Рекомендации по заполнению уведомления об обработке (о намерении осуществлять обработку) персональных данных
Образец заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных
1. Настоящие Рекомендации разработаны в целях установления единых принципов и порядка заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее - Уведомление).
2. Уведомление оформляется на бланке Оператора, (по форме, прилагаемой к настоящим Рекомендациям) осуществляющего обработку персональных данных (далее – Оператор), и направляется в территориальный орган Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - территориальный орган Роскомнадзора).
3. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.
4. В поле «наименование (фамилия, имя, отчество), адрес Оператора)) указывается:
4.1. Для юридических лиц (Операторов):
полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных; наименование филиала (ов) (представительства(в) юридического лица (Оператора),
осуществляющего обработку персональных данных ; место нахождения;
Для юридических лиц с филиальной структурой указывается список субъектов Российской Федерации (с указанием кода субъекта — согласно справочнику «Коды регионов», утвержденному приказом ФНС России от 13.10.2006 года № САЭ-3-04/706@ «Об утверждении формы сведений о доходах физических лиц» (зарегистрирован Министерством юстиции Российской Федерации 17.11.2006, регистрационный номер 8507), на территории которых находятся филиалы (представительства) юридического лица и (или) где оператором производится обработка персональных данных. Уведомление направляется юридическим лицом в соответствующее территориальное управление Роскомнадзора по месту своего нахождения с указанием всех имеющихся филиалов (представительств).
Указывается место нахождения юридического лица в соответствии с учредительными
документами и свидетельством о постановке юридического лица на учет в налоговом органе, а также место нахождения филиала (ов) (представительств) юридического лица,
контактная информация.
Примечание 2. Для организаций, учреждений, имеющих филиалы (представительства), указываются юридический и фактический адрес (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных (все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных). При этом, необходимо уточнить - обработка персональных данных осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами), индивидуальный номер налогоплательщика (ИНН).
- для физических лиц:
фамилия, имя, отчество физического лица (Оператора); местонахождение ;
Указывается местонахождение физического лица в соответствии со свидетельством о
постановке на учет физического лица в налоговом органе, почтовый адрес, контактная
информация, данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ.
индивидуальный номер налогоплательщика (ИНН).
4.3. для государственных, муниципальных органов (Операторов):
полное и сокращенное наименование государственного, муниципального органа; наименование территориального(ых) органа(ов), осуществляющего (их) обработку персональных данных; место нахождения< 1>;
Указывается место нахождения государственного, муниципального органа в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, контактная информация; индивидуальный номер налогоплательщика (ИНН).
При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код (ы) классификаторов (ОКВЭД, ОКНО, ОКОГУ, ОКОП, ОКФС).
5. В поле «цель обработки персональных данных» указываются цели обработки персональных данных (а также их соответствие полномочиям Оператора) (Примечание №1).
Примечание № 1: Под «целью обработки персональных данных» понимаются, как цели, указанные в учредительных документах оператора, так и цели фактически осуществляемой оператором деятельности по обработке персональных данных.
6. В поле «категории персональных данных» указываются все категории персональных данных, подлежащих обработке: :
- Персональные данные (любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата рождения, место рождение, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы и другие категории персональных данных, обрабатываемые оператором, не указанные в настоящем пункте).
- Специальные категории персональных данных (расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни).
- Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных).
- В поле «категории субъектов, персональные данные которых обрабатываются» указываются категории субъектов (физических лип) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются. Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (Оператором) и др.
- В поле «правовое основание обработки персональных данных»указываются:
Федеральный закон, постановление Правительства Российской Федерации иной нормативно-правовой акт, закрепляющий основание и порядок обработки персональных данных (Примечание № 2);
Номер, дату выдачи и наименование лицензии на осуществляемый вид деятельности, с указанием лицензионных условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.
(Примечание № 3).
Примечание №2: Указываются не только соответствующие статьи Федерального закона
«О персональных данных», но и статьи иного нормативно-правового акта, регулирующие
осуществляемый вид деятельности и касающиеся обработки персональных данных.
(Например: ст. ст. 85-90 Трудового кодекса РФ, ст. 85.1 Воздушного кодекса РФ, ст. 12
Федерального закона «Об актах гражданского состояния» и др.).
Примечание № 3: Номер лицензии и пункт лицензионных условий, закрепляющий запрет
на передачу персональных данных (или информации, касающейся физических лиц), отражается только при наличии лицензии и (или) соответствующего пункта лицензионных условий.
9. В поле «перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных», указываются действия совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:
- неавтоматизированная обработка персональных данных;
- исключительно автоматизированная обработка персональных данных с
передачей полученной информации по сети или без таковой; - смешанная обработка персональных данных. (Примечание № 4).
Примечание № 4: При автоматизированной обработке персональных данных либо смешанной обработке, необходимо указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица) либо информация передается с использованием сети общего пользования Интернет либо без передачи полученной информации.
10. В поле «описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных указываются:
а) описание мер, предусмотренных статьями 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименование этих средств;
б)фамилия, имя, отчество физического лица или сотрудника юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
в) класс информационной системы персональных данных оператора (пункт 14 приказа
ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
г) организационные и технические меры, применяемые для защиты персональных данных
от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:
а) наименование, регистрационные номера и производителей используемых криптографических средств;
б) уровень криптографической зашиты персональных данных;
в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;
г) уровень защиты от несанкционированного доступа.
Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 21.02.2008г. № 149/5-144.
11.В поле «сведения о наличии или об отсутствии трансграничной передачи персональных данных» указываются сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки с указанием перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.
12. В поле «сведения об обеспечении безопасности персональных данных» указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
13. В поле «дата начала обработки персональных данных» указывается конкретная дата (число,месяц год) начала любого действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (фактическая дата начала обработки персональных данных).
12. В поле «срок или условие прекращения обработки персональных данных» указывается конкретная дата (число,месяц,год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.