рабочие телефоны и электронные адреса, поскольку эти данные будут открытыми. При этом убедитесь, что с человеком можно легко связаться по указанным контактам.

Дата начала и окончания обработки персональных данных

 Укажите в качестве даты начала обработки персональных данных день регистрации компании или ИП в Росреестре. Иначе у сотрудников Роскомнадзора возникнет вопрос о том, почему именно указанная дата была выбрана в качестве начального момента обработки данных. В качестве окончания обработки персональных данных можно выбирать не дату, а событие: ликвидация юрлица или окончание регистрации ИП.

Места нахождения баз данных

 Помимо страны (РФ) здесь указывается полный адрес ЦОДа: город, улица, дом, номер офиса или квартиры. Под ЦОДом в уведомлении в Роскомнадзор понимается любой сервер и любое место хранения бумажных носителей. Если у вас ЦОД не собственный, а, например, арендованный, хостинг сайта или Яндекс.Диск, то нужно указать, кто обеспечивает хранение. То есть заполнить наименование организации, ИНН, ОГРН и адрес.

После завершения формирования и отправки уведомления вы получите номер и ключ
документа. Сохраните его, он понадобится вам для последующей подачи корректирующих
сведений.