Как зарегистрироваться в РКН в качестве оператора персональных данных
Инструкция: подаём уведомление в Роскомнадзор согласно 152-ФЗ
«О персональных данных»
«О персональных данных»
Согласно 152-ФЗ «О персональных данных» все, кто осуществляет обработку персональных данных, должны уведомлять об этом Роскомнадзор и регистрироваться в качестве оператора персональных данных.
О важности подачи уведомления в Роскомнадзор
За отсутствие уведомления или несвоевременное уведомление Роскомнадзора
предусмотрены штрафы:
Основное нарушение (первичное):
- Должностные лица — штраф от 3 000 до 6 000 руб.
- Юридические лица — штраф от 15 000 до 30 000 руб.
Повторное нарушение:
- Должностные лица — от 10 000 до 20 000 руб.
- Юридические лица — от 30 000 до 50 000 руб.
Сопутствующие риски (Отсутствие регистрации часто выявляется вместе с другими нарушениями — и тогда штрафы суммируются):
- Обработка без согласия субъекта — до 75 000 рублей
- Несоблюдение мер по защите данных — до 100 000 рублей
- Непредоставление субъекту информации о его данных — до 50 000 рублей
- Невыполнение предписания Роскомнадзора — до 200 000 рублей
Важно! Роскомнадзор активно проверяет интернет-сайты, CRM-системы и формы обратной связи, в том числе автоматически (через парсинг сайтов).
Если вы собираете данные пользователей (e-mail, телефон, имя и т.п.), то обязаны подать уведомление о начале обработки — за исключением узких случаев, например:
Если вы собираете данные пользователей (e-mail, телефон, имя и т.п.), то обязаны подать уведомление о начале обработки — за исключением узких случаев, например:
- данные используются только для трудовых отношений с сотрудниками;
- обрабатываются исключительно в целях исполнения договора;
- нет распространения или передачи третьим лицам.
Пошаговая инструкция по регистрации оператора персональных данных
Определите, действительно ли регистрация нужна
Регистрироваться в Роскомнадзоре нужно в 90% случаев, если вы:
- собираете данные через формы на сайте (имя, телефон, email и т.д.);
- используете CRM (Bitrix24, AmoCRM, etc.);
- храните базу клиентов, подписчиков или сотрудников;
- подключаете аналитику (например, Яндекс.Метрика, VK Pixel, Google Analytics);
- передаёте данные третьим лицам (курьеру, партнёрам, банку, рекламным системам).
Подготовьте информацию для уведомления
Для регистрации потребуются следующие данные:
- Наименование организации / ИП, адрес, ИНН, ОГРН.
- Цель обработки данных — например: «ведение клиентской базы», «обработка заявок с сайта», «информирование клиентов об услугах».
- Категории персональных данных — ФИО, телефон, email, адрес и т.п.
- Категории субъектов — клиенты, сотрудники, партнёры.
- Правовое основание обработки — согласие субъекта, договор, закон.
- Меры по защите данных (описать в общих формулировках, например: «ограничение доступа, антивирусная защита, контроль доступа к базам данных»).
- Наличие трансграничной передачи данных (например, если CRM расположена на зарубежных серверах).
Отправить заявку о регистрации Оператора можно 3 способами:
1. В бумажном виде. Заполненную форму потребуется распечатать и направить в территориальный орган по месту регистрации Оператора.
2. В электронном виде с использованием усиленной квалифицированной электронной подписи. Заполненную форму нужно подписать электронной подписью с помощью плагина «КриптоПро ЭЦП» перед отправкой на сайте.
3. В электронном виде с использованием средств аутентификации ЕСИА.
Если у вас есть подтвержденная учетная запись на портале «Госуслуги», вы можете зайти в свой аккаунт на портале, заполнить форму и направить её в электронном виде.
