Обработка персональных данных является обязательной частью работы любого интернет-магазина. Для законного осуществления этой деятельности необходимо уведомить Роскомнадзор о намерении обрабатывать персональные данные. Данная инструкция поможет вам правильно заполнить и подать уведомление.
Прежде, чем подавать уведомление, необходимо проверить - подавалось ли уведомление в Роскомнадзор ранее. Проверить можно в Реестре операторов персональных данных.
Если уведомление присутствует в Реестре, рекомендуем проверить все ли цели обработки и категории персональных данных указаны, корректна ли информация об ответственном за организацию обработки персональных данных.
Для подачи уведомления об обработке персональных данных необходимо перейти на официальный сайт Роскомнадзора.
В течение 10 рабочих дней необходимо подать уведомление о прекращении обработки персональных данных.
Для этого заполните электронную форму на сайте Роскомнадзора. Распечатайте и подпишите уведомление. После этого нужно будет отправить это заявление в территориальный орган Роскомнадзора по месту регистрации компании.
На сайте РКН можно ознакомиться с примерами заполнения уведомлений:
Как заполнять Форму уведомления Роскомнадзора об обработке персональных данных пошагово:
1. Регион регистрации, на территории которого зарегистрирована ваша организация:
2. «Сведения об операторе» - реквизиты вашего интернет-магазина. Реквизиты отличаются в зависимости от типа оператора. Необходимо добавить информацию о филиалах, при наличии.
3. «Цели обработки персональных данных»
Тут необходимо внести конкретные цели, соответствующие функционалу вашего интернет-магазина. Важно помнить: каждая цель должна быть указана отдельно, без объединения нескольких задач в одном пункте.
Например, это могут быть следующие цели обработки:
Дополнительные примеры целей:
При составлении уведомления важно самостоятельно определить цели обработки персональных данных, которые соответствуют специфике вашего бизнеса.
Необходимо убедиться, что указанные цели полностью совпадают во всех документах компании: политике конфиденциальности, пользовательском соглашении и формах согласия на обработку данных.
Роскомнадзор проводит мониторинг сайтов и сверяет информацию из реестра с данными на официальных ресурсах. В случае обнаружения расхождений может быть инициирована внеплановая проверка организации.
Дальнейшую информацию необходимо заполнить для каждой цели обработки персональных данных:
4. «Категории персональных данных»
Необходимо детально перечислить всю информацию, которую ваша организация обрабатывает для реализации каждой установленной цели.
Отметьте все подходящие категории данных с помощью галочек. При отсутствии необходимых категорий в стандартном списке выберите пункт «Иные персональные данные». Вручную добавьте все недостающие категории в соответствующее поле.
Учитывайте даже незначительные данные (например, если в вашей программе лояльности предусмотрены скидки ко дню рождения, обязательно укажите обработку дат рождения клиентов).
5. «Категории субъектов персональные данные которых обрабатываются»
Для интернет-магазина обычно указываются следующие категории:
Более редкие:
6. «Правовое основание»
Перед началом работы с персональными данными необходимо определить законные основания для их обработки. Существует 12 возможных оснований, однако в практике интернет-магазинов чаще всего применяются следующие:
Выберите подходящие основания из списка. При необходимости дополните их, опираясь на внутренние документы компании.
Учитывайте конкретные цели обработки данных вашего интернет-магазина.
7. «Перечень действий»
Обычно для интернет-магазина это: сбор, запись, систематизация, накопление, хранение, передача (если передаются данные третьим лицам), уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение персональных данных.
8. «Способы обработки»
Тут нужно выбрать вариант, применяемый в вашем интернет-магазине согласно внутренним документам.
В современных условиях редко встречаются организации, которые используют только автоматизированную обработку данных. Смешанная форма обработки является наиболее распространенным и практичным вариантом для большинства компаний. Следует также уточнить, как передается информация: через интернет, внутри корпоративной сети или применяется оба варианта.
9. "Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»"
Необходимо указать меры, которые применяются для защиты персональных данных в соответствии с требованиями закона. Например:
10. «Средства обеспечения безопасности»
В этот пункт можно прописать, например, такие средства:
11. «Использование криптографических средств»
Укажите, применяете ли вы шифрование для обеспечения конфиденциальности передаваемой информации и защиты данных от несанкционированного доступа. В обычных интернет-магазинах чаще всего не применяются шифровальные средства.
