Роскомнадзор предоставил примеры и рассказал о распространенных ошибках при заполнении уведомления о обработке персональных данных.
Для того чтобы не упустить обязательные поля, заполните их. форму уведомления на сайте РКН.
Документ составлен не на фирменном бланке организации.
Бумажное сообщение следует оформить на бланке оператора либо заверить печатью организации с подписью руководителя или уполномоченного лица. Согласно нормам делопроизводства, документ требуется зарегистрировать, присвоив ему исходящий номер и дату.
Ошибка 2. Неверно указано наименование (фамилия, имя, отчество) и адрес оператора в соответствующем поле.
Адрес оператора указан неполностью или вовсе отсутствует (не приведено почтовое отделение, муниципальный район (для организаций районов области), наименование улицы, номер дома и корпуса).
Название организации в сообщении не совпадает с информацией из ЕГРЮЛ.
Почтовый адрес — адрес регистрации организации или физического лица в реестре юрлиц или ИП, а также адрес проживания. Адрес местонахождения — адрес, где выполняется работа.
Поле «Филиалы»
Подразумеваются отделы, корпусы организации, другие территориально выделенные части, магазины и подобные подразделения, филиалы, связанные с Оператором и являющиеся его частью.
Наименование основания для обработки информации о человеке.
В тексте отсутствуют сведения о нормативных актах, регламентирующих обработку персональных данных в данной сфере деятельности.
Операторы часто приводят только Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных». Закон не предоставляет операторам правовых оснований для обработки персональных данных. Законом устанавливаются правила, касающиеся обработки персональных данных.
При обработке персональных данных Оператору следует руководствоваться всеми действующими отраслевыми нормативно-правовыми актами. В указе необходимо указать дату, номер и наименование каждого акта.
Устав организации от __ номера, положение о__от __ номера ___, лицензия на__ от __ номера __ и тому подобное (см. примеры для заполнения).
В этом поле нужно указать локальные акты, принятые Оператором в соответствии с законом о персональных данных: Положение об обработке персональных данных ООО (ИП, физическое лицо) _____ от _____ № _____, приказы, инструкции и т. д.
Назначение обработки личных данных
Всякое юридическое лицо обязано вести бухгалтерский и кадровый учет. В ходе этого учета обрабатываются персональные данные работников и членов их семей (в личных делах хранятся копии свидетельств о рождении детей, свидетельства о браке, справки с места учебы ребенка и тому подобное).
Индивидуальные предприниматели предоставляют отчетность в налоговые органы, Пенсионный фонд и другие.
Ошибка номер 3. В поле «Категории персональных данных».
Список категорий персональных данных должен быть полным и включать все необходимые сведения, сокращений не допускается.
Информация о физическом лице, представленная документами, такими как паспорт, водительские права, удостоверение личности, свидетельство о рождении, военный билет и документы об образовании, не считается категорией персональных данных. Документы являются материальными носителями персональных данных.
При указании сведений нужно использовать конкретные детали: фамилию, имя, отчество, дату и место рождения, адрес, семейное положение, социальный статус, имущественное положение, образование, профессию, доходы, расу, национальность, политические убеждения, религиозные и философские взгляды, состояние здоровья.
При заполнении поля с началом нужно указать категории персональных данных, которые входят в форму кадрового учета Т2, а также добавить остальные категории, используемые организацией в различных видах деятельности.
Если доступные в поле «Категории персональных данных» позиции закончатся, а категории персональных данных всё ещё останутся (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), необходимо заполнить поле «Другие категории персональных данных», перечислив там оставшиеся категории.
Ошибка номер четыре. В графе «Категории субъектов, персональные данные которых обрабатываются».
Перечисление категорий субъектов персональных данных не исчерпывающее, используются выражения «и др.», «и т.п.», «другая информация», приводятся сведения о третьих юрлицами.
Содержание поля «вытекает» из пункта «Цель обработки персональных данных». Требуется указать категории физических лиц и типы отношений с ними. Под типами отношений могут быть трудовые, гражданско-правовые, договорные отношения или отношения в рамках исполнения закона или нормативно-правового акта, регулирующего обработку персональных данных в соответствии с деятельностью юридического лица (индивидуального предпринимателя).
Заказчики; пассажиры; налогоплательщики; работники образовательных учреждений (колледжей, техникумов), учащиеся, их родители; государственные гражданские служащие; обслуживающий персонал; лица, состоящие в трудовых отношениях с учреждением (предприятием); физические лица, обратившиеся в организацию по страхованию имущества; пенсионеры; физические лица, находящиеся на обслуживании банка (клиенты); законные представители физических и юридических лиц; больные, состоящие на диспансерном учёте по соответствующим диагнозам; медицинский персонал; граждане, имеющие право на меры социальной поддержки, пособия, доплаты к пенсии, ежемесячные денежные выплаты, компенсации и иные выплаты; лица, состоящие в трудовых, договорных и иных гражданско-правовых отношениях с юридическим лицом.
Работники по договорам соответствуют определению «физические лица, находящиеся в других договорных обязательствах».
Если бухгалтерия сохраняет справки из учебного заведения ребенка, копии свидетельств о рождении, браке, а отдел кадров хранит анкеты с данными о супругах, родителях, детях и других родственниках работника, то применяется категория «члены семьи работника».
Список операций с персональными данными и краткое описание методов обработки информации оператором.
Из перечня действий, указанных в требованиях Статья 3, пункт 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Следует отбирать только действия, которые сотрудник осуществляет лично с информацией о людях.
Для большей части операторов перечень действий включает по крайней мере сбор, упорядочивание, накопление, хранение, уточнение (обновление, исправление), применение, передачу и уничтожение.
Ошибка 5. В графе «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»»
Рассмотрите пример и используйте только слова, относящиеся к действиям Оператора.
«Средства обеспечения безопасности» — технические способы защиты персональных данных во время их обработки.
Содержание подраздела «правовые меры» может быть размещено как в поле «Правовое основание обработки персональных данных», так и здесь. Дублирование не требуется.
Требуется определить конкретные организационные и технические решения, включая криптографические методы, для защиты личной информации от несанкционированного доступа, уничтожения, изменения, блокирования, копирования и распространения, а также от любых других незаконных действий при ее обработке.
При применении электронной цифровой подписи следует заполнить раздел «использование шифровальных (криптографических) средств», указав наименования, регистрационные номера и производителей применяемых криптографических средств (ЭЦП), а также сведения об уровнях защиты. Методические рекомендации по защите персональных данных при обработке в информационных системах с применением автоматизированных средств, утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/5-144. ).
Если выполнена классификация информационных систем персональных данных, то в уведомлении следует также указать класс каждой из них. Приказ от 13 февраля 2008 года № 55, № 86, № 20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». )
К техническим мерам можно отнести:
- Выявление рисков для защиты личных данных во время обработки в базах данных с персональной информацией.
- Технические меры по охране персональных данных при обработке в информационных системах должны соответствовать требованиям защиты и уровням защищенности, определённым Правительством РФ.
- Использование средств защиты информации, получивших положительную оценку по установленным методикам.
- Проверка результативности принятых действий по защите персональных данных до запуска информационной системы с данными о людях.
- Регистрация электронных носителей информации о частных данных.
- Выявление случаев несанкционированного получения персональных данных и последующие действия.
- Восстановление личной информации, измененной или удаленной в результате незаконного проникновения к ней.
- Определение порядка использования личных данных в информационной системе и учет всех операций с ними.
- Наблюдение за действенными методами защиты персональных данных и степенью укрепления информационных систем, хранящих эти данные.
Поле «Дата начала обработки персональных данных»
Это дата, записанная в документе с идентификационным номером налогоплательщика.
Ошибка номер 6. Подпись на уведомлении принадлежит не уполномоченному лицу.
Уполномоченным лицом является:
- Руководитель организации, осуществляющий свою деятельность по указаниям документа о структуре управления (генеральный директор, директор, президент, управляющий).
- Руководитель, осуществляющий полномочия по уставу.
- Уполномоченное лицо юридического лица, имеющее право подписи документов по доверенности.
Не предоставлен исполнитель и контактные данные исполнителя.
Для связи с создателем документа нужно заполнить это поле.