Семь частых ошибок, которые допускают компании при подаче уведомлений об обработке ПДн

1. Неверно оформлен бланк

Уведомление оформляется на бланке оператора или заверяется печатью (на подписи руководителя или уполномоченного лица).

Документ должен быть зарегистрирован и иметь исходящий номер и дату.

2. Неверный/неполный адрес и наименование оператора 

При написании адреса необходимо указывать:

• почтовый индекс;
• муниципальный район (для организаций районов области);
• улицу;
• номера дома, корпус (если таковые имеются).

Наименования организации в уведомлении должно соответствовать указанному на бланке и (или) печати, сведениям в ЕГРЮЛ.

Почтовый адрес – это адрес, по которому организация (ИП, физическое лицо) зарегистрирована в ЕГРЮЛ (ЕГРИП, адрес по прописке), адрес местонахождения – это адрес, по которому фактически осуществляется деятельность.

3. Ошибки в поле «Категории персональных данных»

Перечень категорий ПДн должен быть полным м исчерпывающим, сокращения недопустимы.

Не являются категориями ПДн:

• паспорт;
• водительские права;
• удостоверение; свидетельство о рождении;
• военный билет;
• документ об образовании и другие документы, принадлежащие физлицу.

Это материальные носители персональных данных!

Необходима конкретика. Например: фамилия, имя, отчество, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни.

При заполнении поля сперва нужно перечислить категории ПДн, заполняемые в форме кадрового учёта Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.

После того как предложенные системой позиции в поле «Категории персональных данных» закончились (если уведомление или информационное письмо заполняется на портале персональных данных), а категории ПДн ещё остались (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), перейдите к заполнению поля «Другие категории персональных данных» и укажите эти категории там.

4. Неправильно заполнены (указаны не все) категории субъектов персональных данных

Содержание поля «вытекает» из цели обработки ПДн. 

Необходимо указывать категории физлиц и виды отношений с ними.

Под видами отношений могут пониматься:

• трудовые;
• гражданско-правовые;
• договорные отношения;
• отношения в целях исполнения закона или любого другого нормативно-правового акта, регламентирующего обработку ПДн согласно сфере деятельности организации (ИП).

Например:

• физлица (заказчики; пассажиры; налогоплательщики; работники образовательного учреждения (колледжа, техникума), учащиеся, их родители; государственные гражданские служащие; обслуживающий персонал);
• лица, состоящие в трудовых отношениях с учреждением (предприятием);
• физлица, обратившиеся в организацию по страхованию имущества;
• пенсионеры, физические лица находящихся на обслуживании банка (клиенты);
• законные представители физических и юридических лиц;
• больные, состоящие на диспансерном учёте по соответствующим диагнозам, медицинский персонал;
• граждане, имеющие право на меры социальной поддержки, пособия, доплаты к пенсии, ежемесячные денежные выплаты, компенсации и иные выплаты;
• лица, состоящие в трудовых, договорных и иных гражданско-правовых отношениях с организацией, законные представители физических и юридических лиц.

Если есть сотрудники, работающие по договору, то к ним справедлива формулировка «физические лица, состоящие в иных договорных отношениях».

Категория «члены семьи работника» указывается, например, в случае, когда в бухгалтерии хранятся справки с места учёбы ребёнка, копии свидетельств о рождении, свидетельств о браке; в отделе кадров хранятся анкеты, содержащие информацию о супругах, родителях, детях, иных родственниках работника и другие документы, содержащие ПДн членов семьи.

5. Неверно прописаны меры безопасности (ошибки в поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»»)

Операторы часто просто копируют текст, приведённый в примерах для заполнения. Это неверный подход!

Проанализируйте предложенное в примере, и применяйте только те слова, которые относятся к деятельности вашей организации как оператора ПДн!

Укажите конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий при их обработке.

Если используется электронная цифровая подпись (ЭЦП), заполните раздел «использование шифровальных (криптографических) средств». Обязательно укажите наименование, регистрационные номера и производителей используемых криптографических средств (ЭЦП), а также сведения об уровнях защиты (Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждённые руководством 8 Центра Федеральной службы безопасности РФ 21 февраля 2008 года № 149/5-144).

Если проведена классификация информационных систем ПДн, то в уведомлении необходимо указать, к какому классу они относятся (см. Приказ от 13.02.2008 №55, №86, №20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»).

К техническим мерам можно отнести:

1. определение угроз безопасности ПДн при их обработке в информационных системах ПДн;
2. применение технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищённости ПДн;
3. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4. оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
5. учёт машинных носителей ПДн;
6. обнаружение фактов несанкционированного доступа к ПДн и принятием мер;
7. восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8. установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учёта всех действий, совершаемых с ПДн в информационной системе ПДн;
9. контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности информационных систем ПДн.

6. Уведомление подписано неуполномоченным лицом

Уполномоченным лицом является:

• единоличный исполнительный орган, действующий на основании устава (генеральный директор, директор, президент, управляющий);
• руководитель или начальник, действующий на основании положения;
• представитель организации, действующий на основании доверенности, в которой содержится соответствующее полномочие. В этом случае к уведомлению нужно приложить документ, подтверждающий полномочия лица на подписание документов.

7. Не указан исполнитель и (или) его контакты

Поле необходимо заполнить для обратной связи с исполнителем документа.

В компании следует назначить ответственного за работу с ПДн, которые будет подавать уведомления и в дальнейшем взаимодействовать с РКН

В документе нужно указать ФИО исполнителя, телефон, e-mail, почтовый адрес.