Подача уведомления в РКН
Почему это важно?
С 30 мая значительно увеличиваются штрафы за несвоевременную подачу уведомления в Роскомнадзор (РКН) о начале обработки
персональных данных. Это касается всех компаний, которые:
- принимают заказы онлайн или по телефону;
- собирают номера телефонов для рассылок;
- хранят адреса для доставки;
- используют формы обратной связи;
- ведут базу постоянных клиентов;
- имеют бонусную программу;
- обрабатывают персональные данные иным способом.
Штраф за нарушение — до 300 000 рублей. Подача уведомления — бесплатная и занимает 20–30 минут.
Как подать уведомление?
Уведомление подается на официальном сайте РКН:
👉 pd.rkn.gov.ru/operators-registry/notification/form
Доступны три способа подачи:
1. Письменно — сформировать уведомление и отправить в бумажном виде.
2. Электронно с ЭЦП — сформировать уведомление и отправить в электронном виде с использованием усиленной
квалифицированной электронной подписи.
3. Через ЕСИА — сформировать уведомление и отправить в электронном виде с использованием средств аутентификации ЕСИА.
Важно: Форма уведомления одинакова для всех способов подачи. Вы выбираете только способ передачи.
Если вы используете отличные от Smartomato системы для обработки персональных данных (например, отдельную систему
лояльности), необходимо самостоятельно добавить соответствующую информацию в уведомление.
Сведения об операторе
| Поле | Пример |
| --- | --- |
| Регион регистрации | Свердловская область |
| Тип оператора | Юридическое лицо |
| Наименование оператора | Общество с ограниченной ответственностью «Пицца365» |
| Сокращенное наименование | ООО «Пицца365» |
| Адрес оператора | 620014, г. Екатеринбург, ул. Ленина, д. 88 |
| Почтовый адрес | Совпадает с адресом местонахождения |
| Телефон / Факс | +7 (343) 555-00-00 |
| Email | info@pizza365.ru |
| Регионы обработки | Свердловская область |
| ИНН / ОГРН | 6671234567 / 1206600009876 |
| ОКВЭД | 56.10 — Деятельность ресторанов и кафе |
| ОКПО, ОКФС, ОКОГУ, ОКОПФ | Указывается при наличии |
| Филиалы | Ресторан «Пицца365 Центр», ул. Малышева, д. 10 |
Цели обработки ПДн
Укажите цели, для которых вы осуществляете обработку персональных данных:
1. Продвижение товаров, работ, услуг на рынке.
2. Подготовка, заключение и исполнение гражданско-правового договора.
Сначала выберите одну цель, заполните по ней все поля. Затем нажмите «Добавить цель обработки персональных данных» и
повторите заполнение для следующей.
Категории персональных данных
Отметьте следующие категории:
- фамилия, имя, отчество;
- пол;
- год рождения;
- месяц рождения;
- дата рождения;
- адрес электронной почты;
- адрес места жительства;
- номер телефона;
- сведения, собираемые посредством метрических программ.
Smartomato не хранит реквизиты банковских карт. Данные вводятся и хранятся на стороне платежных провайдеров
(банков-эквайеров).
Категории субъектов персональных данных
Отметьте следующие категории:
- клиенты;
- посетители сайта.
Правовое основание обработки персональных данных
Отметьте следующие категории:
- обработка персональных данных осуществляется с согласия субъекта персональных данных;
- обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных
данных.
Перечень действий
Отметьте следующие категории:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение;
- распространение.
Способы обработки
Выберите:
- смешанная;
- укажите, передаются ли персональные данные внутри вашей компании (например, между отделами, через облачные сервисы,
электронную почту или CRM);
- отметьте, используется ли при этом интернет — даже если это защищённые каналы.
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
1. Разработаны и утверждены локальные нормативные акты, регулирующие порядок обработки персональных данных, включая
политику в отношении обработки персональных данных и регламент работы с информационными системами.
2. Сотрудники, участвующие в обработке персональных данных, ознакомлены с требованиями Федерального закона №152-ФЗ, а
также локальными актами и инструкциями.
3. Назначено ответственное лицо за организацию обработки персональных данных, его обязанности и полномочия
зафиксированы в должностной инструкции.
4. Осуществляется внутренний контроль за соответствием обработки персональных данных законодательным требованиям.
5. Выявлены и классифицированы угрозы безопасности персональных данных при их обработке в информационных системах.
6. Исключен неконтролируемый доступ в помещения, где осуществляется обработка персональных данных, за счет системы
контроля доступа.
7. Применяются сертифицированные средства защиты информации, соответствующие требованиям законодательства Российской
Федерации, включая программно-аппаратные комплексы для предотвращения несанкционированного доступа к
информационным системам.
8. Аутентификация сотрудников осуществляется с применением многофакторной проверки, включая использование уникальных
учетных записей и двухфакторной авторизации.
9. Выданы доступны только сотрудникам, уполномоченным на их обработку в рамках исполнения трудовых обязанностей.
