Как зарегистрироваться в РКН в качестве оператора персональных данных
Инструкция: подаём уведомление в Роскомнадзор согласно 152-ФЗ
«О персональных данных»
«О персональных данных»
Согласно 152-ФЗ «О персональных данных» все, кто осуществляет обработку персональных данных, должны уведомлять об этом Роскомнадзор и регистрироваться в качестве оператора персональных данных.
О важности подачи уведомления в Роскомнадзор
За отсутствие уведомления или несвоевременное уведомление Роскомнадзора
предусмотрены штрафы:
Нарушения в использовании персональных данных:
Основное нарушение (первичное):
- Должностные лица — штраф от 3 000 до 6 000 руб.
- Юридические лица — штраф от 15 000 до 30 000 руб.
Повторное нарушение:
- Должностные лица — от 10 000 до 20 000 руб.
- Юридические лица — от 30 000 до 50 000 руб.
Сопутствующие риски (Отсутствие регистрации часто выявляется вместе с другими нарушениями — и тогда штрафы суммируются):
- Обработка без согласия субъекта — до 75 000 рублей
- Несоблюдение мер по защите данных — до 100 000 рублей
- Непредоставление субъекту информации о его данных — до 50 000 рублей
- Невыполнение предписания Роскомнадзора — до 200 000 рублей
Незаконная трансграничная передача персональных данных (например, если используется Google Analitics):
Первичное нарушение:
- Должностные лица — от 10 000 до 20 000 руб.
- Юридические лица — от 100 000 до 200 000 руб.
Повторное нарушение:
- Должностные лица — до 50 000 руб.
- Юридические лица — до 300 000 руб.
Важно! Роскомнадзор активно проверяет сайты, в том числе автоматически (через парсинг сайтов). Даже если не собираете данные пользователей, но у вас на сайте осуществляется сбор Cookie-файлов, то вы обязаны подать уведомление о начале обработки.
Пошаговая инструкция по регистрации оператора персональных данных
Регистрироваться Оператором персональных данных в Роскомнадзоре нужно, если вы:
- производите сбор Cookie-файлов на сайте и подключаете аналитику (например, Яндекс.Метрика, VK Pixel);
- собираете данные через формы (имя, телефон, email и т.д.);
- храните базу клиентов, подписчиков или сотрудников;
- передаёте данные третьим лицам (курьеру, партнёрам, банку, рекламным системам).
- осуществляете трансграничную передачу данных (например, используете Google Analytics).
Подготовьте следующую информацию для уведомления:
- Наименование организации / ИП, адрес, ИНН, ОГРН;
- Политика конфиденциальности и обработки персональных данных;
- Наличие трансграничной передачи данных (например, если CRM расположена на зарубежных серверах).
- Информация по используемым ЦОДам (центрах обработки данных)
Отправить заявку о регистрации Оператора можно 3 способами:
1. В бумажном виде. Заполненную форму потребуется распечатать и направить в территориальный орган по месту регистрации Оператора.
2. В электронном виде с использованием усиленной квалифицированной электронной подписи. Заполненную форму нужно подписать электронной подписью с помощью плагина «КриптоПро ЭЦП» перед отправкой на сайте.
3. В электронном виде с использованием средств аутентификации ЕСИА.
Если у вас есть подтвержденная учетная запись на портале «Госуслуги», вы можете зайти в свой аккаунт на портале, заполнить форму и направить её в электронном виде.
Как заполнить уведомление в электронном виде
Переходим на сайт и нажимаем на ссылку «Перейти к форме»
В разделе «Сведения об операторе» указываете все требуемые данные об организации
В поле «Регионы обработки» выбираете «Все субъекты РФ»
Если у вас есть филиалы, то их нужно также указать.
Если филиал зарегистрирован на другое юрлицо, то онужно подать отдельное уведомление в РКН на филиал.
Если филиал зарегистрирован на другое юрлицо, то онужно подать отдельное уведомление в РКН на филиал.
Для заполнения раздела «Цели обработки персональных данных» вам понадобится ваша Политика обработки персональных данных.
Формулировка в Политике и в заявке обязательно должна совпадать!
Формулировка в Политике и в заявке обязательно должна совпадать!
В пункте «цель обработки персональных данных» выбираем нужное значение. Если значения в списке не совпадают с указанными в Политике, то выбираете «Иная» и копируете формулировку цели из вашей Политики.
Укажите галочками все перс. данные, которые обрабатываются в соответствии с указанными в Политике.
Если варианты в заявке не совпадают с указанными в вашей Политике, выберите значение «иные персональные данные» и в поле для ввода ниже копируете значения из текста Политики.
Если варианты в заявке не совпадают с указанными в вашей Политике, выберите значение «иные персональные данные» и в поле для ввода ниже копируете значения из текста Политики.
Ещё раз обращаем внимание!
Данные обязательно должны совпадать с информацией в тексте вашей Политики обработки персональных данных
Данные обязательно должны совпадать с информацией в тексте вашей Политики обработки персональных данных
В поле «Категории субъектов, персональные данные которых обрабатываются» аналогично указываете категорию из политики. Если предложенные варианты не подходят, выбираете «Иные» и копитуете из Политики.
