Подайте уведомление в Роскомнадзор об обработке персональных данных

Согласно 152-ФЗ «О персональных данных» владельцы сайтов интернет-магазинов, которые обрабатывают персональные данные, необходимо направить уведомление в Роскомнадзор. Это обязательное требование, распространяется как на на юридических лиц и индивидуальных предпринимателей, так и на физических лиц.

Как подать уведомления об обработке персональных данных в Роскомнадзор?

1 Зайдите на официальный сайт Роскомнадзора в раздел «Электронные формы заявлений».

Если вы подаете уведомление первый раз, выберите «Перейти к заполнению формы электронного уведомления».

Если вносите изменения, выберите «Перейти к заполнению уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных».

Если компания или юрлицо прекратили обработку персональных данных, то выберите Уведомление о прекращении обработки персональных данных

2 Уведомление в Роскомнадзор можно подать одним из 3-х способов:
• в электронном виде, если у вас есть усиленная квалифицированная электронная подпись
• с использованием средств аутентификации ЕСИА, если у вас есть подверженная учетная запись на портале Госуслуг.
• в бумажном виде - для этого заполненную форму необходимо распечатать и отправить в территориальных орган Роскомнадзора.

Как заполнить форму уведомления об обработке персональных данных

1 Сведения об операторе - выберите регион, где зарегистрирована ваша организация в качестве юридического лица (ЮЛ), индивидуального предпринимателя (ИП) или самозанятого

2 заполните информацию о реквизитах вашего интернет-магазина. Поля, отмеченные "*", являются обязательными для заполнения.

3 все реквизиты о вашей организации по форме Роскомнадзора. Реквизиты отличаются в зависимости от типа оператора. Если есть филиалы, заполните информацию о них

4 в разделе «Цели обработки персональных данных» укажите цели, которые соответствуют деятельности вашего интернет-магазина.

5 В разделе «Категории персональных данных» отметьте, какие именно персональные данные вы обрабатываете для каждой цели обработки.

Например:

• "Предоставление клиентам услуг по договору" - именно эта цель является основной для любого интернет-магазина. В нее входит оформление заказов, доставка товара, поддержка клиентов и предоставление информации о покупке.
• "Направление рекламы" - используйте данную цель, если планируете отправлять покупателям емейл сообщения с рекламой товаров, акций, новостей магазина и другие маркетинговые материалы.
• "Улучшения работы сайта и определения предпочтений пользователя" - включайте такую цель, если используете аналитику посещаемости сайта, (например, Яндекс.Метрику).

Еще могут подойти:

• "Подбор персонала" - интернет-магазин занимается приемом новых сотрудников и обрабатывает персональных данные в резюме кандидатов.
• "Подготовка, заключение и исполнение договоров с контрагентами" - ваша компания работает с поставщиками товаров/услуг, транспортными компаниями, рекламодателями и другими партнерами.
• "Организация и регулирование трудовых отношений" - цель используется, если вы собираете и храните данные штатных сотрудников: ФИО, паспортные данные, контактные телефоны, адреса электронной почты и др.)

6 «Категории субъектов персональные данные которых обрабатываются» для интернет-магазина обычно отмечаются такие категории:

• Клиенты - покупатели вашего интернет-магазина, пользователи личного кабинета, участники МЛМ сети;
• Посетители сайта - те кто зашли на сайт интернет-магазина и заполнили форму связи, подписались на рассылку, оставили данные в регистрационной форме и т.п.;
• Контрагенты - все ваши партнеры, с которыми вы заключаете договоры;
• Работники - сотрудники вашего интернет-магазина, их персональные данные используются для ведения бухгалтерского и кадрового учета;
• Соискатели - те кто откликается на вашу вакансию при поиске персонала вашего интернет-магазина.

7 «Правовое основание». законное основание сбора и обработки персональных данных. Чаще всего используются три:

• Согласие на обработку персональных данных. Если получено согласие на обработку персональных данных
• Требование законодательства. Например для налоговой
• Договор с субъектом. Это может быть пользовательское соглашение или оферта. ее обязательно разместить на сайте интернет-магазина

8 «Перечень действий» это операции, которые проводятся в вашем интернет-магазине.

