Уведомление Роскомнадзора об обработке персональных данных для интернет-магазинов

Обработка персональных данных является обязательной частью работы любого интернет-магазина. Для законного осуществления этой деятельности необходимо уведомить Роскомнадзор о намерении обрабатывать персональные данные. Данная инструкция поможет вам правильно заполнить и подать уведомление.

Подготовка к подаче уведомления

Прежде, чем подавать уведомление, необходимо проверить - подавалось ли уведомление в Роскомнадзор ранее. Проверить можно в Реестре операторов персональных данных.

Если уведомление присутствует в Реестре, рекомендуем проверить все ли цели обработки и категории персональных данных указаны, корректна ли информация об ответственном за организацию обработки персональных данных.

Подача уведомления

Для подачи уведомления об обработке персональных данных необходимо перейти на официальный сайт Роскомнадзора.

  1. Если уведомление подается впервые, то выберите пункт  1  «Перейти к заполнению формы электронного уведомления».
  2. Если необходимо внести изменения, то выберите  2  «Перейти к заполнению уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных».


Способы подачи

  • Электронный способ с усиленной квалифицированной электронной подписью
  • Через портал Госуслуг с использованием ЕСИА
  • В бумажном виде через территориальный орган Роскомнадзора

Если интернет-магазин прекратил деятельность

В течение 10 рабочих дней необходимо подать уведомление о прекращении обработки персональных данных.

Для этого заполните электронную форму на сайте Роскомнадзора. Распечатайте и подпишите уведомление. После этого нужно будет отправить это заявление в территориальный орган Роскомнадзора по месту регистрации компании.

Дополнительные рекомендации

  • Регулярно обновляйте информацию в уведомлении при каких-либо изменениях
  • Соблюдайте сроки подачи уведомления (не позднее 15-го числа следующего месяца после возникновения изменений)
  • Сохраняйте номер и ключ уведомления для отслеживания статуса
  • Проверяйте статус уведомления через раздел “Реестр операторов” на сайте Роскомнадзора

Примеры заполнения уведомления на сайте Роскомнадзора

На сайте РКН можно ознакомиться с примерами заполнения уведомлений:


Порядок заполнения уведомления



 

Как заполнять Форму уведомления Роскомнадзора об обработке персональных данных пошагово:

1. Регион регистрации, на территории которого зарегистрирована ваша организация:

2. «Сведения об операторе» - реквизиты вашего интернет-магазина. Реквизиты отличаются в зависимости от типа оператора. Необходимо добавить информацию о филиалах, при наличии.

3. «Цели обработки персональных данных»

Тут необходимо внести конкретные цели, соответствующие функционалу вашего интернет-магазина. Важно помнить: каждая цель должна быть указана отдельно, без объединения нескольких задач в одном пункте.
Например, это могут быть следующие цели обработки:

  • «Подготовка, заключение и исполнение гражданско-правового договора» — главная цель, включающая все операции по работе с покупателями: оформление заказов, организация доставки, клиентская поддержка, информирование о статусе покупок.
  • «Продвижение товаров, работ, услуг на рынке» — отправка рекламных материалов, информации об акциях, специальных предложениях и новостях магазина
  • «Проведение статистического учета» — сбор и обработка данных для улучшения работы сайта, анализа предпочтений посетителей (например, Яндекс.Метрика).

Дополнительные примеры целей:

  • «Подбор персонала (соискателей) на вакантные должности оператора» — работа с кандидатами при подборе персонала, обработка резюме
  • «Обеспечение соблюдения трудового законодательства РФ» - учет и хранение данных сотрудников (личные данные, контактная информация, документы)
  • «Подготовка, заключение и исполнение договоров с контрагентами» — ведение документации с партнерами, поставщиками, транспортными компаниями и другими контрагентами

При составлении уведомления важно самостоятельно определить цели обработки персональных данных, которые соответствуют специфике вашего бизнеса.

