Использование шифровальных криптографических средств что писать роскомнадзор
Перейти к содержимому

Использование шифровальных криптографических средств что писать роскомнадзор

  • автор:

Инструкция заполнения уведомления об обработке персональных данных

Предприниматели, осуществляющие сбор и обработку персональных данных пользователей своих Интернет-сайтов или Интернет-магазинов обязаны направить уведомление об обработке персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее Роскомнадзор).

Способы направления уведомления о начале обработки персональных данных

Уведомление об обработке персональных данных можно направить в Роскомнадзор тремя способами:

  1. сформировать уведомление и направить в бумажном виде в территориальный орган Роскомнадзора.
  2. сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи
  3. сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.

Заполнение уведомления о начале обработки персональных данных на примере юридического лица

Самая первая строка уведомления «Наименование ТО Роскомнадзора» – это наименование территориального органа Роскомнадзора, куда будет отправлено уведомление. Из выпадающего списка нужно выбрать соответствующее управление.

Например, управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Татарстан.

Сведения об операторе

Далее выбираем «Тип оператора» – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В нашем примере выбираем «Юридическое лицо».

рис1

Юридическое лицо:

Далее сообщаем сведения о юридическом лице из Единого государственного реестра юридических лиц:

  1. Наименование оператора – полное наименование оператора с указанием организационно- правовой формы.
  2. Сокращенное наименование оператора:
  3. Адрес оператора — вводится с обязательным указанием почтового индекса.
  4. Aдрес местонахождения
  5. Почтовый адрес
  6. Телефон
  7. Факс
  8. Адрес электронной почты
  9. Регион это перечень субъектов Российской Федерации, на территории которых оператор осуществляет обработку персональных данных.
  10. ИНН
  11. ОГРН и дата присвоения ОГРН
  12. ОКВЭД
  13. ОКПО
  14. ОKФС
  15. ОКОГУ
  16. ОКОПФ
  17. Филиалы, их наименование и адрес.

рис2

Общие сведения:

Правовое основание обработки персональных данных — здесь могут быть указаны правовые основания, которые соответствуют полномочиям Оператора, отраженных в уставных документах, Федеральных законах и принятых на их основе нормативных правовых актов в части, касающейся компетенции Оператора, закрепляющий основание и порядок обработки Оператором персональных данных указываются статьи нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных (например: Трудового кодекса Российской Федерации, Воздушного кодекса Российской Федерации, Федерального закона «Об актах гражданского состояния» и др. Номер, дату выдачи и наименование лицензии на осуществляемый вид деятельности, с указанием лицензионных условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных. Номер лицензии и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), допускается при наличии лицензии и (или) соответствующего пункта лицензионных условий.

рис3

Цель обработки персональных данных — здесь указываем цели обработки персональных данных (а также их соответствие полномочиям оператора). Под «целью обработки персональных данных» понимаются, как цели, указанные в учредительных документах оператора, так и цели, фактически осуществляемой оператором деятельности по обработке персональных данных.

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» — а) описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 №152- ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименование этих средств. б) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

Средства обеспечения безопасности – это сведения о средствах обеспечения безопасности персональных данных при их обработке не являются общедоступными.

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ – здесь указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Дата начала обработки персональных данных – указывается конкретная дата начала совершения действий с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (фактическая дата начала обработки персональных данных).

Срок или условие прекращения обработки персональных данных – здесь указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки персональных данных.

Сведения об информационных системах:

В этом блоке указываются сведения о способе обработки персональных данных или об информационной системе.

рис4

Далее перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных – указываются действия, совершаемые оператором с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение(обновление, изменение), извлечение, использование, передачу(распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, а так же описание используемых оператором способов обработки персональных данных.

Выбираете способы обработки персональных данных:

  • автоматизированная.
  • неавтоматизированная.
  • смешанная.
  • без передачи по внутренней сети юридического лица.
  • с передачей по внутренней сети юридического лица.
  • без передачи по сети Интернет.
  • с передачей по сети Интернет.

