Ошибки в уведомлениях об обработке персональных данных

Некорректные сведения об операторе

Заполняя уведомление, компании и предприниматели часто отражают сокращенные или устаревшие названия оператора обработки персональных данных, которые не совпадают с учредительными документами предприятия и сведениями, отраженными в ЕГРЮЛ или ЕГРИП.

Кроме этого операторы обработки персональных данных указывают неполный адрес, например, пропускают почтовый индекс или не ставят номер дома.

«Стоит помнить, что в первую очередь при проверке уведомления анализируются данные из государственных реестров, поэтому если в учредительных документах и реестрах есть расхождения, то данные в уведомлении должны соответствовать сведениям из ЕГРЮЛ или ЕГРИП. Кроме этого, название компании, ее адрес, ИНН, ОГРН – все эти сведения также должны полностью совпадать с тем, что указано в реестре. В поле “Регион регистрации” необходимо обязательно указать субъект Российской Федерации, где официально зарегистрирован бизнес – юридическое лицо, ИП или самозанятость», – рекомендует Камила Мухамеджанова, эксперт в области права, отвечающая за развитие сервиса 1OPD.ru.

Также нужно помнить, что отсутствие контактной информации является ошибкой. Необходимо указать исполнителя и его контактные данные для обратной связи.

Читайте также: «Меняем юридический адрес. Инструкция, которая все упростит»

Отсутствие указания всех целей обработки данных

Нередки случаи, когда бизнес в уведомлениях указывает неполный перечень целей обработки персональных данных.

«Цели должны быть конкретными и соответствовать видам деятельности организации. Например, “ведение кадрового учета”, “заключение и исполнение договоров с клиентами” и так далее», – отмечает Павел Карасев, эксперт в области информационной безопасности.

Сбор персональных данных может производится в самых разных целях: от предоставления обратной связи по товарам или услугам и осуществления маркетинговых коммуникаций до исполнения договора. При заполнении уведомления важно отразить все цели обработки, для которых бизнес собирает сведения.

Некорректное указание категорий персональных данных

Часто вместо категорий персональных данных компании и предприниматели указывают документы, являющиеся материальными носителями персданных, например, паспорт или водительское удостоверение. Важно отразить именно категории персональных данных, которые бизнес будет получать из указанных документов, например, дата рождения, место рождения, адрес и др.

Ошибки в разделе мер, предусмотренных статьями 18.1 и 19 152-ФЗ

Многие операторы ограничиваются тем, что копируют меры, приведенные в примере для заполнения. При этом реальные технические и организационные меры, введенные в компании, не отражают.

«Нужно узнать меры безопасности, предусмотренные статьями 18.1 и 19 152-ФЗ, которые уже реализованы или будут в будущем реализованы компанией или ИП. К таким, например, можно отнести подготовку внутренних (локальных) документов, назначение лица, ответственного за организацию обработки персональных данных, и соответствующие технические меры. Не копируйте предложенный формой пример без учета процессов внутри компании», – говорит Камила Мухамеджанова.

Неуполномоченное лицо для подписания уведомления

Уполномоченными лицами, как правило, являются генеральный директор, президент, действующий на основании устава, представители юридического лица, действующие по доверенности. Важно в последнем случае приложить доверенность с соответствующими полномочиями.

Читайте также: «Можно ли подписывать документы с приставкой «И.О.»?»

В случае трансграничной передачи данных

Стоит внимательно изучить все используемые бизнесом сервисы и технологии на предмет трансграничной передачи получаемых данных.

«Если компания использует инструменты, размещенные на серверах за пределами России, например, иностранные облачные хранилища, CRM-системы, email-платформы, то необходимо в обязательном порядке отразить факт трансграничной передачи данных в уведомлении. Это относится даже к косвенной передаче сведений через API, бэкапы и облачные интеграции», – говорит Камила Мухамеджанова.

Читайте в полной версии статьи: «Другие ошибоки в уведомлениях об обработке персональных данных»

Как заполнить и направить уведомление

Первое, о чем нужно о сказать: все необходимые данные нужно приготовить заранее, перед началом заполнения уведомления. «Соберите информацию о целях обработки, категориях персональных данных, мерах по их защите, а также о лицах, имеющих доступ к полученным сведениям», – говорит Павел Карасев.

Далее следует выбрать удобный способ отправки уведомления. У бизнеса есть несколько вариантов направить документ:

• в бумажном виде. После заполнения форму нужно распечатать, подписать и направить в территориальное отделение по месту регистрации оператора;
• через сайт РКН с электронной подписью. В этом случае форма должна быть подписана усиленной квалифицированной электронной подписью;
• через портал «Госуслуги». Для подачи уведомления необходима подтвержденная учетная запись, привязанная к компании или ИП.

Форму можно заполнить непосредственно на портале и направить ее в электронном виде.

Помните, что в случае изменений в целях обработки, категориях персональных данных или других существенных аспектах необходимо своевременно вносить изменения в уведомление и направлять его в Роскомнадзор.

«Назначьте ответственного за обработку персональных данных. Которые поможет обеспечить соблюдение требований законодательства и своевременное обновление уведомлений», – рекомендует Павел Карасев.

Правильное оформление уведомления об обработке персональных данных – это не только требование закона, но и важный шаг к обеспечению информационной безопасности бизнеса. Внимательное отношение к деталям при заполнении уведомления поможет избежать штрафов и сохранить репутацию надежного оператора персональных данных.

Журнал «Практическая бухгалтерия»