МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ
И МАССОВЫХ КОММУНИКАЦИЙ
ПРИКАЗ
от 17 июля 2008 г. N 08
ОБ УТВЕРЖДЕНИИ ОБРАЗЦА ФОРМЫ
УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
(в ред. Приказа Россвязькомнадзора от 18.02.2009 N 42)
В целях реализации частей 1, 3 статьи 22, а также части 4 статьи 25 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 31.07.2006, N 31 (I ч.), ст. 3451) приказываю:
1. При направлении уведомления об обработке (о намерении осуществлять обработку) персональных данных рекомендуется использовать следующий образец (приложение N 1).
2. Утвердить Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (приложение N 2).
3. Контроль за исполнением настоящего Приказа возложить на заместителя руководителя Россвязькомнадзора А.А. Романенкова.
Врио руководителя
С.К.СИТНИКОВ
Не нуждается в государственной регистрации. Письмо Минюста России от 6 августа 2008 г. N 01/7830-АС.
Приложение N 1
к Приказу Россвязькомнадзора
от 17 июля 2008 г. N 08
Образец
Руководителю Управления Федеральной службы
по надзору в сфере связи и массовых
коммуникаций по __________________________
УВЕДОМЛЕНИЕ
об обработке (о намерении осуществлять обработку)
персональных данных
___________________________________________________________________
(наименование (фамилия, имя, отчество), адрес оператора)
руководствуясь ____________________________________________________________
(правовое основание обработки персональных данных)
с целью ___________________________________________________________________
(цель обработки персональных данных)
осуществляет обработку: ___________________________________________________
(категории персональных данных)
___________________________________________________________________________
принадлежащих: ____________________________________________________________
(категории субъектов, персональные данные которых
___________________________________________________________________________
обрабатываются)
Обработка вышеуказанных персональных данных будет осуществляться путем
___________________________________________________________________________
(перечень действий с персональными данными, общее описание
___________________________________________________________________________
используемых оператором способов обработки персональных данных)
___________________________________________________________________________
(описание мер, которые оператор обязуется осуществлять при обработке
___________________________________________________________________________
персональных данных, по обеспечению безопасности персональных данных
при их обработке)
Дата начала обработки персональных данных: ____________________________
Срок или условие прекращения обработки персональных данных: ___________
___________________________________________________________________________
_______________ ___________________________
(должность) (подпись) расшифровка подписи
"__" _____________ 200_ г.
Приложение N 2
к Приказу Россвязькомнадзора
от 17 июля 2008 г. N 08
РЕКОМЕНДАЦИИ
ПО ЗАПОЛНЕНИЮ ОБРАЗЦА ФОРМЫ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ
(О НАМЕРЕНИИ ОСУЩЕСТВЛЯТЬ ОБРАБОТКУ) ПЕРСОНАЛЬНЫХ ДАННЫХ
(в ред. Приказа Россвязькомнадзора от 18.02.2009 N 42)
1. Настоящие Рекомендации разработаны в целях установления единых принципов и порядка заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее - Уведомление).
2. Уведомление оформляется на бланке оператора, осуществляющего обработку персональных данных, и направляется в территориальный орган Федеральной службы по надзору в сфере связи и массовых коммуникаций (далее - территориальный орган Россвязькомнадзора).
3. Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. В поле "наименование (фамилия, имя, отчество), адрес оператора" указывается:
4.1. Для юридических лиц (операторов):
полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (оператора), осуществляющего обработку персональных данных;
наименование филиала(ов) (представительства(в)) юридического лица (оператора), осуществляющего обработку персональных данных <*>;
--------------------------------
<*> Для юридических лиц с филиальной структурой указывается список субъектов Российской Федерации (с указанием кода субъекта - согласно справочнику "Коды регионов", утвержденному Приказом ФНС России от 13.10.2006 N САЭ-3-04/706@ "Об утверждении формы сведений о доходах физических лиц", зарегистрированным Министерством юстиции Российской Федерации 17.11.2000, регистрационный номер 8507), на территории которых находятся филиалы (представительства) юридического лица и (или) где оператором производится обработка персональных данных. Уведомление направляется юридическим лицом в соответствующее территориальное управление Россвязькомнадзора по месту своего нахождения с указанием всех имеющихся филиалов (представительств) (Примечание N 1).
место нахождения <*>;
--------------------------------
<*> Указывается место нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, а также место нахождения филиала(ов) (представительств) юридического лица, контактная информация (Примечание N 2).
Примечание 1. Исключено. - Приказ Россвязькомнадзора от 18.02.2009 N 42.
