Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru/operators-registry/notification/form/).
В первых пунктах необходимо выбрать территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем, тип оператора. Необходимо ввести полное и сокращенное наименование оператора в соответствии с учредительными документами.
Рисунок 1 – Сведения об операторе
Далее указываются фактический и юридический адреса организации. Заполняется регион (или регионы), в которых организация осуществляет свою деятельность. Заполняются реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.
Рисунок 2 – Реквизиты организации
В графе Правовое основание обработки персональных данных (рисунок 3) необходимо указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПД. Например, можно начать с 152-ФЗ и ТК РФ, продолжить законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и закончить перечень уставом предприятия.
Рисунок 3 – Графа правовое основание обработки персональных данных
Графа Цель обработки персональных (рисунок 4) данных для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг (перечень услуг).
Рисунок 4 – Цель обработки персональных
В разделе Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» берутся положения указанных статей закона и подтверждается что все выполнено.
Рисунок 5 – Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона
В разделе Сведения об обеспечении безопасности персональных данных (рисунок 6) необходимо указать перечень средств защиты информации, применяемых в Информационная система персональных данных (можно перечислить все фактически используемые СЗИ). Дата начала обработки ПД обычно совпадает с датой основания компании (регистрации). В графе Условие окончания обработки ПД необходимо выбрать из списка подходящее значение и в качестве условия указывается Прекращение деятельности организации.
Рисунок 6 – Сведения об обеспечении безопасности персональных данных
В разделе Категории персональных данных необходимо отметить обрабатываемые категории, а потом в поле Другие категории персональных данных, не указанные в данном перечне указываются те ПД, которых нет в списке.
Рисунок 7 – Категории персональных данных
В разделе Категории субъектов, персональные данные которых обрабатываются (рисунок 8) необходимо указать перечень категорий лиц, чьи данные хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Необходимо обратить внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.
В поле Перечень действий с персональными данными можно процитировать определение обработки ПД из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Действия, которые не актуальны для организации (например, обезличивание) необходимо убрать из этого списка.
Далее указывается способ обработки ПД, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».
Далее необходимо указать передаются ли ПД за границу. Если нет, то декларируется отсутствие трансграничной передачи. Если да, необходимо указать все страны, в которые передаются данные.
Использование шифровальных средств, если не используются, то пункт пропускается. Если используются, то необходимо написать наименования средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Если используются разные СКЗИ разных классов, то форма позволяет указать все необходимые сведения.
Рисунок 8 – Раздел категории субъектов
В разделе Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ (рисунок 9) необходимо выбрать страну, в которой располагается «ЦОД» и указываем его адрес. Дальше указывается является ли «ЦОД» собственностью организации или нет и если нет, то указываются данные владельца площадки. Если в организации несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно.
Рисунок 9 – Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
Далее заполняются данные физического лица, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны в реестре операторов ПД.
В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнившее уведомление. Это может быть не ответственный, а совсем другой человек. Но, как видно, поля эти не обязательные, поэтому, если исполнителя не указывать, то им автоматически становится ответственный.
Рисунок 10 – Данные ответственного за организацию обработки ПД
Затем проставляются галочки и нажимается кнопка Отправить электронное уведомление и подготовить форму к распечатке. Далее форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить почтой в свое управление Роскомнадзора. Через некоторое время, данные внесут в реестр.
Рисунок 11 – Завершение процедуры оформления уведомления РКН
