До 30 мая 2025 года максимальный штраф за ненаправление уведомления составляет 5 тыс. руб. по ст. 19.7 КоАП РФ. В отсутствие развитой практики привлечения к ответственности на фоне относительно невысокого штрафа многие компании игнорировали обязанность по включению в реестр операторов. Теперь ситуация кардинально поменяется: максимальный штраф для организаций и ИП за неуведомление Роскомнадзора составит 300 тыс. руб. Для должностных лиц штраф будет варьироваться от 30 тыс. руб. до 50 тыс. руб.

Порядок информирования ведомства

Содержание уведомления установлено Приказом от 28 октября 2022 г. № 180. Направить его можно одним из трех способов: 

• в бумажном виде (однако опять же форму необходимо заполнить на сайте, распечатать и отнести в Роскомнадзор); 
• в электронном виде с помощью УКЭП: форма заполняется на сайте, подписывается электронной подписью и направляется напрямую в ведомство; 
• в электронном виде при условии авторизации на портале госуслуг. 

После направления уведомления в течение 30 дней компания будет включена в реестр операторов.

Как проверить наличие компании в реестре? 

Об этом можно узнать на сайте ведомства. Для этого потребуется указать в поисковой строке ИНН или название фирмы. Если компании нет в реестре, то необходимо направить уведомление. Когда запись в реестре есть, рекомендуем проверить актуальность сведений.

В целом следует помнить, что в случае изменения сведений, указанных в направленном ранее уведомлении (например, изменился перечень центров обработки ПДн, либо ответственное лицо, либо перечень целей и т. д.), необходимо сообщить об этом в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем таких изменений.

При трансграничной передаче ПДн (т. е. передаче сведений иностранному лицу) необходимо направить отдельное уведомление. Стандартного будет недостаточно.

2

Назначьте ответственного за организацию обработки ПДн

Это одна из обязанностей оператора ПДн в силу ст. 22.1 Закона о персональных данных. Как правило, данное лицо назначается приказом руководителя. Информация о нем передается в Роскомнадзор вместе с уведомлением. Ответственный за организацию обработки ПДн, в частности, обязан:

• контролировать соблюдение в компании законодательства о ПДн. Так, указанный специалист проводит оценку вреда, который может быть причинен субъектам ПДн, а также соотносит вред с мерами, которые предпринимает оператор;
• вести просветительскую работу и доводить до сведения работников законодательные требования при работе с ПДн;
• организовывать прием и обработку обращений и запросов граждан.

Также имеет смысл сразу определить круг работников, которые будут иметь доступ к ПДн. С них следует взять обязательство о неразглашении.

3

Подготовьте необходимый пакет документов

Закон не устанавливает конкретного перечня актов, обязательных для оператора ПДн. Поэтому кратко обозначим документы, которые, как правило, необходимы для организации работы с ПДн.

1. Политика в отношении обработки персональных данных. Доступ к этому документу должен быть открытым, чтобы любое заинтересованное лицо имело возможность с ним ознакомиться. Как правило, политику публикуют на сайте компании.
2. Положение об обработке и защите персональных данных. От политики положение отличается своим характером и содержанием. Если политика – это открытый документ, доступный любому лицу, не имеющий строгих требований к содержанию, порядку принятия и ознакомления, то с положением ситуация совсем иная. Положение об обработке и защите ПДн – это локальный акт, общие требования к содержанию которого установлены в п. 2 ч. 1 ст. 18.1 Закона о персональных данных. Положение утверждается приказом руководителя, работники должны быть ознакомлены с ним под подпись. При этом закон не говорит о том, что положение и политика – это исключительно два отдельных документа. Компания вправе объединить их в один, однако на практике, как правило, их разделяют.
3. Типовые формы согласий на обработку ПДн. Важно понимать, что универсальной формы согласия на все случаи жизни не существует. Для каждой ситуации будет своя цель обработки, свой перечень ПДн, свой состав субъектов, соответственно, свое согласие. 
4. Приказы о выполнении мероприятий по организации обработки и обеспечению безопасности ПДн. Как правило, это приказы, утверждающие:
   • перечень информационных систем ПДн;
   • акт классификации информационных систем ПДн;
   • перечень лиц, допущенных к обработке ПДн;
   • лицо, ответственное за организацию обработки ПДн;
   • места хранения ПДн и список лиц, ответственных за данные места хранения, и т. д.

Минимизация перечня персональных данных

При работе с ПДн необходимо соблюдать одно важное правило: содержание и объем данных, которые вы обрабатываете, должны соответствовать цели обработки. Например: 

• при приеме разнорабочего работодателю, скорее всего, не нужна информация о месте работы его родственников и семейном положении;
• в случае оформления дисконтной карты магазину едва ли пригодятся паспортные данные покупателя;
• для записи на бесплатный вебинар организатору не нужны реквизиты банковской карты интернет-пользователя и его паспортные данные.

Чем меньше персональных данных собираете, тем меньше риск их утечки. Поэтому обрабатывайте только те данные, которые вам действительно необходимы.

4

Получите согласия на обработку ПДн

В целом согласие – это основное легитимирующее основание обработки ПДн, но не единственное. Закон предусматривает ряд ситуаций, когда согласие не требуется. Все они перечислены в ст. 6 Закона о персональных данных. Здесь обозначим основные:

• если обработка необходима для заключения или исполнения договора между субъектом и оператором (например, для продажи товара в магазине продавцу не нужно запрашивать у покупателя согласие на обработку ПДн);
• если обработка происходит при исполнении обязанностей, предусмотренных законом (например, для передачи сведений о работнике в СФР работодателю не нужно запрашивать согласие работника на такую передачу);
• если обработка необходима для обеспечения публичных интересов или государственной функции (например, суд не будет спрашивать согласия у участников процесса на публикацию информации о движении дела на сайте суда);
• если обработка необходима для обеспечения жизненно важных интересов граждан;
• если у оператора есть законный интерес на такую обработку.

Если ваша обработка не подпадает ни под одно ограничение, то необходимо получить согласие на обработку ПДн.

Важно понимать, что работа с персональными данными при отсутствии письменного согласия, когда такое требуется в силу закона, может повлечь штраф в размере до 700 тыс. руб. для компаний и до 300 тыс. руб. для должностных лиц (ч. 2 ст. 13.11 КоАП РФ).

5

Организуйте безопасное хранение данных

Согласно ст. 87 Трудового кодекса порядок хранения персональных данных работодатель устанавливает самостоятельно. Тут главное условие – организовать процесс таким образом, чтобы сведения были защищены от незаконного использования. Большинство организаций использует электронные системы хранения и обработки данных. В связи с этим работодатель должен обеспечить их защиту в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных. Конкретные организационные и технические меры предусмотрены в Приказе ФСТЭК от 18 февраля 2013 г. № 21.

Своевременное информирование об утечках ПДн

В случае выявления утечки персональных данных (т. е. их неправомерной или случайной передачи) у вас есть:

• всего 24 часа на то, чтобы уведомить Роскомнадзор об утечке, ее возможных причинах, предполагаемом вреде, последствиях и о контактном лице для ведомства;
• всего 72 часа на то, чтобы сообщить ведомству результаты внутреннего расследования утечки.

Важно учитывать, что речь идет не о рабочих часах, а об обычных 60 минутах. Невыполнение или несвоевременное исполнение данной обязанности с 30 мая обойдется должностным лицам штрафом от 400 тыс. до 800 тыс. руб., организациям и ИП – от 1 млн до 3 млн руб. 

При этом за саму утечку ответственность будет следующая.

Персональные данные – это не разовый проект, а постоянный процесс. Законодательство о персональных данных постоянно меняется и совершенствуется. Например, локальные акты, которые были актуальны в 2022 году, на сегодняшний день однозначно потребуют обновления. Каждый год законодатель вводит новые требования и новую ответственность за те или иные нарушения. Поэтому держать руку на пульсе крайне важно. Построение комплексной системы управления обработкой и защитой ПДн в компании – процесс, к которому надо подходить на ежедневной основе вне зависимости от масштаба вашего бизнеса.