Краткие рекомендации по заполнению Уведомления об обработке персональных данных

Краткие рекомендации по заполнению Уведомления
об обработке персональных данных

•  1) наименование (фамилия, имя, отчество), адрес оператора:

Для юридических лиц (операторов):

полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (оператора), осуществляющего обработку персональных данных;

наименование филиала(ов) (представительства(в) юридического лица (оператора), осуществляющего обработку персональных данных;

место нахождения юридического лица указывается в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, контактная информация;

индивидуальный номер налогоплательщика (ИНН).

Для физических лиц:

фамилия, имя, отчество физического лица (оператора);

место жительства физического лица указывается в соответствии с данными документа, удостоверяющего личность, а в случае расхождения, также фактическое место жительство, контактная информация;

данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ, удостоверяющий личность.

Для индивидуальных предпринимателей:

фамилия, имя, отчество индивидуального предпринимателя (оператора);

место жительства индивидуального предпринимателя (оператора) указывается в соответствии с данными документа, удостоверяющего личность, и свидетельством о постановке индивидуального предпринимателя на учет в налоговом органе, контактная информация;

индивидуальный номер налогоплательщика (ИНН).

Для государственных, муниципальных органов (операторов):

полное и сокращенное наименование государственного, муниципального органа;

наименование территориального(ых) органа(ов), осуществляющего(их) обработку персональных данных;

место нахождения государственного, муниципального органа в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, контактная информация;

индивидуальный номер налогоплательщика (ИНН).

Для введения Уведомления в Общероссийский реестр при отсутствии на бланке юридического лица (государственного, муниципального органа) реквизитов (ИНН, КПП, ОГРН), контактной информации (телефон, факс, электронный адрес (E-mail), почтовый/ юридический адрес, ФИО руководителя) необходимо добавить их в ходе заполнения Уведомления.

•  2) цель обработки персональных данных:

Указываются цели определенные оператором при сборе и обработке персональных данных, указанные в учредительных документах оператора, так и цели, фактически осуществляемой оператором деятельности по обработке персональных данных соответствующие полномочиям оператора и сфере его деятельности.

Например: «начисление и выплата заработной платы, заключение трудовых и иных договоров, предоставление сведений в… (необходимо перечислить организации, в которые направляются сведения по персональным данным), регистрация сведений, необходимых для оказания услуг… (в соответствующей сфере деятельности оператора), ведение карточек учета, пациентов и т. д., персональных данных сотрудников (работников), сведений об их профессиональной служебной деятельности, начисление детских пособий, для предоставления субсидий и т. д.».

•  3) правовое основание обработки персональных данных:

Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации, состоит из Федерального закона от 01.01.2001 «О персональных данных» и других определяющих случаи и особенности обработки персональных данных федеральных законов.

В соответствии с поставленными целями обработки персональных данных, сферой деятельности оператора, необходимо указать федеральный закон, постановление Правительства Российской Федерации, иной нормативно-правовой акт, закрепляющий основание и порядок обработки персональных данных, специальные разрешительные документы (лицензии) на предоставление, оказание определенных видов работ (услуг).

Например: указываются не только соответствующие статьи Федеральный закон от 01.01.2001 «О персональных данных», но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных,

ст. 12 Федерального закона от 01.01.2001 «Об актах гражданского состояния»:

Статья 12. Неразглашение сведений, ставших известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния

1. Сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными, относятся к категории конфиденциальной информации, имеют ограниченный доступ и разглашению не подлежат,

ст. 6 Федерального закона от 01.01.2001 «О порядке рассмотрения обращений граждан Российской Федерации»:

Статья 6. Гарантии безопасности гражданина в связи с его обращением

2. При рассмотрении обращения не допускается разглашение сведений, содержащихся в обращении, а также сведений, касающихся частной жизни гражданина, без его согласия. Не является разглашением сведений, содержащихся в обращении, направление письменного обращения в государственный орган, орган местного самоуправления или должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов,

ст. 11 Федерального закона от 2.03.2007  № 25-ФЗ "О муниципальной службе в Российской Федерации":

Статья 11. Основные права муниципального служащего

8) защиту своих персональных данных,

наименование лицензии на осуществляемый вид деятельности, с указанием лицензионных условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных, номера и даты выдачи

Номер лицензии и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), отражается только при наличии лицензии и (или) соответствующего пункта лицензионных условий,

ст. ст. 23, 24 Конституции Российской Федерации,

ст. ст. 85-90 Трудового кодекса Российской Федерации от 30.122001 ,

Положение о защите персональных данных работников (наименование юридического лица), утвержденное (приказом, распоряжением руководителя от (дата и № приказа)

•  4) категории персональных данных:

Перечисляются категории персональных данных, которые оператор обрабатывает в ходе своей деятельности, в соответствии с поставленными целями обработки персональных данных.

