Типичные ошибки при заполнении уведомлений об обработке персональных данных

В представленных в Управление Роскомнадзора по Челябинской области операторами Уведомлениях об обработке (о намерении осуществлять обработку) персональных данных и Информационных письмах о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных, допускаются следующие типичные ошибки при их заполнении:

 

1

Наименование ТО Роскомнадзора

Необходимо указывать наименование ТО Роскомнадзора, а именно «Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Челябинской области» (или «Управление Роскомнадзора по Челябинской области»). 

2

Тип оператора

Необходимо указывать тип оператора: (выбирается один из вариантов: государственный орган, муниципальный орган, юридическое или физическое лицо). 

3

Наименование (фамилия, имя, отчество), адрес оператора

Необходимо указывать адрес оператора, ИНН

Зачастую полное наименование организации на бланке и (или) печати и в уведомлении не соответствуют. Необходимо точное соответствие. 

В Информационных письмах о внесении изменений в сведения в реестре операторов не указывается регистрационный номер записи Оператора в Реестре операторов, осуществляющих обработку персональных данных (обязательно указание регистрационного номера записи оператора в реестре операторов, осуществляющих обработку персональных данных). Для того чтобы узнать регистрационный номер необходимо перейти на Портал персональных данных по ссылке: https://pd.rkn.gov.ru и в поле Реестр воспользоваться поиском по ИНН или расширенным поиском по ИНН, наименованию Оператора. 

4

Правовое основание обработки персональных данных

 

Операторы не указывают соответствующие статьи и номер закона или иного нормативного правового акта (далее - НПА), регулирующих осуществляемый вид деятельности и касающихся обработки персональных данных. Желательно указывать соответствующие статьи Трудового кодекса, Указов Президента РФ, Постановлений Правительства РФ и других НПА. 

5

Цель обработки персональных данных

Необходимо указать как цели, указанные в учредительных документах (уставе, учредительном договоре, положении) оператора, так и цели фактически осуществляемой оператором деятельности.

Например:

- «осуществление полномочий органа власти по ….»;

- «выполнение государственных функций по ….»;

- «оказание государственных (муниципальных) услуг по …»;

- «оказание (предоставление) услуг по ….»;

- «выполнение работ по ….»;

- «осуществление … деятельности …»;

- «ведение кадрового и бухгалтерского учета..».

Соответствующие виды деятельности отражаются в общероссийских классификаторах услуг, видов деятельности (ОКУН, ОКВЭД) и т.д. 

6

Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке

При заполнении данного поля либо отсутствует описание мер, либо нет их четкого раскрытия.

Необходимо указать конкретные организационные и технические меры, принимаемые оператором в соответствии со ст.18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных, в том числе факт использования шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

К организационным мерам можно отнести:

 -назначение лица, ответственного за организацию обработки персональных данных;

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных;

- принятие локальных нормативных актов (внутренних документов – приказов, положений, регламентов, перечней сведений и т.д.) организации;

- ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

К техническим мерам можно отнести:

- защита от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах);

- защита паролем компьютеров с персональными данными;

- использование системы паролей при работе в сети (портале);

- ограничение доступа к компьютерной технике для определенных категорий работников.

При смешанной обработке указывается перечень мер по обеспечению безопасности персональных данных на бумажных носителях и на электронных носителях.

 

7

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации 

Необходимо указывать конкретные меры, предпринимаемые Оператором для обеспечения безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Например, какие конкретные меры предпринимает оператор в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

 

8

Дата начала обработки персональных данных

Операторы указывают месяц и год или только год.

Необходимо указать конкретную фактическую дату начала совершения действий с персональными данными. Например, 01.01.2019.

Зачастую дата начала обработки совпадает с датой присвоения ОГРН (ОГРНИП). 

9

Срок или условие прекращения обработки персональных данных

Операторы зачастую не заполняют данное поле.

Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных.

В случае, если Оператор точно знает дату прекращения своей деятельности, в том числе обработки персональных данных, выбирается «по дате» и указывается конкретная дата окончания обработки.

