8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Персональные данные » Помощь в составлении уведомления о включении в реестр операторов персональных данных в Роскомнадзор

Помощь в составлении уведомления о включении в реестр операторов персональных данных в Роскомнадзор

В современных реалиях практически все компании обладают этим статусом, так как в том или ином объеме собирают и обрабатывают персональные данные своих сотрудников и клиентов.

Прежде чем приступать к обработке персональных данных оператор должен подать в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.

Важно!

Отсутствие оператора в реестре не освобождает его от ответственности, обусловленные его статусом и предусмотренные законодательством.

Помощь в составлении уведомления о включении в реестр операторов персональных данных в Роскомнадзор - услуги RTM Group
Помощь в составлении уведомления о включении в реестр операторов персональных данных в Роскомнадзор - от RTM Group
Узнать стоимость?
Перейти

Эксперты по помощи в подаче уведомления в РКН

Эксперт по помощи в подаче уведомления в РКН Маргарян Карине Вагановна

Маргарян Карине Вагановна

Юрист в сфере ИТ, специалист по охране и защите интеллектуальной собственности

Опыт: Стаж юридической деятельности с 2011 года

Профиль >>

Все эксперты
Эксперт по помощи в подаче уведомления в РКН Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по помощи в подаче уведомления в РКН Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

С 30 мая текущего года неподача оператором уведомления в Роскомнадзор о  намерении осуществлять обработку ПДн будет грозить ему штрафом от 100 тыс. до 300 тыс. руб.

Как составить уведомление в РКН?

  • Указать свое наименование и адрес
  • Перечислить цели обработки ПД, а также для каждой цели: категории ПД, категории субъектов, правовое основание обработки ПД и т.д.
  • Отметить дату, когда вы начали обработку ПД
  • Заполнить срок или условие прекращения обработки ПД
  • Указать осуществляете ли вы трансграничную передачу данных
  • Отметить местонахождение базы данных с ПД граждан РФ
  • Перечислить меры, которые вы принимаете для обеспечения безопасности ПД

Как подать уведомление в Роскомнадзор?

Уведомление подается по форме, утвержденной Роскомнадзором (Приложение №1 к Приказу Роскомнадзора от 28.10.2022 № 180).

Срок внесения в реестр — 30 дней с даты поступления уведомления.

Подать уведомление можно в бумажной форме, в электронной форме на сайте Роскомнадзора, а также через ЕСИА.

В случае корректировки ранее поданных данных оператор обязан уведомить об этом Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения.

Уведомление об изменениях также подается по утвержденной регулятором форме.

Этапы работ по составлению уведомления

  1. Эксперты RTM Group запрашивают у заказчика необходимую информацию для составления уведомления
  2. Проводится анализ полученных данных, которые сопоставляются с требованиями регулятора
  3. Подготавливаются корректные формулировки (актуально для описания сведений об обеспечении безопасности персональных данных, в частности об используемых организационных и технических мерах)
  4. Составляется уведомление в формате WORD для самостоятельного заполнения заказчиком на сайте Роскомнадзора, либо направления его в бумажном виде
  5. Юристы консультируют по вопросам подачи уведомления

В результате клиент получает готовое решение, которое обеспечит корректное взаимодействие с регулятором.

Почему RTM Group

  • Мы поможем Вам увидеть реальную картину защищенности данных, а не просто, формально провести аудит. Отчет наших экспертов подробно описывает каждую из выявленных проблем и дает конкретные рекомендации по их устранению, их выполнение обеспечивает успешное прохождение проверок.
  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности.
  • Мы специализируемся на технических экспертизах, аудитах информационной безопасности. Являемся постоянными Исполнителями работ по 821-П, 757-П, 851-П для российских банков, некредитных финансовых организаций, а также платежных систем.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать услуги по помощи в подаче уведомления в РКН

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:




Оглавление:

Как составить уведомление в Роскомнадзор? Как подать уведомление в РКН? Этапы работ по составлению уведомления Почему RTM Group Заказать услугу по составлению уведомления Стоимость услуги по составлению уведомления


Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по помощи в подаче уведомления в РКН

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

2800+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

3 лицензии

ФСТЭК России и ФСБ России

Услуги для вас

Услуга 152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн

152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн

— Что означает соответствие 152-ФЗ?
— Чем грозит несоответствие по 152-ФЗ?
— Аудит для банков и МФЦ
— Что представляет собой аудит?
— Стоимость аудита 152-ФЗ
Услуга Полная защита для операторов персональных данных

Полная защита для операторов персональных данных

— Приведение процессов обработки в соответствие требованиям законодательства
— Разработка ОРД в области законной обработки и защиты персональных данных
— Моделирование угроз
— Консультация работников в области обеспечения защиты и защищенной обработки ПДн
— Сопровождение работ по внедрению средств защиты
— Сопровождение проверок регуляторов
Услуга Разработка пакета документов по защите персональных данных (ПДн)

Разработка пакета документов по защите персональных данных (ПДн)

