Регистрация в реестре Роскомнадзора: когда требуется и как ее провести

Оператором персональных данных (ПД) является юридическое или физическое лицо, которое вместе с другими организациями или гражданами либо самостоятельно собирает, хранит и обрабатывает ПД, а также определяет состав сведений, цели и методы их обработки.
В соответствии с Законом № 152-ФЗ любая действующая компания считается оператором ПД, так как работает с информацией, например, о сотрудниках, клиентах. Однако не каждая организация обязана направлять уведомление в Роскомнадзор и предоставлять данные о своей деятельности в реестр. Расскажем в статье, в каких случаях необходимо направлять уведомление, как это сделать и не допустить распространенных ошибок, а также какие изменения внесены в законодательство.

Что такое ПД

Персональные данные — это сведения позволяющие установить личность человека. Например, ФИО, реквизиты паспорта, адрес регистрации, фото, телефон.
Информация используется для найма персонала, работы с клиентами, заключения контрактов, продажи товаров.

Категории ПД

В зависимости от целей обработки информации выделяют следующие виды:

  1. В отношении работников компании — личные сведения, которые собирают в процессе трудоустройства и работы (СНИЛС, паспорт, ИНН, результаты освидетельствований в медучреждениях, номера карт для выплаты заработной платы).
  2. Касательно бизнес-партнеров и клиентов. Хранятся с целью выполнения обязательств по договорам и оказания услуг (контакты для осуществления доставки, банковские счета).

О пользователях интернет-ресурсов (cookies, IP-адреса, email, телефоны, имена, истории посещений).

Обязанности оператора персональных данных

Основной обязанностью лица, работающего с ПД, является неразглашение конфиденциальных сведений. Если информация больше не нужна, она подлежит уничтожению.
Кроме того, компания, осуществляющая действия с личными данными, должна:
•   разъяснять гражданам, которые сообщают сведения о себе, для чего они запрашиваются и как будут использоваться;
•   разработать политику обработки ПД. Документ необходимо разместить на корпоративном сайте либо в другом месте, доступном для любого пользователя;
•   защищать информацию, то есть ограничить доступ к ней посторонних лиц, принять меры к предотвращению атак хакеров;
•   уничтожать ПД после того, как клиент прекратил взаимодействие с организацией.
Правила работы с персональными данными регламентированы ФЗ № 152 от 26.07.2006 г.

Когда требуется уведомлять Роскомнадзор

Передача информации в реестр обязательна при обработке ПД:
•   полученных в соответствии с ТК РФ;
•   хранящихся на основании подписанного с субъектом договора, если оператору запрещено распространять сведения, передавать их третьим лицам. Разрешено использовать исключительно для исполнения указанного контракта;
•   в отношении участников религиозных или общественных организации, когда информация о них не может быть передана третьим лицам без их на то согласия;
•   касательно гражданина, который сделал информацию о себе общедоступной;
•   включающих только ФИО;
•   которые требуются однократно, например, чтобы оформить пропуск на территорию.
Организации обязаны не просто подавать уведомление. Им необходимо разработать локальные документы, в которых отражены способы защиты сведений о субъектах ПД. Кроме того, оператор должен соблюдать требования закона в отношении правил обработки конфиденциальной информации.

Как работать с персональными данными

Компании обязаны иметь документацию, назначать ответственных лиц и предпринимать меры для обеспечения безопасности личных сведений.

Документы

Основным актом является Политика обработки ПД, которая должна быть доступна для ознакомления всем заинтересованным лицам. В ней содержатся сведения о способах сбора, хранения и обработки данных. Если деятельность компании подразумевает распространение данных, это должно быть отражено в Политике.
Необходимо иметь инструкции и правила для персонала. Прописывается порядок работы с базой и метод реагирования в случае утечки. При разработке документации учитывается специфика деятельности организации и ее цели, а также категория информации, с которой осуществляется работа.
С ответственными работниками должно быть подписано соглашение, запрещающее разглашение информации о субъектах ПД.
Следует вести реестр, то есть список или таблицу, в которой отражены все проводимые операции. Роскомнадзор вправе запросить документ, чтобы убедиться в соблюдении требований законодательства.

Назначение ответственных

Для утверждения сотрудников, уполномоченных работать с базами, издается специальный приказ. Обязанности работников регламентированы статьей 22.1 Закона 152-ФЗ:

  1. Контролировать внутри предприятия соблюдение персоналом требований закона, в том числе касательно защиты ПД.
  2. Проводить инструктаж сотрудников относительно порядка работы с личной информацией.