Категории персональных данных:

рис5

  • фамилия, имя, отчество
  • год рождения
  • месяц рождения
  • дата рождения
  • место рождения
  • адрес
  • семейное положение
  • социальное положение
  • имущественное положение
  • образование
  • профессия
  • доходы

Специальные категории персональных данных:

  • расовая принадлежность
  • национальная принадлежность
  • политические взгляды
  • религиозные убеждения
  • философские убеждения
  • состояние здоровья
  • состояние интимной жизни

Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Можно указать другие категории персональных данных, не указанные в данном перечне.

Категории субъектов, персональные данные которых обрабатываются – указываются категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются. Например, работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др.

Осуществление трансграничной передачи персональных данных: да или нет.

Использование шифровальных (криптографических) средств: да или нет.

рис6

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ: страна, адрес ЦОДа,

Собственный ЦОД: да или нет.

В последнем блоке сообщаем контактные данные ответственного лица за организацию обработки персональных данных – указывается фамилия, имя, отчество физического лица (назначенного оператором, подавшим уведомление), или наименование юридического лица(наименование организации, которой оператор поручил обработку персональных данных на основании заключенного договора), ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты:

  • Физическое лицо.
  • ФИО.
  • Фамилия.
  • Имя.
  • Отчество.
  • Почтовый адрес.
  • Номера контактных телефонов.
  • Адрес электронной почты.
  • ФИО исполнителя.
  • Должность.
  • Контактная информация исполнителя.

Далее читаете порядок подачи уведомления в электронном виде и согласие на передачу информации в электронной форме уведомления (в том числе персональных данных) по открытым каналам связи сети Интернет.

рис7

Отправляете электронное уведомление и подготавливаете форму к распечатке. После заполнения формы уведомления о намерении осуществлять обработку персональных данных и отправки ее в информационную систему Роскомнадзора, необходимо распечатать заполненную форму, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.

Использование шифровальных криптографических средств что писать роскомнадзор

Методические рекомендации по заполнению полей, предусмотренных формами Уведомления и Информационного письма

! Методические рекомендации по заполнению полей, предусмотренных формами Уведомления и Информационного письма

1

Наименование ТО Роскомнадзора

Необходимо указывать наименование ТО Роскомнадзора, а именно «Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Челябинской области» (или «Управление Роскомнадзора по Челябинской области»).

2

Тип оператора

Необходимо указывать тип оператора: (выбирается один из вариантов: государственный орган, муниципальный орган, юридическое или физическое лицо, индивидуальный предприниматель, иностранный гражданин).

3

Наименование (фамилия, имя, отчество — если оператор физическое лицо), адрес оператора

Необходимо указывать адрес оператора, ИНН, ОГРН

Зачастую полное наименование организации на бланке и (или) печати и в уведомлении не соответствуют. Необходимо точное соответствие.

В Информационных письмах обязательно указание регистрационного номера записи оператора в реестре. Для того чтобы узнать регистрационный номер необходимо перейти на Портал персональных данных по ссылке: https://pd.rkn.gov.ru и в поле Реестр воспользоваться поиском по ИНН или расширенным поиском по ИНН, наименованию Оператора.

4

Правовое основание обработки персональных данных

Необходимо указывать соответствующие статьи и номер закона или иного НПА, регулирующих осуществляемый вид деятельности и касающихся обработки персональных данных (статьи Трудового кодекса, Указов Президента РФ, Постановлений Правительства РФ и других НПА)

5

Цель обработки персональных данных

Необходимо указать как цели, указанные в учредительных документах (уставе, учредительном договоре, положении) оператора, так и цели фактически осуществляемой оператором деятельности.

6

Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке

Необходимо указать конкретные организационные и технические меры, принимаемые оператором в соответствии со ст.18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных, в том числе факт использования шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

7

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации

Необходимо указывать конкретные меры, предпринимаемые Оператором для обеспечения безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Например, какие конкретные меры предпринимает оператор в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

8

Дата начала обработки персональных данных

Необходимо указать конкретную фактическую дату начала совершения действий с персональными данными. Например, 01.01.2019.

