Регистрация в Роскомнадзоре как оператора персональных данных

Процесс регистрации оператора персональных данных в Роскомнадзоре является обязательным этапом для всех, кто работает с личными данными граждан. Он включает подачу специального уведомления, его проверку ведомством и последующее внесение информации в публичный Реестр операторов. Давайте подробно разберем все ключевые аспекты этой процедуры.

Зачем нужна регистрация оператора персональных данных в Роскомнадзоре?

Основополагающим документом, регулирующим сферу обработки личных данных в России, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Этот нормативный акт возлагает на каждого оператора персональных данных – независимо от его правовой формы (юридическое лицо, индивидуальный предприниматель или физическое лицо) – обязанность по уведомлению Роскомнадзора. Уведомление должно быть подано до фактического начала работы с персональными данными.

Важно отметить, что в последнее время значительно увеличились размеры штрафов за нарушения, связанные с обработкой персональных данных, включая отсутствие или несвоевременную подачу уведомления в Роскомнадзор. Соблюдение установленных требований позволяет избежать серьезных финансовых санкций.

Многих интересует, требуется ли уведомление Роскомнадзора при обработке персональных данных учредителей ООО. Ответы на подобные специфические вопросы, а также детальные юридические разъяснения можно найти в специализированных правовых системах (Консультант+, Гарант и тд.), которые часто предлагают бесплатный пробный доступ для ознакомления.

После получения уведомления, Роскомнадзор осуществляет его проверку на предмет полноты и достоверности представленных сведений. В случае соответствия всем требованиям, информация об операторе вносится в Единый реестр операторов, осуществляющих обработку персональных данных. Именно этот процесс и является регистрацией оператора.

Ключевой момент: Роскомнадзор регистрирует не сами персональные данные, а оператора, который их обрабатывает. Уведомление служит цели информирования ведомства о начале деятельности по обработке данных, а не о регистрации конкретных массивов информации.

Процедура регистрации оператора персональных данных

Чтобы зарегистрировать компанию, индивидуального предпринимателя или физическое лицо в качестве оператора персональных данных, необходимо выполнить следующие ключевые шаги:

1. Составить и направить уведомление. Подготовьте и отправьте в Роскомнадзор уведомление о вашем намерении осуществлять обработку персональных данных. Выберите наиболее удобный для вас способ подачи.
2. Дождаться рассмотрения. Ожидайте истечения 30 календарных дней. В течение этого срока Роскомнадзор обязан рассмотреть ваше уведомление и внести соответствующие сведения в Реестр операторов.
3. Проверить данные в Реестре. Убедитесь, что информация о вашей организации или о вас как об операторе появилась в публичном Реестре операторов.

Составление уведомления о намерении осуществлять обработку персональных данных

Первым и важнейшим шагом на пути к регистрации является подготовка официального уведомления. Его утвержденная форма представлена в Приложении № 1 к Приказу Роскомнадзора от 28.10.2022 № 180. Этот документ носит полное название «Уведомление о намерении осуществлять обработку персональных данных».

Форма уведомления имеет четко определенную структуру:

• Заголовочная часть. Здесь указываются полные данные оператора – ФИО для гражданина или ИП, ИНН, ОГРНИП; для компании – полное и сокращенное наименование, ИНН, ОГРН, юридический адрес.
• Основная часть. Содержит специализированные сведения, напрямую относящиеся к планируемой обработке персональных данных.
• Подпись. Включает ФИО и должность оператора или уполномоченного лица, его подпись и расшифровку.
• Дата составления. Актуальная дата формирования документа.

Обязательное содержание основной части уведомления

Согласно частям 3 и 3.1 статьи 22 Закона № 152-ФЗ, уведомление должно содержать следующие обязательные сведения:

• Наименование (ФИО) и адрес оператора.
• Цель обработки персональных данных. Для каждой цели обработки необходимо указать:
• Категории персональных данных.
• Категории субъектов, чьи персональные данные обрабатываются.
• Правовое основание для обработки.
• Перечень действий, выполняемых с персональными данными.
• Способы обработки персональных данных.
• Описание мер, предпринятых оператором для выполнения своих обязательств и обеспечения безопасности персональных данных при их обработке. Перечень таких мер детализирован в статьях 18.1 и 19 Закона № 152-ФЗ (в том числе информация о наличии и наименованиях шифровальных (криптографических) средств).
• ФИО физического лица или наименование организации, ответственных за организацию обработки персональных данных, а также их контактные телефоны, почтовые и электронные адреса.
• Дата начала обработки персональных данных.
• Срок или условие прекращения обработки персональных данных.
• Сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки (в соответствии со статьей 12 Закона № 152-ФЗ).
• Информация о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации.
• ФИО физического лица или наименование организации, имеющих доступ и/или осуществляющих обработку персональных данных, содержащихся в государственных и муниципальных информационных системах, на основании договора.
• Сведения об обеспечении безопасности персональных данных согласно требованиям, установленным Правительством РФ в постановлении от 01.11.2012 № 1119.

Способы подачи уведомления в Роскомнадзор

Существует два основных способа подачи уведомления о начале обработки персональных данных: в бумажном или электронном виде. В любом случае, документ направляется в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.

Перед началом работ, ознакомьтесь с образцами документов на Портале РКН.

Подача бумажного заявления

Для тех, кто предпочитает традиционный бумажный вариант, на Портале Роскомнадзора предусмотрен удобный онлайн-сервис для формирования и распечатки уведомления.

Чтобы начать заполнение:

1. Перейдите на Портал Роскомнадзора (https://pd.rkn.gov.ru/operators-registry/notification/form/).
2. Найдите пункт «Сформировать уведомление и направить в бумажном виде» и нажмите на соответствующую ссылку «перейти к форме».

Вносить сведения в форму на Портале очень удобно: она оснащена специальными полями для ввода данных, содержит подсказки по заполнению, а также предлагает выпадающие списки для выбора значений (например, при указании адреса – регион, район, город и т.д.). Кроме того, с помощью специальных кнопок вы можете добавлять необходимые поля, например, для каждой новой цели обработки персональных данных.

После внесения всех данных в электронную форму оператору необходимо:

• Отправить электронную версию в информационную систему Роскомнадзора (для этого электронная подпись не требуется).
• Распечатать заполненную форму, подписать её и направить по почте в соответствующий территориальный орган Роскомнадзора по месту своей регистрации.

Для выполнения этих действий в конце формы уведомления есть кнопка «Отправить электронное уведомление и подготовить форму к распечатке». Не забудьте поставить галочки, подтверждающие ознакомление с порядком подачи электронного уведомления и согласие на передачу информации по открытым каналам связи. Если вы не готовы сразу отправить и распечатать документ, его черновик можно сохранить.

Подача уведомления в электронном формате

Электронное уведомление можно подать двумя способами:

1. Через Портал Роскомнадзора, подписав его усиленной квалифицированной электронной подписью (КриптоПро ЭЦП Browser plug-in).
2. Через Единый портал государственных услуг (Госуслуги).

Выбирая электронный способ подачи, отправлять бумажный экземпляр в Роскомнадзор не требуется.

Подача электронного уведомления через УКЭП

УКЭП - усиленная квалифицированная электронная подпись, и для отправки уведомления через УКЭП необходимо, чтобы на вашем компьютере был установлен и настроен плагин КриптоПро ЭЦП Browser plug-in. Чтобы подать уведомление с помощью этого плагина перейдите на официальный сайт разработчика по ссылке и следуйте инструкциям.

Чтобы начать заполнение:

1. Перейдите на Портал персональных данных Роскомнадзора.
2. Выберите пункт «Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи» и нажмите «перейти к форме».

После ввода всех необходимых данных, подпишите уведомление вашей УКЭП и отправьте его в информационную систему Роскомнадзора, используя кнопку «Подписать и отправить электронное уведомление». Перед отправкой обязательно поставьте галочки в полях об ознакомлении с порядком подачи и согласии на передачу данных по открытым каналам связи.

Подача электронного уведомления через Единый портал Госуслуг

Для подачи уведомления через Госуслуги требуется пройти аутентификацию ЕСИА и иметь подтвержденную учетную запись. Если вы подаете уведомление от имени юридического лица, ваша учетная запись должна быть привязана к данной компании на портале Госуслуг.