Принимать и обрабатывать обращения субъектов ПД либо их представителей.

Руководство предприятия должно регулярно организовывать внутренние проверки на предмет соблюдения коллективом правил.
Организационные и технические меры по обеспечению безопасности ПД
К основным действиям, которые обязана осуществлять компания, чтобы защитить личные данные, относятся:
•   Проверка автоматизированных систем на предмет угроз.
•   Применение проверенных программ для работы с информацией.
•   Восстановление сведений, которые были утеряны вследствие атак.
Доступ к информации должны иметь только те сотрудники, которым это действительно необходимо для исполнения должностных обязанностей, и только в пределах их полномочий. То есть менеджер по работе с клиентами может видеть сведения о заказчиках, но не заработные платы других работников.
Для осуществления действий с ПД должно использоваться только зарегистрированное на территории России оборудование. Несоблюдение этого условия влечет наложение штрафа на организацию. При первом нарушении — до 6 млн руб. (для должностных лиц — до 20 тыс. руб.). В случае повторного несоблюдения требований закона: для юрлиц — до 18 млн руб., для ответственных работников — до 800 тыс. руб.
Применять в работе следует только лицензионные программы, так как старые версии уязвимы.

Последствия включения в реестр

В результате направления уведомления в Роскомнадзор:
•   возрастает риск того, что ведомство проведет плановую или внеплановую проверку компании;
•   появляется возможность блокировки интернет-ресурса организации в случае выявления нарушений правил проведения операций с ПД;
•   увеличивается вероятность наложения штрафных санкций, если обнаружено несоответствие требованиям законодательства.
При каких обстоятельствах уведомление не требуется
Ниже приведен исчерпывающий список, когда компания не должна направлять информацию в реестр. С 1 сентября 2022 г. предоставление сведений не нужно:
•   в отношении ПД, которые включены в автоматизированные системы, разработанные для безопасности государства и общества;
•   сведений, обрабатываемых без средств автоматизации согласно требованиям федеральных законов и других актов РФ относительно соблюдения прав субъектов РФ и безопасности при работе с конфиденциальной информацией;
•   данных, сбор которых осуществляется с целью защиты государства, личности и общества в сфере транспорта.

Как зарегистрировать оператора в Роскомнадзоре

Алгоритм действий включает два шага — подготовку уведомления и направление его в ведомство (размещение информации в реестре).

Как составить уведомление

Документ должен содержать следующие данные:

  1. Название либо ФИО оператора, его местонахождение.
  2. Цель, с которой осуществляется обработка сведений. Для каждой должна быть указана категория ПД, критерии субъектов, в отношении которых проводятся действия, а также список мероприятий.
  3. О криптографических (шифровальных) и других средствах для обеспечения безопасности личных данных.
  4. Наименование (или ФИО) лиц, ответственных за процесс обработки.
  5. Дату, когда была начата работа с ПД.
  6. Срок, в течение которого разрешено производить действия с личными данными и условие для их прекращения.
  7. Наличие либо отсутствие трансграничной передачи.
  8. О месте, где находится база ПД субъектов.
  9. Способах защиты сведений в соответствии с требованиями Правительства РФ.
  10. Наименование или ФИО лиц, которые имеют доступ к ПД, содержащимся в муниципальных и государственных информационных системах.
    Уведомление в Роскомнадзор можно направить в электронном либо бумажном формате.
    Как опубликовать данные
    Основываясь на предоставленном уведомлении, ведомство вносит информацию в реестр. Срок оказания услуги — 1 месяц. Государственную пошлину уплачивать не требуется.
    Отказать в публикации Роскомнадзор не может, но вправе потребовать внести исправления при выявлении неточностей.
    Если предоставленная информация изменилась либо организация прекратила деятельность по обработке ПД, сведения о данном факте должны быть предоставлены в ведомство до истечения 10 дней с даты возникновения указанного обстоятельства.
    Распространенные ошибки
  11. Оформление не на бланке предприятия. Если используется другая форма, на ней должна стоять подпись руководителя (уполномоченного сотрудника) и печать компании. Документ подлежит регистрации, на нем проставляется дата и исходящий номер.
  12. Адрес оператора указан не полностью (пропущен индекс, муниципальное образование) либо он не совпадает с тем, который стоит в ЕГРЮЛ, печати или бланке компании. Почтовый адрес является юридическим, то есть тем, по которому фирма зарегистрирована. Место ведения деятельности является адресом нахождения.
  13. Не вписываются все филиалы предприятия. Следует перечислять магазины, корпуса, отделения, которые связаны с организацией.
  14. Не приводится закон, дающий оператору право работать с ПД. Часто заявители ссылаются только на ФЗ относительно обработки персональных данных. Этот акт регулирует отношения в данной сфере, но не содержит оснований для наделения полномочиями. Необходимо приводить отраслевые и локальные документы, инструкции.
  15. Неверное указание цели обработки. Юрлица работают с конфиденциальной информацией для осуществления кадрового и бухгалтерского учета. Индивидуальным предпринимателям необходимо обрабатывать информацию для подготовки отчетности.