Необходимо убедиться, что указанные цели полностью совпадают во всех документах компании: политике конфиденциальности, пользовательском соглашении и формах согласия на обработку данных.

Роскомнадзор проводит мониторинг сайтов и сверяет информацию из реестра с данными на официальных ресурсах. В случае обнаружения расхождений может быть инициирована внеплановая проверка организации.

Дальнейшую информацию необходимо заполнить для каждой цели обработки персональных данных:

  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий;
  • способы обработки.

4. «Категории персональных данных»

Необходимо детально перечислить всю информацию, которую ваша организация обрабатывает для реализации каждой установленной цели.

Отметьте все подходящие категории данных с помощью галочек. При отсутствии необходимых категорий в стандартном списке выберите пункт «Иные персональные данные». Вручную добавьте все недостающие категории в соответствующее поле.

Учитывайте даже незначительные данные (например, если в вашей программе лояльности предусмотрены скидки ко дню рождения, обязательно укажите обработку дат рождения клиентов).

5. «Категории субъектов персональные данные которых обрабатываются»

Для интернет-магазина обычно указываются следующие категории:

  • Клиенты - частные лица, совершающие покупки через интернет-площадку;
  • Посетители сайта — пользователи, оставляющие контактные данные для получения информационных материалов, участия в мероприятиях или акциях;
  • Контрагенты - юридические лица и индивидуальные предприниматели, с которыми заключены договорные отношения (поставщики, перевозчики, рекламные агентства);
  • Работники - действующие сотрудники, чьи персональные данные используются для кадрового учета и ведения трудовых отношений;
  • Соискатели - лица, подающие заявки на трудоустройство и предоставляющие резюме.

Более редкие:

  • Выгодоприобретатель по договорам - В контексте интернет-магазина выгодоприобретателями по договорам могут выступать Получатели товаров — лица, указанные в заказе как получатели, которые не совпадают с плательщиками (например, подарки другим людям).

6. «Правовое основание»

Перед началом работы с персональными данными необходимо определить законные основания для их обработки. Существует 12 возможных оснований, однако в практике интернет-магазинов чаще всего применяются следующие:

  • Согласие на обработку персональных данных. Например, получение согласия клиента на получение рекламных сообщений.
  • Требование законодательства. Например передача необходимой информации государственным органам (налоговым службам, правоохранительным структурам).
  • Договор с субъектом. Например пользовательское соглашение или оферта с клиентом, на основании которой интернет-магазин осуществляет обработку данных.

Выберите подходящие основания из списка. При необходимости дополните их, опираясь на внутренние документы компании.

Учитывайте конкретные цели обработки данных вашего интернет-магазина.

7. «Перечень действий»

Обычно для интернет-магазина это: сбор, запись, систематизация, накопление, хранение, передача (если передаются данные третьим лицам), уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение персональных данных.

8. «Способы обработки»

Тут нужно выбрать вариант, применяемый в вашем интернет-магазине согласно внутренним документам.

В современных условиях редко встречаются организации, которые используют только автоматизированную обработку данных. Смешанная форма обработки является наиболее распространенным и практичным вариантом для большинства компаний. Следует также уточнить, как передается информация: через интернет, внутри корпоративной сети или применяется оба варианта.

9. "Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»"

Необходимо указать меры, которые применяются для защиты персональных данных в соответствии с требованиями закона. Например:

