Что делать, если получили письмо от роскомнадзора о персональных данных
Содержание:
- Подробные требования к содержанию согласия
- 1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.
- 2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)
- 3) Сведения об операторе персональных данных
- 4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных
- 5) Цель (цели) обработки персональных данных
- 6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
- 7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов
- 8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников
- 9) Срок действия согласия
- Центральные требования
- В каких случаях это необходимо
- В каких случаях можно обойтись без него?
- На примере системы «1С «Кадры и бухгалтерия»:
- Почему приходят письма о персональных данных
- Порядок действий при получении письма из Роскомнадзора
- Меры по обеспечению безопасности ПДн
- Пошаговая инструкция
- Обязательства и исключения
- Как правильно заполнить?
Подробные требования к содержанию согласия
Согласие должно включать в себя следующую информацию:
1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.
2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)
3) Сведения об операторе персональных данных
Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ
Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.
Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.
4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных
5) Цель (цели) обработки персональных данных
Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.
6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:
- общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
- биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).
Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов
Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.
Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.
Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.
8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников
9) Срок действия согласия
Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.
Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.
Центральные требования
Персональными считаются данные, с помощью которых можно установить личность человека (ФЗ №152, ст. 3, п. 1), − это ФИО, дата и место рождения. Такие сведения можно найти в свидетельстве о рождении ребенка или гражданском паспорте взрослого. Но существуют и другие сведения, которые косвенно указывают на человека. Иногда без них невозможно установить личность, все же их нельзя относить к ПД.
Главные положения
При сборе, хранении и использовании ПД предприятие, которое их собирает, должно соблюдать требования закона о защите информации. Ответственность за это ложится именно на оператора.
Так:
- оператору нужно предусмотреть, чтобы ПД не воспользовались третьи лица;
- каждое физлицо, предоставляющее свои ПД, должно дать разрешение (согласие) оператору на их обработку;
- ПД не должны храниться оператором после того, как стали не нужны.
Под обработкой ПД понимаются любые действия, которые возможно над ними совершать:
- собирать;
- записывать;
- систематизировать;
- накапливать;
- уточнять;
- хранить.
Несмотря на то что оператор берет с физлиц согласие на обработку ПД, каждый случай индивидуален. К примеру, согласно Жилищному кодексу, ст. 16, ч. 15 управляющие компании обязаны привлекать пользователей к расчету за коммунальные услуги. Но в этом случае никто не берет с агентов согласие на обработку их ПД.
В некоторых случаях, к примеру, никак нельзя обойтись без согласия на обработку ПД, причем в письменном виде. Это касается биометрических данных человека (ФЗ №152, ст. 11, ч. 1). Тем более, когда речь идет об обработке ПД третьим лицом, гражданин должен дать на это согласие.
Само третье лицо не должно брать согласие на обработку ПД с физлиц, ведь такое поручение ему дал оператор. Он обязан убедить гражданина дать согласие, указав на возможные последствия отказа, в тоже время никто не может заставить субъекта это сделать.
Меру наказания определял суд, куда поступало постановление о возбуждении дела об админнарушении, направленного прокуратурой. Сообщение в прокуратуру поступало от Роскомнадзора, который провел проверку на том или ином предприятии, и выявил нарушения.
Начиная с 2017 г. ситуация изменилась, в новой редакции статьи были определены 7 составов правонарушений. Закон расширил полномочия Роскомнадзора, теперь он может самостоятельно возбуждать дело об административном нарушении. Максимальный штраф может быть начислен оператору в размере 75 тыс. руб.
Образец уведомления об обработке персональных данных:
Разъяснения по статьям
Нередко операторы ПД не желают подавать сведения о себе в Роскомнадзор, другие же, наоборот, делают это сразу.
Существует 2 ситуации:
Первая |
|
Вторая | Оператор знает Закон, потому сознательно подает уведомление, чтобы своевременно попасть в реестр. Для заполнения формы необходимо обратиться к Рекомендациям, утвержденным Приказом Роскомнадзора №706 (19.08.11). |
В каких случаях это необходимо
В ст. 22 ч. 1 Закона сказано, что юрлицо или ИП обязано сообщить в Роскомнадзор о своем намерении собирать ПД, т. к. они потребуются в ходе работы. Фактически юрлицо обязано это сделать сразу после открытия, предполагая, что его деятельность будет связана частично с обработкой ПД.
После того как в Роскомнадзор будет направлено уведомление, запись в реестр о новом операторе вносится в течение месяца. Регистрация в реестре операторов осуществляется бесплатно на государственном уровне.
