Регистрация в реестре операторов персональных данных

Согласно приказу Роскомнадзора от 28.10.2022 № 180 "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных"

Всем кто как либо собирает персональные данные необходимо зарегистрироваться в РКН как операторы персональных данных. 

Для уточнения особенностей исполнения 152-ФЗ и прочих других, рекомендуем обращаться к соответствующим специалистам, так как в некоторых случаях может потребоваться выполнение более широкого перечня мероприятий.

Ссылка на регистрацию - https://pd.rkn.gov.ru/operators-registry/notification/form/

Вам необходимо заполнить все обязательные поля. 

1. Выберите регион регистрации, на территории которого зарегистрирована ваша организация
2. В разделе Тип оператора Выберите ваше правовое поле в качестве юридического лица (ЮЛ), индивидуального предпринимателя (ИП) или самозанятого:
3. Укажите полное Наименование оператора (вашей организации) 
4. Укажите сокращенное Наименование оператора (вашей организации) 
5. Укажите ваш Фактический адрес местонахождения. Убедитесь, что указаны все необходимые данные адреса: индекс, город, улица, номер дома и офиса.

6. Укажите ваш адрес Электронной почты
7. В данном поле необходимо указать конкретно Регион где вы работаете (собираете ПД)
8. Заполните данные ИНН и ОГРН
9. Укажите ваши Филиалы если они имеются.

10. В Цели обработки ПД, зачем вам ПД. Цели сбора и обработки персональных данных. Вам, предлагается на выбор 37 целей обработки персональных данных. Можно как выбрать из них, так и указать свои цели, использовав опцию «Иные». В опцию Иные вы можете вписать несколько целей. 
Например 
- Предоставление клиентам услуг по договору
- ведение кадрового и бухгалтерского учета
- Направление рекламы

Цели вы должны определить самостоятельно подходящие конкретно для вас. 

11. В разделе Категории персональных данных укажите, какие конкретно персональные данные вы обрабатываете для каждой выше указанной цели обработки.
Категории персональных данных разделены на три вида:
- общие (паспортные данные и т.д.),
- специальные (данные о заболеваниях и т.д.)
- биометрические (изображение лица, отпечатки пальцев и т.д.).
Указать нужно все данные, которые компания будет обрабатывать в рамках указанных целей.
Набор персональных данных не должен выходить за пределы выбранной цели.

12. В разделе Категории субъектов персональные данные которых обрабатываются для сайтов обычно выбирают следующие категории:
- Клиенты
- Посетители сайта
- Контрагенты
- Работники (если у вас в штате есть сотрудники)
- Уволенные работники (если у вас в штате есть сотрудники)
- Соискатели (если вы ищете себе сотрудников)

Дополните данный список своими категориями. 

13. В данном пункте необходимо указать, на основании чего у компании возникли право и обязанность по обработке персональных данных физлиц. 
Например если вы собираете данные через сайт мы бы выбрали 
- обработка персональных данных осуществляется с согласия субъекта персональных данных
- обработка персональных данных необходима для исполнения договора

14. Данный раздел заполняют к каждой выбранной цели обработки ПД. В нем указывают, что планируется делать с персональными данными.
Чаще всего указывают следующие перечень действий 
сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, обезличивание, блокирование, удаление.
15. В Способы обработки, необходимо указать как именно будет производиться обработка персональных данных.
В основном все указывают следующие пункты 
- Смешанные
- С передачей по внутренней сети юридического лица
- С передачей по сети Интернет 

16. В этом разделе, однократно заполняемом для всех указанных в уведомлении целей обработки персональных данных, перечисляются применяемые меры по защите обрабатываемых данных.
В соответствии с законом должны выполняться следующие меры:

• назначено лицо, ответственное за организацию обработки персональных данных; 
• разработана политика в отношении обработки персональных данных и локальные акты по вопросам обработки персональных данных;
• осуществляется внутренний контроль обработки персональных данных; 
• проведена оценка вреда, который может быть причинен субъектам персональных данных;
• работники, осуществляющие обработку персональных данных, ознакомлены с положениями законодательства РФ о персональных данных и внутренними нормативными документами; 
• проводится обучение работников правилам работы с персональными данными;
• определены угрозы безопасности персональных данных при их обработке в информационных системах;
• обеспечено применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
• применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия (указывается, в случае если такие средства применяются для нейтрализации определенных угроз информационной безопасности или для уничтожения персональных данных);
• проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• обеспечен учет машинных носителей персональных данных;
• проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данным и принятию мер в случае обнаружения;
• обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 
• определены правила доступа к персональным данным, обрабатываемых в информационных системах персональных данных;
• осуществляется регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Выберите подходящие вам пункты и укажите их в данное поле. 
17. Необходимо указать конкретные наименования средств защиты информации, которые используются для защиты персональных данных
Например:

• наименование средства антивирусной защиты, которые вы используете.
• идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия
• Сейф, шкаф (запирающийся на ключ) для хранения носителей информации с персональными данными;
• сигнализация; видеонаблюдение; сетевые экраны.
  

18. В разделе Использование криптографических средств укажите, применяете ли вы шифрование для обеспечения конфиденциальности передаваемой информации и защиты данных от несанкционированного доступа.
Криптографические средства могут применяться, например, для цифровой подписи документов, для кадровых процессов, обмена защищёнными данными с государственными органами или банками, а также для безопасной передачи финансовой информации клиентов. 
Необходимо указать класс СКЗИ, наименование, серийные номера, все эти данные можно узнать из документации на криптосредство.
19. В разделе Ответственный за организацию обработки персональных данных необходимо указать информацию о лице, назначенным ответственным за организацию обработки персональных данных.
20. В разделе Дата начала обработки персональных данных укажите дату регистрации индивидуального предпринимателя, юридического лица или получения статуса самозанятого.
21. Раздел Срок или условие прекращения обработки персональных данных необходимо указать при каких обстоятельствах прекращается обработка данных.
Рекомендуем указать в данном разделе «Прекращение деятельности организации».
22. В разделе Осуществление трансграничной передачи персональных данных укажите, производится ли передача персональных данных за границу,
например: сервисы Google или какие либо другие системы сбора или обработки ПД (CRM системы например) 
Рекомендуется прекратить использовать такие сервисы и указать в данном пункте «не осуществляется».

23. В разделе Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ необходимо указать, где территориально хранятся ПД.

Какое именно данные необходимо указать вам вы можете посмотреть в редакторе сайта или Рассылке от 26 мая. 
А так же уточнить в Технической поддержки. 

24. Данный пункт заполняется только операторами государственных/муниципальных информационных систем. 

25. В разделе Сведения об обеспечении безопасности персональных данных необходимо указать меры, предпринятые для защиты персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 №1119.
Этот нормативный акт устанавливает уровни защищенности персональных данных и определяет мероприятия по их обеспечению.
Можете указать следующие меры

• обеспечена сохранность носителей персональных данных;
• используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
• утвержден руководителем оператора документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

Так же необходимо ниже указать 
Контактные данные исполнителя, который непосредственно занимается оформлением и подачей уведомления в Роскомнадзор. Исполнителем может выступать не только лицо, ответственное за обработку персональных данных, но и любой другой сотрудник, которому поручено заполнить и направить уведомление. 

26.  После заполнения всех необходимых разделов нужно отметить соответствующие пункты, подписать уведомление и направить в Роскомнадзор.

После успешной отправки уведомления система генерирует:

• Уникальный номер документа

• Ключ доступа

Их необходимо сохранить для отслеживания статуса вашего заявления.