Если вы являетесь клиентом FirstVDS и используете предоставленный вам сервер для обработки персональных данных клиентов, посетителей сайта или сотрудников — эта статья для вас. Сбор таких данных делает вас оператором. А значит, вы обязаны соблюдать требования закона № 152-ФЗ: подать уведомление в Роскомнадзор (далее — РКН), обеспечить защиту данных и соблюдать права пользователей, чьи данные вы обрабатываете. В этой статье разберем, какие действия помогут операторам соответствовать требованиям закона и минимизировать риски.
Дисклеймер: АО «ИОТ» является провайдером и не даёт подробные разъяснения в части исполнения требований законодательства. По любым вопросам настройки работы с персональными данными рекомендуем обращаться к соответствующим специалистам.
Персональные данные (ПД) — это любая информация о человеке, которая может его идентифицировать: ФИО, контакты, документы, IP-адрес и т. д. Нарушение требований по обработке ПД грозит большими штрафами.
«Как избежать больших штрафов. Новые правила работы с персональными данными в 2025 году»
Читать статью
Для того, чтобы работать с ПД законно, безопасно и не получить больших штрафов, вам необходимо выполнить следующие шаги.
Шаг 1. Подать уведомление в РКН
Если раньше неуведомление РКН об обработке ПД не влекло большие риски, то сейчас это грозит большими финансовыми потерями. Уведомлять обязаны все операторы за исключением следующих случаев:
- Вы обрабатываете персональные данные вручную, а не с помощью автоматических систем. Например, ведёте весь учёт в бумажном виде, без использования компьютера.
- Данные используются в госсистемах безопасности – например, если информация хранится в базах Минобороны, МВД и других силовых ведомств.
- Обработка для транспортной безопасности – например, проверка сотрудников ж/д или аэропортов по закону «О транспортной безопасности» (ФЗ № 16-ФЗ).
Если ваш случай не подходит под эти исключения – нужно подавать уведомление в РКН.
Для этого зайдите на сайт РКН и перейдите в раздел «Реестр операторов» — «Электронные формы заявлений». А затем — к заполнению формы электронного уведомления:
Выберите любой удобный вам способ для заполнения формы — через Госуслуги, в бумажном виде или в электронном виде с использованием усиленной квалифицированной электронной подписи.
В уведомлении необходимо указать ваши установочные данные: регион регистрации, тип оператора (юридическое лицо, физическое лицо, ИП и т.д.), наименование, адрес, ИНН, ОГРН и т. д.
Пример заполнения с сайта РКН:
В строке «Наименование» укажите название юридического лица или ИП, а не фамилию директора или другого сотрудника. Оператором по закону является именно организация или ИП, а не физлицо. Даже если компанию представляет директор, его ФИО здесь не указывается.
В разделе «Адрес оператора» — указывается юридический адрес вашей организации или ИП. РКН ориентируется на сведения из официальных реестров. Несоответствие данных может стать поводом для запроса дополнительных документов или отказа в регистрации уведомления.
В контактной информации не рекомендуется указывать личную почту сотрудника, особенно если он может уволиться или утратить доступ. Пропишите рабочую почту, по которой с вами может связаться РКН. Это же касается и телефона — укажите рабочий телефон, по которому можно связаться с ответственным за обработку ПД (подробнее об этом ниже).
Регионом обработки персональных данных может быть место, где расположен сервер, на котором обрабатываются ПД, местонахождение офиса организации, местонахождение ваших сотрудников, клиентов и т. д. В уведомлении можно указать один субъект РФ или несколько. Также вы можете указать всю территорию России как регион обработки ПД.
В разделе «Цели обработки персональных данных» укажите, какие именно ПД обрабатываются вами для конкретной цели.
В уведомлении может быть указано несколько целей обработки. Например, вы можете обрабатывать ПД своих сотрудников в рамках трудовых взаимоотношений с ними, а также — ПД клиентов для оказания им услуг.
В таком случае выбираем следующие цели обработки:
- Для работников:
Для клиентов:
Выбирайте цели, которые подходят вам.
Обратите внимание, что для каждой цели указываются определенные категории ПД.
Пример: если с работника вы можете запросить данные о воинском учете, то собрать такие данные с клиента вы не вправе, поскольку они не относятся к цели обработки по оказанию клиенту услуг.
Категории ПД, которые вы обрабатываете, указываются в этом разделе:
В случае, если вами не обрабатываются специальные и биометрические ПД, в этом разделе поля оставляете пустыми:
Для каждой цели обработки есть свои субъекты ПД, т.е. те лица, чьи данные обрабатываются. Если речь идёт о выполнении требований трудового законодательства — в уведомлении могут быть указаны следующие категории:
А такие категории можно указать для цели исполнения договоров ГПХ:
Важно запомнить: для каждой цели обработки существуют свои ПД и свои субъекты.
Переходим к следующему пункту. Правовое основание обработки персональных данных — это то, что даёт оператору право обрабатывать ПД субъекта. Таким основанием может быть согласие субъекта на обработку, выполнение требований законодательства, защита жизни и здоровья субъекта, осуществление деятельности СМИ и т. д.
Пример заполнения:
В перечне действий укажите те действия, которые вы собираетесь осуществлять с ПД. Таких действий может быть несколько.
Например: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление.
При заполнении уведомления РКН необходимо указать, какие способы обработки ПД вы используете.
Автоматизированная обработка — обработка с помощью компьютера и программ (например, CRM-системы, электронные базы, онлайн-формы и т. д.).
Неавтоматизированная обработка — обработка, которая проводится без использования техники, т. е. «вручную» (например, ПД хранятся в личных делах, вы собираете бумажные анкеты и т. д.)
Смешанная обработка — сочетание двух видов выше.
Без передачи по внутренней сети юридического лица — передача ПД внутри организации без использования сети (ПД обрабатываются на одном устройстве или на бумажном носителе и не передаются внутри компании).
С передачей по внутренней сети юридического лица — передача ПД внутри организации через сеть (например, отдел продаж передает данные клиента в бухгалтерию через внутреннюю систему).
Также нужно указать, передаются ли данные через Интернет.
В разделе «Описание мер, предусмотренных статьями 18.1. и 19 ФЗ “О персональных данных”» опишите, как вы защищаете персональные данные — какие правила и технические средства используете для того, чтобы предотвратить ошибки в работе с ПД, утечки данных или взломы.
Например: назначение ответственных, пароли, шифрование, антивирусы, обучение сотрудников. Укажите конкретные меры, которые применяются в вашей организации.
В разделе «Средства обеспечения безопасности» опишите конкретные предпринятые меры защиты ПД (технические и организационные).
Если вы не используете шифровальные средства, в разделе «Использование шифровальных (криптографических) средств» выберите пункт «не используется».
Если применяете шифрование, то укажите класс СКЗИ, а также полную информацию об этих средствах (наименование, изготовители, серийные номера оборудования).
Переходим к следующему пункту.
Ответственный за организацию обработки персональных данных — тот, кто отвечает за обработку ПД. Это может быть конкретный человек (например, ваш сотрудник, которого вы назначаете специалистом по безопасности) или компания (сторонняя организация, которой вы поручаете обрабатывать данные).
Важно: ваш хостинг-провайдер не может быть ответственным за обработку персональных данных, если вы не заключили с ним специальный договор на эту работу.
Идём дальше. Трансграничная передача ПД — это передача ПД за границу — компаниям, людям или госорганам других стран. Если отправляете, то выберете пункт «осуществляется».
В разделе «Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ» нужно указать, где именно находятся базы для хранения данных.
Справку о местонахождении серверов FirstVDS вы можете просмотреть по ссылке или на сайте firstvds.ru в разделе «Документы» — «Правила и условия предоставления услуг» — «Справка о местонахождении серверов АО «ИОТ»». Если ваши данные хранятся в нескольких ЦОДах, это также необходимо указать в уведомлении.
Пример заполнения для клиентов, арендуемые серверы которых расположены в дата-центре ООО «Икселерейт»:
После того, как вы укажете, что ПД обрабатываются не в вашем собственном ЦОДе, появится раздел «Сведения об организации, ответственной за хранение данных».
Напомним, что хостинг-провайдер не отвечает за хранение и обработку ПД, если вы не поручали ему эту работу по договору.
В этом разделе продублируйте данные вашей компании или ИП — те же, что вы указывали в начале уведомления.
В пункте «Сведения об обеспечении безопасности персональных данных» напишите, как именно вы защищаете ПД. Нужно перечислить все меры безопасности, которые используете (Постановление Правительства РФ от 01.11.2012 г. № 1119).