  1. Назначено ответственное лицо за организацию обработки персональных данных, определены его обязанности и разработаны внутренние нормативные акты
  2. Организован регулярный контроль соблюдения требований законодательства, проводятся проверки процессов обработки данных и мониторинг инцидентов безопасности
  3. Ведется учет носителей персональных данных, регистрация всех операций с ними и учет лиц, получивших доступ
  4. Применяются сертифицированные средства защиты информации, реализована антивирусная защита и обеспечивается регулярное обновление ПО
  5. Реализовано разграничение прав доступа, система аутентификации пользователей и регистрация их действий
  6. Обеспечена защита каналов передачи данных посредством SSL/TLS и реализовано шифрование персональных данных
  7. Разработан план реагирования на инциденты, определены процедуры обнаружения нарушений и порядок восстановления работоспособности систем
  8. Организовано резервное копирование данных
  9. Обеспечено соответствие требованиям PCI DSS, используются защищенные платежные шлюзы и реализовано разделение платежных и персональных данных
  10. Проводятся регулярные инструктажи и обучение персонала правилам обработки персональных данных
  11. Размещена политика обработки персональных данных, обеспечивается доступ к информации о правах субъектов и организовано предоставление информации по запросам
  12. Все меры реализуются в соответствии с требованиями законодательства РФ в области персональных данных и обеспечивают необходимый уровень защищенности при обработке данных в информационной системе.
  13. javascript:void(0)

10. «Средства обеспечения безопасности»

В этот пункт можно прописать, например, такие средства:

  • Все соединения с Сайтами производятся через шифрованный обмен данными, с использованием сертификата SSL;
  • Используется одноэтапная авторизация по логину и паролю;
  • Регулярный аудит безопасности кода и инфраструктуры, как силами собственного отдела безопасности, так и с привлечением независимых компаний;
  • Доступ ко всей инфраструктуре ограничен с использованием сетевого экрана (firewall);
  • Осуществляется постоянный мониторинг активности;
  • Производится своевременное обновление системного ПО в случае выявления уязвимостей и выхода обновлений, исправляющих их.

11. «Использование криптографических средств»

Укажите, применяете ли вы шифрование для обеспечения конфиденциальности передаваемой информации и защиты данных от несанкционированного доступа. В обычных интернет-магазинах чаще всего не применяются шифровальные средства.

Криптографические средства могут применяться, например, если вы используете программное обеспечение КриптоПРО для цифровой подписи документов, для кадровых процессов, обмена защищёнными данными с государственными органами или банками, а также для безопасной передачи финансовой информации клиентов.

Необходимо указать класс СКЗИ (Классы средств криптографической защиты информации), наименование, серийные номера, все эти данные можно узнать из документации на криптосредство.

12. «Ответственный за организацию обработки персональных данных»

В данном разделе нужно указать информацию о назначенном лице — это может быть как сотрудник вашей организации, так и внешняя компания, которая специализируется на работе с персональными данными и их защите.
Все указанные данные должны быть точными, поскольку именно по ним Роскомнадзор будет связываться при проверках, а после подачи уведомления эта информация станет публичной в реестре операторов, поэтому важно убедиться в согласии ответственного лица на размещение его контактов.

13. «Дата начала обработки персональных данных»

Дата регистрации ИП, юр.лица или получения статуса самозанятого.

14. «Срок или условие прекращения обработки персональных данных»

Уточняет когда и при каких обстоятельствах прекращается обработка данных. Рекомендуем указать в данном разделе «Прекращение деятельности организации».

15. «Осуществление трансграничной передачи персональных данных»

Уточняет, производится ли передача персональных данных за границу, например, в случае:

  • использования CRM-систем, расположенных на зарубежных серверах;
  • применения аналитических сервисов, собирающих данные за рубежом (в т.ч. Google Analytics);
  • использования иностранных рекламных платформ.

Если трансграничная передача данных осуществляется, необходимо подать отдельное уведомление о таком действии в Роскомнадзор.

Подать уведомление в Роскомнадзор о работе с персональными данными можно двумя способами: через специальный портал ведомства, используя для этого подтверждённую учётную запись юридического лица или заявителя на Госуслугах, либо в бумажном виде — если не получается отправить документы онлайн, нужно будет скачать образец с портала, заполнить, подписать и отправить почтой в адрес Роскомнадзора.

