Уведомление Роскомнадзора об обработке персональных данных

С 30 мая 2023 года вступили в силу существенные изменения в административном законодательстве, многократно увеличивающие штрафы за нарушения в сфере обработки персональных данных. На этом фоне многие компании впервые столкнулись с необходимостью официального уведомления Роскомнадзора о своей деятельности как операторов персональных данных.

Кто обязан уведомлять Роскомнадзор?

Важно понимать: обработкой считается не только систематизированное хранение данных в базах, но и любые единичные операции с персональной информацией, включая:

• Сбор через формы обратной связи на сайте

• Ведение клиентских карточек

• Оформление пропусков для сотрудников

• Использование аналитических сервисов типа Яндекс.Метрики

• Хранение резюме соискателей

Таким образом, если ваша компания каким-либо образом фиксирует, хранит или использует ФИО, телефоны, адреса, паспортные данные или иную личную информацию физических лиц, вы являетесь оператором персональных данных и обязаны уведомить об этом Роскомнадзор.

Когда уведомление не требуется?

Закон предусматривает несколько исключений, когда подача уведомления не обязательна.

1. Данные в государственных системах безопасности

Если персональные данные включены в государственные информационные системы, созданные для обеспечения безопасности государства и общественного порядка, уведомлять Роскомнадзор не нужно. Это касается, например, данных в системах МВД, ФСБ или других силовых ведомств.

2. Ручная обработка без автоматизации

Исключение распространяется на случаи, когда обработка персональных данных осуществляется исключительно вручную, без использования каких-либо средств автоматизации. Однако на практике такое встречается крайне редко — даже обычный Excel или бумажный журнал учёта считаются средствами автоматизации по позиции Роскомнадзора.

3. Транспортная безопасность

Не требуется уведомление при обработке данных в рамках законодательства о транспортной безопасности, когда это необходимо для защиты транспортного комплекса от актов незаконного вмешательства.

4. Иные специальные случаи

Также не нужно уведомлять регулятора, если обработка данных осуществляется:

• Трудовыми договорами с сотрудниками

• Договорами с физическими лицами, не требующими передачи данных третьим лицам

• Для однократного пропуска на территорию организации

Во всех остальных случаях уведомление Роскомнадзора обязательно и должно быть подано до начала фактической обработки персональных данных.

Ответственность за неподачу уведомления

С 30 мая 2023 года штрафы за нарушения в сфере персональных данных существенно увеличены. За неподачу уведомления об обработке персональных данных или предоставление недостоверных сведений предусмотрена ответственность по статье 19.7 КоАП РФ:

• Для должностных лиц — от 10 000 до 20 000 рублей

• Для ИП — от 10 000 до 20 000 рублей

• Для юридических лиц — от 30 000 до 50 000 рублей

При повторном нарушении штрафы могут достигать 100 000 рублей для организаций. Кроме того, Роскомнадзор вправе приостановить обработку данных до устранения нарушений, что может парализовать работу компании.

В 2023 году Роскомнадзор активизировал рассылку предписаний о необходимости подачи уведомлений. Если ваша компания ещё не внесена в реестр операторов персональных данных, рекомендуем сделать это как можно скорее, не дожидаясь проверки.

Что происходит после подачи уведомления?

После получения уведомления Роскомнадзор в течение 30 дней обязан внести сведения об операторе в специальный реестр. Этот реестр является открытым и доступен для проверки на официальном сайте ведомства.

Факт внесения в реестр подтверждается:

• При электронной подаче — автоматическим уведомлением в личном кабинете

• При бумажной подаче — письмом на официальном бланке Роскомнадзора

Важно: внесение в реестр не означает одобрения ваших действий по обработке данных. Роскомнадзор лишь фиксирует факт уведомления. В любой момент ведомство может провести проверку соответствия вашей деятельности заявленным целям обработки.

Частые ошибки при подаче уведомления

На практике многие организации допускают типичные ошибки, которые могут привести к отказу во внесении в реестр или последующим санкциям:

1. Неполное указание целей обработки

Часто компании указывают только основные цели (например, трудовые отношения), забывая про маркетинг, клиентские базы или иные направления работы с персональными данными.

2. Неверное определение категорий данных

Важно точно указать, какие именно данные обрабатываются — только ФИО или также контакты, паспортные данные, биометрика и т.д.

3. Отсутствие актуальной информации

При изменении юридического адреса, названия компании или иных реквизитов необходимо в течение 10 рабочих дней уведомить Роскомнадзор об изменениях.

4. Пропуск сроков подачи

Уведомление должно быть подано до начала фактической обработки данных, а не постфактум при обнаружении нарушения.

Профессиональная помощь в подаче уведомления

Хотя формально процедура подачи уведомления не сложна, на практике правильное заполнение всех полей формы требует понимания тонкостей законодательства о персональных данных. Юристы нашей компании предлагают комплексные услуги по сопровождению процесса уведомления Роскомнадзора:

• Анализ деятельности компании на предмет обязательности уведомления

• Подготовка полного перечня целей и категорий обработки данных

• Заполнение формы уведомления с учётом специфики бизнеса

• Электронная подача документа с нашей ЭП или сопровождение бумажной подачи

• Контроль внесения в реестр операторов

• Помощь в подготовке сопутствующих документов (политика обработки ПДн, согласия и т.д.)

Также мы оказываем услуги по аудиту текущего состояния защиты персональных данных в организации и приведению всех процессов в соответствие с требованиями 152-ФЗ.

Если у вас остались вопросы по подаче уведомления в Роскомнадзор или требуется профессиональная помощь в оформлении документов, оставьте заявку на консультацию нашего специалиста по защите персональных данных.