Как правильно заполнить уведомление в Роскомнадзор о сборе персональных данных ИП

Добрый день!

Образец от Роскомнадзора.

http://38.rkn.gov.ru/personal-...

Здравствуйте. Также ссылка на подобный документ. Там как раз для ИП есть файл. http://70.rkn.gov.ru/direction... Файл только скачать, указать нужное подставить и всё.

Здравствуйте Роман.

Для того, чтобы правильно заполнить, необходимо руководствоваться рекомендациями утвержденными Роскомнадзором.

Согласно Рекомендациям по заполнению формы Уведомления об обработке (о намерении осуществлять обработку) персональных данных (утв. Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций 29 января 2016 г.)

1. Настоящие Рекомендации разработаны в целях разъяснения порядка заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее — Уведомление).

2. Оформление Уведомления рекомендуется производить на бланке оператора, осуществляющего обработку персональных данных (далее — Оператор), по форме, определенной Приложением № 2 к Административному регламенту Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор) по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденному приказом Министерства связи и массовых коммуникаций Российской Федерации от 21 декабря 2011 г. № 346), и направлять в территориальный орган Роскомнадзора (далее — ТУ Роскомнадзора) по месту регистрации Оператора в налоговом органе.

Электронная форма Уведомления и порядок ее заполнения размещены на «Едином портале государственных и муниципальных услуг (функций)» (http://www.gosuslugi.ru), а также на Портале персональных данных Роскомнадзора (http://www.pd.rkn.gov.ru).

3. Уведомление направляется в ТУ Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

4. Под полем «Наименование (фамилия, имя, отчество), адрес Оператора» понимается:

4.1. Для юридических лиц (Операторов):

полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;

наименование филиала(ов) (представительства(в)) юридического лица (Оператора), осуществляющего обработку персональных данных;*(1)

адрес Оператора;*(2)

индивидуальный номер налогоплательщика (ИНН).

4.2. Для физических лиц:

фамилия, имя, отчество физического лица (Оператора);

адрес Оператора;*(3)

данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;

индивидуальный номер налогоплательщика (ИНН).

4.3. Для государственных, муниципальных органов (Операторов):

полное и сокращенное наименование государственного, муниципального органа;

наименование территориального(ых) органа(ов), осуществляющего(их) обработку персональных данных;

адрес Оператора;*(4)

индивидуальный номер налогоплательщика (ИНН).

При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).

5. Поле «Цель обработки персональных данных» отражает цели обработки персональных данных (а также их соответствие полномочиям Оператора).*(5)

6. В поле «Категории персональных данных» рекомендуется учитывать все категории персональных данных, подлежащих обработке Оператором:

6.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных).

6.2. Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни).

6.3. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных).

7. В поле «Категории субъектов, персональные данные, которых обрабатываются» предлагается указать категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (Оператором) и др.).

8. В поле «Правовое основание обработки персональных данных» могут быть указаны правовые основания, которые соответствуют полномочиям Оператора, отраженных в уставных документах, Федеральных законах и принятых на их основе нормативных правовых актов в части, касающейся компетенции Оператора, закрепляющий основание и порядок обработки Оператором персональных данных*(6)

(номер, дата выдачи и наименование лицензии на осуществляемый вид деятельности, с указанием лицензионных условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных).*(7)

9. Поле «Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных» предусматривает действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

— неавтоматизированная обработка персональных данных;

— исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

— смешанная обработка персональных данных.*(8)

10. Поле «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», предполагает:

а) описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

б) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

в) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, признаются следующие сведения:

а) наименование используемых криптографических средств;

б) класс средств криптографической защиты информации (СКЗИ).

Представление данной информации рекомендуется на основании приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

11. В поле «Сведения о наличии или об отсутствии трансграничной передачи персональных данных» рекомендуется относить сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки с указанием перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.

12. В поле «Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации (далее — База данных)» указываются:

— страна (страны) размещения базы данных;

— конкретный адрес (адреса) местонахождения базы данных.

Детальная градация сведений, которые могут быть включены по Базе данных, приведена на Портале персональных данных в электронной форме Уведомления.

13. В поле «Сведения об обеспечении безопасности персональных данных» рекомендуется указывать сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

14. Поле «Дата начала обработки персональных данных» предусматривает конкретную дату (число, месяц, год) начала любого действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (как правило, это дата начала осуществление Оператором деятельности, закрепленной в уставных документах).

15. В поле «Срок или условие прекращения обработки персональных данных» рекомендуется отражать конкретную дату (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.

Заместитель руководителя
Федеральной службы по надзору
в сфере связи, информационных технологий
и массовых коммуникаций
А.А. Приезжева

ГАРАНТ.РУ: http://www.garant.ru/products/ipo/prime/doc/71219780/#ixzz4vwEpMR2f

Образец заполнения размещен органами Роскомнадзора:

Образец заполнения формы уведомления об обработке (о намерении осуществлять обработку)  персональных данных 

Уведомление оформляется на бланке органа, осуществляющего обработку персональных данных.

Уведомлению присваивается номер и указывается дата составления.

Подаваемый документ (оригинал) обязательно подписывается уполномоченным лицом (руководителем) либо электронной подписью через портал государственных услуг

Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и  массовых коммуникаций по Иркутской  области

 С.Е. Костылову

 ул. Халтурина, д. 7, а/я 169 г. Иркутск, 664011

Уведомление об обработке

(о намерении осуществлять обработку) персональных данных 

1. Тип оператора:

Тип оператора: юридическое лицо/государственный или муниципальный орган/индивидуальный предприниматель/физическое лицо (указать что-либо одно).

Полное и сокращенное наименования Оператора с указанием организационно-правовой формы: Общество с ограниченной ответственностью «Первый» (ООО «Первый»)

Фамилия, имя, отчество Оператора: Индивидуальный предприниматель Иванов Иван Иванович (ИП Иванов И.И.).

Паспорт серия____ № _____ выдан ____________ дата выдачи_____________ (заполняется только индивидуальными предпринимателями и физическими лицами)

Адрес регистрации: 664000, Иркутская обл., г. Иркутск, ул. Первая, д. 1, оф. 1 (указываются в строгом соответствии со свидетельством о постановке юридического лица на учет в налоговом органе).

Почтовый адрес: 664000, Иркутская обл., г. Иркутск, а/я 1 (если совпадает с адресом регистрации, заполнять не обязательно)

ИНН: 3800000000

 ОГРН: 0000000000000

наименование филиала (представительства) юридического лица (при наличии): Филиал ООО «Первый», находящийся по адресу: 630000, Новосибирская обл., г. Новосибирск, ул. Новая, д. 1

2. Цель обработки персональных данных:

Необходимо указать как цели, указанные в учредительных документах (уставе, учредительном договоре, положении) оператора, так и цели фактически осуществляемой оператором деятельности.

Например:

 «осуществление трудовых взаимоотношений с работниками…»,

 «осуществление видов деятельности в соответствии с Уставом…»,

 «осуществление полномочий органа власти по ….»,

 «выполнение государственных функций по ….»,

 «оказание государственных (муниципальных) услуг по …»,

 «оказание (предоставление) услуг по ….»,

 «выполнение работ по ….»,

 оказание услуг в сфере образования/здравоохранения/торговли и др. (т. е. цели, указанные в учредительных документах и цели фактически осуществляемой деятельности),

 ведение кадровой работы и бухгалтерского учета,

 заключение договорных отношений с физическими лицами на оказание услуг и (или) выполнение работ.

Соответствующие виды деятельности отражаются в общероссийских классификаторах услуг, видов деятельности (ОКВЭД), в правоустанавливающих документах юридического лица и т.д.

3. Категории персональных данных:

непосредственно персональные данные: фамилия, имя, отчество; год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, паспортные данные, данные трудовой книжки, данные военного билета, сведения о пенсионном страховании, ИНН (другие категории персональных данных, подлежащих обработке).

специальные категории персональных данных: состояние здоровья, национальная принадлежность, расовая принадлежность, политические взгляды, религиозные или философские убеждения, состояние интимной жизни.

биометрические персональные данные (сведения, которые характеризируют физиологические особенности человека и на основании которых можно установить его личность).

Другие категории персональных данных, такие как: паспортные данные, ИНН, данные СНИЛС, сведения о воинском учете, номер телефона и другие, не присутствующие в указанном списке, необходимо дописать текстом.

Недопустимо использовать слова «и т.д.», «и т.п.», «и другие», «анкетные данные», «другая информация». В Уведомлении должен быть исчерпывающий (закрытый) перечень категорий персональных данных.

Обращаем Ваше внимание на то, что в данном пункте необходимо только перечислить категории персональных данных, фактически обрабатываемые Оператором, без указания персональных данных физических лиц.

4. Категории субъектов, персональные данные которых обрабатываются:

Работники, состоящие в договорных отношениях с ООО «Первый»/ИП Иванова И.И., члены семьи работника, родственники, кандидаты, физические лица, получающие услуги от ООО «Первый»/ИП Иванова И.И., а также физические лица, состоящие в гражданско-правовых и иных договорных отношениях с ООО «Первый»/ИП Иванова И.И, физические лица (заказчики; пассажиры; налогоплательщики; учащиеся, их родители; государственные гражданские служащие; обслуживающий персонал); физические лица, обратившиеся в организацию по страхованию имущества; пенсионеры, физические лица находящихся на обслуживании банка (клиенты); законные представители физических и юридических лиц; больные, состоящие на диспансерном учёте по соответствующим диагнозам, медицинский персонал; граждане, имеющие право на меры социальной поддержки, пособия, доплаты к пенсии, ежемесячные денежные выплаты, компенсации и иные выплаты; законные представители физических и юридических лиц.

Необходимо указать категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются. Обращаем Ваше внимание, что категории субъектов (физических лиц) должны соответствовать целям обработки персональных данных, указанным в п. 2 настоящего Образца.

5. Правовое основание:

Ст. 23, 24 Конституции Российской Федерации, ст. 85-90 Трудового кодекса Российской Федерации, а также указать названия других федеральных и региональных нормативных актов (если такие имеются), регламентирующих деятельность организации и касающихся обработки персональных данных, Устав ООО «Первый», Положение о работе с персональными данными в ООО «Первый», лицензия № 0000001 от 00.00.0000, выданная ___________(кем выдана) на осуществление _________________ (указывается лицензируемый вид деятельности)______________________ (номер лицензии и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), отражается только при наличии лицензии и (или) соответствующего пункта лицензионных условий)

6. Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных:

Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.Из этого перечня необходимо выбрать только те действия, которые оператор непосредственно совершает с персональными данными. 

Способ обработки персональных данных:  смешанный/автоматизированный/неавтоматизированный(указать что-либо одно).

Необходимо указать один из способов обработки персональных данных:

неавтоматизированная обработка персональных данных;

исключительно автоматизированная обработка персональных данных (обработка персональных данных с помощью средств вычислительной техники);

смешанная обработка персональных данных (и автоматизированный, и неавтоматизированный способы одновременно).

При обработке персональных данных информация: передается/не передается (указать что-либо одно)по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица), информация передается/не передается (указать что-либо одно)с использованием сети общего пользования Интернет.

7. Для обеспечения безопасности персональных данных применяются следующие меры (описание мер, предусмотренных ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):

— Разработано и утверждено Положение об обработке персональных данных в ООО «Первый». Приказом № 1 от 01.01.01 назначено лицо, ответственное за организацию обработки персональных данных. Опубликован и размещен на стенде организации документ, определяющий политику в отношении обработки персональных данных. Разработаны локальные акты по вопросам обработки персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных. Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Разработана модель угроз безопасности в информационной системе. Обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

— Средства обеспечения безопасности: обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем применения электронной подписи, используются антивирусные средства защиты информации(наименование, версия, № лицензионного соглашения), межсетевое экранирование, присвоение персональных паролей для каждого рабочего места (конкретного работника), наличие средств восстановления системы защиты персональных данных. Установлены сейфы для хранения личных дел работников и персональных данных физических лиц, запирающиеся металлические шкафы, установлена пожарная сигнализация, видеонаблюдение, круглосуточный охранный пост (обращаем Ваше внимание на то, что применяемые Оператором меры по обеспечению безопасности персональных данных должны соответствовать используемому Оператором способу обработки персональных данных, указанному в п. 6 настоящего Образца.)

— Сведения о наличии шифровальных (криптографических) средств и наименования этих средств:

не используется/ используется «КриптоПро CSP 2.0», ООО «Крипто-Про», регистрационный номер № 0000001 (в случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:

а) наименование, регистрационные номера и производителей используемых криптографических средств;

б) уровень криптографической защиты персональных данных;

в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;

г) уровень защиты от несанкционированного доступа. Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью крипто средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 г. № 149/5-144).

7.1. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты:

Иванов Иван Иванович (не допускается написание инициалов ответственного лица, фамилия, имя и отчество (при наличии) должны быть указаны в полном объеме)

Общество с ограниченной ответственностью «Второй» (указывается сторонняя организация, являющаяся ответственной за организацию обработки персональных данных у Оператора, сам Оператор не может быть указан)

664000, г. Иркутск, а/я 000, тел. 00-00-00, iii@mail.ru (указываются рабочие контактные данные).