Шаг 2. Проверить себя в реестре операторов ПД
После того, как уведомление будет заполнено, отправьте его в РКН. В течение 30 дней с даты поступления уведомления информация вносится в реестр операторов персональных данных. Если вы отправляли бумажное, а не электронное письмо с УКЭП, дата будет отсчитываться с момента его получения территориальным отделением РКН.
Найти себя в реестре можно по ИНН, названию организации (или ИП), а также по регистрационному номеру уведомления.
Уведомить РКН необходимо только один раз. Если ваша организация уже включена в реестр, повторно уведомлять РКН о том, что вы обрабатываете ПД, не нужно.
Я подавал уведомление раньше, но у меня изменились данные
Если, например, вы начали обрабатывать данные лиц, которых в старом уведомлении вы не указывали, у вас изменились установочные данные или цели обработки ПД — необходимо направить уведомление об изменении сведений.
Порядок его заполнения похож на порядок заполнения уведомления о начале обработки ПД. Поэтому, можете пользоваться инструкцией по его заполнению, которая прописана выше в шаге №1.
Форма уведомления об изменении сведений находятся в разделе «Реестр операторов» — «Электронные формы заявлений».
Я больше не обрабатываю ПД
Об этом также нужно сообщить в РКН по этой форме. Уведомление о прекращении обработки ПД отличается от двух вышеназванных тем, что оно значительно короче, а также тем, что вам необходимо указать основания прекращения обработки ПД. Они могут быть следующими:
Форму уведомления о прекращении обработки ПД также можно найти в разделе «Реестр операторов» — «Электронные формы заявлений».
Шаг 3. Обеспечить защиту хранящихся данных
Работа с персональными данными на сервере требует системного подхода к информационной безопасности. Вот несколько мер, которые необходимо предпринять оператору ПД для защиты данных, хранящихся на арендуемом сервере:
- ограничить доступ к серверу (использовать сложные пароли, регулярно их обновлять, использовать двухфакторную аутентификацию, разграничить права доступа и т. д.);
- обеспечить антивирусную защиту сервера и защиту от вредоносного ПО;
- использовать шифрование и защищенные каналы связи (VPN, TLS);
- подключить резервное копирование;
- обновлять ПО, устранять своевременно уязвимости;
- настроить техническую защиту, например — средства межсетевого экранирования, ограничение доступа, контроль входов и каналов связи (HTTPS, защита сайта, SSH по ключу, фаервол);
- локализовать данные на российских серверах — если для хранения персональных данных вы арендуете серверы FirstVDS, расположенные в дата-центрах WebDC и IXcellerate (локация: г. Москва), значит, этот пункт вами уже выполнен.
Если вы арендуете сервер у FirstVDS и хотите защитить данные, у нас есть для этого все необходимые инструменты. Вы можете подключить антивирус BitNinja, настроить автоматическое резервное копирование с КиберБэкапом и включить защиту от DDoS-атак.
Шаг 4. Разработать необходимые документы
Кроме технических мер, важно предпринять и организационные. Например, издать внутренние документы по работе с ПД:
- приказ о назначении ответственного за их обработку;
- правила защиты ПД;
- список сотрудников, которым открыт доступ к ПД;,
- согласие от сотрудников или клиентов на обработку их данных и другие необходимые документы.
Перечень необходимых документов доступен в файле для скачивания по ссылке.
Также важно разместить политику обработки ПД и текст согласия субъекта на обработку ПД на своем сайте. Документы должны быть в открытом доступе, чтобы каждый пользователь мог с ним ознакомиться.
Заключение
Эта памятка носит информационный характер. Она подготовлена нашими юристами с учетом действующего законодательства и текущей практики его применения. Учтите, что позиция других юристов по отдельным вопроса может отличаться.
При работе с ПД важно ориентироваться прежде всего на требования и разъяснения РКН. Рекомендации и подходы по работе с ПД постоянно обновляются, поэтому мы рекомендуем следить за официальными публикациями и изменениями в нормативных актах.
Если возникают сомнения или сложные вопросы — лучше обратиться к специалистам по работе с ПД или напрямую в РКН за разъяснениями. Это поможет избежать нарушений и обеспечить корректную работу с ПД.