Зачастую дата начала обработки совпадает с датой присвоения ОГРН (ОГРНИП).

9

Срок или условие прекращения обработки персональных данных

Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных.

Например, дата: «01.01.2020» или условие «ликвидация (реорганизация) юридического лица».

10

Категории персональных данных

Необходимо указывать те категории персональных данных, которые действительно обрабатываются Оператором. Например: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни; биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность — данные изображения отпечатка пальца, изображения лица, изображения радужной оболочки глаза и т.д.). Могут быть указаны иные категории персональных данных (ИНН, паспортные данные и т.д.)

11

Категории субъектов, персональные данные которых обрабатываются

Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором), клиенты, пациенты. Слово «и др.» писать не нужно.

12

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных

Конкретные действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, которые оператор осуществляет с персональными данными);с указанием конкретных способов обработки:

неавтоматизированная обработка персональных данных;

-исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

смешанная обработка персональных данных с передачей полученной информации по сети или без таковой.

А также необходимо указывать порядок передачи информации при смешанной и (или) автоматизированной обработке.

-«информация передается/ не передается по внутренней сети юридического лица»;

-«информация передается/ не передается с передачей по сети

13

Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки

В случае трансграничной передачи персональных данных необходимо указывать страны, в которые происходит передача персональных данных в процессе их обработки.

14

Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ

В данном поле необходимо указывать страну и конкретный адрес (например, страна: Россия, адрес ЦОДа: в формате Регион/Город или населенный пункт/Улица/Дом/Офис).

Необходимо указывать на принадлежность ЦОДа (например, собственный ЦОД (Да / Нет), в случае выбора варианта «Нет», необходимо указывать какой организации принадлежит ЦОД).

15

Ответственное лицо за организацию обработки персональных данных

В данном поле необходимо указывать ФИО ответственного лица или наименование организации, ответственных за организацию обработки персональных данных.

Обязательно: номер телефона, почтовый адрес, адрес электронной почты ответственного лица или организации. Например, Иванов Иван Иванович, тел. 8(351) 000-00-00, Регион/Город или населенный пункт/Улица/Дом/Офис, E-mail: info@info.ru.

16

Исполнитель

В данном поле необходимо указывать ФИО, должность, контактную информацию исполнителя, то есть лица, заполнившего данную форму.

17

Подпись

Сформированная печатная форма Уведомления или Информационного письма в бумажном виде должна быть подписана руководителем организации или лицом, имеющим право подписи документов и направлена в Управление Роскомнадзора по Челябинской области почтовым отправлением или доставлена нарочно.

18

Номер и ключ уведомления

В случае заполнения электронных форм на Портале персональных данных Вашему документу будет присвоен номер уведомления и ключ.

Напоминаем, что недопустимо внесение в сформированные печатные формы изменений, а также удаление информации о номере и ключе уведомления.

Время публикации: 05.09.2019 08:02
Последнее изменение: 05.09.2019 08:02

  • Министерство цифрового развития, связи и массовых коммуникаций РФ
  • РСпектр
  • Единый реестр запрещенной информации
  • Реестр нарушителей авторских прав
  • Публичный реестр инфраструктуры связи и телерадиовещания РФ
  • Портал персональных данных

© 2009-2024, Версия 2.16.0

Официальный интернет-ресурс Федеральной службы по надзору

в сфере связи, информационных технологий и массовых коммуникаций

Использование шифровальных криптографических средств что писать роскомнадзор

Типичные ошибки при заполнении уведомления

Проблемные вопросы и часто допускаемые ошибки

при заполнении уведомлений (информационных писем).

Дополнительные разъяснения для практического применения

Чтобы не пропустить поля, обязательные для заполнения, заполняйте уведомление (информационное письмо) с помощью портала персональных данных .

Предварительно рекомендуем ознакомиться с примерами для заполнения уведомления – Как заполнить уведомление .

