1. Уведомление не на фирменном бланке
- Документ должен быть оформлен на бланке организации или содержать печать.
- Также необходимо указать исходящий номер и дату.
- Если у ИП или организации нет печати или бланка — допустимо использовать в шапке полные реквизиты.
2. Некорректное указание адреса оператора
- Следует указывать юридический (почтовый) адрес оператора — тот, что зарегистрирован в ЕГРЮЛ/ЕГРИП.
- Нужно ли дополнительно указывать фактический адрес? Это стоит уточнить в территориальном управлении Роскомнадзора.
- Не допускается:
- отсутствие индекса;
- отсутствие улицы, номера, дома, корпуса (если он фактически есть);
- несоответствие адреса в уведомлении и в реестре.
3. Неправильное указание правового основания обработки
- Часто указывают только Закон № 152-ФЗ, но этого недостаточно.
- Нужно ссылаться на отраслевые нормативно-правовые акты, устав, лицензии, положения и локальные акты (например, положение о ПДн, приказы, уставы ООО, лицензии и т.д.).
4. Общие и неконкретные формулировки цели обработки
- Цели должны быть привязаны к видам деятельности, зафиксированным в уставе.
- Распространённые цели:
- ведение бухгалтерского и кадрового учёта;
- сдача налоговой, статистической и персонифицированной отчетности;
- оказание услуг или выполнение работ.
5. Ошибки в разделе «Категории персональных данных»
- Нельзя указывать категории лиц вместо категорий данных.
- Недопустимы формулировки вроде "и др.", "и т. п.".
- Документы (паспорт, ИНН, СНИЛС) — не категория ПДн, а носители.
- Указывать нужно конкретные данные, например:
- ФИО,
- дата и место рождения,
- адрес,
- образование,
- доход,
- состояние здоровья и т. д.
При заполнении поля необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т-2 (если личные карточки ведутся), а также добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.
Если вы подаёте уведомление через портал Роскомнадзора и не находите нужную категорию — используйте поле «Другие категории персональных данных».
6. Ошибки при указании категорий субъектов ПДн
- Указывать нужно категории физических лиц и характер отношений (например, трудовые, договорные).
- Примеры:
- работники организации,
- заказчики услуг,
- родители учащихся,
- пенсионеры — получатели выплат.
- Нельзя указывать юридических лиц или использовать обобщения типа "и прочее".
7. Недочёты в описании действий с персональными данными
- Нужно выбирать только те действия, которые реально выполняются: сбор, хранение, уточнение, передача, уничтожение и т. д.
8. Поверхностное описание мер по обеспечению безопасности ПДн
- Нельзя просто скопировать текст из образца.
- Требуется указать конкретные меры, которые действительно применяются:
- использование шифрования (усиленные квалифицированные электронные подписи),
- защита информационных систем,
- контроль доступа,
- ведение журналов учёта,
- оценка эффективности мер и пр.
Если применяются криптосредства — обязательно укажите название, производителя, регистрационный номер и уровень защиты.
9. Ошибки в дате начала обработки ПДн
- Роскомнадзор рекомендует указывать дату из свидетельства ИНН, а не обязательно дату регистрации организации.
10. Подписание уведомления неуполномоченным лицом
- Подписывать уведомление может:
- генеральный директор;
- руководитель подразделения;
- представитель по доверенности (нужно приложить доверенность).
- В уведомлении обязательно указываются контактные данные исполнителя — телефон и email.