10. Регулярно проводится оценка эффективности средств защиты информации в соответствии с внутренними процедурами
безопасности и требованиями законодательства.
11. Доступ к данным ограничен паролями
12. Персональные данные обрабатываются в зашифрованном виде
13. Серверы размещены в центрах обработки персональных данных на территории Российской Федерации.
Средства обеспечения безопасности
Межсетевой экран, антивирус, разграничение прав доступа. Хранение данных на серверах, защищённых согласно требованиям
ФСТЭК.
Использование шифровальных (криптографических) средств
Укажите, используете ли вы средства шифрования при работе с персональными данными — чаще всего это касается вашей
электронной подписи (ЭЦП).
Если вы подписываете документы или отправляете уведомление в РКН через ЭЦП, нужно указать:
- Наименование средства шифрования (чаще всего — КриптоПро)
- Класс СКЗИ
- Серийный номер
Эти данные можно найти в вашей программе для работы с ЭЦП — например, в КриптоПро:
Сервис → Посмотреть сертификаты.
Ответственный за организацию обработки персональных данных
- Укажите: физическое лицо
- Заполните: ФИО, почтовый адрес, номера контактных телефонов и адрес электронной почты. Если сотрудников нет -
укажите свои данные.
Дата начала обработки персональных данных
Укажите дату, с которой вы начали собирать персональные данные (можно взять дату запуска сайта или приложения, если сбор
идет только через Smartomato).
Срок или условие прекращения обработки
- Выберите: условие окончания.
- Укажите: по истечении 5 лет с даты последнего взаимодействия с субъектом.
Осуществление трансграничной передачи персональных данных
Выберите: не осуществляется.
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
- Страна: Россия
- Адрес ЦОДа: город Санкт-Петербург, Цветочная ул, д. 19
- Собственный ЦОД: нет
Сведения об организации, ответственной за хранение данных
- Тип организации: Юридическое лицо
- Организационно-правовая форма: Акционерное общество
- Наименование организации: АО "Селектел"
- ОГРН 1247800067790
- ИНН 7810962785
- Страна местонахождения организации, ответственной за хранение данных: Россия
- Адрес местонахождения организации, ответственной за хранение данных: 196006, город Санкт-Петербург, Цветочная ул,
д. 21 литера А
Сведения о лицах, осуществляющих обработку персональных данных, содержащихся в государственных и муниципальных информационных системах
Если раздел вам не подходит — оставьте его пустым. Платформа Смартомато не имеет доступа к персональным данным из
государственных или муниципальных систем, поэтому такие блоки заполнять не нужно.
Сведения об обеспечении безопасности персональных данных
Укажите:
1. Определён уровень защищённости персональных данных – установлен второй уровень защищённости, исходя из характера
обрабатываемых данных, количества субъектов персональных данных и актуальных угроз безопасности информации
(угрозы 2-го типа).
2. Назначено должностное лицо, ответственное за обеспечение безопасности персональных данных при их обработке в
информационных системах. Утверждён перечень лиц, допущенных к обработке персональных данных, с
разграничением прав доступа в соответствии с занимаемыми должностями и должностными обязанностями.
3. Организован контроль доступа к информационной системе персональных данных. Реализовано разграничение доступа
пользователей по ролям и уровням доступа, обеспечен индивидуальный учёт действий пользователей.
4. Обеспечено ведение и контроль электронных журналов регистрации событий безопасности, доступ к которым имеют
исключительно уполномоченные сотрудники, обладающие соответствующими полномочиями в рамках исполнения
трудовых обязанностей.
5. Использованы сертифицированные средства защиты информации, прошедшие процедуру оценки соответствия требованиям
безопасности информации в соответствии с законодательством Российской Федерации (при наличии необходимости
нейтрализации актуальных угроз).
6. Обеспечено шифрование персональных данных при их передаче по сетям передачи данных, а также при хранении в базах
данных. Используются актуальные криптографические протоколы.
7. Организовано резервное копирование и восстановление данных, а также реализован режим обеспечения устойчивости и
сохранности персональных данных при возникновении инцидентов информационной безопасности.
8. Проведено обучение и инструктаж сотрудников, имеющих доступ к персональным данным, по вопросам обеспечения
информационной безопасности и соблюдения требований законодательства о персональных данных.
9. Обеспечена защита серверных мощностей и технической инфраструктуры, в том числе за счёт размещения информационных
систем в дата-центрах на территории Российской Федерации, соответствующих требованиям по обеспечению безопасности
информации.
10. Разработаны и утверждены локальные нормативные акты, регламентирующие обработку персональных данных, порядок
взаимодействия с третьими лицами, а также порядок реализации прав субъектов персональных данных.
11. Обеспечен защищенный обмен данными с внешними системами.
Все указанные меры защиты должны реально применяться в вашей компании. Рекомендуем заранее убедиться, что они
действительно соблюдаются.