Это может быть: сбор, запись, систематизацию, накопление, хранение, передачу (если передаются данные третьим лицам), уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение персональных данных.

9 «Способы обработки» выберите вариант который подходит для вашего интернет-магазина согласно внутренним документам.

Компании редко используют исключительно автоматизированную обработку, обычно она смешанная. Также укажите, как передается информация: используется интернет, внутрикорпоративная сеть или применяется оба варианта.

10 "Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»" необходимо указать меры, которые применяются для защиты персональных данных в соответствии с требованиями закона. В соответствии с законом должны выполняться:

• назначено лицо, ответственное за организацию обработки персональных данных;
• разработана политика в отношении обработки персональных данных и локальные акты по вопросам обработки персональных данных;
• осуществляется внутренний контроль обработки персональных данных;
• проведена оценка вреда, который может быть причинен субъектам персональных данных;
• работники, осуществляющие обработку персональных данных, ознакомлены с положениями законодательства РФ о персональных данных и внутренними нормативными документами;
• проводится обучение работников правилам работы с персональными данными;
• определены угрозы безопасности персональных данных при их обработке в информационных системах;
• обеспечено применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
• применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия (указывается, в случае если такие средства применяются для нейтрализации определенных угроз информационной безопасности или для уничтожения персональных данных);
• проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• обеспечен учет машинных носителей персональных данных;
• проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данным и принятию мер в случае обнаружения;
• обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• определены правила доступа к персональным данным, обрабатываемых в информационных системах персональных данных;
• осуществляется регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

11 «Средства обеспечения безопасности» укажите наименования средств защиты информации, которые используются для защиты персональных данных в интернет-магазине. Например, антивирус или другие программы.

12 «Использование криптографических средств» если применяете шифрование для обеспечения конфиденциальности передаваемой информации и защиты данных от несанкционированного доступа.
Укажите класс СКЗИ, наименование, серийные номера из документации на криптосредство.

13 «Ответственный за организацию обработки персональных данных» укажите данные лица, ответственного за обработку персональных данных вашего сайта, кабинета МЛМ компании или интернет-магазина.
Таким ответственным можно назначить внутреннего сотрудника или представителя сторонней компания, специализирующейся на вопросах обработки и защите персональных данных

14 «Ответственный за организацию обработки персональных данных» укажите данные лица, ответственного за обработку персональных данных вашего сайта, кабинета МЛМ компании или интернет-магазина.
Таким ответственным можно назначить внутреннего сотрудника или представителя сторонней компания, специализирующейся на вопросах обработки и защите персональных данных

15 «Дата начала обработки персональных данных» введите дату регистрации индивидуального предпринимателя, юридического лица или получения статуса самозанятого.

16 «Срок или условие прекращения обработки персональных данных» указывайте только тогда когда подаете заявку на прекращение обработки персональных данных. Например, если ваша компания или сайт млм-компании или интернет-магазин закрыт. В этом случае укажите дату окончания работы компании.

17 «Осуществление трансграничной передачи персональных данных» заполняйте в том случае если используете CRM системы, расположенные на зарубежных серверах, применяете сервисы типа Google Analytics, используете сервисы зарубежных емейл-рассылок другие иностранные сервисы.

18 «Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ» необходимо указать, где территориально хранятся персональные данные.
Если вы используете программу для МЛМ или сайт интернет-магазин на платформе ОКСОФТ, то укажите: АО «Селектел», адрес ЦОД: г. Москва, ул. Берзарина, д. 36, стр. 3;

19 «Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах» заполняется только операторами государственных/муниципальных информационных систем. Владельцам интернет-магазинов заполнять не нужно.

20 «Сведения об обеспечении безопасности персональных данных» необходимо указать меры, предпринятые для защиты персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 №1119

21 Укажите контактные данные исполнителя и отправьте уведомление. Обязательно сохраните номер