— Какие данные сотрудников компании являются персональными?
— Действуют ли требования по защите персональных данных по 152-ФЗ в отношении клиентов и/или контрагентов компании?
— Какими нормативными актами нужно руководствоваться при разработке и внедрении документов по обработке персональных данных?
— Какие документы по обработке персональных данных нужны в компании?
— Что Вы получаете в результате заказанной в RTM Group услуги?
— Как предоставляется услуга (алгоритм действия)?
— Почему RTM Group
— Заказать услугу по разработке пакета документов по защите ПДн
— Стоимость услуги по разработке пакета документов по защите ПДн
Услуга Построение системы управления инцидентами информационной безопасности персональных данных

Построение системы управления инцидентами информационной безопасности персональных данных

Разработка и внедрение процессов управления инцидентами; создание системы реагирования на инциденты, минимизирующей последствия утечек ПДн; внедрение лучших практик и обучение сотрудников взаимодействию с регуляторам.

Продукты и решения для вас

Anti-DDoS и WAF

Anti-DDoS и WAF

Anti-DDoS — это набор инструментов и технологий, предназначенных для защиты серверов, сетей и веб-приложений от DDoS-атак. Их задача — отличить легитимный трафик от вредоносного, блокируя последний и обеспечивая стабильную работу ресурса. WAF — это программное или аппаратное решение, которое анализирует входящий и исходящий трафик веб-приложения. Его задача — выявлять и блокировать подозрительные запросы, предотвращая попытки атак, таких как SQL-инъекции, XSS (межсайтовый скриптинг), атаки на сеансы и другие.
Security Awareness

Security Awareness

Security Awareness — это категория продуктов и решений, направленных на формирование киберграмотности и повышение осведомленности сотрудников о потенциальных угрозах. Человеческий фактор остаётся одним из ключевых векторов атак, поскольку ошибки, невнимательность или недостаток знаний могут привести к утечке данных, успешным фишинговым атакам и другим инцидентам.

Менеджер паролей

Менеджер паролей

Программное обеспечение класса PMS (Password Management System) или корпоративный менеджер паролей. Программы предназначены для централизованного хранения и организации доступа к паролям для систем и сервисов, используемых компанией или организацией.
Многофакторная аутентификация

Многофакторная аутентификация

Пароли уже не обеспечивают достаточного уровня безопасности, поскольку их можно украсть, подобрать или перехватить. Именно поэтому многие компании и сервисы внедряют многофакторную аутентификацию (MFA), позволяющую значительно усложнить несанкционированный доступ к учётным записям.
МФУ и печатная техника

МФУ и печатная техника

МФУ (многофункциональные устройства) и печатная техника — это оборудование для работы с документами. МФУ объединяют функции принтера, сканера, копира и иногда факса, обеспечивая универсальное решение для офисных и домашних задач. Печатная техника включает принтеры, плоттеры и специализированные устройства для различных видов печати, от текстов до графики.
Офисный пакет

Офисный пакет

Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
ПК (АРМ)

ПК (АРМ)

ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.
Сервер

Сервер

Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.
Системы защиты информации

Системы защиты информации

Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
СХД

СХД

Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.
Удаленный доступ и управление конфигурациями устройств

Удаленный доступ и управление конфигурациями устройств

UEM (Unified Endpoint Management) – это системы, которые позволяют компаниям предоставлять для своих сотрудников доступ к работе с любого устройства и удаленно управлять этими устройствами.
DLP

DLP

DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
SIEM

SIEM

SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

Межсетевые экраны

Межсетевые экраны

Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
Управление уязвимостями

Управление уязвимостями

Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

Антивирусы

Антивирусы

Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
Цифровая криминалистика

Цифровая криминалистика
Операционные системы

Операционные системы

Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

Информационная безопасность

Информационная безопасность

Нам доверяют

FAQ: Часто задаваемые вопросы

Если подрядчик получает доступ к персональным данным исключительно в целях ИТ поддержки приложения и базы данных, и не планирует совершать никаких действий с этими ПД, считается ли это обработкой ПД? и нужно ли поручение на обработку ПД?

Да, это будет считаться обработкой ПДн. Потребуется заключать договор-поручение на обработку ПДн.

Рассматривали ли проект требований к оценке вреда, который может быть причинен субъекту ПДн в случае нарушения закона о ПДн? Не совсем понятно, что они хотели сказать вторым приложением, сразу обозначили величину вреда или что?

Проект на настоящий момент достаточно-таки сырой, на наш взгляд и требует доработки, т.е. сказать наверняка, что именно хотел сказать законодатель сложно. Данный законопроект должен быть доработан до середины сентября текущего года, возможно правки внесут ясность в формулировки.

Какие данные сотрудников необходимы для правильной разработки документов по защите ПДн?

Персональные данные (ПДн) — это любая информация, которая относится прямо или косвенно к конкретному человеку (субъекту персональных данных). Это могут быть ФИО, мобильный телефон, электронная почта, адрес проживания, фотография, паспортные данные и другие данные, позволяющие идентифицировать человека. При трудоустройстве работодателю могут предоставляться личные документы: паспорт, трудовая книжка, СНИЛС, документ об образовании, медицинская книжка, военный билет и другие.