Далее выбираете «Правовое основание обработки персональных данных».
В большинстве случаев это будет первый вариант, «обработка персональных данных осуществляется с согласия субъекта персональных данных...».
В большинстве случаев это будет первый вариант, «обработка персональных данных осуществляется с согласия субъекта персональных данных...».
В поле «Перечень действий» значение «Иные» не выбираем. Значения «обезличивание» и «распространение» отмечаем, только если данные действия выполняются.
Раздел «Способы обработки»
Так же выбираем в соответствии с Политикой обработки персональных данных.
Так же выбираем в соответствии с Политикой обработки персональных данных.
Если у Оператора есть передача по внутренней сети, то выбираем данное значение. Аналогично если производится передача данных по Интернету, указываем это значение в поле.
Если в вашей Политике указано несколько целей, то через кнопку «Добавить цель обработки» добавляем их. Сколько целей описано в Политике, столько должно быть в заявке.
Далее заполняем меры защиты персональных данных.
Для заполнения поля «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона о "Персональных данных"» можете использовать наш пример и адаптировать его для себя.
Пример:
«1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и нормативным правовым актам, требованиям к защите персональных данных, локальным актам оператора;
5) оценка вреда в соответствии, который может быть причинен субъектам персональных данных в случае нарушения 152 ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152 ФЗ;
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
7) Публикация и обеспечение неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
8) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
9) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, соответствующих уровню защищенности персональных данных;
10) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
11) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
12) учет машинных носителей персональных данных;
13) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
14) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
15) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
16) регламентация процедур получения, обработки и передачи персональных данных»
В поле «Средства обеспечения безопасности» перечисляете средства, используемые у вас для защиты данных.
Можете использовать наш пример и переделать его под себя:
Пример:
«Антивирусные средства защиты информации – {название}; идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее десяти буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных; межсетевое экранирование {название}; защита почтовых серверов {название}; защита веб-приложений – защита от ddos атак, web application firewall; система анализа сетевого трафика {название}»
Если компания не применяет шифровальные средства, указываем в соответствующем поле значение «не используются». Если такие используются, то нужно будет указать их класс, наименование и серийный номер.
В поле «Ответственный за организацию обработки персональных данных» необходимо указать актуальные контактные данные. Если Оператор самозанятый или ИП без сотрудников, то выбираете физлицо и указываете данные Оператора.
Далее указываем дату начала обработки перс. данных. Она должна совпадать с датой регистрации юр.лица, ИП или СЗ.
Можете использовать наш пример для заполнения поля «Срок или условие прекращения обработки персональных данных» и адаптировать его под себя:
Пример:
«Обработка ПДн прекращается при:
1) истечении срока, предусмотренного законом, договором, или согласием субъекта ПДн на обработку его ПДн;
2) достижении целей обработки ПДн;
3) в связи с отзывом субъектом ПДн согласия на обработку его ПДн и при отсутствии иных правовых оснований на обработку, предусмотренных законодательством;
4) ликвидации организации»
Если компания осуществляет трансграничную передачу, например, использует Google Analytics, необходимо это указать в уведомлении. А также получать необходимые согласия от пользователей на трансграничную передачу данных.
Сведения о ЦОДах (Центрах обработки данных)
На основании ч.5 ст. 18 152-ФЗ Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. За данное нарушение предусмотрен штраф от 1 до 18 млн. рублей.
Если у компании нет собственного специального помещения с сервером где производится хранение и обработка данных, то в данном разделе указываем ЦОДы сервисов, в которых у вас происходит хранение персональных данных пользователей.
У каждого сервиса может быть несколько ЦОДов, все их необходимо указать. Обычно они размещены на основном сайте сервиса, который вы используете, или информацию может предоставить техподдержка сервиса.
Если у компании нет собственного специального помещения с сервером где производится хранение и обработка данных, то в данном разделе указываем ЦОДы сервисов, в которых у вас происходит хранение персональных данных пользователей.
У каждого сервиса может быть несколько ЦОДов, все их необходимо указать. Обычно они размещены на основном сайте сервиса, который вы используете, или информацию может предоставить техподдержка сервиса.
Для примера ниже указаны ЦОДы, которые мы собирали для себя.
ЦОД Яндекс 360. (данные предоставила ТП Яндекс)
Серверы Яндекс 360 для бизнеса находятся в нескольких дата-центрах Яндекса:
1. 600902 Владимирская область, г. Владимир, ул. Поисковая 1 корп. 2.
2. 141281 Московская область, г. Ивантеевка, ул. Заречная, д. 1.
3. 391434 Рязанская область, г. Сасово, ул. Пушкина, д. 21.
4. 248926 Калужская область., Калуга, пр-д 1-й Автомобильный, зд. 8.
Рекомендуем указывать все четыре адреса. Практика других клиентов показывает, что к такому подходу нет нареканий со стороны регулятора.
