Уведомление об обработке (о намерении осуществлять обработку) персональных данных Шабров Роман Олегович
реклама
Уведомление об обработке (о намерении осуществлять обработку) персональных данных Шабров Роман Олегович Специалист-эксперт Федеральный закон от 27.07.2006 г. «О персональных данных» вступил в силу 26 января 2007 г. Статья 22. Уведомление об обработке персональных данных Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Форма уведомления и рекомендации по заполнению размещены на официальном сайте Управления http://76.rsoc.ru в разделе «Персональные данные» Электронная форма уведомления об обработке (о намерении обрабатывать) персональных данных есть на портале «Персональных Данных» http://www.pd.rsoc.ru/operatorsregistry/notification/ Форма Информационного письма размещена на официальном сайте Управления http://76.rsoc.ru в разделе «Персональные данные» Электронная форма информационного письма о внесении изменений в сведения в реестре операторов есть на портале «Персональных Данных» http://www.pd.rsoc.ru/operators-registry/notification/ Основные ошибки: правовое основание обработки персональных данных Указывают только Федеральный закон от 27 июля 2006 г. №152-ФЗ "О персональных данных", а так же нормативно-правовые акты, не устанавливающие правовых оснований для обработки персональных данных, в целях, указанных в Уведомлении; Указывают, только нормативно правовые акты локального характера (устав или положение организации, приказ либо распоряжение), изданные во исполнение нормативно правовых актов, имеющих более высокую юридическую силу (Федеральный закон, постановление Правительства, закон Ярославской области, местные нормативно правовые акты); Основные ошибки: правовое основание обработки персональных данных Неявное указание правовых оснований. Например, в качестве правовых оснований указывается: «Законодательство РФ», «Указы, постановления и распоряжения Президента РФ», «Постановления и Распоряжения Правительства РФ» и т.п. В данной графе должен быть указан комплекс нормативно-правовых актов, которыми руководствуется ваше учреждение или организация, обрабатывая персональные данные. При этом помимо локальных нормативно правовых актов должны быть указаны акты, имеющие более высокую юридическую силу, с указанием даты, номера и названия. Основные ошибки: цель обработки персональных данных Не указываются цели обработки, которые в учреждении должны присутствовать для осуществления их деятельности в соответствии с законодательством РФ Очень часто указываются не все цели, которые преследует учреждение или организация обрабатывая персональные данные; Вместо целей обработки указывался перечень действий с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение; Вместо целей обработки даются ссылки на пункты Устава или сам Устав учреждения, либо других нормативных правовых актов, без явного указания целей обработки. Основные ошибки: цель обработки персональных данных В данном пункте необходимо указать как цели, указанные в учредительных документах (уставе, учредительном договоре, положении) оператора, так и цели, фактически осуществляемой оператором деятельности. Основные ошибки: перечень действий с персональными данными Перечень отсутствует; Указывают конкретные действия с персональными данными. Например: «Ведение бухгалтерского учета», «Ведение личных дел сотрудников», «Заключение договоров», «Выдача справок», «Медицинское страхование» и т.п. Основные ошибки: перечень действий с персональными данными Перечень включает в себя следующие действия: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение. Из этого перечня необходимо выбрать только те действия, которые Ваше учреждение или организация непосредственно совершает с персональными данными, не нужно перечислять их все. Основные ошибки: описание мер по обеспечению безопасности персональных данных при их обработке Описание отсутствует; Либо меры очень нечетко раскрыты. Например, вместо конкретных мер пишут «Организационно технические меры по обеспечению безопасности персональных данных», «Принятие локальных нормативно правовых актов», «Проведение мероприятий направленных на предотвращения несанкционированного доступа к персональным данным» и т.п. Указывают ссылки на нормативно правовые акты, без указания конкретных мер и средств. Например: «В соответствии с методическими рекомендациями….», «В соответствии с Приказом ФСТЭК…» или «В соответствии с Постановлением Правительства…». Основные ошибки: описание мер по обеспечению безопасности персональных данных при их обработке В данной графе указываются конкретные меры и средства обеспечения безопасности. К конкретным мерам можно отнести, например ограничение круга лиц имеющих доступ к обработке персональных данных через регламенты и должностные инструкции. Так же, к мерам можно отнести Положение об обработке персональных данных, согласие на обработку персональных данных. Основные ошибки: описание мер по обеспечению безопасности персональных данных при их обработке К средствам можно отнести: Логин и пароль при входе в систему; Наличие антивирусной программы; Установка пожарно-охранной сигнализации; Организация физической охраны; Резервное копирование данных; Наличие бесперебойных источников питания; Хранение бумажных носителей с персональными данными в сейфе или запирающемся шкафу и т.п. Основные ошибки: дата начала обработки персональных данных Указывают дату подачи уведомления; Дату принятия Положения об обработке персональных данных; Дату, когда в учреждении или организации начали собирать согласия на обработку персональных данных и т.п. В данной графе необходимо указать фактическую дату начала совершения действий с персональными данными в формате день, месяц, год. Если возникают сложности с определением указанной даты можно за дату начала обработки брать дату регистрации юридического лица (индивидуального предпринимателя) в ЕГРЮЛ (ЕГРИП). Фактически это дата, которая указана в свидетельстве ИНН. Основные ошибки: срок или условие прекращения обработки персональных данных Под сроком или условием прекращения обработки понимается не прекращение обработки в отношении конкретного субъекта, а в отношении всей организации или учреждения в целом. Т.е. срок или условие, наступление которого повлечет прекращение обработки персональных данных Вашей организацией. Например «ликвидация юридического лица», «аннулирование лицензии на осуществление соответствующего вида деятельности» и т.п. Внимательно ознакомьтесь с порядком подачи уведомления в электронном виде Основные ошибки: Уведомление подписывает неуполномоченное лицо Напоминаю, что Уполномоченным лицом является: Единоличный исполнительный орган, действующий на основании устава (генеральный директор, директор, президент, управляющий); Руководитель, начальник, действующие на основании положения; Представитель юридического лица, действующий на основании доверенности, в которой содержится соответствующее полномочие. В этом случае к уведомлению необходимо приложить документ, подтверждающий полномочия лица на подписание документов. Спасибо за внимание!