Разница между уведомлением и информационным письмом заключается в том, что в информационном письме обязательными для заполнения являются поля:

— «Сокращенное наименование оператора»,

— «Адрес оператора» (адрес местонахождения и почтовый адрес),

Далее заполняются лишь те поля, в содержание которых вносятся изменения. При этом поля необходимо заполнять ПОЛНОСТЬЮ, то есть информация не ДОБАВЛЯЕТСЯ в поле, а содержание поля в реестре ЗАМЕНЯЕТСЯ на новое.

Ошибка 1. Документ оформлен не на бланке организации

Правильно: Уведомление должно быть оформлено на бланке оператора или заверено печатью организации (на подписи руководителя или уполномоченного лица). По правилам делопроизводства, документ должен быть зарегистрирован и иметь исходящий номер и дату.

Ошибка 2. В поле «Наименование (фамилия, имя, отчество), адрес оператора»

Не указывается или не полно указывается адрес оператора (отсутствует почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус – если имеются).

Наименования организации в уведомлении не соответствует указанному на бланке и (или) печати, сведениям в ЕГРЮЛ.

Правильно: Почтовый адрес – это адрес, по которому организация (ИП, физическое лицо) зарегистрирована в ЕГРЮЛ (ЕГРИП, адрес по прописке), адрес местонахождения – это адрес, по которому фактически осуществляется деятельность.

Затруднения в заполнении поля «Филиалы»

Имеются в виду отделения, корпуса учреждения, другие территориально обособленные отделы, магазины и иные подразделения, филиалы, имеющие отношение к Оператору и входящие в его состав.

Затруднения в заполнении поля «Правовое основание обработки персональных данных»

Не указываются соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных.

Часто операторы указывают только Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Закон). Закон не дает правовых оснований операторам для обработки персональных данных. Законом регулируются отношения, связанные с обработкой персональных данных.

Правильно: Необходимо указать все отраслевые нормативно-правовые акты, которыми руководствуется Оператор, обрабатывая персональные данные с указанием реквизитов: дата, номер и название.

Устав ООО ____ от ___ №, Положение об ______ от ____ № ____, лицензия на ___ от ____ № _____ и т. д. (см. примеры для заполнения).

Кроме того, в данном поле необходимо указать локальные акты, принятые Оператором в соответствии с законодательством о персональных данных – это Положение об обработке персональных данных ООО (ИП, физ. Лицо) _____ от _____ № _____, а также приказы, инструкции и др.

Затруднения в заполнении поля «Цель обработки персональных данных»

Необходимо обратиться к уставу организации, а также не забывать, что каждое юридическое лицо в обязательном порядке осуществляет бухгалтерский и кадровый учет, в рамках которого обрабатываются персональные данные работников, а также членов их семьи (в личных делах хранятся копии свидетельств о рождении детей, свидетельств о браке, справки с места учебы ребенка и пр.).

ИП представляют отчеты в налоговые органы, пенсионный фонд и пр., для них может иметь место формулировка «подача отчетности в федеральные органы исполнительной власти».

— «осуществление полномочий органа власти по ….»

— «выполнение государственных функций по ….»

— «оказание государственных (муниципальных) услуг по …»

— «оказание (предоставление) услуг по ….»

— «выполнение работ по ….»

Ошибка 3. В поле «Категории персональных данных»

Указываются персональные данные конкретных физических лиц – работников, клиентов, абонентов и др.; используются фразы и др.», «и т.п.», «другая информация», «анкетные данные».

Перечень категорий персональных данных должен быть полный и исчерпывающий, сокращения недопустимы.

Информация, относящаяся к физическому лицу, то есть, документы: паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр., принадлежащие физическому лицу, не могут быть категориями персональных данных. Они являются материальными носителями персональных данных.

Правильно следует указывать конкретно, например, фамилия, имя, отчество, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни.

При заполнении поля для начала необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.

После того, как предложенные системой позиции в поле «Категории персональных данных» закончились (если уведомление или информационное письмо заполняется на портале персональных данных), а категории персональных данных еще остались (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), необходимо перейти к заполнению поля «Другие категории персональных данных», где эти категории и перечислить (указать).

Ошибка 4. В поле «Категории субъектов, персональные данные которых обрабатываются».

