ПРИКАЗ
от 30 мая 2017 года N 94
(с изменениями на 30 октября 2018 года)
____________________________________________________________________
Утратил силу на основании
приказа Роскомнадзора от 24 марта 2023 года № 39
____________________________________________________________________
____________________________________________________________________
Документ с изменениями, внесенными:
приказом Роскомнадзора от 30 октября 2018 года N 159.
____________________________________________________________________
В целях реализации пункта 3 части 5 статьи 23 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", пункта 5.2.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228,
приказываю:
1. Утвердить прилагаемые Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения.
2. Признать утратившими силу Временные рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утвержденные заместителем руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А.Приезжевой 30 декабря 2014 г.
3. Признать утратившими силу Рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утвержденные заместителем руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А.Приезжевой 29 января 2016 г.
4. Контроль за исполнением настоящего приказа возложить на заместителя руководителя А.А.Приезжеву.
Руководитель
А.А.Жаров
Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения
(с изменениями на 30 октября 2018 года)
1.1. Настоящие методические рекомендации подготовлены в целях разъяснения порядка направления операторами, осуществляющими обработку персональных данных (далее - Оператор), сведений об обработке (намерении осуществлять обработку) персональных данных, об изменении ранее представленных сведений, о прекращении обработки персональных данных (далее - Рекомендации).
1.2. Согласно пункту 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 N 228, Роскомнадзор является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.
В соответствии с пунктом 3 части 5 статьи 23 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) уполномоченный орган по защите прав субъектов персональных* обязан вести реестр операторов.
________________
* Текст документа соответствует оригиналу. - Примечание изготовителя базы данных.
1.3. Ведение реестра операторов (далее - Реестр) включает в себя:
1.3.1. Внесение сведений об Операторе в Реестр на основании поданного уведомления.
1.3.2. Внесение изменений в сведения об Операторе, содержащиеся в Реестре, на основании полученного информационного письма.
1.3.3. Внесение в Реестр сведений о прекращении Оператором обработки персональных данных на основании поступившего заявления.
1.3.4. Предоставление выписки из Реестра на основании поступившего заявления.
1.4. На Портале персональных данных и официальном сайте Роскомнадзора размещается вся информация, касающаяся ведения Реестра, в том числе:
1.4.1. Рекомендованная форма уведомления об обработке (о намерении осуществлять обработку) персональных данных (Уведомление) (Приложение N 1).
1.4.2. Рекомендованная форма уведомления о внесении изменений в сведения об операторе в Реестре (Информационное письмо) (Приложение N 2).
1.4.3. Рекомендованная форма заявления о прекращении оператором обработки персональных данных (Приложение N 3).
1.4.4. Рекомендованная форма заявления о предоставлении выписки из Реестра (Приложение N 4).
1.4.5. Общедоступные сведения об Операторе, содержащиеся в Реестре.
2.1. Оператор - федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, иные государственные органы (далее - государственные органы), органы местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
2.2. Официальный сайт - сайт Роскомнадзора в информационно-телекоммуникационной сети "Интернет" по адресу http://rkn.gov.ru
2.3. Портал персональных данных - сайт уполномоченного органа по защите прав субъектов персональных данных в информационно-телекоммуникационной сети "Интернет" по адресу http://pd.rkn.gov.ru/.
2.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее - субъект персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных).
2.6. Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни).
2.7. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных.
3.1. Уведомление уполномоченного органа по защите прав субъектов персональных данных осуществляется Оператором до начала обработки персональных данных и включает следующие сведения:
3.1.1. Наименование (фамилия, имя, отчество), адрес Оператора, включающие в себя:
3.1.1.1. Для юридических лиц (Операторов):
полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;
наименование филиалов (представительств) юридического лица (Оператора), осуществляющего обработку персональных данных;
адрес Оператора;
индивидуальный номер налогоплательщика (ИНН);
основной государственный регистрационный номер (ОГРН).
3.1.1.2. Для физических лиц:
фамилия, имя, отчество (при наличии) физического лица (Оператора);
адрес Оператора;
данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;
индивидуальный номер налогоплательщика (ИНН, при наличии).
3.1.1.3. Для государственных и муниципальных органов (Операторов):
полное и сокращенное наименование государственного, муниципального органа;
наименование территориальных органов, осуществляющих обработку персональных данных;
адрес Оператора;
индивидуальный номер налогоплательщика (ИНН);
основной государственный регистрационный номер (ОГРН).
При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).
3.1.2. Цель обработки персональных данных. Указываются цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.
3.1.3. Категории персональных данных. Рекомендуется учитывать все категории персональных данных, подлежащих обработке Оператором.
3.1.4. Категории субъектов, персональные данные которых обрабатываются.
Рекомендуется указать категории субъектов персональных данных и виды отношений Оператора с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных или иных гражданско-правовых отношениях с юридическим лицом (Оператором), и др.).
3.1.5. Правовое основание обработки персональных данных.
Рекомендуется указать весь перечень нормативных правовых актов, которые закрепляют основания и порядок обработки Оператором персональных данных и соответствуют полномочиям Оператора. Не рекомендуется указывать в качестве правового основания часть 1 статьи 6 Закона N 152-ФЗ. Номер и наименование лицензии на осуществляемый вид деятельности (для лицензируемых видов деятельности) и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся субъектов персональных данных) (при наличии такого запрета).
3.1.6. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.
Предполагаются действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:
- неавтоматизированная обработка персональных данных;
- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
- смешанная обработка персональных данных.
При автоматизированной обработке персональных данных либо смешанной обработке желательно указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети Оператора (информация доступна лишь для строго определенных сотрудников) либо информация передается с использованием сети связи общего пользования (например, Интернет), либо без передачи полученной информации.
3.1.7. Описание мер, предусмотренных статьями 18.1 и 19 Закона N 152-ФЗ, предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств представляются следующие сведения:
а) наименование используемых криптографических средств;
б) класс средств криптографической защиты информации (СКЗИ).
Данную информацию рекомендуется представлять на основании приказа ФСБ России от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
3.1.8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.
3.1.9. Дата начала обработки персональных данных.
Рекомендуется указать конкретную дату (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными (как правило, это дата начала осуществления Оператором деятельности, закрепленной в уставных документах).
3.1.10. Срок или условие прекращения обработки персональных данных.
Рекомендуется указывать конкретную дату (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.
3.1.11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки предполагают указание перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.