В случае, если Оператор постоянно действующее юридическое лицо, индивидуальный предприниматель, муниципальный орган, государственный орган, то выбирается «по условию», и указывается конкретное условие, например,

- «ликвидация (реорганизация) юридического лица»;

- «утрата правовых оснований обработки персональных данных»;

- «аннулирование лицензии на осуществление соответствующего вида деятельности». 

10

Категории персональных данных

Операторы зачастую указывают фразы типа «и др.», «и т.п.» «другая информация», «непосредственно персональные данные».

Необходимо указывать конкретные категории, например:

фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни; биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность - данные изображения отпечатка пальца, изображения лица, изображения радужной оболочки глаза и т.д.).

Также операторы указывают все вышеперечисленные категории персональных данных, однако обрабатывают из них лишь некоторые. Необходимо указывать те категории персональных данных, которые действительно обрабатываются Оператором.

 

11

категории субъектов, персональные данные которых обрабатываются

Операторы указывают не все категории субъектов, при этом из текста уведомления видно, что обрабатываются данные других категорий.

Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором), клиенты, пациенты. Слово «и др.» писать не нужно.

 

12

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных

1.Операторы не указывают конкретный перечень действий с персональными данными (необходимо указывать какие конкретно из действий, предусмотренных п.3.ст.3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных, а именно сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение – оператор осуществляет с персональными данными);

2.Операторы не указывают конкретные способы обработки. (выбирается одно из двух утверждений):

- неавтоматизированная обработка персональных данных;

- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

- смешанная обработка персональных данных с передачей полученной информации по сети или без таковой.

3.Наиболее частая ошибка – отсутствие либо нечеткое указание на порядок передачи информации при смешанной и (или) автоматизированной обработке.

Необходимо четко указывать соответствующие варианты:

 

-«информация передается по внутренней сети юридического лица»

или

 

«информация не передается по внутренней сети юридического лица» (выбирается одно из двух утверждений!);

-«информация передается с передачей по сети Интернет»

или

 

«информация передается без передачи по сети Интернет» (выбирается одно из двух утверждений!).

 

13

Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки

В случае трансграничной передачи персональных данных необходимо указывать страны, в которые происходит передача персональных данных в процессе их обработки. 

14

Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ 

В данном поле необходимо указывать страну, конкретный адрес (например, страна: Россия, адрес ЦОДа: Челябинская обл, Челябинск г, Российская ул, дом 260).

Необходимо указывать на принадлежность ЦОДа (например, собственный ЦОД (Да / Нет), в случае выбора варианта «Нет», необходимо указывать какой организации принадлежит ЦОД). 

15

Ответственный за организацию обработки персональных данных

В данном поле зачастую указывают только ФИО ответственного лица. В данном поле необходимо указывать номера контактных телефонов, почтовые адреса и адреса электронной почты ответственного лица. Например, Иванов Иван Иванович, тел. 8(351) 000-00-00, 454091, г. Челябинск, ул. Российская, д. 260, E-mail: inf@esbt.ru. 

16

Исполнитель 

В данном поле необходимо указывать ФИО исполнителя, должность, контактную информацию исполнителя, то есть лица, заполнившего данную форму. 

17

Подпись

Уведомления об обработке (о намерении осуществлять обработку) персональных данных и Информационные письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных часто не содержат подпись руководителя организации или подписаны лицом, не имеющим права подписи.

Сформированная печатная форма в бумажном виде должна быть подписана руководителем организации или лицом, имеющим право подписи документов и направлена в Управление Роскомнадзора по Челябинской области почтовым отправлением или доставлена нарочно. 

18

Номер и ключ уведомления

Зачастую в Уведомлениях об обработке (о намерении осуществлять обработку) персональных данных и Информационных письмах о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных (в случае заполнения данных форм на Портале персональных данных) не сообщается номер уведомления и ключ.

 

Напоминаем, что недопустимо внесение в сформированные печатные формы изменений, а также удаление информации о номере и ключе уведомления). 

Время публикации: 24.05.2019 13:07
Последнее изменение: 06.06.2019 14:35