Указываются не все категории субъектов персональных данных, применяются фразы «и др.», «и т.п.», «другая информация», упоминаются сторонние юридические лица.

Правильно: Содержание поля «вытекает» из «Цель обработки персональных данных». Необходимо указывать категории физических лиц и виды отношений с ними. Под видами отношений могут пониматься трудовые, гражданско-правовые, договорные отношения, отношения в целях исполнения закона или любого другого нормативно-правового акта, регламентирующего обработку персональных данных согласно сфере деятельности юридического лица (индивидуального предпринимателя). Например: физические лица (заказчики; пассажиры; налогоплательщики; работники образовательного учреждения (колледжа, техникума), учащиеся, их родители; государственные гражданские служащие; обслуживающий персонал); лица, состоящие в трудовых отношениях с учреждением (предприятием); физические лица, обратившиеся в организацию по страхованию имущества; пенсионеры, физические лица находящихся на обслуживании банка (клиенты); законные представители физических и юридических лиц; больные, состоящие на диспансерном учёте по соответствующим диагнозам, медицинский персонал; граждане, имеющие право на меры социальной поддержки, пособия, доплаты к пенсии, ежемесячные денежные выплаты, компенсации и иные выплаты; лица, состоящие трудовых, в договорных и иных гражданско-правовых отношениях с юридическим лицом, законные представители физических и юридических лиц.

Если есть работники, работающие по договору, то к ним справедлива формулировка «физические лица, состоящие в иных договорных отношениях»

Категория «члены семьи работника» указывается, если например в бухгалтерии хранятся справки с места учебы ребенка, копии свидетельств о рождении, свидетельств о браке; в отделе кадров хранятся анкеты, содержащие информацию о супругах, родителях, детях, иных родственниках работника и другие документы, содержащие персональные данные членов семьи.

Затруднения в заполнении поля «Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных»

Из перечня действий, указанных в требованиях ч. 3 ст. 3 Федерального Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», необходимо выбрать только те действия, которые оператор непосредственно совершает с персональными данными.

У подавляющего большинства операторов это как минимум — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, уничтожение.

Ошибка 5. В поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»»

Копируется текст, приведенный в примерах для заполнения.

Правильно: проанализировать предложенное в примере, и если применять какие-либо слова, то только те, которые относятся к деятельности Оператора.

Подраздел «средства обеспечения безопасности» — это технические меры по обеспечению безопасности персональных данных при их обработке. Содержание подраздела «правовые меры» может быть отнесено как в Поле «Правовое основание обработки персональных данных», так и находиться здесь (либо там, либо тут, дублировать не нужно).

Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

Если используется электронная цифровая подпись (ЭЦП), необходимо заполнить раздел «использование шифровальных (криптографических) средств», где обязательно указать наименование, регистрационные номера и производителей используемых криптографических средств (ЭЦП), а также сведения об уровнях защиты (см. Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра Федеральной службы безопасности Российской Федерации 21.02.2008 года № 149/5-144).

Если проведена классификация информационных систем персональных данных, то необходимо в уведомлении так же указать к какому классу они относятся (см. Приказ от 13.02.2008 №55, №86, №20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»)

К техническим мерам можно отнести:

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применение технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учет машинных носителей персональных данных;

6) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

Затруднения в заполнении поля «Дата начала обработки персональных данных»

Фактически это дата, которая указана в свидетельстве ИНН.

Ошибка 6. Уведомление подписано неуполномоченным лицом

Уполномоченным лицом является:

— единоличный исполнительный орган, действующий на основании устава (генеральный директор, директор, президент, управляющий);

— руководитель или начальник, действующий на основании положения;

— представитель юридического лица, действующий на основании доверенности, в которой содержится соответствующее полномочие. В этом случае к уведомлению необходимо приложить документ, подтверждающий полномочия лица на подписание документов.

Ошибка 7. Не указан исполнитель, контактная информация исполнителя

Поле необходимо заполнить для обратной связи с исполнителем документа.