Криптографические средства могут применяться, например, если вы используете программное обеспечение КриптоПРО для цифровой подписи документов, для кадровых процессов, обмена защищёнными данными с государственными органами или банками, а также для безопасной передачи финансовой информации клиентов.
Необходимо указать класс СКЗИ (Классы средств криптографической защиты информации), наименование, серийные номера, все эти данные можно узнать из документации на криптосредство.
12. «Ответственный за организацию обработки персональных данных»
В данном разделе нужно указать информацию о назначенном лице — это может быть как сотрудник вашей организации, так и внешняя компания, которая специализируется на работе с персональными данными и их защите.
Все указанные данные должны быть точными, поскольку именно по ним Роскомнадзор будет связываться при проверках, а после подачи уведомления эта информация станет публичной в реестре операторов, поэтому важно убедиться в согласии ответственного лица на размещение его контактов.
13. «Дата начала обработки персональных данных»
Дата регистрации ИП, юр.лица или получения статуса самозанятого.
14. «Срок или условие прекращения обработки персональных данных»
Уточняет когда и при каких обстоятельствах прекращается обработка данных. Рекомендуем указать в данном разделе «Прекращение деятельности организации».
15. «Осуществление трансграничной передачи персональных данных»
Уточняет, производится ли передача персональных данных за границу, например, в случае:
Если трансграничная передача данных осуществляется, необходимо подать отдельное уведомление о таком действии в Роскомнадзор.
Подать уведомление в Роскомнадзор о работе с персональными данными можно двумя способами: через специальный портал ведомства, используя для этого подтверждённую учётную запись юридического лица или заявителя на Госуслугах, либо в бумажном виде — если не получается отправить документы онлайн, нужно будет скачать образец с портала, заполнить, подписать и отправить почтой в адрес Роскомнадзора.
16.«Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ»
В данном разделе указывается, где территориально хранятся персональные данные.
Например, можно указать адрес офиса, если у вас там всякие таблички в компьютере, CRM и т.д. Это и будет вашим собственным ЦОДом. А так же:
16.1. Если вы используете коробочную редакцию Moguta.CMS на своем хостинге, тогда адрес ЦОД и Сведения об организации, ответственной за хранение данных, нужно запросить у хостинга.
16.2. Если вы используете облачную платформу Moguta.Cloud, тогда адреса ЦОД, в которых осуществляется обработка персональных данных нужно указать:
Сведения об организации, ответственной за хранение данных:
ИП Авдеев Марк Васильевич, ОГРНИП: 316784700231372, ИНН: 280122504682, страна местонахождения: Россия, адрес местонахождения: г. Санкт-Петербург, пр.Обуховской обороны, д.120, к.К, оф. 510
В уведомлении необходимо указать места хранения всех баз данных, в которых вы осуществляете обработку персональных данных, например дополнительно указать место хранения персональных данных работников при использовании программного обеспечения «1С», Яндекс Метрики и другие.
17. «Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах»
Заполняется только операторами государственных/муниципальных информационных систем. Владельцам интернет-магазинов заполнять данный раздел не нужно.
18. «Сведения об обеспечении безопасности персональных данных»
Необходимо указать меры, предпринятые для защиты персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 №1119. Этот нормативный акт устанавливает уровни защищенности персональных данных и определяет мероприятия по их обеспечению.
В соответствии с этим документом рекомендуем указать выполнение следующих мер:
19. «Контактные данные исполнителя»
В данном пункте необходимо указать контактные данные исполнителя, который непосредственно занимается оформлением и подачей уведомления в Роскомнадзор. Исполнителем может выступать не только лицо, ответственное за обработку персональных данных, но и любой другой сотрудник, которому поручено заполнить и направить уведомление - ФИО, должность и контактные данные.
20. Далее нужно дать соответствующие согласия и подтверждения, подписать уведомление и направить в Роскомнадзор. Важно сохранить присвоенный номер и ключ — они пригодятся для отслеживания статуса вашего уведомления.
21. Чтобы узнать статус поданного уведомления, воспользуйтесь сервисом проверки на официальном сайте Роскомнадзора. В разделе «Реестр операторов» найдите подраздел «Проверка состояния уведомления». Для получения информации потребуется ввести уникальный номер уведомления и специальный проверочный ключ. Эта функция позволяет отслеживать текущее состояние вашего заявления в системе Роскомнадзора.