Встречаются сокращения в перечне категорий ПД, прописываются данные конкретных физлиц. Список должен содержать полную информацию, сокращения использовать недопустимо. Документы граждан (паспорта, дипломы, военные билеты и иные) не являются категориями ПД, это носители данных.
В перечне субъектов также приводится не полная информация, применяются сокращения («и т.п.», «и другие»). Следует указывать категории физлиц и виды отношений (например, договорные, гражданско-правовые). Члены семьи работника вносятся в список, если в деле сотрудника хранятся сведения о его родственниках.
В перечне действий с ПД часто перечисляются все допустимые мероприятия. Прописывать нужно только те, которые намерена осуществлять данная организация (например, сбор, хранение, передача, уничтожение).
Вместо описания мер для защиты ПД копируется текст из примеров. Заимствовать можно только те слова, которые непосредственно связаны с деятельностью предприятия. Следует перечислять конкретные действия, например, предотвращение неправомерного доступа, копирования.
Нередко в уведомлении не приводятся контакты исполнителя документа или бланк подписывает лицо, не имеющее на это полномочий. Подпись вправе ставить руководитель, начальник исполнительного органа (директор, президент, гендиректор), представитель по доверенности.

Главные изменения касательно регистрации в реестре после 1 сентября 2022 года

Основные нововведения, предусмотренные законодательством, перечислены ниже:
•   Теперь срок ответа на запросы, поступающие из Роскомнадзора, составляет 10 дней (ранее был 1 месяц).
•   Список лиц, обязанных предоставлять о себе сведения, расширился. Сейчас право не направлять уведомление в реестр предусмотрено только для организаций, которые не применяют средства автоматизации. Например, охранник вносит сведения о посетителе предприятия вручную. В таком случае регистрация не требуется. Если он использует специальную программу, то нужно направить информацию в Роскомнадзор.
•   Заявление должно содержать сведения о категории ПД, перечень действий, которые проводятся с личной информацией, и способы их осуществления, указание на законы, дающие организации право на работу с конфиденциальными данными.
•   В случае утечки компания обязана до истечения суток сообщить о происшествии в Роскомнадзор. В течение 3 дней проводится внутреннее расследование, о результатах которого сообщается в ведомство.
•   Форма согласия на обработку ПД должна быть предельно понятной и простой, чтобы клиент понимал, для чего запрашивается информация о нем, как ее будут защищать и использовать.
Ответственность за непредоставление информации об операторе ПД в реестр
В соответствии со ст. 19.7 КоАП РФ организации, не направившей уведомление в Роскомнадзор либо подавшей документ с нарушением срока, выносится предупреждение. Также на компанию может быть наложен штраф, максимальный размер которого для юрлиц составляет 5 тыс. руб. (для должностных лиц — 500 руб.).

Какие штрафы вводятся с 2025 года

С 30 мая указанного года начнут действовать изменения, внесенные в ст. 13.11 КоАП РФ. За непредоставление уведомления (либо несвоевременное направление документа) в Роскомнадзор на предприятия будет накладываться штраф в размере:
•   для граждан — до 10 тыс. руб.;
•   должностных лиц — 50 тыс.;
•   организаций — 300 тыс.
Таким образом, неуведомление о своей деятельности ведомства станет критическим риском для организаций.
Компании, бизнес которых связан с обработкой персональных данных, обязаны предоставлять информацию о себе в реестр Роскомнадзора. Направление уведомления не требуется в исключительных случаях, предусмотренных законом. За неподачу или несвоевременное предоставление сведений установлено наказание в виде предупреждения или штрафа до 5 тыс. руб. С 2025 г. размер штрафа возрастет до 300 тыс. руб.

У вас остались вопросы?

Мы с удовольствием на них ответим. Заполните форму
и наш специалист в ближайшее время с вами
свяжется.

или можете связаться с нами по телефону: +7 (495) 280-11-03


    Нажимая на кнопку “Отправить”, я даю согласие на обработку персональных данных

    Заказать звонок

    Перезвоним в течение нескольких минут

    Добавить отзыв об услуге

      Отзыв * ФИО * Должность