Уведомление об обработке персональных данных: рекомендации Роскомнадзора

В свете изменений в законодательстве о персональных данных бизнес активизировал свою деятельность по контролю за его соблюдением.

В свою очередь, Роскомнадзор актуализировал практику и опубликовал обновление к перечню частых ошибок, допускаемых компаниями и предпринимателями в качестве операторов при заполнении уведомлений об обработке персональных данных и писем о внесении изменений в ранее предоставленные сведения. Этот очень полезный материал призван помочь операторам избежать общераспространенных ошибок и успешно пройти эту процедуру с первой попытки.

Ключевые из рекомендаций Роскомнадзора Елена Шершнева, партнер, руководитель практики «Персональные данные» приводит ниже:

1. Заполняйте уведомление (информационное письмо) с помощью Портала персональных данных

Дело в том, что эти документы содержат поля, обязательные к заполнению, и при оформлении через портал у вас не получится завершить работу над документом, пропустив такие поля, в то время как в случае его скачивания до заполнения это вполне возможно.

2. При оформлении информационного письма полностью заполняйте поля, в которые вносятся изменения

Обязательные к заполнению поля информационного письма — это: «Наименование оператора», «Сокращенное наименование оператора», «Адрес оператора», «ИНН» и «ОРГН». Кроме них в таком письме нужно заполнить только те поля, в содержание которых вносятся изменения. При этом обновленная информация не добавляется в поле, а содержание такого поля полностью заменяется на новое.

3. Указывайте полный адрес

Адрес оператора должен обязательно включать следующие элементы (при их наличии): почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус. 

Почтовый адрес — это адрес, по которому организация/предприниматель зарегистрированы в ЕГРЮЛ (ЕГРИП, адрес по прописке), а адрес местонахождения — это адрес, по которому фактически осуществляется деятельность.

4. Указывайте развернутые основания для обработки персональных данных

Зачастую операторы указывают в качестве основания обработки персональных данных только Федеральный закон №152-ФЗ «О персональных данных». Но Роскомнадзор не считает это достаточным и рекомендует указывать все отраслевые нормативно-правовые акты, которыми руководствуется оператор (например, применимое законодательство о лицензировании), соответствующие статьи в них, а также дату их принятия и номер.

Кроме того, данном поле необходимо указать устав и действующие локально-нормативные акты оператора, например, положение об обработке персональных данных,  приказы, инструкции и т.п.

5. Не путайте категории персональных данных с содержащими их документами

При заполнении поля «Категории персональных данных» операторы часто указывают не сами категории, а их материальные носители, такие как паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, что является ошибкой.  Роскомнадзор уточняет, что правильно в этом случае указывать конкретные сведения, относящиеся к персональным данным, например: фамилия, имя, отчество, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия. В первую очередь предлагается перечислить категории персональных данных из формы кадрового учета Т2, затем другие категории, которые оператор обрабатывает по иным основаниям.