СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Б-152
Вчера в 15:25
#Статьи #ИБ#Инфра

Чек-лист: подача уведомления в Роскомнадзор (обработка персональных данных)

Чек-лист: подача уведомления в Роскомнадзор (обработка персональных данных)

Изображение: recraft

Если вы подаете уведомление впервые или не уверены, что текущие сведения в реестре РКН отражают реальную обработку ПДн (цели, базы, меры защиты, трансграничка), проще проверить форму и формулировки заранее.

1) Проверьте, нужно ли подавать уведомление

  • Вы обрабатываете персональные данные (клиенты, сотрудники, соискатели, пользователи сайта/приложения, подписчики рассылок и т.п.).
  • Уточните статус уведомления: уведомление ранее не подавалось, или уведомление уже есть, но нужны изменения (сменился адрес, цели, категории данных/субъектов, меры защиты, ответственный, ИСПДн/базы, трансграничная передача и т.д.).

2) Выберите способ подачи

  • Бумажное уведомление: заполнить → распечатать → подать лично или направить заказным письмом.
  • Электронно с ЭЦП.
  • Через Госуслуги: с помощью аккаунта организации/ИП.

3) Заполните данные об операторе

  • Субъект РФ, где зарегистрирован ИП/организация.
  • Полное и сокращенное наименование + организационно-правовая форма.
  • Адрес: юридический, почтовый (если совпадает — отметьте соответствующее поле).
  • Электронная почта оператора.
  • ИНН и ОГРН/ОГРНИП.

4) Укажите регионы обработки ПДн

  • Выберите субъекты РФ, где фактически происходит обработка.
  • При необходимости отметьте «все субъекты РФ».

5) Определите цели обработки (и заполните их корректно)

Для каждой цели заполните следующее:

  • Категории субъектов (работники, соискатели, пользователи сайта, клиенты, контрагенты и т.д.).
  • Категории персональных данных (ФИО, контакты, паспортные данные, банковские реквизиты и т.д.).
  • Правовое основание (ч. 1 ст. 6 152‑ФЗ).
  • Перечень действий (сбор, запись, хранение, использование, передача, удаление, уничтожение и т.п.).
  • Способы обработки (автоматизированная/ неавтоматизированная/ смешанная; с передачей по внутренней сети юридического лица/ без передачи по внутренней сети юридического лица; с передачей по сети Интернет/ без передачи по сети Интернет).

6) Опишите меры защиты и организацию обработки

Меры по 152‑ФЗ (ст. 18.1 и 19):

  • Перечислите применяемые в вашей организации меры, предусмотренные статьями 18.1 и 19 152-ФЗ
  • Перечислите средства обеспечения безопасности: технические меры (на уровне категорий) — антивирус, межсетевой экран, VPN/TLS, резервное копирование, шифрование и т.п.
  • Укажите, используются ли шифровальные (криптографические) средства защиты: если используются, укажите класс СКЗИ, наименование, изготовители, серийные номера средств шифрования.
  • Укажите лицо, ответственное за организацию обработки ПДн (для юрлица).
  • Укажите дату начала обработки ПДн (по факту, часто совпадает с датой регистрации, но ориентируйтесь на реальное начало обработки).
  • Укажите срок/условие прекращения обработки. Рабочая формулировка:

«Достижение целей обработки персональных данных или прекращение деятельности оператора — в зависимости от того, что наступит раньше».

Трансграничная передача:

  • Отметьте, осуществляется ли трансграничная передача.
  • Если да – подготовьте отдельное уведомление об осуществлении трансграничной передачи.

7) Сведения о базах данных и инфраструктуре

  • Заполните сведения об используемых базах данных с указанием их местонахождения.
  • Если «баз нет» как отдельного объекта в понимании формы – укажите хотя бы одну базу, расположенную по вашему адресу.
  • Укажите организацию, которая хранит базу данных (если хранение выполняет сторонняя организация).

8) Организационные меры безопасности (ПП РФ № 1119)

  • Политика доступа: кто имеет доступ к ПДн и на каких условиях.
  • Обучение сотрудников (вводное/периодическое).
  • Физическая защита серверов/помещений (если применимо).
  • Учёт и документирование применения средств защиты.

9) Отправка уведомления

  • После заполнения формы отметьте подтверждение о порядке подачи.
  • Нажмите кнопку «Отправить уведомление».
  • Сохраните код и ключ (понадобятся для проверки статуса).

10) Лайфхаки, которые экономят время и нервы

  • Сначала сохраните черновик, проверьте формулировки, затем отправляйте.
  • Закладывайте «запас» по целям: добавьте планируемые направления, если они реалистично появятся в ближайшей перспективе.
  • Для контактов ответственного лучше указывать рабочую почту/номер (общие), а не личные.
  • Если форма позволяет – допустимо использовать «иные персональные данные» и перечислить состав вручную, чтобы не дробить категории.
  • Не детализируйте бренды/модели средств защиты – достаточно уровня «антивирус / межсетевой экран / резервное копирование».

11) После подачи

  • Учитывайте срок рассмотрения: до 30 дней.
  • Проверяйте статус: после утверждения Роскомнадзор внесет оператора в реестр.
  • Настройте контроль изменений: если меняются цели, категории данных/субъектов, способы обработки, инфраструктура, ответственный, трансграничная передача – готовьте уведомление об изменении сведений.
Б-152
Автор: Б-152
Б-152 — консалтинговая компания. Более 14 лет помогаем бизнесу соответствовать требованиям в сфере персональных данных и информационной безопасности. Мы работаем в области privacy, входим в рабочую группу Роскомнадзора, разрабатываем собственные продукты и сопровождаем клиентов на всех этапах — от аудита до прохождения проверок. Б-152 — команда, которая говорит с ИБ на одном языке. Мы поможем не только формально соблюсти 152-ФЗ, но и выстроить настоящую защиту данных: модели угроз, ТЗ на СЗИ, аудит и тестирование.
Комментарии: