Ошибки в уведомлении об обработке персональных данных в РКН

Чтобы не пропустить поля, обязательные для заполнения, заполняйте форму уведомления   на сайте РКН.

Ошибка 1. Документ оформлен не на бланке организации

Правильно: Бумажное уведомление должно быть оформлено на бланке оператора или заверено печатью организации (на подписи руководителя или уполномоченного лица). По правилам делопроизводства, документ должен быть зарегистрирован и иметь исходящий номер и дату.

;Ошибка 2. В поле «Наименование (фамилия, имя, отчество), адрес оператора»

Не указан или не полностью указывается адрес оператора (почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус).

Наименования организации в уведомлении не соответствует сведениям в ЕГРЮЛ.

Правильно: Почтовый адрес – это адрес, по которому организация (ИП, физическое лицо) зарегистрирована в ЕГРЮЛ (ЕГРИП, адрес по прописке), адрес местонахождения – это адрес, по которому фактически осуществляется деятельность.

Поле «Филиалы»

Имеются в виду отделения, корпуса учреждения, другие территориально обособленные отделы, магазины и иные подразделения, филиалы, имеющие отношение к Оператору и входящие в его состав.

Поле «Правовое основание обработки персональных данных»

Не указываются соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных.

Часто операторы указывают только Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Закон). Закон не дает правовых оснований операторам для обработки персональных данных. Законом регулируются отношения, связанные с обработкой персональных данных.

Правильно: необходимо указать все отраслевые нормативно-правовые акты, которыми руководствуется Оператор, обрабатывая персональные данные с указанием реквизитов: дата, номер и название.

Устав ООО ____ от ___ №, Положение об ______ от ____ № ____, лицензия на ___ от ____ № _____ и т. д. (см. примеры для заполнения).

Кроме того, в данном поле необходимо указать локальные акты, принятые Оператором в соответствии с законодательством о персональных данных – это Положение об обработке персональных данных ООО (ИП, физ. Лицо) _____ от _____ № _____, а также приказы, инструкции и др.

Поле «Цель обработки персональных данных»

Каждое юридическое лицо в обязательном порядке осуществляет бухгалтерский и кадровый учет, в рамках которого обрабатываются персональные данные работников, а также членов их семьи (в личных делах хранятся копии свидетельств о рождении детей, свидетельств о браке, справки с места учебы ребенка и пр.).

ИП представляют отчеты в налоговые органы, пенсионный фонд и пр., для них может иметь место формулировка «подача отчетности в федеральные органы исполнительной власти».

Ошибка 3. В поле «Категории персональных данных»

Перечень категорий персональных данных должен быть полный и исчерпывающий, сокращения недопустимы.

Информация, относящаяся к физическому лицу, то есть, документы: паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр., принадлежащие физическому лицу, не могут быть категориями персональных данных. Они являются материальными носителями персональных данных.

Правильно следует указывать конкретно, например, фамилия, имя, отчество, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни.

При заполнении поля для начала необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.

После того, как предложенные системой позиции в поле «Категории персональных данных» закончились (если уведомление или информационное письмо заполняется на портале персональных данных), а категории персональных данных еще остались (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), необходимо перейти к заполнению поля «Другие категории персональных данных», где эти категории и перечислить (указать). 

Ошибка 4. В поле «Категории субъектов, персональные данные которых обрабатываются».

Указываются не все категории субъектов персональных данных, применяются фразы «и др.», «и т.п.», «другая информация», упоминаются сторонние юридические лица.

Правильно: Содержание поля «вытекает» из «Цель обработки персональных данных». Необходимо указывать категории физических лиц и виды отношений с ними. Под видами отношений могут пониматься трудовые, гражданско-правовые, договорные отношения, отношения в целях исполнения закона или любого другого нормативно-правового акта, регламентирующего обработку персональных данных согласно сфере деятельности юридического лица (индивидуального предпринимателя).

Например: физические лица (заказчики; пассажиры; налогоплательщики; работники образовательного учреждения (колледжа, техникума), учащиеся, их родители; государственные гражданские служащие; обслуживающий персонал); лица, состоящие в трудовых отношениях с учреждением (предприятием); физические лица, обратившиеся в организацию по страхованию имущества; пенсионеры, физические лица находящихся на обслуживании банка (клиенты); законные представители физических и юридических лиц; больные, состоящие на диспансерном учёте по соответствующим диагнозам, медицинский персонал; граждане, имеющие право на меры социальной поддержки, пособия, доплаты к пенсии, ежемесячные денежные выплаты, компенсации и иные выплаты; лица, состоящие трудовых, в договорных и иных гражданско-правовых отношениях с юридическим лицом, законные представители физических и юридических лиц.

Если есть работники, работающие по договору, то к ним справедлива формулировка «физические лица, состоящие в иных договорных отношениях»

Категория «члены семьи работника» указывается, если например в бухгалтерии хранятся справки с места учебы ребенка, копии свидетельств о рождении, свидетельств о браке; в отделе кадров хранятся анкеты, содержащие информацию о супругах, родителях, детях, иных родственниках работника и другие документы, содержащие персональные данные членов семьи.

Поле «Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных»

Из перечня действий, указанных в требованиях ч. 3 ст. 3 Федерального Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», необходимо выбрать только те действия, которые оператор непосредственно совершает с персональными данными.

У подавляющего большинства операторов это как минимум - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, уничтожение.

 Ошибка 5. В поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»»

Правильно: проанализировать предложенное в примере, и если применять какие-либо слова, то только те, которые относятся к деятельности Оператора.

Подраздел «средства обеспечения безопасности» - это технические меры по обеспечению безопасности персональных данных при их обработке.  Содержание подраздела «правовые меры» может быть отнесено как в Поле «Правовое основание обработки персональных данных», так и находиться здесь (либо там, либо тут, дублировать не нужно).

Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

Если используется электронная цифровая подпись (ЭЦП), необходимо заполнить раздел «использование шифровальных (криптографических) средств», где обязательно указать наименование, регистрационные номера и производителей используемых криптографических средств (ЭЦП), а также сведения об уровнях защиты (см. Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра Федеральной службы безопасности Российской Федерации 21.02.2008 года № 149/5-144).

Если проведена классификация информационных систем персональных данных, то необходимо в уведомлении так же указать к какому классу они относятся (см. Приказ от 13.02.2008 №55, №86, №20 "Об утверждении Порядка проведения классификации информационных систем персональных данных")

К техническим мерам можно отнести:

1. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2. применение технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5. учет машинных носителей персональных данных;
6. обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
7. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

Поле «Дата начала обработки персональных данных»

Фактически это дата, которая указана в свидетельстве ИНН.

 Ошибка 6. Уведомление подписано неуполномоченным лицом

Уполномоченным лицом является:

• единоличный исполнительный орган, действующий на основании устава (генеральный директор, директор, президент, управляющий);
• руководитель или начальник, действующий на основании положения;
• представитель юридического лица, действующий на основании доверенности, в которой содержится соответствующее полномочие. В этом случае к уведомлению необходимо приложить документ, подтверждающий полномочия лица на подписание документов.

Ошибка 7. Не указан исполнитель, контактная информация исполнителя

Поле необходимо заполнить для обратной связи с исполнителем документа.

Подпишись на рассылку