Например: основные персональные данные «фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы…», и другие категории персональных данных, обрабатываемые оператором,
не указанные в настоящем пункте «ИНН, данные документов удостоверяющих личность, данные медицинских полисов, страховых свидетельств и т. д.».

Дополнительно указываются категории персональных данных, обрабатываемые оператором, согласно своей сферы деятельности, включая в себя специальные категории персональных данных «касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни» и биометрические персональные данные «сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность»

•  5) категории субъектов, персональные данные которых обрабатываются:

Перечисляются категории субъектов персональных данных, чьи данные обрабатываются оператором в ходе своей организационной деятельности.

Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др. «граждане Российской Федерации, физические лица – сотрудники организации (учреждения), учащиеся, родители, пациенты, абоненты, вкладчик и т. д.».

•  6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных:

В данном пункте перечисляются действия, которые осуществляет оператор с персональными данными при их обработке в ходе своей деятельности, а так же способы обработки персональных данных.

Например: перечень действий с персональными данными: получение (сбор) информации, ее хранение, комбинирование, систематизацию, накопление, уточнение (обновление, изменение), использование, распространение (в том числе передачу), уничтожение персональных данных.

Все эти действия, в конечном счете, формируют информационную систему (базу) персональных данных сотрудника (работника), либо другого субъекта персональных данных, чьи данные обрабатываются.

Способы обработки персональных данных: «Обработка персональных данных будет осуществляться (осуществляется) путем смешанной (или же исключительно автоматизированной, неавтоматизированной) обработки персональных данных с использованием ПЭВМ, с передачей полученной информации по внутренней (локальной) сети организации (при наличии такой сети), с использованием сети общего пользования Интернет» (при передаче полученной, обработанной информации, по электронной почте) или же «без выхода в сеть общего пользования Интернет».

При автоматизированной обработке персональных данных либо смешанной обработке, необходимо указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица) либо информация передается с использованием сети общего пользования Интернет либо без передачи полученной информации.

•  7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке:

Оператор обязан принять необходимые организационные и технические меры защиты, используя шифровальные (криптографические) средства, исключающие уничтожение, изменение, блокировку, копирование и распространение персональных данных.

Например: «в организационных мерах можно отразить: наличие специалистов (структурных подразделений), в соответствии с утвержденным списком лиц, ответственных за обеспечение безопасности персональных данных и непосредственно за обработку персональных данных, наличие утвержденных инструкций (положений), регламентирующих порядок обработки персональных данных, ограничение доступа в помещение, где обрабатываются персональные данные и т. д.), в технических мерах можно отразить: передача информации осуществляется по защищенным каналам связи (в соответствии с договорами или лицензией), использование ЭЦП, специального оборудования (средств шифрования (криптографической защиты), если была проведена работа по классификации информационных систем, указывается класс информационной системы персональных данных оператора в соответствии с п. 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 01.01.2001 №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:

а) наименование, регистрационные номера и производителей используемых криптографических средств;

б) уровень криптографической защиты персональных данных;

в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;

г) уровень защиты от несанкционированного доступа.), предоставление необходимого помещения (помещений), организация режима обеспечения безопасности в этих помещениях, для сохранности носителей персональных данных и средств защиты информации, а также исключения возможности неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц (установка сигнализации, дополнительных замков, металлических дверей)».

•  8) дата начала обработки персональных данных:

Указывается конкретная дата последней реорганизации при смене организационно-правовой формы оператора (юридического лица (государственного, муниципального органа), или же дата постановки на учет в налоговом органе и регистрации в Едином Государственном реестре юридических лиц.

•  9) срок или условие прекращения обработки персональных данных:

Указывается конкретная дата, или же условие, при котором обработка персональных данных прекращается.

Например:

дата – 01.01.2005 года (окончание действия лицензии в лицензионных условиях которой, закрепляется запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных)

условие – «Реорганизация или ликвидация юридического лица».

Примечание:

Настоятельно рекомендуем ответственно отнестись к заполнению уведомления об обработке персональных данных, и напоминаем, что в соответствии с частью 7 ст. 22 Федерального закона от 01.01.2001 «О персональных данных» - в случае изменения сведений, указанных в уведомлении, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

Уведомление об обработке персональных данных, оформленное на бланке организации и подписанное уполномоченным лицом необходимо направлять, в Управление Роскомнадзора по Чувашской Республике – Чувашии Б.

Телефон для консультаций , ; E-mail: *****@***ru