Если вы не подали уведомление в РКН о том, что вы являетесь оператором персональных данных до 30 мая 2025 года, не паникуйте! Да, штрафы выросли (если вы не числитесь оператором - могут достигать 300 000 рублей), но вас завтра не придут проверять. Спокойно оформите уведомление в ближайшее время.
Как подать уведомление в РКН
Существуют три официальных способа подачи уведомления в Роскомнадзор информации о том, что вы обрабатываете персональные данные:
- заполнить электронную форму и направить письмо почтой. Самый простой, но не самый удобный, способ. Зато подойдет практически всем. Здесь вы сформировали уведомление, а потом ножками сходили на Почту России и направили бумажный вариант.
- заполнить электронную форму на сайте РКН и подписать ее электронной подписью. Отличный способ, при условии, что у вас есть КриптоПро.
- заполнить уведомление на сайте Госуслуг. Недаром же их придумали! В большинстве случаев отличный сервис - можете все сформировать и направить. В этом случае на бумажном носителе тоже направлять не нужно.
Если вы выбрали вариант оформления на сайте РКН, то вам должно прийти вот такое уведомление после успешного заполнения.
Обратите внимание! У вас должен быть номер и ключ. Печатайте лучше сразу, так как ссылки у них отваливаются и вы потом не найдете свое уведомление (как получилось у нас. Будем в понедельник узнавать, что делать в этом случае).
Как заполнить уведомление в РКН
Время заполнения уведомления 30-90 минут в зависимости от количества целей обработки и ЦОДов. Форма простая, заполняется довольно легко, но муторно. К этому нужно быть готовыми.
Разберем основные моменты и сложности:
1. Поля со звездочками обязательные. Но есть момент. Иногда звездочка стоит напротив поля, а иногда на весь блок, например, у адресов не собственных ЦОДов.
2. Самозанятые заполняют форму как физические лица. Да, да еще раз да - если вы физическое лицо и каким-то чудесным образом ведете бизнес в наше время или самозанятый вы все-равно обрабатываете ПД каким-либо образом, поэтому заполняем уведомление.
3. При заполнении данных Оператора можно не заполнять ОКВЭД и т.п. Эта информация на ваше усмотрение. Тут РКН придерживается своего же правила про избыточность информации - не нужны им лишние сведения о вас.
4. Регион обработки. Мы тут долго думали и решили, что здесь все же надо указать домашний регион. У нас нет филиалов по всей стране, а офис находится в Мурманской области.
4. Регион обработки. Мы тут долго думали и решили, что здесь все же надо указать домашний регион. У нас нет филиалов по всей стране, а офис находится в Мурманской области.
5. Далее прекрасный блок про цели обработки данных. Если вы читали нашу статью про 6 шагов к успеху по 152-ФЗ, то у вас на руках есть табличка со всеми вашими ПД, целями и ответственными. Открываете ее и заполняете. Ничего сложного. Большинство целей на сайте прописаны для государственных структур. Для бизнеса там всего несколько целей и они закрывают почти все, что можно. Каждую цель заполняете отдельно! Делаете их столько, сколько нужно. Точно указывайте чьи данные вы собираете исходя из своей цели, не пишите лишние субъекты.
Если у вас одна организация, но несколько видов деятельности, вы подаете не по каждому виду деятельности! Вы подаете уведомление как Оператор персональных данных, а в целях пишите все, что у вас есть. Например, у вас два сайта: на одном стоит Метрика, а на другом нет (вдруг такое бывает), вы все-равно пишите, что обрабатываете метрические данные.
6. Перечень действий с ПД тоже интересный пункт. Мы не сильно поняли чем отличается "Удаление" и "Уничтожение", ставили второй вариант, что такое "Извлечение" тоже осталось для нас загадкой - откуда и куда можно извлекать персональные данные? Если вы передаете данные третьим лицам, например, для аналитической работы, то ставьте тут галочку.
7. В способах обработки мы указывали "Смешанная". Вроде самый очевидный вариант, мы вроде как используем автоматизированные средства, но в тоже время ручками что-то делаем. Если что-то РКН не понравится, изменим.
8. Самым непонятным пунктом для нас оказался про средства защиты. Мы перечитали статью 19 вдоль и поперек, но там ничего не понятно от слова совсем. Для кого это написано - не ясно. РКН пытается ответить на самые частые ошибки при заполнении уведомления, как раз про средства там тоже есть. Но там тоже не особо понятно как именно писать. В итоге, мы написали, что у нас есть Политика обработки данных, установлены лица, кто имеет доступ к информации, установлены пароли. Как нам пояснили в РКН, если информация хранится на облачных серверах, то компания, которая их предоставляет отвечает за безопасность. Мы же как операторы, с ней работаем и у нас, если так можно сказать, не такие технологические средства защиты, больше организационного плана.
Если вчитываться в эту статью, то там можно много чего нового узнать. Например, что есть уровни защищенности персональных данных.
Если вчитываться в эту статью, то там можно много чего нового узнать. Например, что есть уровни защищенности персональных данных.
Обратите внимание! Вы должны обозначить круг лиц, кто имеет доступ к персональным данным. Если вдруг каким-то чудесным образом выяснится, что к ПД имеет доступ сотрудник, который не указан в документе, то РКН может рассмотреть этот факт как утечку. Штраф, на минуточку, до 15 млн рублей.
9. Использование криптографических средств защиты - это обычные цифровые подписи. Если у вас есть СБИС, Контур и т.п., то вы ставите галочку, что "Используется". Дальше небольшой экскурс в изучение классов, чтение максимально непонятно информации, но, в итоге, вы заполняете все как пишут ваши компании. Спасибо им за то, что всю эту информацию они предоставляют.
10. Заполняем ЦОДы. О, это самая странная часть данной анкеты. Как мы уже писали, у вас может быть великое множество баз данных, где хранятся ПД (и в РКН это тоже понимают), вы указываете все. Все, что вы вспомните. Собственный ЦОД - это рабочие компьютеры. Почитать про этот пункт и найти адреса самых популярных сервисов можно здесь.
Обратите внимание! Если вы указываете не собственный ЦОД, то нужно писать всю информацию, включая ИНН и ОГРН. Если этого нет, то форма не отправится.
И под конец заполняем контактные данные, кто заполнял это все и отвечает за эту информацию. Заполнить данное уведомление может только уполномоченный человек. Поэтому мы рекомендуем вам сделать это самостоятельно, либо же наделить кого-то из сотрудников этими полномочиями, через издание соответствующего приказа.
Ниже представлено видео, как у нас получилось заполнить уведомление. В нем как раз видны ошибки, на которые ругается сайт. Мы их поправили и все отправилось.
