Как заполнить форму уведомления в Роскомнадзор

Согласно 152-ФЗ «О персональных данных» все, кто осуществляет обработку персональных данных, должны уведомлять об этом Роскомнадзор, чтобы зарегистрироваться в качестве оператора персональных данных.

Важно сделать это до того, как вы запустите курс и начнете сбор личных данных на сайте, т. к. за несвоевременную регистрацию в Роскомнадзоре предусмотрены штрафы.

В статье поделимся пошаговой инструкцией, которая поможет заполнить форму уведомления и отправить её в Роскомнадзор:

Прежде чем перейти к заполнению формы, выберите удобный способ её отправки на странице:

1. В бумажном виде. Заполненную форму потребуется распечатать и направить в территориальный орган по месту регистрации оператора.
2. В электронном виде с использованием усиленной квалифицированной электронной подписи. Заполненную форму потребуется подписать электронной подписью перед отправкой на сайте. Для создания и проверки подписи установите плагин «КриптоПро ЭЦП Browser plug-in» и настройте работу с ним.
3. В электронном виде с использованием средств аутентификации ЕСИА. Если у вас есть подтвержденная учетная запись на портале «Госуслуги», вы можете зайти в свой аккаунт на портале, заполнить форму и направить её в электронном виде.

После выбора подходящего способа отобразятся поля формы для заполнения.

В поле «Регион регистрации» укажите субъект Российской Федерации, на территории которого зарегистрирована ваша организация в качестве юридического лица (ЮЛ), индивидуального предпринимателя (ИП) или самозанятого.

В разделе «Сведения об операторе» заполняется информация о реквизитах вашей школы (ЮЛ, ИП или самозанятом), которая обрабатывает персональные данные своих клиентов.

При выборе варианта «Другой документ гражданина РФ» вручную укажите тип документа. Например: заграничный паспорт гражданина РФ или удостоверение военнослужащего.

В подразделе «Адрес оператора» укажите индекс и кликните на «Выбрать», чтобы заполнить свой адрес проживания. Нажмите «Ок» после заполнения.

Если ваш почтовый адрес совпадает с местом проживания, поставьте галочку, чтобы данные автоматически подставились из предыдущих полей.

Если адреса не совпадают, кликните на «Выбрать», заполните поля и нажмите «Ок».

Укажите свой адрес электронной почты и при необходимости добавьте телефон и факс.

В поле «Регионы обработки» укажите все субъекты Российской Федерации, где могут проживать ученики вашей школы. Можно поставить отметку «Все субъекты Российской Федерации», чтобы не перечислять все возможные регионы.

Если у вас ИП или Юр.лицо, то также заполните ИНН и ОГРН/ОГРНИП.

Пример полного заполнения раздела «Сведения об операторе» для самозанятого.

В поле «Цель обработки ПД» выберите «иная».

В дополнительном поле укажите следующие пункты:

• оказание услуг клиентам,

• установление обратной связи с клиентами.

Если ваша школа выступает в качестве ЮЛ или ИП, у которого есть сотрудники, добавьте дополнительную цель «ведение кадрового и бухгалтерского учёта».

Если у вашей школы есть лицензия на образовательную деятельность, добавьте еще одну цель — «Обеспечение соблюдения законодательства РФ в сфере образования».

В подразделе «Категории персональных данных» необходимо отметить всю информацию, которую ваша школа собирает от своих клиентов для обработки.

В качестве категории субъектов укажите «Клиенты». Если у вашего ИП или ЮЛ есть сотрудники, также выберите категорию «Работники».

В подразделе «Правовое основание обработки персональных данных» выберите следующий вариант:

В подразделе «Перечень действий» нужно выбрать все действия, которые ваша школа осуществляет с персональными данными. Укажите следующие:

В подразделе «Способы обработки» нужно указать, каким образом ваша школа обрабатывает персональные данные.

Выберите следующие способы:

• смешанная,
• с передачей по внутренней сети юридического лица,
• с передачей по сети Интернет.

В качестве мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных», можно указать следующие:

• издание оператором документов, определяющих политику оператора в отношении обработки персональных данных;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Если в вашем проекте (ИП или ЮЛ ) есть сотрудники в найме, также добавьте следующие меры:

• назначение ответственного лица за обработку персональных данных;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.

В поле «Средства обеспечения безопасности» укажите технические средства, которые обеспечивают безопасность персональных данных при их обработке. Например:

• использование антивирусных средств защиты информации (перечислите программы, которые используются);
• идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия.

В поле «Использование шифровальных (криптографических) средств» выберите «не используются».

В подразделе «Ответственный за организацию обработки персональных данных» выберите лицо, на которого возложена ответственность за организацию обработки персональных данных:

• если ваша школа выступает в качестве самозанятого или ИП без сотрудников, то выберите вариант «Физическое лицо», укажите свои ФИО и контактные данные;
• если ваша школа выступает в качестве ЮЛ или ИП, у которого есть сотрудники, то выберите вариант «Физическое лицо» и укажите данные ответственного сотрудника;
• если обработка персональных данных поручена другой компании, то выберите вариант «Сторонняя организация» и заполните реквизиты организации.

