Заполнение формы на сайте РОСКОМНАДЗОРА
1.Выбор формы для заполнения
Откройте сайт РОСКОМНАДЗОРА и выберите пункт "Перейти к заполнению формы электронного уведомления".
2.Регистрация на Госуслугах
Проходим авторизацию на Госуслугах, ваши данные автоматически загрузятся.
3.Заполнение полей
- Регион. Если вы зарегистрированы в одном регионе, а деятельность ведете в другом, укажите регион фактического местонахождения.
- Адрес электронной почты. Красными звездочками отмечены поля, обязательные к заполнению. Адрес электронной почты как раз относится к таким обязательным полям. Он нужен для оперативного взаимодействия с вами по вопросам подачи уведомлений и обработки персональных данных.
- Регионы обработки. Регионы обработки – это та территория, на которой вы как оператор непосредственно работаете с персональными данными. Например, у вас есть филиалы, в которых обрабатывается личная информация сотрудников. Это может быть и несколько территорий, и вся Российская Федерация. На сегодня нет судебной практики, когда Роскомнадзор привлек бы к ответственности за то, что в Регионах обработки была указана Российская Федерация, а не конкретный субъект. Здесь важно не перепутать с территориями субъектов, чьи данные вы обрабатываете, потому что субъект может находиться в любом регионе.
4.Цели обработки данных
Далее в уведомлении необходимо указать каждую цель, с которой компания планирует обрабатывать персональные данные. В зависимости от объемов обработки данных у организации может быть различное количество целей. Указать в одном поле несколько целей через запятую нельзя. Например, ведение кадрово-бухгалтерского учета, заключение договоров с клиентами и организация пропускного режима на территорию оператора – это три разные цели.
В справочнике на портале Роскомнадзора предложены более 30 целей. Вы можете выбрать из имеющихся или добавить вручную свой вариант.
Есть близкие по смыслу процессы, которые можно объединить в одну цель. Например, в рамках трудовых отношений это оформление трудоустройства, внесение персональных данных сотрудников в информационные системы, например СРМ, и направление персональных данных в банки для выплаты зарплаты.
В справочнике на портале Роскомнадзора предложены более 30 целей. Вы можете выбрать из имеющихся или добавить вручную свой вариант.
Есть близкие по смыслу процессы, которые можно объединить в одну цель. Например, в рамках трудовых отношений это оформление трудоустройства, внесение персональных данных сотрудников в информационные системы, например СРМ, и направление персональных данных в банки для выплаты зарплаты.
5.Способы обработки данных
Обработка может быть автоматизированная, неавтоматизированная и смешанная. Способ указывается относительно каждой цели. Редко какие компании используют исключительно автоматизированный способ, поэтому лучше укажите по всем целям смешанную обработку. Кроме того, нужно конкретизировать: передача данных происходит через интернет, или в рамках внутренней сети, или используются оба варианта.
6.Меры по защите персональных данных
Полный перечень мер содержится в ст. 18.1 и 19 Федерального закона No152-ФЗ. Те данные, которые вы укажете в уведомлении, могут быть проверены Роскомнадзором. Поэтому нужно указывать исключительно достоверную информацию. То же самое касается и сведений об использовании шифровальных криптографических средств. В электронной форме уведомления помимо наименования нужно указать изготовителей, серийные номера средств шифрования и класс из КЗИ. Если у вас нет полных сведений, то достаточно будет указать их наименование.
7.Ответственный за организацию обработки персональных данных
Ответственным за организацию обработки персональных данных в компании может быть только один сотрудник. Внутри организации вы можете распределить обязанности между несколькими работниками, но ответственность перед проверяющими органами будет нести только человек, указанный в приказе.
Если для целей обработки данных вы привлекаете компанию, то указываете наименование юридического лица. Индивидуальный предприниматель может как сам отвечать за этот процесс, так и назначить ответственного из лица сотрудников. В первом случае можно поле не заполнять.
Обратите внимание, для ответственных лиц важно указывать исключительно рабочие телефоны и электронные адреса, поскольку эти данные будут открытыми. При этом убедитесь, что с человеком можно легко связаться по указанным контактам.
Если для целей обработки данных вы привлекаете компанию, то указываете наименование юридического лица. Индивидуальный предприниматель может как сам отвечать за этот процесс, так и назначить ответственного из лица сотрудников. В первом случае можно поле не заполнять.