Время публикации: 22.07.2013 15:24
Последнее изменение: 08.09.2022 10:53

  • Министерство цифрового развития, связи и массовых коммуникаций РФ
  • РСпектр
  • Единый реестр запрещенной информации
  • Реестр нарушителей авторских прав
  • Публичный реестр инфраструктуры связи и телерадиовещания РФ
  • Портал персональных данных

© 2009-2024, Версия 2.16.0

Официальный интернет-ресурс Федеральной службы по надзору

в сфере связи, информационных технологий и массовых коммуникаций

Использование шифровальных криптографических средств что писать роскомнадзор

ПАМЯТКА ОПЕРАТОРАМ ПЕРСОНАЛЬНЫХ ДАННЫХ о форме, способах и механизмах получения согласия на обработку персональных данных .PDF

ОБ ИЗМЕНЕНИЯХ в законодательстве о персональных данных подробнее>>

Уважаемые заявители!

Заполнение электронных форм заявительной документации позволяет сократить сроки оформления лицензий, разрешений, свидетельств о регистрации, внесения сведений об операторах персональных данных в реестр операторов персональных данных и т.д.

К сожалению, действующее в настоящий момент российское законодательство не позволяет полностью исключить бумажные носители. Правовыми основаниями для совершения официальных регистрационных действий являются бумажные варианты оригинальных или заверенных в установленном порядке документов.

По мере совершенствования действующего законодательства Российской Федерации и развития инфраструктуры единого пространства доверия электронной подписи Роскомнадзор сможет исключить бумажные носители из всех процедур разрешительной деятельности.

  • заполнить форму уведомления об обработке (о намерении осуществлять обработку) персональных данных в электронном виде
  • заполнить форму заявления об исключении сведений из реестра операторов, осуществляющих обработку персональных данных
  • заполнить форму заявления о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных
  • заполнить форму уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных

Внимание! Временно, распечатку заполненной электронной формы заявления на фирменном угловом (продольном) бланке оператора производить через: «Файл» — «Печать» — «Весь диапазон страниц» — «Печать».

Методика составления информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных

В случае изменения сведений, указанных в уведомлении об обработке персональных данных оператор, зарегистрированный на территории Свердловской области, обязан направить в адрес Управления Роскомнадзора по Уральскому федеральному округу информационное письмо о внесении изменений сведений в реестре операторов, осуществляющих обработку персональных данных, в течение десяти рабочих дней с даты возникновения таких изменений.

Порядок внесения изменений:

  1. Заполнить информационное письмо о внесении изменений сведений в реестре операторов, осуществляющих обработку персональных данных, для этого необходимо:

— зайти на сайт Управления 66.rkn.gov.ru (вкладка «Направления деятельности», раздел «Персональные данные»);

— заполнить электронную форму информационного письма (заполнять только те поля, которые изменяются или дополняются) При этом обязательно заполнить: реквизиты организации (наименование, адрес, регистрационный номер записи в Реестре, основание изменений, регион, ИНН, ОГРН, ОКВЭД, ФИО и контактная информация исполнителя); поле «ОСНОВАНИЕ внесения изменений»; поле «Срок или условие прекращения обработки ПД»;

— ввести защитный код;

— распечатать письмо в 2х экземплярах на бланке организации (или поставить угловой штамп на отпечатанных листах);

— подписать (законный представитель организации);

— зарегистрировать письмо в журнале исходящих документов (при наличии);

2. Подготовить заверенную печатью организации копию документа – основания изменения данных об организации (Указ Губернатора, Постановление Правительства СО, или другое).

3. Направить заказным письмом указанные документы в адрес Управления Роскомнадзора по Уральскому федеральному округу.

Справки можно получить по телефону (343) 227-24-56 доб. 647 — специалист по работе с РОПД, или по телефону (343) 227-24-38 доб. 648, 649.