16.«Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ»

В данном разделе указывается, где территориально хранятся персональные данные.
Например, можно указать адрес офиса, если у вас там всякие таблички в компьютере, CRM и т.д. Это и будет вашим собственным ЦОДом. А так же:

  • адрес облачных серверов, если вы чем-то таким пользуетесь (напоминаем, локализация – территория РФ);
  • адрес сервера, где лежит ваш сайт (можно запросить у провайдера).

16.1. Если вы используете коробочную редакцию Moguta.CMS на своем хостинге, тогда адрес ЦОД и Сведения об организации, ответственной за хранение данных, нужно запросить у хостинга.

16.2. Если вы используете облачную платформу Moguta.Cloud, тогда адреса ЦОД, в которых осуществляется обработка персональных данных нужно указать:

  • г. Москва, пл. Академика Курчатова, д. 1, стр. 46;
  • г. Москва, Варшавское шоссе, 125;
  • г. Москва, ул. Авиамоторная, 69;
  • г. Москва, Волгоградский проспект, 42к5;
  • г. Санкт-Петербург, ул. Заставская, 33;
  • г. Санкт-Петербург, ул. Предпортовая, д.5.

Сведения об организации, ответственной за хранение данных:

ИП Авдеев Марк Васильевич, ОГРНИП: 316784700231372, ИНН: 280122504682, страна местонахождения: Россия, адрес местонахождения: г. Санкт-Петербург, пр.Обуховской обороны, д.120, к.К, оф. 510

В уведомлении необходимо указать места хранения всех баз данных, в которых вы осуществляете обработку персональных данных, например дополнительно указать место хранения персональных данных работников при использовании программного обеспечения «1С», Яндекс Метрики и другие.

17. «Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах»

Заполняется только операторами государственных/муниципальных информационных систем. Владельцам интернет-магазинов заполнять данный раздел не нужно.

18. «Сведения об обеспечении безопасности персональных данных»

Необходимо указать меры, предпринятые для защиты персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 №1119. Этот нормативный акт устанавливает уровни защищенности персональных данных и определяет мероприятия по их обеспечению.

В соответствии с этим документом рекомендуем указать выполнение следующих мер:

  • Организован режим охраны помещений с информационными системами, установлены системы видеонаблюдения и контроля доступа, препятствующие неконтролируемому проникновению посторонних лиц.
  • Утверждён официальный перечень сотрудников, которым необходим доступ к персональным данным для выполнения служебных обязанностей, с регулярным пересмотром и обновлением списка.
  • Применяются инструменты защиты информации, прошедшие оценку соответствия требованиям законодательства РФ, включая сертифицированные антивирусные системы.
  • Обеспечена защита бумажных и электронных носителей персональных данных путём их хранения в закрытых сейфах и шкафах с ограниченным доступом.
  • Определено должностное лицо, ответственное за обеспечение безопасности персональных данных и контроль исполнения мер защиты.
  • Реализованы требования нормативно-правовых актов, включая особенности обработки персональных данных без использования средств автоматизации.

19. «Контактные данные исполнителя»

В данном пункте необходимо указать контактные данные исполнителя, который непосредственно занимается оформлением и подачей уведомления в Роскомнадзор. Исполнителем может выступать не только лицо, ответственное за обработку персональных данных, но и любой другой сотрудник, которому поручено заполнить и направить уведомление - ФИО, должность и контактные данные.

20. Далее нужно дать соответствующие согласия и подтверждения, подписать уведомление и направить в Роскомнадзор. Важно сохранить присвоенный номер и ключ — они пригодятся для отслеживания статуса вашего уведомления.

21. Чтобы узнать статус поданного уведомления, воспользуйтесь сервисом проверки на официальном сайте Роскомнадзора. В разделе «Реестр операторов» найдите подраздел «Проверка состояния уведомления». Для получения информации потребуется ввести уникальный номер уведомления и специальный проверочный ключ. Эта функция позволяет отслеживать текущее состояние вашего заявления в системе Роскомнадзора.