Как подать уведомление в электронном виде
Сделать это можно через Госуслуги или сайт Роскомнадзора
- Перейдите на сайт РКН: https://rkn.gov.ru/personal-data/register/
- Авторизуйтесь через Госуслуги организации или ИП
Переходим на сайт и нажимаем на ссылку «Перейти к форме»
В разделе «Сведения об операторе» указываете все требуемые данные об организации
В поле «Регионы обработки» выбираете «Все субъекты РФ»
Если у вас есть филиалы, то их нужно также указать.
Если филиал зарегистрирован на другое юрлицо, то онужно подать отдельное уведомление в РКН на филиал.
Если филиал зарегистрирован на другое юрлицо, то онужно подать отдельное уведомление в РКН на филиал.
Для заполнения раздела «Цели обработки персональных данных» вам понадобится ваша Политика обработки персональных данных.
Формулировка в политике и в заявке обязательно должна совпадать!
Формулировка в политике и в заявке обязательно должна совпадать!
В пункте «цель обработки персональных данных» выбираем нужное значение. Если значения в списке не совпадают с указанными в Политике, то выбираете «Иная» и копируете формулировку цели из вашей Политики.
Укажите галочками все перс. данные, которые обрабатываются в соответствии с указанными в Политике.
Если варианты в заявке не совпадают с указанными в вашей Политике, выберите значение «иные персональные данные» и в поле для ввода ниже копируете значения из текста Политики.
Если варианты в заявке не совпадают с указанными в вашей Политике, выберите значение «иные персональные данные» и в поле для ввода ниже копируете значения из текста Политики.
Ещё раз обращаем внимание!
Данные обязательно должны совпадать с информацией в тексте вашей Политики обработки персональных данных
Данные обязательно должны совпадать с информацией в тексте вашей Политики обработки персональных данных
В поле «Категории субъектов, персональные данные которых обрабатываются» аналогично указываете категорию из политики. Если предложенные варианты не подходят, выбираете «Иные» и копитуете из Политики.
Далее выбираете «Правовое основание обработки персональных данных».
В большинстве случаев это будет первый вариант, «обработка персональных данных осуществляется с согласия субъекта персональных данных...».
В большинстве случаев это будет первый вариант, «обработка персональных данных осуществляется с согласия субъекта персональных данных...».
В поле «Перечень действий» значение «Иные» не выбираем. Значения «обезличивание» и «распространение» отмечаем, только если данные действия выполняются.
Раздел «Способы обработки»
Так же выбираем в соответствии с Политикой обработки персональных данных.
Так же выбираем в соответствии с Политикой обработки персональных данных.
Если у Оператора есть передача по внутренней сети, то выбираем данное значение. Аналогично если производится передача данных по Интернету, указываем это значение в поле.
Если в вашей Политике указано несколько целей, то через кнопку «Добавить цель обработки» добавляем их. Сколько целей описано в Политике, столько должно быть в заявке.
Далее заполняем меры защиты персональных данных.
Для заполнения поля «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона о "Персональных данных"» можете использовать наш пример и адаптировать его для себя.
Пример:
«1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и нормативным правовым актам, требованиям к защите персональных данных, локальным актам оператора;
5) оценка вреда в соответствии, который может быть причинен субъектам персональных данных в случае нарушения 152 ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152 ФЗ;
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
7) Публикация и обеспечение неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
8) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
9) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, соответствующих уровню защищенности персональных данных;
10) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
11) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
12) учет машинных носителей персональных данных;
13) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
14) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
15) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
16) регламентация процедур получения, обработки и передачи персональных данных»
В поле «Средства обеспечения безопасности» перечисляете средства, используемые у вас для защиты данных.
Можете использовать наш пример и переделать его под себя:
Пример:
«Антивирусные средства защиты информации – {название}; идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее десяти буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных; межсетевое экранирование {название}; защита почтовых серверов {название}; защита веб-приложений – защита от ddos атак, web application firewall; система анализа сетевого трафика {название}»
Если компания не применяет шифровальные средства, указываем в соответствующем поле значение «не используются». Если такие используются, то нужно будет указать их класс, наименование и серийный номер.
В поле «Ответственный за организацию обработки персональных данных» необходимо указать актуальные контактные данные. Если Оператор самозанятый или ИП без сотрудников, то выбираете физлицо и указываете данные Оператора.
Далее указываем дату начала обработки перс. данных. Она должна совпадать с датой регистрации юр.лица, ИП или СЗ.
Можете использовать наш пример для заполнения поля «Срок или условие прекращения обработки персональных данных» и адаптировать его под себя:
Пример:
«Обработка ПДн прекращается при:
1) истечении срока, предусмотренного законом, договором, или согласием субъекта ПДн на обработку его ПДн;
2) достижении целей обработки ПДн;
3) в связи с отзывом субъектом ПДн согласия на обработку его ПДн и при отсутствии иных правовых оснований на обработку, предусмотренных законодательством;
4) ликвидации организации»
Если компания осуществляет трансграничную передачу, например, использует Google Analytics, необходимо это указать в уведомлении. А также получать необходимые согласия от пользователей на трансграничную передачу данных.
Сведения о ЦОДах (Центрах обработки данных)
На основании ч.5 ст. 18 152-ФЗ Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. За данное нарушение предусмотрен штраф от 1 до 18 млн. рублей.
Если у компании нет собственного специального помещения с сервером где производится хранение и обработка данных, то в данном разделе указываем ЦОДы сервисов, в которых у вас происходит хранение персональных данных пользователей.
У каждого сервиса может быть несколько ЦОДов, все их необходимо указать. Обычно они размещены на основном сайте сервиса, который вы используете, или информацию может предоставить техподдержка сервиса. Для примера ниже указаны ЦОДы, которые мы собирали для себя.
Если у компании нет собственного специального помещения с сервером где производится хранение и обработка данных, то в данном разделе указываем ЦОДы сервисов, в которых у вас происходит хранение персональных данных пользователей.
У каждого сервиса может быть несколько ЦОДов, все их необходимо указать. Обычно они размещены на основном сайте сервиса, который вы используете, или информацию может предоставить техподдержка сервиса. Для примера ниже указаны ЦОДы, которые мы собирали для себя.
ЦОД Яндекс 360. (данные предоставила ТП Яндекс)
Серверы Яндекс 360 для бизнеса находятся в нескольких дата-центрах Яндекса:
1. 600902 Владимирская область, г. Владимир, ул. Поисковая 1 корп. 2.
2. 141281 Московская область, г. Ивантеевка, ул. Заречная, д. 1.
3. 391434 Рязанская область, г. Сасово, ул. Пушкина, д. 21.
4. 248926 Калужская область., Калуга, пр-д 1-й Автомобильный, зд. 8.
Рекомендуем указывать все четыре адреса. Практика других клиентов показывает, что к такому подходу нет нареканий со стороны регулятора.
Юридическим лицом является ООО «Яндекс»
ЦОД Битрикс размещены на сайте https://helpdesk.bitrix24.ru/open/7206357/
ЦОД 1С и 1С-fresh размещены на сайте https://1cfresh.com/articles/faq_data
ЦОД GetCourse можно посмотреть по ссылке https://getcourse.ru/blog/326927 или в ТП
Серверы Яндекс 360 для бизнеса находятся в нескольких дата-центрах Яндекса:
1. 600902 Владимирская область, г. Владимир, ул. Поисковая 1 корп. 2.
2. 141281 Московская область, г. Ивантеевка, ул. Заречная, д. 1.
3. 391434 Рязанская область, г. Сасово, ул. Пушкина, д. 21.
4. 248926 Калужская область., Калуга, пр-д 1-й Автомобильный, зд. 8.
Рекомендуем указывать все четыре адреса. Практика других клиентов показывает, что к такому подходу нет нареканий со стороны регулятора.