В поле «Дата начала обработки персональных данных» укажите дату регистрации ИП, ЮЛ, статуса самозанятого.

В поле «Срок или условие прекращения обработки персональных данных» выберите «Условие окончания», а ниже укажите «Прекращение деятельности организации».

В поле «Осуществление трансграничной передачи персональных данных» выберите «не осуществляется».

В данном разделе указывается информация о серверах GetCourse, арендуемых у АО «Селектел».

Дата-центр находится по адресу г. Санкт-Петербург, ул. Цветочная, д. 19.

Заполните «Сведения об организации, ответственной за хранение данных», как указано в примере ниже:

• «Тип организации» — юридическое лицо;
• «Организационно-правовая форма» — акционерные общества;
• «Наименование организации» — АО «Селектел»;
• «ОГРН» — 1247800067790;
• «ИНН» — 7810962785;
• «Страна местонахождения организации, ответственной за хранение данных» — Россия;
• «Адрес местонахождения организации, ответственной за хранение данных» — г. Санкт-Петербург, ул. Цветочная, д. 21 (юр. адрес организации).

В качестве лица, имеющего доступ к персональным данным, укажите данные своей школы, как оператора.

В данном разделе указываются меры, которые предпринимает ваша школа, чтобы соблюдать требования, установленные постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Укажите следующие меры:

• обеспечена сохранность носителей персональных данных;
• используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Если школа выступает в качестве ЮЛ или ИП с сотрудниками, то также добавьте:

• утвержден руководителем оператора документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

Заполните информацию об исполнителе. Исполнителем является лицо, заполняющее форму уведомления в Роскомнадзор. Это может быть не ответственный за обработку персональных данных, а совсем другой человек, фактически заполнивший уведомление.

После заполнения формы уведомления поставьте галочки в опциях ниже, подпишите документ и отправьте выбранным способом.

Запишите в блокнот сформированные код/номер уведомления и ключ. Они потребуются в дальнейшем для проверки статуса уведомления.

Отправленная заявка рассматривается в течение 30 дней, после чего организация вносится в реестр операторов.

Проверить состояние отправленного уведомления можно по ссылке с помощью номера и кода, который вы получили после отправки уведомления.

Если спустя указанный срок организация не внесена в реестр операторов, вы можете обратиться в электронную приемную Роскомнадзора для уточнения информации.

Если вы уже внесены в реестр операторов, осуществляющих обработку персональных данных, но какие-либо данные, ранее отправленные в форме уведомления, изменились, то согласно ч.7. ст. 22 Федерального закона № 152-ФЗ «О персональных данных» необходимо уведомить об этом Роскомнадзор. Сделать это нужно не позднее 15-го числа, следующего за месяцем, в котором произошли изменения.

Рассмотрим, как уведомить Роскомнадзор об изменении этих данных в реестре. Для этого:

1. Откройте на сайте Роскомнадзора раздел с информационным письмом или перейдите к нему по ссылке → https://pd.rkn.gov.ru/operators-registry/notification/updateform/.

2. Выберите способ отправки уведомления:
   • в бумажном виде,
   • в электронном виде с использованием усиленной квалифицированной электронной подписи,
   • в электронном виде с использованием средств аутентификации ЕСИА.

3. Заполните все поля, помеченные звездочкой, и те поля, в которых данные изменились. Заполнить их нужно по тем же правилам, что и форму уведомления. Вспомнить, как это делается, можно в разделах выше [перейти ↑].

В нашем примере изменяются только реквизиты компании, ответственной за хранение данных, поэтому помимо основных разделов дополнительно заполняем весь раздел «Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ»:

• Страна — Россия
• Адрес ЦОДа — г. Санкт-Петербург, ул. Цветочная, д. 19
• Собственный ЦОД — нет

Сведения об организации, ответственной за хранение данных:

• Тип организации — юридическое лицо
• Организационно-правовая форма — акционерные общества
• Наименование организации — АО «Селектел»
• ОГРН — 1247800067790
• ИНН — 7810962785
• Страна местонахождения организации, ответственной за хранение данных — Россия
• Адрес местонахождения организации, ответственной за хранение данных — г. Санкт-Петербург, ул. Цветочная, д. 21 (юр. адрес организации)

• «Регистрационный номер записи в Реестре» можно получить в реестре операторов, указав название вашей организации или ИНН.

• «Дата изменения сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных» — дата, когда вступили в силу изменения ваших данных. В нашем примере — 9 июля 2024 года, когда компания «Селектел» завершила процесс преобразования в акционерное общество.

После заполнения данных поставьте в конце страницы галочки и отправьте уведомление.

В следующей статье разбираемся, как создать в аккаунте на GetCourse страницу с политикой обработки персональных данных → «Создание страницы с политикой обработки персональных данных или договором оферты».