Характерные ошибки при оформлении Уведомлений по обработке персональных данных

В ходе рассмотрения представленных в Управление Роскомнадзора по Северо-Кавказскому федеральному округу уведомлений об обработке персональных данных выявлены следующие типичные ошибки при  заполнении полей:

«Наименование (фамилия, имя, отчество), адрес оператора»

Типичные ошибки в данном случае:  не указан (не полностью указан) адрес оператора (например, не указаны почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус - если имеются), ИНН, несоответствие полного наименования организации на бланке и (или) печати и в уведомлении. Необходимо точное соответствие.

«Правовое основание обработки персональных данных»

Операторы не указывают соответствующие статьи и номер закона или иного нормативно-правового акта, регулирующих осуществляемый вид деятельности и касающихся обработки персональных данных.

«Цель обработки персональных данных»

Необходимо указать как цели, указанные в учредительных документах (уставе, учредительном договоре, положении) оператора, так и цели, фактически осуществляемой оператором деятельности.

Например:

-    «осуществление полномочий органа власти по ....»

-    «выполнение государственных функций по ....»

-    «оказание государственных (муниципальных) услуг по ...»

-    «оказание (предоставление) услуг по ....»

-    «выполнение работ по ....»

-    «осуществление ... деятельности ...»

Соответствующие виды деятельности отражаются в общероссийских классификаторах услуг, видов деятельности (ОКУН, ОКВЭД) и т.д.

«Категории персональных данных»

Операторы зачастую указывают фразы типа «и др.», «и т.п.» «другая информация».  Необходимо указывать все конкретные категории, например: фамилия, имя, отчество, год, месяц, дата рождения, место рождение, адрес, семейное положение, социальное положение, имущественное положение,
образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни; биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность - данные изображения отпечатка пальца,  изображения лица, изображения радужной оболочки глаза и т.д.).

«Категории субъектов, персональные данные которых обрабатываются»

Операторы указывают не все категории субъектов, при этом из текста уведомления видно, что обрабатываются данные других категорий.

Например:  работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др.

«Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных»

Операторы не указывают конкретный перечень действий с персональными данными; конкретные способы обработки:

-   неавтоматизированная обработка персональных данных;

-   исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

-   смешанная обработка персональных данных с передачей полученной информации по сети или без таковой.

Наиболее частая ошибка - отсутствие либо нечеткое указание на порядок передачи  информации при смешанной и (или) автоматизированной обработке.

Необходимо четко указать соответствующие варианты:

-   «информация передается по внутренней сети юридического лица»

-   «информация не передается по внутренней сети юридического лица»

-   «информация доступна лишь для строго определенных сотрудников»

-   «информация передается с использованием сети общего доступа Интернет»

-   «без передачи полученной информации»

«Описание мер, которые оператор обязуется осуществлять
при обработке персональных данных, по обеспечению безопасности
персональных данных при их обработке»

При заполнении данного поля уведомления либо вообще отсутствует
описание мер, либо нет их четкого раскрытия. Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств  для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке. К организационным мерам можно отнести: принятие локальных нормативных актов (внутренних документов - приказов, положений, регламентов, перечней сведений и т.д.) организации

К техническим мерам можно отнести:

-   защита от несанкционированного физического доступа к информации
(хранение персональных данных в закрытых шкафах, ящиках, сейфах),

-   защита паролем компьютеров с персональными данными,

-   использование системы паролей при работе в сети (портале)

-   ограничение доступа к компьютерной технике для определенных категорий работников,

При смешанной обработке указывается перечень мер по обеспечению безопасности персональных данных на бумажных носителях и на электронных носителях.

«Дата начала обработки персональных данных»

Операторы не указывают дату вообще. Необходимо указать конкретную фактическую дату начала совершения действий с персональными данными.

 «Срок или условие прекращения обработки персональных данных»

Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных -   например «ликвидация юридического лица», «аннулирование лицензии на осуществление соответствующего вида деятельности»

Время публикации: 05.04.2018 14:07
Последнее изменение: 05.04.2018 14:08