Чтобы оформить уведомление:

1. Перейдите на Портал персональных данных Роскомнадзора.
2. Выберите пункт «Сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА» и нажмите «перейти к сервису ЕСИА».
3. Система перенаправит вас на страницу входа на портал Госуслуг, где вам нужно ввести логин и пароль.
4. Далее Роскомнадзор запросит ваше согласие на просмотр личных данных с портала – подтвердите, нажав «Предоставить».
5. Система предложит выбрать роль (например, физическое лицо или представитель организации). После выбора роли вы будете перенаправлены на страницу с формой уведомления. Часть полей будет заполнена автоматически данными из вашего профиля на Госуслугах.
6. Заполните все оставшиеся поля уведомления.
7. В конце формы отметьте галочками пункты об ознакомлении с порядком подачи электронного уведомления и согласии на его отправку по открытым каналам связи.
8. Последнее действие – нажмите кнопку «Отправить».

После успешной отправки вы получите подтверждение на свою электронную почту. Поскольку авторизация происходит через подтвержденную учетную запись Госуслуг с использованием средств ЕСИА, подписывать документ усиленной квалифицированной электронной подписью в данном случае не требуется.

Заполняем уведомление для примера

Выбрав удобный способ отправки уведомления, откроется форма, в которой нужно заполнить обязательные поля.

Для начала указываем регион, где зарегистрирована ваша деятельность.

Далее указываем сведения об операторе, то есть о вас. В этом блоке нужно заполнить информацию о компании, которая обрабатывает ПД.

Указываем следующие пункты

• Тип оператора
• Полное наименование оператора
• Сокращенное наименование оператора
• Адрес оператора
• Адрес электронной почты
• Регионы обработки
• ИНН
• ОГРН

Что указать в целях?

Цель обработки персональных данных (ПД) — это конкретная причина, по которой данные собираются и используются. Обработка ПД необходима для выполнения задач, таких как предоставление услуг, исполнение договоров, соблюдение законов, маркетинг, улучшение сервиса и другие законные цели.

В основном, в нашем случае, сайт собирает с форм данные клиентов, чтобы оказывать услуги или продажу товаров через интернет. Значит подойдет «Продвижение товаров, работ, услуг на рынке». Далее нужно указать какие именно данные собираются согласно цели. В дальнейшем рекомендуем проконсультироваться с юристом.

Пример на скриншоте. 

Затем укажите чьи данные вы обрабатываете

В Правовом основании обработки персональных данных указываем два пункта:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.

В перечнях действий указываем какие действия производятся с персональными данными. Пример на скриншоте.

Затем указываем каким образом осуществляется обработка персональных данных.

Для себя мы указали эти варианты

• смешанная,
• с передачей по внутренней сети юридического лица,
• с передачей по сети Интернет.

Получайте детальную информацию из пунктов, подчеркнутых пунктиром.

Если в вашей организации есть работники, то обязательно отдельно добавляем цель «Ведение кадрового и бухгалтерского учета». Все пункты формы прописываються индивидуально для каждой цели.

Описание мер защиты и средств безопасности

Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных». В этом поле пишем какие меры защиты гарантирует Оператор. Пример: “Оператор обеспечивает защиту обрабатываемых данных путем назначения ответственного за их обработку, применения необходимых правовых, организационных и технических мер, включая контроль уровня защищенности, учет машинных носителей, предотвращение несанкционированного доступа, а также восстановление данных в случае их повреждения. Все сотрудники, имеющие доступ к персональным данным, проходят обучение требованиям законодательства в этой сфере”.

Средства обеспечения безопасности. Здесь указываем средства и методы безопасности. Пример: “использование шифровальных (криптографических) средств для защиты информации, антивирусную защиту, системы обнаружения и предотвращения вторжений (IDS/IPS), межсетевые экраны (firewalls), регулярное резервное копирование данных, парольную защиту с требованием сложных паролей, двухфакторную аутентификацию, а также контроль физического доступа к серверам и местам хранения данных. Все средства защиты регулярно обновляются и тестируются на соответствие актуальным угрозам.”

Использование шифровальных (криптографических) средств. Что этот пункт означает? Кратко разберемся.

Шифровальные (криптографические) средства — это специальные методы и алгоритмы, которые преобразуют данные в нечитаемый вид с помощью ключей.

Примеры: HTTPS-соединения, зашифрованные диски (BitLocker), мессенджеры с шифрованием (Signal).

Ответственный за организацию обработки персональных данных. В этом поле указываем данные лица, ответственного за организацию и контроль обработки персональных данных.

Дата начала обработки персональных данных. Указываем точную дату с момента начала обработки ПД.

Срок или условие прекращения обработки персональных данных. Тут все просто: либо указываем условие прекращения или дату окончания обработки персональных данных.

Осуществление трансграничной передачи персональных данных. Нужно указать: передаются ли данные за пределы Российской Федерации.

База данных №1. Укажите местонахождение базы данных с персональными данными

Для выбора адреса ЦОДа (центра обработки данных) нажмите кнопку «Выбрать».

Если ваш сайт размещается на серверах провайдера – запросите у него сведения о расположении ЦОДа.

Контакт №1. Это - сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.

Укажите эти лица и если их несколько, то необходимо добавить их все. Если же таких лиц, то убираем поле, нажав “удалить”.

Сведения об обеспечении безопасности персональных данных. В этом поле указываем меры обеспечения защиты ПД. Пример:

• использование средств криптографической защиты информации (СКЗИ),
• сертифицированных ФСБ России;
• система разграничения доступа к персональным данным на основе ролевой модели;
• антивирусная защита с регулярным обновлением сигнатур;
• система резервного копирования данных;
• защищённые каналы передачи данных (TLS, VPN);
• регулярный мониторинг и аудит безопасности;
• физическая охрана помещений с серверами.

Также указываем данные ответственного за организацию обработки персональных данных.

Сроки рассмотрения и внесение сведений в Реестр операторов

В соответствии с законодательством, у Роскомнадзора есть 30 календарных дней на рассмотрение поданного уведомления. За этот период ведомство проводит проверку на корректность заполнения и полноту представленной информации, после чего вносит данные об операторе в Реестр. Отсчет 30-дневного срока начинается с момента фактического получения уведомления Роскомнадзором. Это особенно важно учитывать при отправке бумажной версии по почте: срок стартует с даты поступления письма в ведомство, а не с даты его отправки.

Следует иметь в виду: в случае обнаружения неполных или недостоверных сведений в уведомлении, Роскомнадзор вправе затребовать уточнения до внесения информации в Реестр.

При успешном прохождении проверки, все обязательные сведения, указанные в уведомлении (перечисленные ранее), а также дата его направления, будут отражены в Реестре операторов.

Как проверить статус поданного уведомления?

Для отслеживания статуса электронного уведомления, отправленного через Портал персональных данных Роскомнадзора (до его включения в основной Реестр операторов), предусмотрен специальный онлайн-сервис.

Чтобы проверить:

1. Перейдите по ссылке: https://pd.rkn.gov.ru/operators-registry/notification_check/
2. Заполните специальные поля.
3. Введите защитный код с картинки.
4. Нажмите кнопку «Проверить».

Проверка наличия и сведений в Едином реестре операторов

Финальным подтверждением успешной регистрации является появление сведений об операторе в Едином реестре операторов, осуществляющих обработку персональных данных. Большая часть информации из этого Реестра является общедоступной, за исключением данных о конкретных мерах обеспечения безопасности обработки персональных данных.

По состоянию на текущий момент (на 03.06.2024), Реестр содержит сведения о более чем 1 000 000 операторов персональных данных.

Проверить, внесены ли вы в Реестр операторов, и просмотреть данные из вашего уведомления можно с помощью специализированного сервиса Роскомнадзора, расположенного на Портале персональных данных.

На главной странице портала перейдите в блок «Реестр». Введите необходимые данные и нажмите кнопку «Найти».

Заключение

Важно подчеркнуть, что сама процедура регистрации в Роскомнадзоре в качестве оператора персональных данных является абсолютно бесплатной. Согласно части 5 статьи 22 Закона № 152-ФЗ, государственная пошлина или иные сборы за рассмотрение уведомления или внесение сведений в Реестр операторов не взимаются. Соблюдение этих требований – не только законодательная обязанность, но и залог безопасности обработки персональных данных, а также защита от возможных штрафов и претензий со стороны контролирующих органов.