Однако, получение тех или иных ПДн должно быть юридически обосновано, определены цели получения ПДн и способы обработки ПДн и т.п. Конкретный перечень ПДн именно для Вашей организации зависит от специфики профессии, условий труда, задач сотрудника и проч., может быть сформирован только после изучения основных бизнес-процессов в компании, штатного расписания, должностных инструкций.

Кто такой администратор безопасности ПДн?

Администратор безопасности персональных данных (ПДн) – роль, на которую назначается сотрудник организации для обеспечения защиты ПДн. В круг типовых задач администратора безопасности ПДн входит настройка механизмов защиты ОС, конфигурирование используемых средств защиты информации и анализ их логов, предоставление прав доступа пользователей к информационным ресурсам, а также ряд других задач для обеспечения целостности, конфиденциальности и доступности ПДн.

На сайте организации требуется размещать именно правила работы с ПДн?

Нет, не обязательно называть их «Правила работы с персональными данными», можно оставить наименование «Политика конфиденциальности», просто помнить о том, что Политика конфиденциальности — это более широкое понятие, она охватывает правила работы с персональными данными. Политика конфиденциальности, по большому счету, если правильно составлена, может включать в себя работу с гостайной, с персональными данными и работу с коммерческой информацией. То есть, может быть три составляющих.

В общем, как Вам удобнее, самое главное, чтобы документы были и соответствовали закону.

Надо ли получать лицензию ФСТЭК, если мы обрабатываем персональные данные третьих лиц?

Нет. Для обработки персональных данных лицензия ФСТЭК не нужна.

Если сбор ПДн на сайте не осуществляется, то надо ли публиковать политику и на какой странице?

Если сбор ПДн на сайте не осуществляется, то политика не нужна.

Поменяется ли форма уведомления Роскомнадзора об обработке персональных данных после 1 сентября?

После 1 сентября форма не поменяется, но сейчас внесён законопроект об утверждении новой формы. Возможно, к концу сентября нужно будет уже уведомлять по ней. В форме имеются незначительные изменения. Её можно заполнить онлайн на сайте РКН.

Мы не являемся оператором по персданным, просто интернет-магазин. Чему мы должны соответствовать?

Здравствуйте.
Если интернет-магазин осуществляет сбор и обработку данных клиентов (имя, email, номер телефона и проч.), то юридическое лицо автоматически становится оператором персональных данных. В этой ситуации необходимо соответствовать не только 152-ФЗ, но и постановлению правительства №1119.

Добрый день, подскажите, пожалуйста, организация (из России) по поручению иностранного юридического лица обрабатывает персональные данные сотрудников данного иностранного юридического лица, считается ли это трансграничной передачей?

Нет. В законодательстве точно указано определение трансграничной передачи – когда ПДн передаются из РФ в иностранное государство.

Какая ответственность за не уведомление Роскомнадзора о начале обработки ПДн третьих лиц?

Ответственность здесь административного характера предполагается, штрафы поименованы, если с разбивкой по суммам, по альтернативным санкциям – в Кодексе об административных правонарушениях… статья 13.11 КоАП РФ – там очень подробно перечислены составы и возможные альтернативные санкции за нарушение тех или иных составов.

У нас юридическое лицо, зарегистрированное не в России. Для работы с персональными данными граждан РФ нам необходимо соответствовать требованиям Роскомнадзора (собираем минимальный набор данных: имя, емейл).

Подскажите, пожалуйста, что ещё необходимо?

Юридическая справка по регистрации оператора при обработке персональных данных:
Нормативная база (основания):

  • Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017) «О персональных данных»
  • Информация Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных» (Публикация на сайте http://rkn.gov.ru по состоянию на 03.04.2018)

Информация для организаций:

В соответствии с ч.1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.

Уведомление должно быть направлено в письменной форме или направлено в электронной форме в соответствии с законодательством Российской Федерации.

Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения в реестр операторов.

Однако, до подачи уведомления необходимо провести ряд важных внутренних мероприятий: нужно создать определенный пакет документов, включая положение об обработке персональных данных и приказы о назначении ответственных, а также принять ряд организационных и технических мер.

Также, прошу Вас обратить внимание, что согласно п.5 ст.18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории РФ.

Является ли театр оператором персональных данных?

Если в Театре используются информационные системы, обрабатывающие ПДн, то, согласно Федеральному закону № 152 «О персональных данных», Театр является оператором этой системы и обязан обеспечить безопасность персональных данных с помощью системы защиты ПДн. Оператор персональных данных обязан определить перечень ИСПДН, в которых обрабатываются ПДн и реализовать систему защиты ПДн.

Выбор средств защиты информации для системы защиты ПДн осуществляется оператором во исполнение Федерального закона № 152 «О персональных данных».

Для обеспечения безопасности персональных данных оператор должен:

  1. Определить угрозы безопасности персональных данных при их обработке в информационных системах персональных данных (модель угроз согласно методике ФСТЭК от 5 февраля 2021 г.);
  2. Обеспечить применение мер по обеспечению безопасности персональных данных для уровней защищенности персональных данных (согласно ПП № 1119);
  3. Обеспечить применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  4. Проводить оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
  5. Вести учет машинных носителей персональных данных.