Когда нужно и не нужно уведомлять Роскомнадзор
Общее правило такое: уведомлять об обработке персональных данных должны все госорганы, компании, ИП и даже обычные граждане, у которых есть хотя бы один работник или клиент-физлицо. Например, репетитор, сантехник или тамада без статуса ИП тоже обязаны сообщить об обработке данных своих клиентов.
Исключения есть, но их немного. Можно не подавать уведомление, когда цель обработки заключается в защите:
- общественного порядка;
- государственной безопасности;
Есть еще одно исключение, оно касается способа обработки. Если вы обрабатываете данные вручную, уведомление можно не направлять. Имеется в виду ситуация, когда все операции с данными выполняет человек, а не алгоритм какой-то программы.
Важно
До сентября 2022 года исключений было больше. Не нужно было уведомлять об обработке, если она проводилась для заключения и исполнения договора, а также в рамках трудовых отношений. Сейчас этих исключений уже нет.
Как заполнить уведомление
Посмотрим, какие сведения нужно включить в уведомление.
Сведения об операторе. Оператор — это тот, кто обрабатывает персональные данные. Пропишите тут все необходимые сведения. Например, реквизиты организации, если вы подаете уведомление от имени юридического лица, или паспортные данные для оператора - физического лица.
Цели обработки персональных данных. Просто перечислить цели через запятую нельзя, про каждую нужно написать отдельно и указать ряд сведений, в частности:
- категории персональных данных;
- категории субъектов;
- способы обработки.
Пример
Оператор обрабатывает персональные данные работников и клиентов. В первом случае целью обработки будет исполнение требований трудового законодательства, во втором — осуществление своей основной деятельности. Каждую из этих целей нужно расписать отдельно.
Дата начала обработки персональных данных. Это день основания организации. Даже если вы подаете уведомление в 2024 году, а организация была основана в 2015 году, все равно укажите в качестве даты 2015 год. Именно тогда началась обработка.
Трансграничная передача. Если вы передаете персональные данные в другие страны, на это нужно указать в уведомлении. Кроме того, в этом случае нужно еще подать отдельное уведомление. О том, как это сделать без ошибок, читайте в нашей статье.
Срок или условие прекращения обработки персональных данных. Укажите, когда планируете прекратить обработку. Это может быть конкретная дата или указание на событие. Например, прекращение деятельности оператора.
Обеспечение безопасности персональных данных. Пропишите, что вы сделали, чтобы персональные данные были в безопасности. Например, назначили ответственного, ограничили допуск к документам, отвели под хранение отдельное помещение, обезопасили базы данных.
Ответственный за обработку персональных данных. Именно этого сотрудника привлекут к ответственности, если выявят нарушения. Ответственным может быть любой сотрудник организации, но только если его можно назвать должностным лицом. У него должна быть возможность распоряжаться имуществом либо влиять на рабочие процессы и действия работников (ст. 2.4 КоАП РФ). Иначе это не должностное лицо.
Например, если назначить ответственной за обработку персональных данных уборщицу, это не значит, что ее привлекут к ответственности как должностное лицо. Отвечать все равно будет руководитель организации.
Важно
Информация в уведомлении должна совпадать с информацией в документах оператора. Например, цель обработки в уведомлении должна звучать так же, как и в политике по персональным данным организации.
Как подать уведомление
Есть несколько способов уведомить Роскомнадзор об обработке. Расположили их от самого удобного к менее удобному.
1. Через Портал Роскомнадзора. Тут можно заполнить уведомление с помощью онлайн-формы и сразу направить в ведомство. Понадобится усиленная квалифицированная электронная подпись или авторизация на Госуслугах.
2. В бумажном виде с помощью Портала Роскомнадзора. Можно заполнить уведомление онлайн, но затем не отправлять его электронно, а распечатать и отправить почтой либо принести лично.
3. В бумажном виде скачать форму уведомления, заполнить, распечатать и отправить почтой либо принести лично. Скачивайте шаблон из приказа Роскомнадзора от 28.10.2022 № 10, удобно взять из КонсультантПлюс. Там же можно посмотреть образцы заполнения:
Что делать после подачи уведомления
Когда уведомление подано, Роскомнадзор дает ему номер и ключ и направляет их заявителю по электронной почте, указанной в заявлении. С их помощью вы можете проверить статус рассмотрения на портале ведомства. В результате вам присвоят номер в реестре операторов персональных данных. Проверить, если ли вы в реестре, можно на сайте Роскомнадзора.
На этом взаимодействие с Роскомнадзором заканчивается. Если у вас появляется новый клиент или сотрудник, никаких дополнительных отчетов после внесения в реестр подавать не нужно. Но о некоторых изменениях вы должны уведомить ведомство. Смотрите эти случаи в таблице.
Когда нужно подать уведомление в Роскомнадзор
Причина 1. Изменилась информация, которая входила в состав изначального уведомления | ||
| Пример | В какой срок нужно уведомить | Форма |
У компании:
| Не позднее 15 дней месяца, следующего за месяцем, в котором произошли изменения Пример. 23 июля 2024 года руководитель назначил нового сотрудника ответственным за обработку персональных данных. Уведомление нужно подать не позднее 15 августа 2024 года. | Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных Скачайте из КонсультантПлюс |
Причина 2. Компания прекратила обработку персональных данных | ||
| Пример | В какой срок нужно уведомить | Форма |
| Компания ликвидировалась или прошла реорганизацию | 10 рабочих дней со дня, когда прекратилась обработка персональных данных
| Уведомление о прекращении обработки персональных данных Скачайте из КонсультантПлюс |
Как наказывают за неподачу уведомления и что может измениться
Отдельной ответственности за неподачу уведомления нет, но могут оштрафовать по общей статье 19.7 КоАП РФ за непредставление информации контролерам. Штрафы относительно небольшие.
При этом сейчас Госдума рассматривает проект закона, который выделяет этот состав в отдельное нарушение, и ответственность могут увеличить. Показали в таблице, как могут вырасти штрафы.
Как может измениться ответственность за неподачу уведомления об обработке персональных данных
| Кто отвечает | Размер штрафа сегодня (ст. 19.7 КоАП РФ) | Планируемый размер штрафа (законопроект № 502104-8) |
| Граждане | 100–300 рублей | 5 000–10 000 рублей |
| Должностные лица | 300–500 рублей | 30 000–50 000 рублей |
| Компании | 3 000–5 000 рублей | 100 000–300 000 рублей |
Пока это проект закона. На дату публикации статьи он прошел первое чтение. Но если вы еще не подали уведомление об обработке персональных данных, советуем сделать это в ближайшее время, пока ответственность не ужесточилась. Подробнее о том, как заполнить и направить уведомление, читайте в Путеводителе КонсультантПлюс.
