Журнал

Типичные ошибки при заполнении уведомлений о персональных данных в Роскомнадзор

Организации регулярно допускают ошибки при подаче уведомлений в Роскомнадзор, что приводит к возврату документов и задержкам в регистрации. Семь основных категорий ошибок касаются оформления документов, заполнения обязательных полей и указания правовых оснований обработки данных.

Обязательные поля информационного письма

Информационное письмо требует заполнения только измененных полей, но базовые реквизиты указываются полностью
Информационное письмо отличается от первичного уведомления составом обязательных полей. При подаче изменений заполняются:
  • Наименование оператора
  • Сокращенное наименование оператора
  • Адрес оператора (местонахождения и почтовый)
  • ИНН
  • ОГРН
Остальные поля заполняются только при внесении изменений. Важно: информация в поле заменяется полностью, а не дополняется.
Для исключения ошибок рекомендуется использовать портал персональных данных https://pd.rkn.gov.ru/operators-registry/notification/

Ошибки оформления документов

Уведомление должно соответствовать требованиям делопроизводства и быть оформлено уполномоченным лицом

Неправильное оформление бланка

Уведомление оформляется на официальном бланке организации или заверяется печатью на подписи руководителя. Документ регистрируется с присвоением исходящего номера и даты.

Подписание неуполномоченным лицом

Правом подписи обладают:
  • Единоличный исполнительный орган согласно уставу (генеральный директор, директор, президент, управляющий)
  • Руководитель, действующий на основании положения
  • Представитель по доверенности с соответствующими полномочиями
При подписании по доверенности к уведомлению прикладывается документ, подтверждающий полномочия.

Отсутствие контактной информации

Поле «Исполнитель» заполняется обязательно для обеспечения обратной связи с лицом, подготовившим документ.

Ошибки в адресных данных и наименовании

Адресные данные должны полностью соответствовать сведениям ЕГРЮЛ и включать все обязательные элементы

Неполный адрес оператора

В адресе указываются все компоненты:
  • Почтовый индекс
  • Муниципальный район (для районных организаций)
  • Улица, номер дома, корпус
Почтовый адрес соответствует регистрации в ЕГРЮЛ (ЕГРИП), адрес местонахождения - фактическому месту деятельности.

Несоответствие наименования

Наименование в уведомлении должно точно соответствовать:
  • Указанному на бланке организации
  • Данным печати
  • Сведениям ЕГРЮЛ

Неточности в указании филиалов

Под филиалами понимаются все территориально обособленные подразделения: отделения, корпуса, отделы, магазины, имеющие отношение к оператору.

Неправильное указание правовых оснований

Федеральный закон "О персональных данных" не является правовым основанием для обработки данных, а регулирует отношения в этой сфере

Ссылка только на базовый закон

Операторы часто указывают только Федеральный закон от 27.07.2006 №152-ФЗ “О персональных данных”. Этот закон регулирует отношения по обработке данных, но не дает правовых оснований для обработки.

Правильное указание оснований

Указываются все отраслевые нормативные акты с полными реквизитами:
  • Дата принятия
  • Номер документа
  • Полное наименование

Примеры правовых оснований:

  • Устав ООО от [дата] №[номер]
  • Положение об [наименование] от [дата] №[номер]
  • Лицензия на [вид деятельности] от [дата] №[номер]
Обязательно указываются локальные акты:
  • Положение об обработке персональных данных
  • Приказы и инструкции по защите данных

Неточности в целях обработки данных

Цели обработки определяются уставной деятельностью и обязательными функциями любой организации
При определении целей учитываются:
Уставная деятельность - основные виды деятельности согласно учредительным документам
Обязательные функции:
  • Бухгалтерский учет
  • Кадровый учет работников
  • Обработка данных членов семей работников (при наличии соответствующих документов)
Для ИП характерна формулировка “подача отчетности в федеральные органы исполнительной власти”.

Типовые формулировки целей:

  • “осуществление полномочий органа власти по [направление]”
  • “выполнение государственных функций по [направление]”
  • “оказание государственных (муниципальных) услуг по [направление]”
  • “оказание услуг по [направление]”
  • “выполнение работ по [направление]”
  • “осуществление [вид] деятельности”

Ошибки в категориях персональных данных

Категории данных должны быть конкретными и исчерпывающими, без использования общих формулировок и сокращений

Неправильные формулировки

Недопустимо указывать:
  • Персональные данные конкретных лиц
  • Фразы “и др.”, “и т.п.”, “другая информация”
  • “Анкетные данные” без конкретизации
  • Названия документов (паспорт, водительские права)
Документы являются носителями персональных данных, а не категориями.

Правильное указание категорий

Конкретные категории персональных данных:
  • Фамилия, имя, отчество
  • Дата рождения, место рождения
  • Адрес регистрации и проживания
  • Семейное, социальное, имущественное положение
  • Образование, профессия, доходы
  • Расовая, национальная принадлежность
  • Политические взгляды, религиозные убеждения
  • Состояние здоровья

Алгоритм заполнения

  1. Перечислить категории из формы кадрового учета Т2
  2. Добавить категории по другим видам деятельности
  3. При исчерпании позиций портала перейти к полю “Другие категории персональных данных”
  4. Указать оставшиеся категории (данные документов, ИНН, СНИЛС)

Ошибки в категориях субъектов данных

Категории субъектов определяются целями обработки и видами правоотношений с физическими лицами

Неполное указание субъектов

Исключаются:
  • Фразы “и др.”, “и т.п.”
  • Упоминание юридических лиц
  • Неполный перечень категорий

Правильное определение категорий

Категории субъектов “вытекают” из целей обработки. Указываются категории физических лиц и виды отношений:
Трудовые отношения:
  • Работники организации
  • Лица в договорных отношениях
  • Члены семей работников (при обработке соответствующих данных)
По видам деятельности:
  • Заказчики, клиенты, пассажиры
  • Учащиеся и их родители (для образовательных учреждений)
  • Пациенты (для медицинских организаций)
  • Получатели социальных услуг
Представители:
  • Законные представители физических лиц
  • Законные представители юридических лиц

Неточности в описании действий и способов обработки

Указываются только действия, которые оператор фактически совершает с персональными данными
Из перечня действий статьи 3 Федерального закона “О персональных данных” выбираются применимые операции.
Типичный набор действий: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, уничтожение.

Ошибки в описании мер безопасности

Меры безопасности описываются конкретно с указанием применяемых технических и организационных решений

Копирование примеров

Недопустимо копировать текст из примеров заполнения без анализа применимости к деятельности оператора.

Правильное описание мер

Организационные меры:
  • Определение угроз безопасности персональных данных
  • Установление правил доступа к данным
  • Учет машинных носителей
  • Контроль принимаемых мер защиты
Технические меры:
  • Применение сертифицированных средств защиты
  • Обнаружение несанкционированного доступа
  • Восстановление поврежденных данных
  • Регистрация действий с персональными данными

Криптографические средства

При использовании ЭЦП заполняется раздел “использование шифровальных средств” с указанием:
  • Наименования криптографических средств
  • Регистрационных номеров
  • Производителей
  • Уровней защиты

Классификация информационных систем

При проведенной классификации указывается класс информационных систем персональных данных согласно Приказу от 13.02.2008 №55, №86, №20.

Дата начала обработки персональных данных

Датой начала обработки является дата, указанная в свидетельстве о постановке на учет в налоговом органе
Фактически это дата из свидетельства ИНН организации или индивидуального предпринимателя.

Используемые нормативные акты

  • Федеральный закон от 27.07.2006 №152-ФЗ “О персональных данных”
  • Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 №55/86/20 “Об утверждении Порядка проведения классификации информационных систем персональных данных”
  • Методические рекомендации ФСБ России от 21.02.2008 №149/5-144 по обеспечению безопасности персональных данных криптографическими средствами

Вопросы по применению инструкции

Можно ли подать информационное письмо в бумажном виде

Информационное письмо можно подать как через портал персональных данных, так и в бумажном виде. При бумажной подаче документ должен быть оформлен на бланке организации или заверен печатью.

Что делать при ошибке в уже поданном уведомлении

При обнаружении ошибки подается информационное письмо с исправленными данными. В полях указывается корректная информация полностью, поскольку содержание заменяется, а не дополняется.

Кто может подписать уведомление при отсутствии руководителя

При отсутствии руководителя уведомление подписывает лицо, исполняющее его обязанности на основании приказа, или представитель по доверенности с соответствующими полномочиями.

Нужно ли указывать данные всех работников в категориях субъектов

В категориях субъектов указываются не конкретные лица, а категории: “работники организации”, “лица в трудовых отношениях”. Персональные данные конкретных физических лиц не указываются.
2025-06-28 10:00 Вопрос-ответ Прочее