Типичные ошибки при заполнении уведомлений об обработке персональных данных
Скачать 43.61 Kb.
|
| Типичные ошибки при заполнении уведомлений об обработке персональных данных В представленных в Территориальные управления Роскомнадзора в 2007–2009 гг. уведомлений об обработке персональных данных операторами допускаются следующие типичные ошибки при их заполнении: 1. Поле «Наименование (фамилия, имя, отчество), адрес оператора» - не указан (не полностью указан) адрес оператора (например, не указаны почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус – если имеются), ИНН - несоответствие полного наименования организации на бланке и (или) печати и в уведомлении. Необходимо точное соответствие. 2. Поле «Правовое основание обработки персональных данных» Операторы не указывают соответствующие статьи и номер закона или иного нормативного правового акта, регулирующих осуществляемый вид деятельности и касающихся обработки персональных данных. Не стоит ограничиваться статьями ФЗ «О персональных данных», желательно указывать соответствующие статьи Трудового кодекса, Указов Президента РФ, Постановлений Правительства РФ и других НПА. 3. Поле «Цель обработки персональных данных» Необходимо указать как цели, указанные в учредительных документах (уставе, учредительном договоре, положении) оператора, так и цели фактически осуществляемой оператором деятельности. Например: - «осуществление полномочий органа власти по ….» - «выполнение государственных функций по ….» - «оказание государственных (муниципальных) услуг по …» - «оказание (предоставление) услуг по ….» - «выполнение работ по ….» - «осуществление … деятельности …» Соответствующие виды деятельности отражаются в общероссийских классификаторах услуг, видов деятельности (ОКУН, ОКВЭД) и т.д. 4. Поле «Категории персональных данных» Операторы зачастую указывают фразы типа «и др.», «и т.п.» «другая информация». Необходимо указывать все конкретные категории, например: фамилия, имя, отчество, год, месяц, дата рождения, место рождение, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни; биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность - данные изображения отпечатка пальца, изображения лица, изображения радужной оболочки глаза и т.д.). 5. Поле «категории субъектов, персональные данные которых обрабатываются» Операторы указывают не все категории субъектов, при этом из текста уведомления видно, что обрабатываются данные других категорий. Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором). Слово «и др.» писать не нужно! 6. Поле «Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных» Операторы не указывают конкретный перечень действий с персональными данными; конкретные способы обработки: - неавтоматизированная обработка персональных данных; - исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой; - смешанная обработка персональных данных с передачей полученной информации по сети или без таковой. Наиболее частая ошибка – отсутствие либо нечеткое указание на порядок передачи информации при смешанной и (или) автоматизированной обработке. Необходимо четко указывать соответствующие варианты: «информация передается по внутренней сети юридического лица» «информация не передается по внутренней сети юридического лица» «информация доступна лишь для строго определенных сотрудников» «информация передается с использованием сети общего доступа Интернет» «без передачи полученной информации» 7. Поле «Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке» При заполнении данного поля уведомления либо вообще отсутствует описание мер, либо нет их четкого раскрытия. Необходимо указать конкретные организационные и технические меры, в том числе факт использования шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке. К организационным мерам можно отнести: принятие локальных нормативных актов (внутренних документов – приказов, положений, регламентов, перечней сведений и т.д.) организации. К техническим мерам можно отнести: - защита от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах), - защита паролем компьютеров с персональными данными, - использование системы паролей при работе в сети (портале) - ограничение доступа к компьютерной технике для определенных категорий работников, При смешанной обработке указывается перечень мер по обеспечению безопасности персональных данных на бумажных носителях и на электронных носителях. 8. Поле «Дата начала обработки персональных данных» Операторы указывают месяц и год или только год. Необходимо указать конкретную фактическую дату начала совершения действий с персональными данными. 9. Поле «Срок или условие прекращения обработки персональных данных» Операторы зачастую не заполняют данное поле вообще. Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных – например «ликвидация юридического лица», «аннулирование лицензии на осуществление соответствующего вида деятельности». |
Похожие:
 | По результатам анализа, поступающих в территориальные органы Роскомнадзора уведомлений об обработке персональных данных выявлены... |  | Чтобы не пропустить поля, обязательные для заполнения, заполняйте уведомление (информационное письмо) с помощью портала персональных... |
| Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том... | | Справа в верхнем углу размещен баннер «Портал персональных данных», нажать на картинку |
| «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных», Постановлением... | | Фстэк россии и фсб россии в целях обеспечения безопасности персональных данных (далее – пдн) при их обработке в информационных системах... |
| Постановлением Правительства Российской Федерации от 01 ноября 2012 г №1119 «Об утверждении требований к защите персональных данных... | | Настоящее положение принято в целях обеспечения требований защиты прав граждан при обработке персональных данных |
| При заключении указанного договора вы даете согласие оператору на обработку своих персональных данных. Кроме своих персональных данных,... | | Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных... |