Обратите внимание, для ответственных лиц важно указывать исключительно рабочие телефоны и электронные адреса, поскольку эти данные будут открытыми. При этом убедитесь, что с человеком можно легко связаться по указанным контактам.
8.Дата начала и окончания обработки персональных данных
Укажите в качестве даты начала обработки персональных данных день регистрации компании или ИП в Росреестре. Иначе у сотрудников Роскомнадзора возникнет вопрос о том, почему именно указанная дата была выбрана в качестве начального момента обработки данных. В качестве окончания обработки персональных данных можно выбирать не дату, а событие: ликвидация юрлица или окончание регистрации ИП.
9.Места нахождения баз данных
Помимо страны (РФ) здесь указывается полный адрес ЦОДа: город, улица, дом, номер офиса или квартиры. Под ЦОДом в уведомлении в Роскомнадзор понимается любой сервер и любое место хранения бумажных носителей. Если у вас ЦОД не собственный, а, например, арендованный, хостинг сайта или Яндекс.Диск, то нужно указать, кто обеспечивает хранение. То есть заполнить наименование организации, ИНН, ОГРН и адрес.
После завершения формирования и отправки уведомления вы получите номер и ключ документа. Сохраните его, он понадобится вам для последующей подачи корректирующих сведений.
Пример заполнения формы
1.Переходим по адресу: https://pd.rkn.gov.ru/operators-registry/notification/form/
2.Выбираем удобный вариант подачи.
3.Заходим в п. 2.
4.Заполняем сведения о своей компании (ООО или ИП). А также паспортные данные (если обязательно).
5.Заполняем необходимые поля.
Цель обработки: продвижение товаров, работ, услуг на рынке (8 строчка снизу, остальное все касается государственных компаний).
Цель обработки: продвижение товаров, работ, услуг на рынке (8 строчка снизу, остальное все касается государственных компаний).
Если сбор данных идет по клиентам и по сотрудникам - тогда надо заполнить две вкладки (если на сайте есть раздел с вакансиями и там можно отклик оставить).
- Персональные данные: ФИО, адрес электронной почты, номер телефона (эти данные обычно собираются на сайте при регистрации пользователя или при отправке любой формы. Если не уверены, какие данные собираются на вашем сайте — лучше отметить, пусть будет галочка) остальное не трогаем.
- Если у вас на сайте установлена Яндекс метрика или подобная система - отмечаем Сведения, собираемые посредством метрических программ.
Для вакансий выбираем тоже самое но добавляем те поля которые есть в формах в разделе вакансии напр (ФИО, Дата рождения, контаткные данные - телефон, email, город проживания, профессия, специальность, квалификация, портфолио, резюме, прочие ответы анкеты (мотивация кандидата) - все чего нет в галочках указать в разделе Иные персональные данные.
6.Категория субьектов, персональные данные которых обрабатываются
Выбираем: Посетители сайта. Если люди приходят к вам в заведение после записи или регистрации, то добавляем галочку Клиенты.
Выбираем: Посетители сайта. Если люди приходят к вам в заведение после записи или регистрации, то добавляем галочку Клиенты.
Если на сайте есть раздел с вакансиями и можно через него оставить отклик - то отмечаем соответствующие поля.
7.Правовое основание обработки персональных данных
Выбираем самое верхнее: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Также можно отметить (опционально) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
Выбираем самое верхнее: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Также можно отметить (опционально) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
8.Перечень действий: сбор, запись, хранение, уточнение, использование
Способ обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
Способ обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
9.Описание мер :
Вариант №1 (1 часть):
(и другие меры, предусмотренные ст. 18.1 и 19 Федерального закона «О персональных данных»).