Примечание 2. Для организаций, учреждений, имеющих филиалы (представительства), указываются юридический и фактический адрес (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных (все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных). При этом необходимо уточнить - обработка персональных данных осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами).
индивидуальный номер налогоплательщика (ИНН).
4.2. Для физических лиц:
Фамилия, имя, отчество физического лица (оператора);
местонахождение <*>;
--------------------------------
<*> Указывается местонахождение физического лица в соответствии со свидетельством о постановке на учет физического лица в налоговом органе, почтовый адрес, контактная информация.
данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;
ИНН.
(п. 4.2 в ред. Приказа Россвязькомнадзора от 18.02.2009 N 42)
4.3. Для государственных, муниципальных органов (операторов):
полное и сокращенное наименование государственного, муниципального органа;
наименование территориального(ых) органа(ов), осуществляющего(их) обработку персональных данных;
место нахождения <*>;
--------------------------------
<*> Указывается место нахождения государственного, муниципального органа в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, контактная информация.
индивидуальный номер налогоплательщика (ИНН).
При указании наименования (фамилии, имени, отчества), адреса оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).
5. В поле "цель обработки персональных данных" указываются цели обработки персональных данных (а также их соответствие полномочиям оператора) (Примечание N 1).
Примечание N 1: Под "целью обработки персональных данных" понимаются как цели, указанные в учредительных документах оператора, так и цели фактически осуществляемой оператором деятельности по обработке персональных данных.
6. В поле "категории персональных данных" указываются все категории персональных данных, подлежащих обработке:
6.1. Персональные данные (любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, и другие категории персональных данных, обрабатываемые оператором, не указанные в настоящем пункте).
(в ред. Приказа Россвязькомнадзора от 18.02.2009 N 42)
6.2. Специальные категории персональных данных (расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни).
6.3. Биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность).
7. В поле "категории субъектов, персональные данные которых обрабатываются" указываются категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются. Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др.
8. В поле "правовое основание обработки персональных данных" указываются:
федеральный закон, постановление Правительства Российской Федерации, иной нормативно-правовой акт, закрепляющий основание и порядок обработки персональных данных (Примечание N 1);
номер, дата выдачи и наименование лицензии на осуществляемый вид деятельности с указанием лицензионных условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных (Примечание N 2).
Примечание N 1: Указываются не только соответствующие статьи Федерального закона "О персональных данных", но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных. (Например: ст. ст. 85 - 90 Трудового кодекса РФ, ст. 85.1 Воздушного кодекса РФ, ст. 12 Федерального закона "Об актах гражданского состояния" и др.)
Примечание N 2: Номер лицензии и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), отражается только при наличии лицензии и (или) соответствующего пункта лицензионных условий.
9. В поле "перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных" указываются действия, совершаемые оператором с персональными данными, а также описание используемых оператором способов обработки персональных данных:
- неавтоматизированная обработка персональных данных;
- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
- смешанная обработка персональных данных (Примечание N 1).
Примечание N 1: При автоматизированной обработке персональных данных либо смешанной обработке необходимо указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица), либо информация передается с использованием сети общего пользования Интернет, либо без передачи полученной информации.
10. В поле "описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке" указываются:
(в ред. Приказа Россвязькомнадзора от 18.02.2009 N 42)
а) класс информационной системы персональных данных оператора (пункт 14 Приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных";
(в ред. Приказа Россвязькомнадзора от 18.02.2009 N 42)
б) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
(в ред. Приказа Россвязькомнадзора от 18.02.2009 N 42)
В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:
(в ред. Приказа Россвязькомнадзора от 18.02.2009 N 42)
а) наименование, регистрационные номера и производителей используемых криптографических средств;
(в ред. Приказа Россвязькомнадзора от 18.02.2009 N 42)
б) уровень криптографической защиты персональных данных;
(в ред. Приказа Россвязькомнадзора от 18.02.2009 N 42)
в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;
(в ред. Приказа Россвязькомнадзора от 18.02.2009 N 42)
г) уровень защиты от несанкционированного доступа.
(в ред. Приказа Россвязькомнадзора от 18.02.2009 N 42)
Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 г. N 149/5-144.
(в ред. Приказа Россвязькомнадзора от 18.02.2009 N 42)
11. В поле "дата начала обработки персональных данных" указывается конкретная дата начала совершения действий с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (фактическая дата начала обработки персональных данных).
12. В поле "срок или условие прекращения обработки персональных данных" указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки персональных данных.