Регистрация в Роскомнадзоре

В данное статье мы постарались ответить на вопросы, которые чаще всего возникают при регистрации в Роскомнадзоре в качестве оператора персональных данных.

Сведения об операторе – это данные вышей компании.

Необходимо указывать адрес вашей организации или ИП, на которую оформлен доступ к системе и от лица которой подается уведомление. Не указывайте адрес разработчика или поставщика CRM. Использование облачной системы не освобождает от необходимости указывать свои реквизиты и данные.

Сведения об операторе (пример заполнения)

Цели обработки персональных данных

Указываются цели обработки персональных данных (а также их соответствие полномочиям оператора). Под “целью обработки персональных данных” понимаются, как цели, указанные в учредительных документах оператора, так и цели фактически осуществляемой оператором деятельности по обработке персональных данных.

!!! Примеры

Важно: приведённые примеры носят исключительно информационный характер и не являются рекомендациями к выбору способа обработки персональных данных. Конкретный способ необходимо определить самостоятельно, исходя из особенностей обработки данных в организации и требований законодательства.

  • Ведение кадрового и бухгалтерского учета
  • Обеспечение соблюдения трудового законодательства РФ
  • Продвижение товаров, работ, услуг на рынке
  • Заключение договорных отношений с юридическими и физическими лицами на оказание услуг и (или) выполнение работ
  • Подготовка, заключение и исполнение гражданско-правового договора

!!!

Способы обработки

Как правило, в работе используется смешанный тип обработки персональных данных — с передачей данных как по внутренней сети, так и через интернет.

Смешанный способ применяется в случае, когда часть данных обрабатывается и хранится локально (например, кадровые документы, бумажные копии договоров и акты), а другая часть — передается и обрабатывается на удалённых серверах (например, данные клиентов, хранящиеся в облачной системе учета заказов).

Способы обработки персональных данных

Заполнение раздела «База данных»

Ниже вы найдете адреса ЦОДов LiveSklad и инструкцию по заполнению полей.

В данном разделе необходимо указать все места хранения персональных данных, включая:

  • адреса дата-центров, в которых размещена система LiveSklad
  • адреса собственных ЦОДов или помещений, где ваша организация хранит бумажные документы или иные данные (например, данные по сотрудникам, договоры, распечатки заказов и т.д.)

Указание только дата-центров, используемых системой LiveSklad, не считается достаточным для корректной постановки на учёт в Роскомнадзоре.

В качестве собственного ЦОДа можно указать:

– адрес регистрации ИП

– юридический адрес организации

– фактический адрес, по которому ведётся деятельность и заключен договор аренды.

Если возникают сомнения по поводу того, какие адреса указывать (особенно в части хранения вне системы), рекомендуем проконсультироваться с юристом.

База данных (пример заполнения)

!!! Адреса ЦОДа – 2 шт. (АО “ЦХД”)

  1. Россия, г. Москва, Коровинское шоссе, д.41
  2. Россия, г. Москва, ул. Боровая, д.7с10

Для всех адресов указываем одну организацию:

Собственный ЦОД

Нет

Тип организации

юридическое лицо

Организационно-правовая форма

Акционерные общества

Наименование организации

Акционерное общество «Центр Хранения Данных»

ОГРН

1247700651461

ИНН

9722084937

Страна

Россия

Адрес

г. Москва, Остаповский проезд, дом 22, стр.16

!!!

!!! Адреса ЦОДа – 3 шт. (Яндекс Облако)

  1. Россия, Владимирская область — г. Владимир, мкр. Энергетик, ул. Поисковая 1 к. 2;
  2. Россия, Рязанская область — г. Сасово, ул. Пушкина, д. 21
  3. Россия, Калужская область —  г. Калуга, проезд 1-й Автомобильный, д. 8

Для всех адресов указываем одну организацию:

Собственный ЦОД

Нет

Тип организации

юридическое лицо

Организационно-правовая форма

Общество с ограниченной ответственностью

Наименование организации

Общество с ограниченной ответственностью «Яндекс.Облако»

ОГРН

1187746678580

ИНН

7704458262

Страна

Россия

Адрес

г. Москва, ул. Льва Толстого, д. 16, пом. 528

!!!

Меры, предусмотренные ст. 18.1 и 19 ФЗ «О персональных данных»

В данном блоке необходимо описать организационные и технические меры, которые применяются для защиты персональных данных в вашей организации, в том числе при использовании облачных систем, таких как LiveSklad.

Примеры формулировок:

!!! Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона

  1. Назначено лицо, ответственное за организацию обработки персональных данных;
  2. Изданы документы, определяющих политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
  3. Обеспечено применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона «О персональных данных»;
  4. Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
  5. Обеспечено проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
  6. Работники, непосредственно осуществляющих обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, проведено обучение указанных работников.

!!!

!!! Средства обеспечения безопасности

Определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных, применяются модели актуальных угроз и выполняются меры по их нейтрализации, обеспечен учет машинных носителей персональных данных, осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, ограничен доступ посторонних лиц в помещения, предназначенные для обработки персональных данных.

!!!

!!! Ответственный за организацию ОПД

В данном блоке необходимо указать сведения о лице, которое в вашей организации отвечает за организацию обработки персональных данных. Это должен быть сотрудник или руководитель, реально осуществляющий контроль за обработкой и защитой персональных данных.

!!!

Важно: текст выше указан в качестве примера и взят с сайта Роскомнадзора, он не является универсальным. Рекомендуется адаптировать его с учётом специфики вашей деятельности и, при необходимости, согласовать содержание с юристом.

Средства обеспечения безопасности

Часто задаваемые вопросы:

!!! Мне нужно зарегистрироваться в Роскомнадзоре при использовании LiveSklad ?

Если вы вносите в систему LiveSklad персональные данные своих клиентов — например, ФИО, номера телефонов, email и т.д. — то с точки зрения закона вы являетесь оператором персональных данных. Это означает, что Вам необходимо подать уведомление в Роскомнадзор о начале обработки персональных данных именно Вами, как оператором.

По самому процессу подачи и заполнению уведомления рекомендуем обратиться к юристу или специалисту в этой области. Мы не оказываем сопровождение и консультации по заполнению документов в Роскомнадзор.

!!!

!!! LiveSklad состоит в реестре операторов персональных данных Роскомнадзора?

Да – наша компания состоит в реестре операторов персональных данных Роскомнадзора. Соответствующее уведомление подано, и мы соблюдаем требования законодательства, включая хранение данных на территории РФ.

При этом, если вы собираете персональные данные своих клиентов через нашу систему (например, имена, телефоны, email), то вы также становитесь оператором персональных данных. Это значит, что вам необходимо самостоятельно подать уведомление в Роскомнадзор, так как вы определяете цели и объем сбора этих данных.

!!!

!!! Вы можете мне помочь составить и подать заявление?

Мы не сопровождаем процесс заполнения и подачи заявления, так как это выходит за рамки нашей компетенции. Рекомендуем обратиться к профильным юристам, которые помогут корректно оформить все документы с учётом требований законодательства.

!!!