Методические рекомендации по составлению уведомления об обработке персональных данных

(сопроводительный документ не делать. )

Угловой штамп, бланк организации

Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых комму­никаций по Уральскому федеральному округу

Исх. №, дата

УВЕДОМЛЕНИЕ

об обработке (о намерении осуществлять обработку) персональных данных

Тип оператора: юридическое лицо (выбрать: государственный, муниципальный орган, юридическое или физическое лицо)

Наименование (фамилия, имя, отчество — для физ. лица), адрес оператора, филиалы:

Общество с ограниченной ответственностью «Совинтел» (сокращённое — ООО «Совинтел») — писать в точном соответствии со свидетельством ФНС (последним изменением в налоговом органе) ;

Стачек ул., д.1, г. Заречный, Каменский р-н, Свердловская обл., РФ, 620014.

ИНН7717036194; ОГРН1056601892159; ОКВЭД 45.2; КПП 663001001.

Если есть филиалы ( только в другом регионе РФ! ), то указать — Челябинский филиал ООО «Совинтел»; Мира ул., д.13, Челябинск, РФ, 740014; Ф.И.О. руководителя, тлф. №; КПП, ОКВЭД.

Цель обработки персональных данных (то, что отражено в Уставе; Положении; Лицензии и другие цели):

Предоставление услуг связи ; выполнение договорных обязательств; проведение расчетов с клиентами; ведение личных дел сотрудников; работа с жалобами, заявлениями; обеспечение кадрового резерва.

Правовое основание обработки персональных данных (обязательно указать соответствующие статьи, пункты определяющие обработку персональных данных) например:

Ст.ст. 86-90 Трудового кодекса РФ; ст. 53, ч. 2 ст. 54 Федерального закона от 07.07.2003г. № 126-ФЗ «О связи»; п. 4.5 Лицензии № 33799 от 10.08.2005г., выдана ООО «Совинтел» Федеральной службой по надзору в сфере связи на осуществление деятельности по оказанию услуг связи; п.3 Устава ООО «Совинтел», утверждённого на общем собрании акционеров 20.01.2006г., протокол № 1.

Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных» ( обязательно заполнить два поля: а) описание мер и б) средства обеспечения безопасности ):

а) Организационные меры : разграничение прав доступа сотрудников к базе персональных данных; наличие положения и инструкций об обработке персональных данных. Технические меры : обеспечение охраны помещений с базами персональных данных; информация передается на магнитных и бумажных носителях, а также по специально выделенной сети.

б) Средства обеспечения безопасности (обязательно заполнить поле!) :

Сейф, шкаф (запирающийся на ключ) для хранения носителей информации с персональными данными; наличие установленного антивирусного программного обеспечения; сигнализация; видеонаблюдение; сетевые экран; решетки на окнах.

C ведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации. Лица, осуществляющие обработку персональных данных, обучены и проинструктированы под роспись. Хранение носителей баз данных, содержащих персональные данные, обеспечено. Несанкционированный доступ к базам персональных данных, исключён. Не контролируемое проникновение или пребывание посторонних лиц в помещениях, где ведётся обработка персональных данных, исключено. Контроль учета лиц, допущенных к работе с персональными данными, ведётся. Модель угроз безопасности персональных данных при их обработке определена, система защиты разработана.

(п. 11 введен Федеральным законом от 25.07.2011г. № 261-ФЗ). (В соответствии с ПП РФ от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и ПП РФ от 15.09.2008г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»).

Дата начала обработки персональных данных (число, месяц, год): 31.05.2006г.

Срок или условие прекращения обработки ПД: выбрать по условию:

Ликвидация (реорганизация) ООО «Совинтел».

Сведения об информационной системе

Категории персональных данных: ! выбрать из разделов:

непосредственно персональные данные (фамилия, имя, отчество; год, месяц, дата рождения; место рождения; адрес; семейное, социальное, имущественное положение; образование; профессия; доходы);

специальные категории персональных данных (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, состояние интимной жизни);

биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основании, которых можно установить его личность, например: — фото, отпечатки пальцев, ДНК и т.д.).

Обязательно заполнить поле « Другие категории персональных данных, не указанные в перечне» (например: Данные документов: паспорта РФ, военного билета, свидетельства о рождении, свидетельства о браке/расторжении брака, об образовании, пенсионного удостоверения, водительского удостоверения, ИНН; СНИЛС; номер контактного телефона).

