Ошибки при подаче в Роскомнадзор уведомления об обработке персональных данных

Ошибки при подаче в Роскомнадзор уведомления об обработке персональных данных

Cтатья опубликована на сайте https://its.1c.ru/

Все организации и ИП, которые планируют работать с персональными данными, должны подать в Роскомнадзор уведомление о своем намерении обрабатывать персональные данные до начала такой обработки (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ).

Исключение установлено только для трех случаев (ст. 22 Закона № 152-ФЗ в ред. Федерального закона от 14.07.2022 № 266-ФЗ):

  • данные включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 Закона № 152-ФЗ);
  • оператор обрабатывает данные вручную без использования средств автоматизации (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ);
  • данные обрабатываются в случаях, предусмотренных законодательством о транспортной безопасности.

С 30 мая 2025 года вырастут штрафы за нарушения в сфере обработки персональных данных. Так, за невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных установлен штраф (ч. 10 ст. 13.11 КоАП РФ в ред. Федерального закона от 30.11.2024 № 420-ФЗ):

  • для граждан – в размере от 5000 до 10 000 руб.;
  • для должностных лиц государственного или муниципального органа либо некоммерческой организации (далее – НКО) – от 30 000 до 50 000 руб.;
  • для организаций, которые не являются государственным (муниципальным) органом или НКО и ИП – от 100 000 до 300 000 руб.

До вступления в силу указанных норм не было специальной ответственности за неуведомление Роскомнадзора, поэтому применялись положения ст. 19.7 КоАП РФ (штрафы не превышали 5000 руб.).

Управление Роскомнадзора по Брянской области на официальном сайте опубликовало перечень типовых ошибок, которые совершают операторы при подаче уведомлений об обработке персональных данных.

Также ведомство привело пример заполнения такого уведомления (однако это уведомление больше соответствует форме, приведенной в недействующем приказе Роскомнадзора от 30.05.2017 № 94, возможно, это связано с тем, что первоначально текст был опубликован в период действия этой формы).

В настоящее время уведомление подается по форме, утв. приказом Роскомнадзора от 28.10.2022 № 180. Но считаем опубликованную информацию полезной, поэтому приводим основные положения с нашими комментариями.

Подача уведомления не на фирменном бланке

Роскомнадзор напомнил, что уведомление должно быть оформлено на бланке оператора или заверено печатью организации (печать ставится на подпись руководителя или уполномоченного лица). Также документ должен иметь исходящий номер и дату.

Отметим, организации и ИП могут быть без печати, в этом случае ее постановка не требуется. Также по законодательству организации и ИП не обязаны иметь бланк. В этом случае считаем допустимым использовать в шапке документа реквизиты организации или ИП.

Некорректное заполнение поля "Наименование (фамилия, имя, отчество), адрес оператора"

Как указало ведомство, в поле с адресом необходимо полностью указывать почтовый адрес оператора. Это адрес из ЕГРЮЛ (ЕГРИП, адрес по прописке).

При этом Роскомнадзор напоминает, что адрес местонахождения – это адрес, по которому фактически осуществляется деятельность.

В актуальной форме уведомления значится реквизит "адрес". В форме уведомления, подаваемой ранее в соответствии с приказом Роскомнадзора от 30.05.2017 № 94, было указано "адрес местонахождения и почтовый адрес".

При этом в качестве ошибки ведомство называет несоответствие между адресом в уведомлении, указанном на бланке и (или) печати, и сведениями в ЕГРЮЛ. Из этого можно сделать вывод, что в актуальном уведомлении необходимо указывать юридический адрес. Вопрос, нужно ли дополнительно отражать адрес местонахождения, лучше уточнить в территориальном органе Роскомнадзора.

Также в качестве ошибки отмечено неуказание почтового индекса и муниципального района (для организаций районов области).

Также могут отсутствовать улица, номер дома, корпус (если он фактически есть).

При заполнении поля "Филиалы" необходимо указывать отделения, корпуса учреждения, другие территориально обособленные отделы, магазины и иные подразделения, филиалы, имеющие отношение к оператору и входящие в его состав.

Ошибки в заполнении поля "Правовое основание обработки персональных данных"

В уведомлении должны быть указаны соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных.

Операторы указывают только Закон № 152-ФЗ, но ведомство подчеркивает, что этот закон не дает правовых оснований операторам для обработки персональных данных. Законом регулируются отношения, связанные с обработкой персональных данных. Основанием являются отраслевые нормативно-правовые акты, которыми руководствуется оператор, обрабатывая персональные данные, с указанием следующих реквизитов – даты, номера и названия.

Например, это могут быть Устав ООО (номер и дата), Положение (номер и дата), лицензия (номер и дата) и т. д.

Кроме того, в этом поле необходимо указать локальные акты, принятые оператором в соответствии с законодательством о персональных данных. Это Положение об обработке персональных данных, а также приказы, инструкции и др.

Ошибки в заполнении поля "Цель обработки персональных данных"

Для корректного заполнения поля необходимо обратиться к Уставу организации и перечислить те виды деятельности, которые требуют работы с персональными данными. Также все организации ведут налоговый, бухгалтерский и кадровый учеты, в рамках которых обрабатываются персональные данные работников, а также членов их семьи (в личных делах хранятся копии свидетельств о рождении детей, свидетельств о браке, справки с места учебы ребенка и пр.). Предприниматели с работниками также ведут налоговый и кадровый учеты.

В рамках налогового учета сдается отчетность, в том числе сдаются статистическая и персонифицированная отчетности.