Вариант №1 (1 часть):
- назначено лицо, ответственное за организацию обработки персональных данных;
- разработано и утверждено Положение об обработке персональных данных, и Политика в отношении обработки персональных данных;
- регулярное ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, с требованиями по защите персональных данных, с собственными документами по вопросам обработки персональных данных;
- обучение работников, осуществляющих обработку персональных данных, по вопросам организации и осуществления обработки в соответствии с требования законодательства РФ, принятыми нормативными правовыми актами Правительства РФ и ведомственными нормативными правовыми актами;
- осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ в области персональных данных;
- установлены правила доступа работников к обрабатываемым документам, содержащим персональные данные;
- определены угрозы безопасности персональным данным при их обработке в информационных системах персональных данных и установление необходимого уровня защищенности;
- применяются необходимые организационные и технические меры по обеспечению безопасности персональных данных, обрабатываемых в информационных системах, необходимых для обеспечения установленного уровня защищенности;
- организован учет съемных и машинных носителей документов, содержащих персональные данные;
- применяются средства защиты информации прошедшие процедуру соответствия (сертифицированные);
- обеспечивается обнаружение фактов несанкционированного доступа к персональным данным, обрабатываемым в информационных системах;
- установлены правила доступа к персональным данным, обрабатываемым в информационных системах;
- обеспечивается регистрация и учет всех действий, совершаемых с персональными данными, в информационной системе персональных данных;
- осуществляется контроль за принимаемыми мерами по обеспечению безопасности в информационных системах персональных данных.
(и другие меры, предусмотренные ст. 18.1 и 19 Федерального закона «О персональных данных»).
Средства обеспечения безопасности (вторая часть):
на компьютерах установлено антивирусное программное обеспечение, обеспечивается конфиденциальность паролей доступа.
на компьютерах установлено антивирусное программное обеспечение, обеспечивается конфиденциальность паролей доступа.
Вариант №2
1 часть (2 вариант) - Назначен ответственный за организацию обработки ПДн. Разработана и внедрена Политика в отношении обработки персональных данных. Все субъекты ПДн дают согласие на обработку. Доступ к персональным данным предоставлен только уполномоченным сотрудникам. Применяются организационные и технические меры, направленные на защиту данных от несанкционированного доступа, утраты, изменения или распространения. Данные хранятся в информационных системах, защищённых в соответствии с требованиями ФЗ-152.
2 часть
Используются антивирусные программы, фаервол, двухфакторная аутентификация для доступа к CRM, пароли с регулярной сменой, HTTPS/SSL-соединения для передачи данных, ограничение доступа по ролям в CRM, шифрование при передаче. Осуществляется резервное копирование и журналирование действий пользователей.
1 часть (2 вариант) - Назначен ответственный за организацию обработки ПДн. Разработана и внедрена Политика в отношении обработки персональных данных. Все субъекты ПДн дают согласие на обработку. Доступ к персональным данным предоставлен только уполномоченным сотрудникам. Применяются организационные и технические меры, направленные на защиту данных от несанкционированного доступа, утраты, изменения или распространения. Данные хранятся в информационных системах, защищённых в соответствии с требованиями ФЗ-152.
2 часть
Используются антивирусные программы, фаервол, двухфакторная аутентификация для доступа к CRM, пароли с регулярной сменой, HTTPS/SSL-соединения для передачи данных, ограничение доступа по ролям в CRM, шифрование при передаче. Осуществляется резервное копирование и журналирование действий пользователей.
Вариант №3
1 часть (3 вариант) Оператором назначено ответственное лицо за организацию обработки персональных данных. Разработана и принята Политика в отношении обработки ПДн. Организовано получение согласий субъектов перед началом обработки. Осуществляется ограничение и регламентация доступа к персональным данным – доступ предоставляется только уполномоченным лицам. Применяются пароли, ограничение доступа к устройствам и системам, защита электронной почты. Ведётся учёт носителей, проводится резервное копирование. Пользователи проинформированы о порядке обработки ПДн на сайте. Сведения хранятся в CRM и защищены паролями. Соблюдаются требования статей 18.1 и 19 ФЗ-152, а также Постановления Правительства РФ № 1119.
1 часть (3 вариант) Оператором назначено ответственное лицо за организацию обработки персональных данных. Разработана и принята Политика в отношении обработки ПДн. Организовано получение согласий субъектов перед началом обработки. Осуществляется ограничение и регламентация доступа к персональным данным – доступ предоставляется только уполномоченным лицам. Применяются пароли, ограничение доступа к устройствам и системам, защита электронной почты. Ведётся учёт носителей, проводится резервное копирование. Пользователи проинформированы о порядке обработки ПДн на сайте. Сведения хранятся в CRM и защищены паролями. Соблюдаются требования статей 18.1 и 19 ФЗ-152, а также Постановления Правительства РФ № 1119.