Юридическим лицом является ООО «Яндекс»
ЦОД Битрикс размещены на сайте https://helpdesk.bitrix24.ru/open/7206357/
ЦОД 1С и 1С-fresh размещены на сайте https://1cfresh.com/articles/faq_data
ЦОД GetCourse можно посмотреть по ссылке https://getcourse.ru/blog/326927 или в ТП
ЦОД Яндекс 360. (данные предоставила ТП Яндекс)
Серверы Яндекс 360 для бизнеса находятся в нескольких дата-центрах Яндекса:
1. 600902 Владимирская область, г. Владимир, ул. Поисковая 1 корп. 2.
2. 141281 Московская область, г. Ивантеевка, ул. Заречная, д. 1.
3. 391434 Рязанская область, г. Сасово, ул. Пушкина, д. 21.
4. 248926 Калужская область., Калуга, пр-д 1-й Автомобильный, зд. 8.
Рекомендуем указывать все четыре адреса. Практика других клиентов показывает, что к такому подходу нет нареканий со стороны регулятора.
Юридическим лицом является ООО «Яндекс»
ЦОД Битрикс размещены на сайте https://helpdesk.bitrix24.ru/open/7206357/
ЦОД 1С и 1С-fresh размещены на сайте https://1cfresh.com/articles/faq_data
ЦОД GetCourse можно посмотреть по ссылке https://getcourse.ru/blog/326927 или в ТП
Сведения об обеспечении безопасности персональных данных
Указываются меры, предпринимаемые для соблюдения Постановления РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Пример (можете выбрать наш вариант или адаптируйте под себя):
В соответствии с постановлением Правительства от 01.11.2012 №1119 для обеспечения защищенности персональных данных при их обработке в информационной системе:
- обеспечена безопасность помещений, в которых размещена информационная система;
- обеспечена сохранность носителей персональных данных;
- утвержден перечень лиц. доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- назначено должностное лицо, ответственный за обеспечение безопасности персональных данных в информационной системе.
- используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз
И последнее! Осталось указать данные представителя, который заполнял форму.
Если в процессе заполнения вам нужно прерваться, вы можете сохранить черновик и позже вернуться к его заполнению.
Готово! Ваша заявка заполнена, осталось подписать и направить её в РКН. Сделать это можно в электронном виде через Госуслуги или с помощью электронной цифровой подписи (ЭЦП). Или распечатать форму и направить по почте в ближайший территориальный орган.
Как подать уведомление в бумажном виде
1 Вариант: Заполнить электронную форму по инструкции выше, распечатать её и отправить по почте в ближайшие территориальный орган РКН.
2 Вариант: Распечатать бланк, заполнить его вручную и отправить по почте. Скачать бланк уведомления можно здесь
Получите подтверждение
После проверки Роскомнадзор:
Проверить себя можно здесь: https://pd.rkn.gov.ru/operators-registry/
- внесёт ваши данные в государственный реестр операторов (он публичный);
- пришлёт уведомление о регистрации — электронно или по почте.
Проверить себя можно здесь: https://pd.rkn.gov.ru/operators-registry/
Проверьте сайт и формы на соблюдение 152-ФЗ:
- Наличие согласия пользователя с политикой конфиденциальности.
- Политика должна быть размещена по открытой ссылке (например, /privacy/).
- Не допускайте автоматической отправки данных без согласия пользователя.
- Наличие дисклеймера о сборе Cookie-файлов и использовании метрических систем (например, Яндекс Метрики)
- Наличие согласия пользователя на трансграничную передачу данных (при наличии)
Нужна помощь с проверкой сайта на готовность к приёму посетителей и на соответствие 152-ФЗ «О персональных данных», «38-ФЗ О рекламе» и 2300-1-ФЗ «О защите прав потребителей»? Обращайтесь! Нажмите кнопку ниже, чтобы заказать проверку.
Экспресс-аудит сайта/посадочной страницы
14 400
руб
руб
— Проверка соблюдения законов о рекламе, о защите прав потребителей, о персональных данных
— Проверка регистрации оператора в РКН
— Проверка наличия и срока действия SSL-сертификата домена
— Корректность отображения страницы в мобильной и десктопной версии популярных устройств и платформ
— Скорость загрузки сайта/посадочной страницы
— Работоспособность интерактивных элементов сайта/посадочной страницы
— Проверка наличия счетчика Яндекс Метрики, пикселей ВКонтакте и VK реклама, отработка целей и конверсионных действий
— Базовый SEO анализ сайта
— Карта пути пользователя на сайте
— Рекомендации по доработке сайта
1 рабочий день/разово
Стоимость указана за 1 (одну) проверяемую страницу сайта
— Проверка регистрации оператора в РКН
— Проверка наличия и срока действия SSL-сертификата домена
— Корректность отображения страницы в мобильной и десктопной версии популярных устройств и платформ
— Скорость загрузки сайта/посадочной страницы
— Работоспособность интерактивных элементов сайта/посадочной страницы
— Проверка наличия счетчика Яндекс Метрики, пикселей ВКонтакте и VK реклама, отработка целей и конверсионных действий
— Базовый SEO анализ сайта
— Карта пути пользователя на сайте
— Рекомендации по доработке сайта
1 рабочий день/разово
Стоимость указана за 1 (одну) проверяемую страницу сайта