Соответственно, когда оператор будет взаимодействовать с физлицом, он должен предупредить, что ПД будут обрабатываться и получить от гражданина согласие, иногда устное, в других случаях в письменной форме на отдельном листе. По смыслу Закона заниматься обработкой ПД может юрлицо, которое стало оператором.
В каких случаях можно обойтись без него?
Обработка ПД без уведомления федерального надзорного органа может осуществляться в следующих случаях:
- при получении конфиденциальных сведений в рамках трудовых отношений;
- при осуществлении операций без использования автоматизированных средств – компьютеров и баз данных;
- при оформлении договоров с физическим лицом – в случае, если лицо обязуется не предоставлять данные третьей стороне;
- если данные собираются общественной или религиозной организацией и предполагают исключительно внутреннее пользование;
- при оперировании со сведениями, которые выложены лицом в открытый доступ;
- компаниям, в которых действует пропускная система – где сведения принимаются лишь для оформления одноразового пропуска;
- если обрабатываются данные, содержащиеся в государственных информсистемах ПД;
- если информация собирается транспортными компаниями с целью оформления проездных документов.
Полный перечень случаев, не подлежащих уведомлению РКН, содержат пункты 1-9 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.
Важно!!! Юридическим и физическим лицам рекомендуется отслеживать изменения в законодательстве – статус оператора ПД может поменяться, и тогда придется отправлять уведомление в Роскомнадзор
На примере системы «1С «Кадры и бухгалтерия»:
- «Категория персональных данных» — отметить все категории в графе «Персональные данные», кроме «имущественное положение» и «социальное положение». Графу «специальные категории ПДн» и графу «Биометрические ПДн» заполнять не надо. В графе «другие категории ПДн», написать категории персональных данных из проекта уведомления, за исключением тех, что были отмечены знаком «галка»;
- «Категории субъектов, ПДн которых обрабатываются» — ввести информацию, указанную в аналогичном поле проекта уведомления;
- «Перечень действий с ПДн, общее описание …» — ввести информацию, указанную в аналогичном поле проекта уведомления. Выбрать тип обработки ПДн, исходя из типа обработки, указанного в проекте уведомления (для описанных 4-ех ИСПДн в проекте уведомления, используется: смешанная обработка ПДн, с передачей ПДн по внутренней сети Оператора, с передачей по сети Интернет);
- «Осуществление трансграничное передачи» — выбрать «не осуществляется»;
- «Использование шифровальных средств» — поле не заполняется;
- «Сведения о местонахождении базы данных…» — выбрать «Россия»;
- «Адрес ЦОДа» — указать адрес ЦОДа (указывается собственный адрес организации, если база данных, содержащая ПДн, находится на территории организации. Указывается адрес арендуемого ЦОДа, если база данных, содержащая ПДн, находится в арендуемом (ЦОДе));
- «Собственный ЦОД» — выбрать «да» (если база данных, содержащая ПДн, находится на территории организации), выбрать «нет» (если, база данных, содержащая ПДн, находится в арендуемом (ЦОДе). В случае ответа «нет», необходимо заполнить информацию по организации, ответственной за хранение данных (Информация представлена в проекте уведомления);
- На примере системы «1С «Кадры и бухгалтерия» заполняется информация по остальным ИСПДн, согласно информации, представленной в проекте уведомления. Новая информационная система добавляется путем нажатия «добавить ИС» в форме уведомления;
- «Ответственный за организацию обработки ПДн» — указывается физическое лицо, назначенное приказом по организации. Заполняются все поля.
После заполнения электронной формы уведомления, необходимо ввести «Защитный код», ознакомиться с «Порядком подачи уведомления в электронном виде» и нажать «Отправить электронное уведомление и подготовить форму к распечатке».
! ВНИМАНИЕ. После заполнения электронной формы, уведомление будет внесено в реестр рассматриваемых уведомлений
Уведомлению в электронной форме будет присвоен уникальный ключ. Распечатанному уведомлению на бумажном носителе будет присвоен аналогичный уникальный ключ. В связи с этим внимательно заполняйте и проверяйте формы уведомления перед нажатием на следующую кнопку:
Перечень территориальных органов Роскомнадзора: https://rkn.gov.ru/about/territorial/.
Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных Роскомнадзора: https://77.rkn.gov.ru/docs/77/Uvedomlenie_ob_obrabotke_PD.docx.
