Время прочтения инструкции 7-9 минут
Как заполнить уведомление в Роскомнадзор
Сначала — главное:
❗️ Вы — оператор персональных данных. Не компания SAMOSALE.
❗️ Уведомление вы подаёте от своего имени как ИП или юрлица.
На вопрос "Есть ли собственный ЦОД (центр обработки данных)?" — ставьте “ДА”, ЕСЛИ:
Данные хранятся на Яндекс.Диске, сервере, компьютере или в бумажной папке —
всё это считается "собственным ЦОДом".
Адрес ЦОДа SAMOSALE (не собственный):
Страна: Россия
Адрес ЦОДа: Проспект Космонавтов, 101А, Екатеринбург, Свердловская обл.
Собственный ЦОД: нет
Сведения об организации, ответственной за хранение данных:
Тип организации: юридическое лицо
Организационно-правовая форма: ООО
Наименование организации: ИНТЕРНЕТ-ПРО
ОГРН: 1036604026040
ИНН: 6671142678
Страна местонахождения: Россия
Адрес местонахождения: Екатеринбург, Тверитина, д. 34
1. Тип уведомления
а) Если впервые — выбирайте "Форма уведомления" (Рисунок 1).
Рекомендуем выбирать способ подачи в электронном виде — способ 1 или 2.
б) Если хотите внести изменения в сведения в реестре оператором — "Информационное письмо"
в) Если вносите правки в ранее заполненную форму, то после того, как нажмете на "заполнить форму", выберете "Заполнить форму данными из ранее направленного уведомления" (Рисунок 2).
В открывшемся окне укажите номер/ключ прошлого уведомления (Рисунок 3).
2. Сведения об операторе
Регион — тот, где реально ведёте деятельность (а не только где зарегистрированы).
Электронная почта — обязательна. Указывайте рабочую, или ту, где точно кто-то ответит.
Регионы обработки — где вы обрабатываете персональные данные. Можно указать "Вся Россия" (рисунок 4).
3. Цели обработки данных
Цель — это конкретно, зачем вам данные (Рисунок 5).
Примеры:
✅Ведение кадрового и бухгалтерского учёта
✅Заключение договоров с клиентами
✅Подбор персонала
✅Оказание услуг населению
❌Нельзя писать "всякое", типа: «Договорные отношения» — слишком размыто.
В справочнике на портале Роскомнадзора предложены более 30 целей. Вы можете выбрать из имеющихся или добавить вручную свой вариант.
Есть близкие по смыслу процессы, которые можно объединить в одну цель. Например, в рамках трудовых отношений это оформление трудоустройства, внесение персональных данных сотрудников в информационные системы, например СРМ, и направление персональных данных в банки для выплаты зарплаты.
❗️ Важно:
На каждую цель — отдельная строка.
Выбирайте из списка или пишите свою через «Иные».
Для каждой цели укажите:
→ категории данных (ФИО, паспорт и т.д.)
→ категории субъектов (сотрудники, клиенты, соискатели и т.д.)
→ правовое основание (закон, договор, согласие и т.п.)
4. Способы обработки данных
Обработка может быть автоматизированная, неавтоматизированная и смешанная.
Обычно у всех — "смешанная" обработка.
Выбирайте смешанную (автоматизированная + неавтоматизированная) — не ошибетесь.
Также укажите, как происходит передача данных: через интернет, локальную сеть, или оба варианта.
5. Меры по защите данных
Отвечаете по закону (ст. 18.1 и 19 ФЗ-152). Указывайте реальные меры, не «на глаз».
Примеры мер, которые вы можете указать:
— разграничение прав доступа к материальным носителям персональных данных;
— охрана помещений;
— назначен ответственный за обработку персональных данных;
— утверждены документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальных акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
— осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
— работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных,документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных
— определены угрозы безопасности персональных данных;
— ведется учет машинных носителей персональных данных;
— установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных.
Если используете шифрование — укажите название, производителя, серийный номер, класс защиты. Если не знаете — хотя бы название.
6. Ответственный за обработку ПДн (персональных данных)
— Один человек, которого укажете в приказе.
— Можно указать себя (как ИП) — тогда поле можно не заполнять.
Контакты должны быть актуальными — туда приходят предписания от Роскомнадзора. Не проверите — пропустите — будет штраф.
Совет: проверяйте эти данные каждые полгода.
7. Дата начала и окончания обработки
Начало — дата регистрации ИП/компании.
Окончание — ликвидация юрлица / прекращение деятельности ИП.
8. Места хранения данных (ЦОД)
Указывайте точный адрес: город, улица, номер дома, офиса. Даже если ЦОД — это арендованный сервер или Яндекс.Диск.
Указывайте, кто владеет сервером, если не вы (название компании, ИНН, ОГРН, адрес).
Обязательно укажите и наши данные, так как используете нашу программу лояльности:
Адрес ЦОДа: Россия, Екатеринбург, проспект Космонавтов, 101А
Собственный ЦОД: нет
Владелец ЦОДа: ООО «ИНТЕРНЕТ-ПРО»
ОГРН: 1036604026040
ИНН: 6671142678
Адрес владельца: Екатеринбург, ул. Тверитина, д. 34
Если у вас есть другие места хранения данных, укажите их адреса и владельцев тоже.
9. После отправки уведомления
Вы получите номер и ключ уведомления.
Сохраните их — они понадобятся, если нужно будет внести правки.
❗️ Если потеряли — восстановить можно только через Роскомнадзор, на портале это не делается.
Частые ошибки, за которые приходят штрафы
1.Не все цели указали
→ Например, указали только бухгалтерию, но не указали, что обрабатываете данные
клиентов.
2.Цели написаны слишком общо
→ Например, "взаимодействие с клиентами" — непонятно. Лучше: "оказание юридических услуг клиентам по договору".
3. Лишние категории данных
→ Услуги оказываете, а указали, что собираете данные о воинской обязанности и водительских правах? Зачем? Это избыточно. Роскомнадзор может оштрафовать.
4. Забыли указать, что работаете не только с сотрудниками, но и с соискателями, с уволенными работниками, с их родственниками – важно прописать всех
5. Не указали полные адреса ЦОДов, арендуемых серверов и т.п.
6. Контакты и локальные документы не совпадают с уведомлением
Также вы можете воспользоваться готовым шаблоном заполненного уведомления по ссылке: https://disk.360.yandex.ru/i/w1waPq9eX5A9lg
Информация носит рекомендательный характер. По возникающим дополнительным вопросам обращайтесь в Роскомнадзор (https://pd.rkn.gov.ru/)
Если у вас возник вопрос по работе Samosale, то задайте его нам в Telegram @SamosaleSupport_Bot 😃