Примерные формулировки:

  • "Подача отчетности в федеральные органы исполнительной власти"
  • "Осуществление полномочий органа власти по …."
  • "Выполнение государственных функций по …."
  • "Оказание государственных (муниципальных) услуг по …"
  • "Оказание (предоставление) услуг по …."
  • "Выполнение работ по …."
  • "Осуществление … деятельности …"

Заполнение поля "Категории персональных данных"

Необходимо указать виды данных, которые будут обрабатываться, а не указывать категории лиц. В частности, нельзя указывать "работников, клиентов, абонентов и др.", использовать фразы "и др., и т. п., другая информация, анкетные данные".

Перечень категорий персональных данных должен быть полный и исчерпывающий, сокращения недопустимы.

Также ведомство отмечает, что такие документы, как паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр., принадлежащие физическому лицу, не относятся категории персональных данных. Эти документы являются материальными носителями персональных данных.

Указывать в качестве категорий обрабатываемых персональных данных следует:

  • фамилию, имя, отчество,
  • дату рождения,
  • место рождения,
  • адрес,
  • семейное положение,
  • социальное положение,
  • имущественное положение,
  • образование,
  • профессию,
  • доходы,
  • расовую принадлежность,
  • национальную принадлежность,
  • политические взгляды,
  • религиозные убеждения,
  • философские убеждения,
  • состояние здоровья,
  • состояние интимной жизни.

При заполнении поля необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т-2 (если личные карточки ведутся), а также добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.

Если заполнение происходит на портале персональных данных, то система сама предлагает позиции в поле "Категории персональных данных". Если они закончились, а категории еще остались (например, данные документа, удостоверяющего личность, ИНН, СНИЛС и пр.), необходимо перейти к заполнению поля "Другие категории персональных данных", где эти категории и перечислить (указать).

Заполнение поля "Категории субъектов, персональные данные которых обрабатываются"

Содержание этого поля следует из поля "Цель обработки персональных данных". Поэтому в нем необходимо указывать категории физических лиц и виды отношений с ними.

Под видами отношений могут пониматься трудовые, гражданско-правовые, договорные отношения, отношения в целях исполнения закона или любого другого нормативно-правового акта, регламентирующего обработку персональных данных согласно сфере деятельности юридического лица (индивидуального предпринимателя).

Например, можно указать:

  • физические лица (заказчики, пассажиры, налогоплательщики), работники образовательного учреждения (колледжа, техникума), учащиеся, их родители, государственные гражданские служащие, обслуживающий персонал;
  • лица, состоящие в трудовых отношениях с учреждением (предприятием);
  • физические лица, обратившиеся в организацию по страхованию имущества;
  • пенсионеры, физические лица, находящиеся на обслуживании банка (клиенты);
  • законные представители физических и юридических лиц;
  • больные, состоящие на диспансерном учёте по соответствующим диагнозам, медицинский персонал;
  • граждане, имеющие право на меры социальной поддержки, пособия, доплаты к пенсии, ежемесячные денежные выплаты, компенсации и иные выплаты;
  • лица, состоящие трудовых, в договорных и иных гражданско-правовых отношениях с юридическим лицом, законные представители физических и юридических лиц.

Если есть исполнители по гражданско-правовому договору, то к ним справедливо применить формулировку "физические лица, состоящие в иных договорных отношениях".

Категория "члены семьи работника" указывается, если (например) в бухгалтерии хранятся справки с места учебы ребенка, копии свидетельств о рождении, свидетельств о браке, а в отделе кадров хранятся анкеты, содержащие информацию о супругах, родителях, детях, иных родственниках работника, и другие документы, содержащие персональные данные членов семьи.

В качестве ошибки в заполнении этого поля Роскомнадзор приводит указание не всех категорий субъектов персональных данных, сокращения, указание "и т. д.", "и пр.", "и др.", а также упоминание юридических лиц.

Заполнение поля "Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных"

Из всего перечня действий с персональными данными при заполнении уведомления необходимо выбрать только те, которые оператор непосредственно совершает с персональными данными.

В большинстве случаев это сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, уничтожение.

Заполнение поля с указанием мер, направленных на обеспечение безопасности персональных данных

Роскомнадзор указывает, что самая частая ошибка – это копирование мер из примеров. Ведомство подчеркивает, что предложенное в примере необходимо проанализировать и указывать только те меры, которые оператор использует.

Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

Если используются усиленные квалифицированные электронные подписи, стоит помнить, что это шифровальные (криптографические) средства, при этом необходимо указать наименование, регистрационные номера и производителей используемых криптографических средств, а также сведения об уровнях защиты.

К техническим мерам защиты можно отнести:

  1. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  2. применение технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  3. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  4. оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  5. учет машинных носителей персональных данных;
  6. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
  7. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  8. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

Содержание правовых мер может быть отнесено в поле "Правовое основание обработки персональных данных". Иными словами, если в этом поле заполнены нормы локальных актов, на основании которых производится обработка, то, по мнению Роскомнадзора, их не нужно дублировать.

Заполнение поля "Дата начала обработки персональных данных"

Ведомство указывает, что это дата, которая указана в свидетельстве ИНН. Поэтому, по нашему мнению, в этом поле допустимо указывать дату, отличную от даты регистрации организации и ИП.

Подписание уведомления

Роскомнадзор отмечает, что уведомление должно быть подписано уполномоченным лицом. Таким лицом будет:

  • единоличный исполнительный орган, действующий на основании Устава (генеральный директор, директор, президент, управляющий);
  • руководитель или начальник, действующий на основании Положения;
  • представитель юридического лица, действующий на основании доверенности, в которой содержится соответствующее полномочие, в этом случае к уведомлению необходимо приложить документ, подтверждающий полномочия лица подписывать документы.

Иные лица не могут считаться уполномоченными подавать уведомление. Кроме того, в уведомлении обязательно должен быть указан исполнитель и его контактная информация (телефон, электронная почта).