Почему приходят письма о персональных данных
Важно! Права граждан при обработке их персональных данных подлежат защите (ст. 2 закона «О персональных данных» от 27.07.2006 № 152-ФЗ, далее — закон № 152-ФЗ)
Обратите внимание! Под обработкой понимают сбор данных, их запись, накопление, хранение, использование, распространение и т. д. Что такое биометрические персональные данные
Подробнее
Что такое биометрические персональные данные
Подробнее
Точный перечень персональных данных отсутствует. Такими данными считают любую информацию, которая относится к определенному лицу, в частности:
Пробный бесплатный доступ к системе на 2 дня.
- Ф. И. О.;
- реквизиты паспорта;
- биометрические данные;
- значимые даты (дата рождения, вступления в брак, развода) и т. д.
Обработка персональных данных возможна:
- с согласия гражданина;
- при необходимости достижения целей, предусмотренных законом;
- в связи с участием лица в судопроизводстве;
- при исполнении судебного акта и т. д. (полный список см. в ч. 1 ст. 6 закона № 152-ФЗ).
Подробности читайте в нашей статье «Порядок обработки персональных данных».
Если гражданин обнаружит неправомерную обработку его персональных данных, то он имеет право обратиться за защитой своих прав напрямую к владельцу сайта (оператору) или в Роскомнадзор.
Таким образом, письма из Роскомнадзора о персональных данных приходят, если обнаружено неправомерное использование таких данных.
Порядок действий при получении письма из Роскомнадзора
Владельцы сайтов и другие операторы, обрабатывающие данные, при получении письма о неправомерности обработки персональных данных должны:
Проверить, не является ли письмо фейком
Роскомнадзор на официальном сайте обращает внимание: подлинными являются только письма с мейл-сервера @rkn.gov.ru.
Закрыть проблемную информацию с момента получения письма и найти способ подтвердить законность размещения информации. Например, получить разрешение владельца данных на публикацию.
Прекратить обработку данных (удалить информацию с сайта), если в течение 3 рабочих дней выяснится, что владелец данных не давал/не дает на будущее разрешения на публикацию.
В течение 10 рабочих дней уничтожить персональные данные в своих базах, если невозможно обеспечить правомерность обработки данных
Например, гражданин отказывается дать согласие на обработку его данных.
Если нельзя удалить данные в течение 10 рабочих дней, блокировать данные и удалить их в течение полугода (ч. 6 ст. 21 закона № 152-ФЗ).
Важно! Об устранении нарушений или уничтожении персональных данных нужно уведомить гражданина и Роскомнадзор
Если вам пришло фейковое письмо якобы от Роскомнадзора, сообщите об этом по адресу rsoc_in@rkn.gov.ru
Обратите внимание: уведомление об обработке персональных данных в Роскомнадзор заполняется на его официальном сайте, письма с требованием выслать документы на почтовый адрес — фейковые (об этом сообщал в том числе сам госорган)
Меры по обеспечению безопасности ПДн
Мероприятия по защите персональных данных должны находиться в соответствии с требованиями закона. В общем смысле – самыми важными шагами в решении этого вопроса должны быть следующие:
- Определить угрозы безопасности ПДн при их обработке и разработать модель угроз;
- Разработать систему защиты на основе модели угроз, при этом применяемые методы защиты систем персональных данных должны соответствовать классу ИС;
- Проверить средства защиты, которые будут использоваться в системе, и составить заключения о возможности их эксплуатации;
- Установить и запустить в эксплуатацию средства защиты, а также обучить сотрудников работе с ними.
Меры защиты персональной информации, которые требуется принять в организации, подробно расписаны в законе «О персональных данных». Прежде всего, следует установить является ли компания оператором ПДн. Ответ утвердительный в следующих случаях:
- предприятие использует информационные системы (ИС) для кадрового учета работников и подбора кадров;
- предприятие использует ИС в случае передачи ПДн сотрудников или клиентов в другие организации;
- клиенты предприятия – физические лица, личные сведения о которых собраны в ИС.
Один из первых шагов к обеспечению безопасности ПДн для оператора – уведомить о намерении обрабатывать данные уполномоченный орган по защите прав субъектов ПДн – Роскомнадзор. Предоставление Роскомнадзору официального уведомления для операторов является обязательным.
На следующем этапе можно приступить к организационным мерам – определить порядок работы с ПДн, подготовить ряд документов и разработать мероприятия по защите критичной информации. Порядок обработки и защиты персональных данных должен быть изложен в одноименном положении.
Основные документы
- Уведомление об обработке ПДн (для Роскомнадзора).
- Приказ об организации обработки ПДн с назначением ответственного лица со стороны оператора.
- Согласие субъекта на обработку его персональных данных.
