Подготовка к подаче уведомления в Роскомнадзор (часть 2)

ПДн – персональные данные;

РКН – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор);

ТУ РКН – Территориальное Управление Роскомнадзора;

152-ФЗ – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

Портал РКНПортал персональных данных уполномоченного органа по защите прав субъектов персональных данных;

Реестр операторов, Реестр – Реестр операторов, осуществляющих обработку персональных данных;

Уведомление — уведомления о намерении осуществлять обработку персональных данных;

Уведомление об изменениях, корректирующее уведомление — Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.

Сегодня мы посвятим статью разделам Уведомления, в которых чаще всего возникают вопросы и допускаются ошибки, а также дадим Вам несколько полезных советов для упрощения заполнения Уведомления.

Прежде всего хотим обратим внимание на то, что сейчас описание обработки ПДн осуществляется по Целям, а не по информационным системам, как это было раньше.

Пример старой формы Уведомления:

Пример старой формы Уведомления в РКН

Пример Новой формы Уведомления:

Пример Новой формы Уведомления в РКН

Распространенная ошибка – оставить все, как есть. Однако сведения в Реестре операторов рекомендуется скорректировать, чтобы они соответствовали новым нормам закона (ч. 3.1 ст. 22 152-ФЗ). Иначе можно получить соответствующее требование/предписание контролирующего органа.  

Итак, если на портале РКН в своей реестровой записи вы видите раздел «Список информационных систем и их параметры», значит Уведомление направлялось по старой форме и вам необходимо внести корректировки, направив Уведомление об изменениях.

Проверить реестровую запись по ИНН можно здесь. А подать корректирующее Уведомление в РКН поможет сервис 152DOC.

Если Уведомление подано по новой форме – рекомендуем проверить его на предмет наличия в нем неактуальных, устаревших сведений, а также на предмет ошибок, о которых мы расскажем дальше в статье.

Ошибки, связанные с формирование Целей обработки.

  • Указание в Уведомлении неполного перечня Целей обработки.

Например, указана только одна цель – ведение кадрового и бухгалтерского учета. Но может быть обработка ПДн при оказании услуг населению, ведении сайта, организации пропускного режима и т.д. Нужно учитывать и описывать все процессы обработки ПДн в компании!

  • Ошибка, связанная с описанием Целей — указание нескольких различных целей обработки в одном поле.

Например, «Исполнение требований ТК РФ, осуществление уставной деятельности, рассмотрение заявок на заключение договоров» – должны быть разделены на 3 разные цели!

Ошибки при указании Субъектов ПДн.

В отношении субъектов важно ни про кого не забыть. Субъектами могут выступать работники (в том числе уволенные), их родственники, посетители сайта, клиенты, представители контрагентов, соискатели и т.д.

Заранее оцените, с кем Вы работаете и чьи данные обрабатываете, например, вносите в программы, сервисы, журналы посещений, фиксируете на бумажных носителях, собираете в формах сбора на сайте и т.п.

Неверное определение Правовых оснований.

Правовое основание — это не только Согласие, это может быть Договор, Требование закона и иные условия согласно ч. 1 ст. 6 152-ФЗ. 

В Уведомлении отражайте полный перечень оснований, позволяющих Вам работать с ПДн.

Ошибки при заполнении сведений о местах нахождения бах данных.

В Уведомлении нужно указать конкретный адрес ЦОДа, а также информацию о лице, ответственном за хранение базы данных.

Чаще всего допускают такие ошибки:

  • Адрес не указан или указан не полностью.

Не достаточно указать только город места расположения баз данных, нужно указывать полный адрес);

  • Указаны не все адреса баз данных и отсутствует информация о лице, ответственном за их хранение.

Как мы говорили в предыдущей статье, для хранения баз данных могут использоваться не только свои собственные серверные мощности, но и мощности сторонних компаний (арендованные ЦОДы, хранение ПДн в облачных хранилищах, хостинг сайта).

И все эти адреса нужно указывать в Уведомлении. Если ЦОД не собственный, то нужно указать, чьими техническими средствами обеспечивается хранение баз данных.

Указание личной информации в общедоступной части Реестра.

При указании контактных данных ответственного за организацию обработки ПДн не следует указывать личные номера, адрес электронной почты, адрес регистрации/проживания, так как эти сведения будут общедоступны. Указываете только рабочие контактные данные!

Кроме того, контакты должны быть актуальны, по ним должна быть доступна связь с ответственным лицом.

Как мы видим, при заполнении уведомления могут быть различные ошибки, и даже некоторые, кажущиеся простыми на первый взгляд разделы и поля электронной формы Уведомления, вызывают сложности и вопросы со стороны операторов. Поэтому мы подготовили для вас несколько подсказок и полезных советов по некоторым полям Уведомления.

  1.  «Регион регистрации» – по этим данным определяется ТУ РКН, в котором будет рассмотрено Уведомление. Поэтому если Вам удобнее подать Уведомление по месту фактического осуществления деятельности, а не по месту регистрации – укажите удобный для вас регион, на решение о принятии уведомления на рассмотрение это не повлияет. Если подаете Уведомление в электронном виде – указываете регион регистрации вас в налоговом органе.
  2. «Адрес местонахождения» – в электронной форме Уведомления здесь подразумевается именно Юридический, а не фактический адрес оператора! Заполняйте данное поле согласно учредительным документам.
  3. «Регионы обработки» — не путайте – это не регионы, из которых «родом» субъекты ПДн, с которыми Вы работаете! Это регионы, на территории которых Вы, как оператор, обрабатываете ПДн (храните их, используете, собираете и тд). Это могут быть регионы, где у Вас расположены ЦОДы, офисы, структурные подразделения, филиалы и тд.
  4. «Способы обработки» — в большинстве компаний обработка Смешанная (если речь не идет об описании конкретного автоматизированного/неавтоматизированного процесса обработки в качестве отдельной цели).
  5. «Дата начала обработки персональных данных» – укажите дату регистрации в налоговом органе.
  6. «Срок или условие прекращения обработки персональных данных» — выбирайте «Условие окончания и укажите в качестве условия – Прекращение деятельности организации (или ИП).

Узнать подробнее о заполнении уведомления Вы можете из нашего вебинара «Изменения в 152-ФЗ кому и как нужно подать уведомление в Роскомнадзор до мая 2025«.

А еще на Портале ПДн теперь можно подготовить Черновик Уведомления. Это позволяет сделать Уведомление в несколько этапов и не ограничивает во времени заполнения! А еще это удобно, если Уведомление нужно предварительно согласовать или заполняет один сотрудник, а передается на подпись другому.

Отправляя Уведомление с помощью сервиса 152DOC, вы также получаете возможность предварительной работы с черновиком Уведомления, а также понятную инструкцию по его подаче в РКН.

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять