Подача уведомления в Роскомнадзор

Понятие оператора персональных данных по 152-ФЗ

Роскомнадзор выступает в качестве уполномоченного органа по защите прав субъектов персональных данных. П.1 статьи 22 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» (152-ФЗ) устанавливает обязанность операторов персональных данных информировать Роскомнадзор о планах по обработке ПДн путем подачи уведомления.

Пункт 2 статьи 3 152-ФЗ закрепляет понятие «оператор» - функции оператора могут выполнять различные субъекты - от государственных структур до индивидуальных предпринимателей. Т.е., к числу операторов относятся все юридические лица, которые собирают информацию о своих сотрудниках, клиентах, покупателях, пациентах. Например, интернет-магазины, банки, больницы, госучреждения.

Право не отправлять уведомление в Роскомнадзор имеют компании, которые ведут обработку без использования средств автоматизации.

Нужна ли вам регистрация в реестре операторов персональных данных?

Требование распространяется на всех, кто осуществляют любые операции с личными данными физических лиц. Даже минимальный объем обработки ПДн требует официальной регистрации оператора персональных данных.

Регистрация в реестре необходима, если ваша организация:

Имеет сотрудников

Данные работников необходимы для заключения трудовых договоров, для других операций в рамках трудовых отношений - ведение кадрового учёта, расчет заработной платы, перечисление налогов.

Осуществляет подбор персонала

Для формирования и ведения кадрового резерва сотрудников.

Ведет базу с контактными данными клиентов.

Это может быть CRM-система, веб-ресурс для сбора заявок и обращений или бухгалтерская программа, в которой регистрируются договора, осуществляются финансовые расчеты с контрагентами.

Ведет электронный документооборот

В таких системах может вестись обработка обращений граждан, содержащих персональные данные.

Применяет СКУД

Система контроля и управления доступом содержит ФИО и фотографии людей, имеющих пропуск на вход в помещение.

Основные сложности при регистрации в Роскомнадзоре

При регистрации в реестре операторов персональных данных компании часто допускают типичные ошибки в оформлении документов. Самые распространенные из них:

1. Юридические основания для обработки указываются обобщенно, без ссылки на конкретные законодательные документы.
2. Некорректно формулируются цели обработки. Каждая цель должна быть продумана заблаговременно, четко сформулирована, иметь законные основания, соотноситься с видом деятельности организации.
3. Неверно составляется перечень данных для обработки. Необходимо указывать конкретные данные, например, ФИО, данные о рождении, стаж работы, налоговые и пенсионные идентификаторы.
4. Недостаточно детализируются меры защиты информации. Требуется подробно расписать механизмы по защите. Сюда должны быть включены как организационные меры с указанием внутренних нормативных актов компании, так и программно-технические решения.

Чтобы корректно заполнить уведомление в Роскомнадзор, потребуются специальные знания. Кроме необходимости правильно оформить документацию, также следует реализовать на практике все заявленные меры безопасности. Тем, кто впервые сталкивается с вопросами защиты ПДн, рекомендуется воспользоваться услугами профессионалов.

Что делать, если вы уже обрабатываете ПДн, но не состоите в реестре?

Процесс регистрации в реестре Роскомнадзора требует тщательной подготовки. Операторам персональных данных, которые еще не прошли регистрацию в реестре Роскомнадзора, можно действовать по такому плану:

1. Проведите комплексный аудит текущей деятельности по работе с ПДн - проанализируйте все процессы и механизмы защиты информации в вашей организации.
2. Разработайте внутреннюю документацию, регламентирующую обработку персональных данных. Это создание политики обработки ПДн, назначение ответственных лиц, разработка матрицы доступа, актов оценки вреда.
3. Установите технические средства защиты информации. Проведите консультации со специалистами в области информационной безопасности для выбора специального программного обеспечения, средств защиты информации.
4. Не откладывая, заполните форму уведомления и направьте ее в Роскомнадзор.
5. После отправки документа приступайте к полноценному внедрению всех норм 152-ФЗ, учитывая те обязательства по обработке, которые вы указали в уведомлении.
6. Если при внедрении какие-либо сведения изменились - оповестите Роскомнадзор до 15 числа следующего месяца.

Подача уведомления для регистрации в реестре Роскомнадзора

Официальная форма уведомления об обработке ПДн установлена распоряжением Роскомнадзора от 28 октября 2022 года №180.

Согласно статьи 22 152-ФЗ уведомление должно содержать следующую информацию:

• официальное название, контактные данные компании или физического лица, осуществляющего обработку;
• конкретные цели, для которых собираются персональные данные;
• подробное описание способов защиты информации, включая данные об используемых средствах шифрования в соответствии с требованиями статей 18.1 и 19 152-ФЗ.
• контактные данные ответственного за обработку ПДн, включая телефон, адрес проживания/нахождения и email;
• временные параметры: когда началась обработка, при каких обстоятельствах она будет завершена;
• осуществляется или нет трансграничная передача;
• расположение хранилища информационных массивов;
• список уполномоченных лиц, которые по договору имеют доступ к ПДн в государственных или муниципальных информационных системах.
• информацию о принятых мерах по защите ПДн согласно нормам защиты, установленным законодательством.

При оформлении уведомления оператор должен детально расписать для каждого направления работы с ПДн:

• какие категории персональных данных будут использоваться;
• данные каких субъектов планируется обрабатывать;
• законодательные основания обработки ПДн;
• какие действия предполагается совершать с персональными данными;
• какими способами будет производиться обработка.

Ответственность за обработку ПДн без регистрации в реестре

Законодательство предусматривает санкции за нарушение регистрации - на данный момент это административный штраф в размере до 5 тысяч рублей согласно статье 19.7 Кодекса об административных правонарушениях (КоАП).

Однако ситуация существенно изменится с 30 мая 2025 года. Новый федеральный закон №420-ФЗ, принятый 30.11.2024, внес серьезные коррективы в КоАП. Появилась дополнительная часть 10 в статье 13.11, устанавливающая ответственность за то, что организация не подала уведомление в Роскомнадзор о планируемой обработке персональных данных.

Изменения усиливают меры наказания. Конкретные суммы штрафных санкций представлены в таблице.

Чтобы избежать проблем, следует вовремя подать уведомление в Роскомнадзор о планах обработки ПДн.

Преимущества обращения в УЦ ПРОФИ

Законодательство в сфере защиты персональных данных постоянно ужесточается, штрафы за нарушения могут достигать внушительных сумм.

Специалисты нашей компании возьмут на себя все этапы регистрации в реестре операторов персональных данных – от подготовки документации до взаимодействия с Роскомнадзором.

Мы разработаем политику обработки персональных данных, составим необходимые регламенты и инструкции, внедрим технические средства защиты информации, поможем подать уведомление для успешной регистрации в реестре РКН.

Доверьте защиту персональных данных профессионалам с многолетним успешным опытом и всеми необходимыми лицензиями государственных регуляторов – ФСТЭК и ФСБ.