Юридическим лицом является ООО «Яндекс»
ЦОД Битрикс размещены на сайте https://helpdesk.bitrix24.ru/open/7206357/
ЦОД 1С и 1С-fresh размещены на сайте https://1cfresh.com/articles/faq_data
ЦОД GetCourse можно посмотреть по ссылке https://getcourse.ru/blog/326927 или в ТП
Сведения об обеспечении безопасности персональных данных
Указываются меры, предпринимаемые для соблюдения Постановления РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Пример (можете выбрать наш вариант или адаптируйте под себя):
В соответствии с постановлением Правительства от 01.11.2012 №1119 для обеспечения защищенности персональных данных при их обработке в информационной системе:
- обеспечена безопасность помещений, в которых размещена информационная система;
- обеспечена сохранность носителей персональных данных;
- утвержден перечень лиц. доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- назначено должностное лицо, ответственный за обеспечение безопасности персональных данных в информационной системе.
- используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз
И последнее! Осталось указать данные представителя, который заполнял форму.
Если в процессе заполнения вам нужно прерваться, вы можете сохранить черновик и позже вернуться к его заполнению.
Готово! Ваша заявка заполнена, осталось подписать и направить её в РКН. Сделать это можно в электронном виде через Госуслуги или с помощью электронной цифровой подписи (ЭЦП). Или распечатать форму и направить по почте в ближайший территориальный орган.
Как подать уведомление в бумажном виде
Скачать бланк уведомления можно здесь
Заполните его аналогично электронному, подпишите и направьте в территориальное управление Роскомнадзора по почте.
Получите подтверждение
После проверки Роскомнадзор:
Проверить себя можно здесь: https://pd.rkn.gov.ru/operators-registry/
- внесёт ваши данные в государственный реестр операторов (он публичный);
- пришлёт уведомление о регистрации — электронно или по почте.
Проверить себя можно здесь: https://pd.rkn.gov.ru/operators-registry/
Проверьте внутренние документы
Регистрация — это только половина дела. Чтобы не схлопотать штраф за отсутствие локальных актов, у вас должны быть:
- Публичную (для сайта) политику в отношении обработки ПДН.
- Согласия на обработку (для клиентов и сотрудников).
- Приказ о назначении ответственного за обработку ПДН.
- Журнал учёта обращений субъектов.
- Положение о защите ПДН.
Проверьте сайт и формы
- Все формы должны иметь чекбокс-согласия с политикой конфиденциальности.
- Политика должна быть размещена по открытой ссылке (например, /privacy/).
- Не допускайте автоматической отправки данных без согласия пользователя.
- Все формы должны иметь чекбокс-согласия с политикой конфиденциальности.
- Политика должна быть размещена по открытой ссылке (например, /privacy/).
- Не допускайте автоматической отправки данных без согласия пользователя.
Нужна помощь с проверкой сайта на соответствие 152-ФЗ О персональных данных? Обращайтесь! Нажмите кнопку ниже, чтобы заказать проверку.
Экспресс-аудит сайта/посадочной страницы
14 400
руб
руб
— Проверка соблюдения законов о рекламе, о защите прав потребителей, о персональных данных
— Проверка регистрации оператора в РКН
— Проверка наличия и срока действия SSL-сертификата домена
— Корректность отображения страницы в мобильной и десктопной версии популярных устройств и платформ
— Скорость загрузки сайта/посадочной страницы
— Работоспособность интерактивных элементов сайта/посадочной страницы
— Проверка наличия счетчика Яндекс Метрики, пикселей ВКонтакте и VK реклама, отработка целей и конверсионных действий
— Базовый SEO анализ сайта
— Карта пути пользователя на сайте
— Рекомендации по доработке сайта
1 рабочий день/разово
Стоимость указана за 1 (одну) проверяемую страницу сайта
— Проверка регистрации оператора в РКН
— Проверка наличия и срока действия SSL-сертификата домена
— Корректность отображения страницы в мобильной и десктопной версии популярных устройств и платформ
— Скорость загрузки сайта/посадочной страницы
— Работоспособность интерактивных элементов сайта/посадочной страницы
— Проверка наличия счетчика Яндекс Метрики, пикселей ВКонтакте и VK реклама, отработка целей и конверсионных действий
— Базовый SEO анализ сайта
— Карта пути пользователя на сайте
— Рекомендации по доработке сайта
1 рабочий день/разово
Стоимость указана за 1 (одну) проверяемую страницу сайта