В октябре и ноябре 2022 года Роскомнадзор опубликовал 2 новых приказа, связанных с 152 – ФЗ «О персональных данных».
Это приказ от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных» и приказ от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».
Расскажем о тонкостях заполнения уведомлений и об утвержденных формах.
Октябрьский приказ
Ожидаемый приказ, ведь изменения в 152-ФЗ, связанные с уведомлением регулятора об обработке ПДн, приняты еще в сентябре 2022 года, но утвержденных на тот момент форм не было.
Формы уведомлений РКН:
– о намерении осуществлять обработку ПДн;
– об изменении сведений, содержащихся в уведомлении о намерении;
– о прекращении обработки ПДн.
Уведомление можно заполнять прямо на сайте РКН. Если работы по защите вашей информационной системы уже выполнены, то вся необходимая информация уже содержится в принятых документах по защите информации – достаточно копировать и вставлять нужные данные в соответствующие поля. Если у вас еще нет документов, то ничего страшного. На сайте Роскомнадзора можно посмотреть образцы заполнения уведомлений.
Вы можете распечатать заполненное уведомление и отнести лично в РКН, а можете отправить его прямо с сайта в электронном виде.
Отправить уведомление электронно в территориальный орган Роскомнадзора можно следующими способами:
– с использованием усиленной квалифицированной электронной подписи;
– с использованием Госуслуг.
Делимся полезной фишкой, которую предлагает РКН. После завершения заполнения уведомления вы получаете 2 числа. Это номер и ключ, которые помогут вам заполнять следующие уведомления ранее введенными данными автоматически. Автоматизация этой рутиной работы заслуживает внимания.
Нюанс касаемо формы уведомления об изменении сведений – ее придется заполнять почти полностью. Не смотря на то, что это вторичная форма уведомления – внесение сведений в уведомление о намерении осуществлять обработку ПДн. Скорее всего это связано с тем, что Роскомнадзор структурирует информацию операторов у себя в базе данных, так как некоторые поля раньше заполнялись в свободной форме. Но помним, что можно «копипастить» данные. Для этого можно сохранить первоначальную форму на компьютер и переносить текст из нее.
Ноябрьский приказ
Этот приказ коснулся взаимодействия с РКН в случае инцидента с персональными данными. Приказом определена информация, которую необходимо указывать в уведомлении, а само уведомление разделено на первичное и дополнительное.
Чтобы заполнить первичное уведомление об инциденте с ПДн, оператору нужно указать не только что за инцидент и свои данные. В первичном уведомлении важно также указать причину инцидента и оценить масштаб предполагаемого ущерба. Также подразумевается принятие мер к моменту отправки первичного уведомления, о чем тоже необходимо сообщить.
Дополнительное уведомление должно содержать в себе информацию о результатах внутреннего расследования, о виновниках инцидента с указанием всех его данных. Тут тоже работает «фича» с номером и ключом, если ранее вы заполнили и отправили первичное уведомление об инциденте – их можно использовать для заполнения дополнительного уведомления по инциденту.
Кстати, если к моменту подачи первичного заявление уже провели внутреннее расследование, то эту информация также указываете при заполнении формы первоначальной. Дополнительное уведомление тогда отправлять необязательно.
Заявление об инциденте с персональными данными можно заполнить самостоятельно и отправить по адресу РКН, можно подать электронно: снова на помощь приходит сайт Роскомнадзора. Для этого авторизируйтесь через портал Госуслуг. Если подаете от имени организации, что проследите, что ваш профиль на Госуслугах был привязан к ней. Все данные об организации автоматически добавляются в уведомление, достаточно только внести информацию по инциденту.
Напомним, что
Вступают в силу оба приказа в силу с 01.03.2023 года. Еще есть время разобраться с формами уведомлений и изучить методику их заполнения.
ООО «Рубикон» оказывает услуги по отправке всех видов уведомлений в Роскомнадзор. Если у вас возникают с этим трудности – поможем.