Это вставляется в первую часть
Это вставляется во вторую часть (ср-ва обеспечения безопасности)
Антивирусное программное обеспечение, защита электронной почты, паролирование доступа к CRM и почтовым сервисам, шифрование трафика HTTPS/SSL при передаче данных через сайт, ограничение физического доступа к устройствам. Все используемые ИС соответствуют требованиям безопасности по уровню защищенности, установленному нормативными актами РФ.
10.Использование шифровальных (криптографических) средств: не используется.
11.Ответственный за организацию обработки персональных данных - Можно не заполнять.
12.Дата начала обработки персональных данных: ставим дату регистрации компании из выписки.
13.Срок или условие прекращения обработки персональных данных:
Условие окончания:
Прекращение деятельности, ликвидация организации и т.п.
Условие окончания:
Прекращение деятельности, ликвидация организации и т.п.
14.Осуществление трансграничной передачи персональных данных:
Не осуществляется.
Не осуществляется.
15.Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
Пример Tilda
16.Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах – можно не заполнять.
17.Сведения об обеспечении безопасности персональных данных:
Обработка персональных данных осуществляется с соблюдением требований, установленных Постановлением Правительства РФ от 01.11.2012 № 1119. Уровень защищенности установлен как необходимый. Внедрены меры контроля доступа, идентификации пользователей, антивирусной защиты, межсетевого экранирования и безопасного соединения при передаче данных. Ведётся учёт и контроль действий пользователей, обеспечено резервное копирование.
Чек-лист соответствия сайту 152-ФЗ «О персональных данных»
1. Есть ли на сайте сбор персональных данных?
- Установлены формы обратной связи, заявок, подписки, регистрации
- Есть веб-аналитика (Яндекс.Метрика, Google Analytics, IP-адреса, cookies)
- Есть раздел "Вакансии", форма отклика или онлайн-анкетирования
- Присутствует онлайн-чат, чат-бот или сбор e-mail для рассылок
Если хоть один из пунктов — да, сайт обрабатывает персональные данные, и нужно подать уведомление в Роскомнадзор.
2. Размещены ли обязательные документы на сайте?
- Политика конфиденциальности/обработки персональных данных — оформлена, опубликована, есть постоянная ссылка в футере
- Форма согласия (чекбокс) под каждой формой на сайте с текстом: «Нажимая кнопку, вы соглашаетесь с политикой обработки персональных данных»
- Документ хранится в актуальной редакции и соответствует политике, указанной в уведомлении Роскомнадзора
3. Подано ли уведомление в Роскомнадзор?
- Заполнена форма на сайте https://pd.rkn.gov.ru/operators-registry/notification/form/
- Указаны цели обработки (например: заявки клиентов, подбор персонала)
- Отмечены категории данных: ФИО, телефон, email, иные (например, резюме)
- Указан способ обработки: смешанный, с передачей по сети Интернет
- Указано местонахождение баз данных — на территории РФ
- Обеспечены меры защиты в соответствии со ст. 18.1, 19 закона и ПП РФ №1119
- Выбран ответственный за ПДн
- Получено подтверждение о включении в реестр операторов
4. Организационные меры (внутри компании)
- Назначено ответственное лицо за обработку персональных данных
- Принята политика в отношении ПДн, разработано положение (внутренние документы)
- Проведено ознакомление сотрудников с политикой и законодательством
- Установлены правила доступа к персональным данным
- Назначены уровни доступа и соблюдение принципа минимально необходимого
- Реализован контроль обработки и периодическая проверка
5. Технические меры защиты данных
- Используется антивирус и межсетевой экран
- Доступ к CRM и почте — по паролю, с двухфакторной аутентификацией
- Передача данных по сайту — по HTTPS/SSL
- Осуществляется регулярное резервное копирование
- Доступ к компьютерам ограничен, ведётся учёт носителей
- Не используется шифрование (СКЗИ) — указано «не применяется», если нет
6. Дополнительно
- Проверена трансграничная передача данных — указаны страны, если используются Telegram, Google Sheets и др.
- Указаны данные хостинга/провайдера (например, Tilda — Selectel, Serveroid)
- Есть подтверждение от Роскомнадзора об успешной подаче уведомления
- Установлено напоминание о ежегодной проверке/обновлении данных в реестре
📌 Если хотя бы один пункт не выполнен:
Рекомендуется не запускать сбор данных на сайте (или временно отключить формы), пока вы не приведёте сайт и процессы обработки ПДн в соответствие с законом.