- Документы, определяющие политику оператора в отношении обработки ПДн (политику обработки необходимо поместить в публичный доступ, например, вывесить на официальном веб-ресурсе организации).
- Документы, содержащие положения о принятии оператором ПДн правовых, организационных и технических мер для их защиты.
- Документы по организации приема и обработки обращений и запросов субъектов.
- Документы, которые определяют категории обрабатываемых данных, особенности и правила их обработки с использованием и без использования средств автоматизации.
Внедрение системы защиты
К этому этапу следует приступать, когда основные бумажные дела улажены, т.е. у компании есть план защиты данных, за выполнение которого отвечают определенные работники. Теперь необходимо внести важные уточнения.
- Составить и утвердить перечень лиц с допуском к обработке ПДн, о чем уведомить ответственных сотрудников.
- Ознакомить работников с политикой обработки и защиты ПДн в организации, а также взять с них обязательство об обеспечении конфиденциальности информации.
- Разработать инструкции – для пользователей ИС по соблюдению режима защиты информации, для администратора безопасности ИС, а также инструкцию по резервному копированию и восстановлению данных в ИС.
- Разграничить права доступа к ПДн в ИС.
Технические средства защиты
Одной подготовки документов для полноценной защиты конфиденциальной информации недостаточно. Оператор должен принять в том числе и технические меры. К ним относятся:
- средства защиты от несанкционированного доступа;
- антивирусные программы;
- межсетевые экраны;
- криптографические средства.
Важно учитывать, что выбранные компанией средства должны соответствовать требованиям законодательства, а точнее иметь сертификат соответствия. Реестр сертифицированных средств защиты информации приводится на сайте ФСТЭК России
Не последним моментом является и правильная настройка приобретенного ПО.
Также следует учитывать, что набор угроз информационной безопасности все время меняется. Поэтому необходимо своевременно проверять надежность технической защиты ПДн. При этом покупку нового оборудования, установку новых программ, расширение площади предприятия или изменения его структуры придется отражать в принятых документах. То есть и документальную, и техническую части необходимо периодически актуализировать.
Пошаговая инструкция
Необходимо отнестись со всей ответственностью к процедуре заполнения и подачи уведомления, тщательно проверив исходные документы на достоверность и актуальность сведений и реквизитов.
Как заполнить?
Инструкция по заполнению онлайн-формы по уведомлению выглядит следующим образом:
При наличии выпадающего списка в поле – выбрать из списка подходящий ответ. Если напротив пункта свободного поля нет – отметить галочками актуальные сведения, при необходимости – внести дополнительные данные. При заполнении адресов можно ввести информацию вручную, а можно воспользоваться встроенным онлайн-справочником.
Как отправить?
После заполнения электронного уведомления информация поступает на обработку в РКН, а система подготавливает заполненную форму к распечатке. Дальнейшие действия:
- Сохранить подготовленный документ на свой компьютер и распечатать либо отправить на распечатку непосредственно с сайта.
- Подписать бумажный вариант документа у лица, которое несет ответственность за обработку ПД, поставить печать.
- Отправить по почте подписанный документ в территориальный орган РКМ по месту регистрации оператора.
Роскомнадзор обязан рассмотреть уведомление в течение 30 дней и внести сведения в общий реестр (п. 4 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
Как внести изменения?
Если первоначальные сведения, внесенные в форму-уведомление устарели, в РКН в течение 10 дней следует подать информационное письмо (п.7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
План действий внесения изменений в уведомление:
Роскомнадзор внесет изменения в реестр в течение 15 дней.
Как посмотреть статус?
Подать уведомление об обработке и внесении изменений в персональные данные лучше в срок – это поможет обезопасить компанию от проблем с законом и дополнительных финансовых затрат.
Обязательства и исключения
Под определение оператора обработки данных подпадают частные хозяйствующие субъекты, а также государственные и муниципальные структуры, которые производят обработку персональных данных в рамках своей основной деятельности.
Обязательства наступают для них автоматически в соответствии с законодательными актами. Но существует и перечень исключений. В него включены ЮЛ и ФЛ, которые:
- получают и обрабатывают данные в рамках трудовых отношений;
- не автоматизировали процесс работы с данными;
- оформляют договора с ФЗ без передачи ПД третьей стороне;
- собирают и производят обработку персональных данных для внутреннего пользования (актуально для религиозных и общественных организаций);
- манипулируют открыто выложенными для всеобщего пользования данными;
- имеют пропускную систему;
- берут данные из государственных инфосистем;
- включают в себя только фамилию, имя и отчество субъекта ПД;
- оформляют проездные документы (что невозможно осуществить без обработки данных).