4. Категории субъектов, персональные данные которых обрабатываются: Сотрудники, с которыми заключены трудовые договоры; ближайшие родственники сотрудников; граждане, обратившиеся с жалобами, заявлениями; граждане, направившие мини-резюме при устройстве на работу, для участия в конкурсе на замещение вакантных должностей; клиенты и их законные представители; физические лица, состоящие в договорных или иных гражданско-правовых отношениях;

6. Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: Обязательно заполнить поле «Перечень действий с персональными данными»! :

Сбор, анализ, обобщение, хранение, изменение, дополнение, передача, уничтожение персональных данных.

способ обработки персональных данных: смешанная обработка персональных данных; без передачи (или с передачей) по внутренней сети юридического лица; c передачей (или без передачи) по сети Интернет.

осуществление трансграничной передачи: — осуществляется (или нет) трансграничная передача персональных данных (т.е. за границу РФ).

использование шифровальных (криптографических) средств :

выбрать «используются» — «не используются» (Если используются, то указать наименования указанных средств).

Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ:

выбрать: страну, адрес ЦОДа и указать имеется ли собственный ЦОД

Ответственные за организацию обработки персональных данных: фамилия, имя, отчество физического лица или наименование юридического лица, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.

Директор подпись (И.И.Иванов)

Исполнитель: ФИО; номер контактного (рабочего) телефона.

Информация размещена на сайте: 66.rkn.gov.ru

Регистрацию в РОПД можно посмотреть на сайте: pd.rkn.gov.ru (набирать только ИНН. )

Адрес: 620000, Екатеринбург, Ленина пр-т, д. 39, а/я 337.

Подписанное Уведомление на бумажном носителе направлять обязательно!

Первоочередные задачи оператора персональных данных по организации обработки персональных данных

1. Проверить, как ведется в организации обработка ПД на данный момент, устранить выявленные нарушения, не ждать проверки надзирающего органа исполнительной власти.

2. Подготовить требуемую действующим законодательством в области персональных данных документацию по обработке ПД, разработать инструкции для сотрудников, довести. Разработать (уточнить в соответствии с новой редакцией 152-ФЗ и подзаконными актами) и утвердить положение об обработке ПД в организации.

3. Получить согласие субъектов ПД на обработку ПД (в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» в соответствии с ч. 4 ст. 9).

4. Утвердить списки лиц, допущенных к обработке ПД.

5. Довести до сотрудников , которые допущены к обработке ПД:

— факт допуска их к обработке ПД;

— о способе обработки ПД;

— о перечне категорий персональных данных, которые они будут обрабатывать.

Обязать работников (сотрудников), обрабатывающих ПД, обеспечить безопасность обработки ПД.

6. Обеспечить надежное хранение носителей ПД.

7. Зарегистрироваться в установленном порядке в Реестре операторов ПД.

8. Дополнить договоры с организациями, которым оператор поручил обработку ПД, перечнем действий (операций) с ПД, целями обработки ПД, обязанностью обеспечения конфиденциальности при обработке ПД переданных им для выполнения условий данного договора, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

9. Привести в соответствие с требованиями действующего законодательства в области персональных данных деятельность по обработке ПД (если этого ещё не сделано).

10. Организовать периодический контроль руководства организации за работой лиц, допущенных к обработке персональных данных.

11. Проверить порядок хранения документов, содержащих персональные данные, и порядок их уничтожения по достижению цели обработки этих персональных данных.

12. Представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

— п.5 ч.3 ст.22 – правовое основание обработки персональных данных;

— п.7.1. ч.3 ст.22 – фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных ( это, например, ЕРЦ, РИЦ, объединённые бухгалтерии – то есть обработчик персональных данных, который не определяет цели обработки персональных данных) , и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

— п.10 ч.3 ст.22 – сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

— п.11 ч.3 ст.22 – сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленные Правительством Российской Федерации (ст.19 ещё не установлены! С июня 2012).

13. Представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пункте 10.1 части 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» — «Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации».

* Типичные ошибки при составлении Уведомления об обработке персональных данных см. здесь

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *