Как заполнить уведомление в Роскомнадзор об обработке персональных данных?
Оглавление
Важно! Эта инструкция носит рекомендательный характер. Учитывайте особенности вашей организации при заполнении уведомления.
Зачем это нужно?
Подача уведомления в Роскомнадзор — это не формальность, это подтверждение того, что вы:
- Осознанно обрабатываете персональные данные (ПДн)
- Соблюдаете требования закона 152-ФЗ.
Что считается персональными данными?
Любая информация, которая позволяет идентифицировать человека:
- ФИО, телефон, email.
- Данные пациентов (история болезней, записи в МИС).
- Информация из заявок на сайте, соцсетей, мессенеджеров.
- Бумажные документы (анкеты, договоры).
Почему важно указывать все источники?
Роскомнадзор оценивает полную картину обработки ПДн в вашей организации. Не ограничивайтесь только данными из одной системы (например, Енот).
Как заполнить уведомление?
Шаг 1. Создайте цели обработки ПДн
Рекомендуем добавить отдельную цель для каждой системы или процесса.
Пример для Енот:
- Цель: «Автоматизация деятельности ветеринарной клиники с использованием программы Енот».
- Категория ПДн: Отметьте те, которые хранятся в системе (у каждой клиники свой набор).
- Категории субъектов: Пациенты, владельцы животных, сотрудники.
Правовой основание:
- «Обработка персональных данных осуществляется с согласия субъекта ПДн».
Перечень действий:
- Хранение, запись, систематизация, обновление, удаление.
Способы обработки:
- Автоматизированные и неавтоматизированные.
Добавьте другие цели, например, для бухгалтерии, кадрового учета.
Меры безопасности
Пример формулировки:
«В компании назначено ответственное лицо за обработку ПДн. Реализованы технические и организационные меры: разграничение доступа, антивирусная защита, резервное копирование, обучение сотрудников. Данные хранятся на серверах в РФ (адрес: Москва, ул. Нижегородская, 32, ЦОД Storedata). Используется лицензионное ПО, регулярно обновляются системы защиты».
Пояснение:
- Указанные меры соответствуют 152-ФЗ и Постановлению №1119.
- Подходит для клиник и IT-компаний.
Ключевые пункты
Использование шифровальных средств: Не используются. Почему?
Закон не требует СКЗИ для обычных клиник. Защита обеспечивается:
- HTTPS (SSL/TLS).
- Пароли, антивирусы, резервные копии.
Ответственный за обработку ПДн:
Укажите ФИО, должность, контакты (например, руководителя).
Дата начала обработки:
Рекомендуем поставить дату открытия организации.
Условия прекращения обработки:
- Ликвидация компании.
- Отзыв согласия субъекта.
- Достижение целей обработки.
Трансграничная передача:
Не осуществляется.
Место хранения данных:
- Страна: Россия.
- Адрес ЦОД: Москва, ул. Нижегородская, 32.
- Ответственная организация: ООО «СЭНДБОКС» (ОГРН: 1227700555378, ИНН: 1227700555378).
Завершение:
Поле о доступе к гос.системам — оставьте пустым.
Дополнительные меры безопасности: Используйте формулировки из п.3.
Вариант для заполнения:
Обработка и защита персональных данных осуществляется в соответствии с требованиями постановления Правительства РФ №1119 и Федерального закона №152-ФЗ. Внедрены организационные и технические меры безопасности: разграничение доступа, антивирусная защита, резервное копирование, обучение сотрудников, контроль доступа к помещениям, использование лицензионного ПО. Обеспечено хранение данных на территории РФ. Назначено ответственное лицо за обработку и защиту персональных данных.
Объяснение
- Постановление №1119 — основной нормативный акт, регулирующий требования к защите ПДн.
- Перечислены базовые меры, которые есть у большинства современных компаний (и которые реально проверяют).
- Формулировка универсальна и подходит как для IT-компаний, так и для клиник.
Заполняем данные ответственного за заполнение анкеты и отправляем уведомление.