Перечисленные субъекты могут не беспокоиться об отправке уведомления об обработке данных в надзорный орган. Но списки периодически корректируются и их актуальность рекомендуется проверять один раз в 6 месяцев.
Как правильно заполнить?
Теперь рассмотрим правила заполнения документа (и образец заполненного уведомления об обработке персональных данных в Роскомнадзор можно ниже):
Первые пункты электронной формы уведомления содержат информацию об операторе – самой организации, которая будет им являться. Название, тип, адрес, контактные данные, ИНН, и необязательные для заполнения пункты: ОГРН, ОКВЭД, ОКФС, ОКОГУ, ОКОП, перечислить все филиалы фирмы.
Правовое основание. В пункте указываются все нормативно-правовые акты, касающиеся ПДн. Например, 152-ФЗ «О персональных данных», Трудовой кодекс, Устав организации, основные законы, регулирующие деятельность компании, включающие в себя необходимость сбора и обработки информации о людях, позволяющие их идентифицировать.
Цель
Важно указать все цели обработки информации, так как работа с избыточным количеством ПДн – серьезное нарушение, за которым последует штраф. Как правило, целью является обеспечение или ведение кадровой и бухгалтерской деятельности, оказание определенных услуг.
Описание мер, предусмотренных статьей 18.1 и статьей 19 ФЗ «О персональных данных»
Здесь важно описать все перечисленные в законе меры в том виде, что они реализованы.ВАЖНО: Реализация всех указанных в пунктах 18.1 и 19 мер обязательна!Разработан ряд внутренних документов: положение по обработке ПДн, перечень ИСПДн, перечень персональных данных, подлежащих защите и другие. Необходимо перечислить все разработанные в соответствии с законом документы.
Приказом номер N Назначен сотрудник, ответственный за обработку персональных данных. Все работники ознакомлены с инструкциями по работе в ИСПДн, проводится своевременное обучение новых кадров. Обеспечено разграничение доступа к данным, реализованное с помощью установленных сертифицированных средств защиты информации (СЗИ), возможность их восстановления, в случае утери.
При работе с документами используется электронная подпись, лицензионное антивирусное программное обеспечение.
Сведения об обеспечении безопасности. Здесь необходимо перечислить все используемые средства защиты информации, можно указать данные о лицензиях, сертификатах. Указанного пункта анкеты не будет в открытом доступе, поэтому заполненная информация не повлияет на защищенность вашей системы.
Дата начала обработки. Как правило, дата совпадает со временем начала работы компании, следует ее указать.
Срок или условие прекращения обработки. Самый распространенный пример заполнения: «Завершение работы .
Категории ПДн. Отмечаете галочками ту информацию, которая у вас действительно обрабатывается. Если организация работает с категориями, не указанными в перечне, перечислите их ниже. Не нужно о пункты. Только то, что действительно есть. За обработку избыточного количества информации, позволяющих идентифицировать человека, возможен штраф.
Категории субъектов, данные которых обрабатываются. К примеру, сотрудники компании, члены их семьи, соискатели, клиенты организации.
Перечень действий. Согласно 152-ФЗ, это может быть сбор, запись, систематизация, накопление, хранение, уточнение. Лишние пункты удалите.
Способ обработки. Чаще всего системы являются смешанными, реже автоматизированными, с передачей по внутренней сети юридического лица и без передачи по сети Интернет.
Осуществление трансграничной передачи информации. В этом пункте указывается, отправляете ли вы информацию заграницу. Если да, необходимо перечислить все страны.
Использование шифровальных средств. Если они установлены, необходимо поставить галочку, перечислить название и класс средств защиты информации.
Сведения о местонахождении базы данных информации, содержащей ПДн граждан РФ. Указывается страна, адрес и является ли центр обработки данных (ЦОД) собственностью компании. Последний пункт не является обязательным, не обязательно указывать лишнюю информацию. В качестве ЦОДа может выступать даже персональный компьютер пользователя.
Далее необходимо ввести данные сотрудника, ответственного за организацию обработки персональных данных, назначенный соответствующим приказом (указать номер, дату подписания), либо юридическое лицо, с кем заключен контракт на проведение работ в этой области. Данная контактная информация будет находиться в открытом доступе, предупредите об этом коллегу.
Указывать данные исполнителя не обязательно, тем более если им выступал указанный выше сотрудник. Проверить, внесли ли ваши данные в реестр операторов, можно будет через пару недель.
Подробнее о том, как правильно заполнить форму уведомления Роскомнадзора об обработке персональных данных, читайте тут.