НЕОБХОДИМО УКАЗАТЬ ЛИБО НАИМЕНОВАНИЕ И КОНТАКТНЫЕ ДАННЫЕ ИНОГО ЮРИДИЧЕСКОГО ЛИЦА, ЛИБО ФАМИЛИЮ, ИМЯ, ОТЧЕСТВО ВАШЕГО СОТРУДНИКА, ОТВЕТСТВЕННЫХ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, А ТАКЖЕ КОНТАКТНЫЕ ДАННЫЕ.

8. Дата начала обработки персональных данных:

16 октября 1998 года (дата постановки на учет в налоговом органе).

9. Срок или условие прекращения обработки персональных данных:

Прекращение деятельности ООО «Первый», ликвидация ООО «Первый», реорганизация ООО «Первый», истечение срока хранения предусмотренного законом, договором или согласием субъекта пдн на обработку его пдн, отзыв субъектом пдн (или его представителя) согласия на обработку его пдн с учетом достижения условий, предусмотренных ст. 21 ФЗ «О персональных данных».

10. Трансграничная передача персональных данных:

Не осуществляется/осуществляется в США (указать что-либо одно, в случае трансграничной передачи указывается перечень иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных).

10.1 Сведения о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации: Россия, 664000, Иркутская обл., г. Иркутск, ул. Первая, д. 1, оф. 1, собственный ЦОД, Наименование ИС: «1С: Зарплата и Кадры» (указываются: страна (страны) размещения базы данных, конкретный адрес (адреса) местонахождения базы данных, собственный ЦОД (да/нет), наименование информационной системы (базы данных).

11. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации:

Необходимо указать сведения о мерах принятых юридическим лицом, в целях исполнения требований установленных Постановлением Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и Постановлением Правительства РФ от 01 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»».

Определены места хранения персональных данных (материальных носителей). Определен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ. Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Обеспечен учет материальных носителей. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, учтены в соответствующих журналах. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации. Лица, осуществляющие обработку ПДн без использования средств автоматизации проинформированы о факте обработки ими персональных данных, а так же об особенностях и правилах осуществления такой обработки. 

12. Территория обработки:

ООО «Первый» осуществляет свою деятельность на территории Иркутской области.

Указанное уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме через портал государственных услуг и подписано электронной подписью в соответствии с законодательством Российской Федерации.

Уполномоченным лицом является:

должностное лицо, имеющий право на основании устава действовать от имени юридического лица без доверенности (генеральный директор, директор, президент, управляющий);

руководитель, начальник, действующие на основании положения;

представитель юридического лица, действующий на основании доверенности, в которой содержится соответствующее полномочие. В этом случае к уведомлению необходимо приложить документ, подтверждающий полномочия лица на подписание документов.
http://38.rkn.gov.ru/personal-...

Добрый день.

Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.
Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных. 
Основные требования:
1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать:

1.1. Перечень персональных данных, которые Вы обрабатываете.
1.2. Сведения о способах обработки персональных данных.
1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.
1.4. Цели использования персональных данных.
1.5. Принципы обработки персональных данных, которыми Вы руководствуетесь.
1.6. Меры, применяемые для защиты персональных данных.
1.7. Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике. Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.
1.8. Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.
1.9. Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.
1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.
Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы. 

2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).
Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение. Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.  

В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают. Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).
Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).
Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно: 

3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности. Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.
3.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст. 3 152-ФЗ).
4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса. Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников. Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание. Я как правило предпочитаю объединять эти документы в один общий и именовать его «Положение о коммерческой тайне и обработке персональных данных» и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных. Что касается требований к содержанию положения, то оно должно включать в себя:
4.1. Информацию о том, какие данные сотрудников обрабатываются.
4.2. Цели обработки персональных данных.
4.3. Порядок ознакомления сотрудников компании с положением.
4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.
4.5. Меры по защите персональных данных.
4.6. Порядок доступа отдельных работников к персональных данным сотрудников компании.
4.7. Порядок хранения персональных данных.
4.8. Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании. 2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ).

5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.
6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).
Уведомление направляется по онлайн форме — https://pd.rkn.gov.ru/operators-registry/notification/form/и плюс должно быть продублировано в письменном виде по обычной почте. 

Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.
С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор. Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).
Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных. Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.
Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г. Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR. В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children's Online Privacy Protection Act (COPPA).  

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис.

8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать. 

Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.
Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток. 
Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ. 

Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.
Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.
(!!!) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта).

(!!!) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь.

С Уважением,

Васильев Дмитрий.