Уведомление в Роскомнадзор об обработке персональных данных: пошаговая инструкция для бизнеса

Кто должен подавать заявление в Роскомнадзор об обработке персональных данных (ПДн), в какие сроки, как правильно его составить, какие штрафы предусмотрены за нарушения — читайте подробнее в нашем материале. 

1. Что важно знать руководителю 

Подавать уведомление об обработке персональных данных в Роскомнадзор обязаны все организации и индивидуальные предприниматели, которые используют компьютеры, CRM-системы, сайты с формами обратной связи или иные средства автоматизации для работы с личной информацией граждан. Исключений немного, и для большинства бизнесов регистрация обязательна.

Заявление в Роскомнадзор направляется до начала сбора персональных данных — это прямое требование ФЗ от 27.07.2006 № 152-ФЗ. Если компания уже работает, а уведомление не подано, его необходимо оформить как можно быстрее. Сделать это можно двумя способами: на сайте ведомства или представив бумажное уведомление лично в территориальное отделение. 

Штраф за отсутствие уведомления составляет до 300 000 рублей для юридических лиц и индивидуальных предпринимателей. Ответственность установлена частью 10 статьи 13.11 КоАП РФ.

2. Кто обязан подавать уведомление в Роскомнадзор

Обязанность подать заявление в Роскомнадзор об обработке персональных данных распространяется на всех операторов, которые используют средства автоматизации для работы с личной информацией граждан. Это касается как коммерческих организаций, так и некоммерческих, государственных и муниципальных учреждений, а также индивидуальных предпринимателей и самозанятых. Если в вашей работе есть любое устройство или программа, где фиксируются контакты людей, вы — оператор, и регистрация для вас обязательна.

Рассмотрим это на практических примерах.

Пример №1. Интернет-магазин. Компания собирает через сайт фамилии, имена, телефоны и адреса покупателей для доставки заказов. Вся информация заносится в CRM-систему. Это автоматизированная обработка, и владелец магазина обязан подать уведомление в Роскомнадзор.

Пример №2. Стоматологическая клиника. Регистратура записывает пациентов в медицинскую информационную систему, где хранятся контакты и данные о состоянии здоровья. Это спецкатегория ПДн, и их обработка без уведомления Роскомнадзора незаконна. Кроме того, клиника обязана применять повышенные меры защиты информации.

Пример №3. Частный детский сад. Учреждение ведет базу воспитанников и их родителей в Excel или специализированной программе. Здесь обрабатываются данные как взрослых, так и несовершеннолетних, что требует особого контроля. Руководитель сада обязан уведомить Роскомнадзор до начала обработки этих сведений.

Пример №4. Бухгалтерская компания на аутсорсинге. Фирма получает от клиентов ПДн их сотрудников для расчета заработной платы и ведения кадрового учета. Обработка ведется в программах, а значит, является автоматизированной. Аутсорсер обязан зарегистрироваться в реестре операторов.

Пример №5. Самозанятый кондитер. Человек принимает заказы через форму на сайте или в мессенджере, записывая имена и телефоны клиентов. Он использует смартфон или ноутбук, а это уже автоматизированная обработка. Несмотря на статус самозанятого, он такой же оператор, как и крупная компания, и должен зарегистрироваться в РКН.

3. Когда нужно подавать уведомление в Роскомнадзор

Это нужно сделать до того, как компания начнет собирать и использовать личную информацию. Это требование распространяется на всех операторов, независимо от размера бизнеса.

1. Для новых организаций и ИП регистрация проводится до старта работы с данными клиентов или сотрудников. Например, если интернет-магазин только готовится к запуску, уведомление подается до открытия сайта и приема первых заказов.
2. Если бизнес уже работает и обрабатывает персональные данные, но уведомление до сих пор не направлено, его нужно оформить незамедлительно. Никаких переходных периодов или исключений для действующих компаний закон не предусматривает — каждый день обработки без уведомления Роскомнадзора считается нарушением.
3. При изменениях в деятельности оператора закон также требует обновлять сведения. Если компания расширила перечень обрабатываемых данных, изменила цели их использования или начала передавать информацию новым третьим лицам, об этом нужно уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. Для этого подается отдельное уведомление.

4. Кто может не подавать уведомление 

Закон предусматривает несколько исключений. Уведомление об обработке персональных данных в Роскомнадзор не подается, если обработка ведется исключительно без использования средств автоматизации — например, все записи о клиентах хранятся только в бумажном журнале.

Также освобождены от этой обязанности операторы, которые работают с данными в ГИС, созданных для защиты безопасности государства и общественного порядка. Третье исключение — обработка сведений в рамках законодательства о транспортной безопасности.

5. Как подать заявление в Роскомнадзор: пошаговая инструкция

Шаг 1: определите обязанность подачи. Проверьте, ведете ли вы обработку данных с использованием средств автоматизации. Если у вас есть сайт с формой обратной связи, CRM-система, бухгалтерская программа или вы просто храните контакты клиентов в памяти компьютера или смартфона — вы оператор и обязаны подать уведомление в Роскомнадзор. Если вся работа ведется на бумаге и нигде не оцифровывается, подавать заявление не нужно, но таких случаев на практике становится все меньше.

Шаг 2: подготовьте документы. До подачи заявления оператору персональных данных необходимо разработать и утвердить пакет внутренних документов. Минимальный набор включает Политику обработки ПДн, Положение об обработке и защите ПДн, приказ о назначении ответственного за организацию обработки, формы согласий на обработку и согласие на передачу данных третьим лицам. Без этих документов уведомление в Роскомнадзор будет считаться некорректным, а при проверке вас могут оштрафовать. В крупных организациях дополнительно разрабатываются инструкции для администраторов информационной безопасности, регламенты резервного копирования и акты классификации информационных систем.

Шаг 3: направьте заявление в Роскомнадзор. Проще всего подать уведомление через Госуслуги или с использованием УКЭП руководителя или уполномоченного представителя. Зайдите на сайт РКН, выберите раздел «Персональные данные», далее — «Для операторов», потом — «Электронные формы заявлений». 

Теперь о том, как заполнить уведомление. Внесите сведения во все обязательные поля: сведения об операторе, цели обработки, категории субъектов и данных, правовые основания, перечень действий с ПДн, дату начала обработки, информацию о мерах защиты и местонахождении баз данных. После заполнения подпишите заявление УКЭП и отправьте. Система присвоит вашему обращению уникальный номер, по которому можно отслеживать статус.

Не используйте готовые образцы уведомления в Роскомнадзор, которые можно найти в интернете, без адаптации к вашей деятельности. Сведения в реестре должны полностью соответствовать реальным процессам работы с ПДн в вашей организации. 

Шаг 4: проверьте регистрацию оператора персональных данных. В течение 30 календарных дней после подачи уведомления Роскомнадзор вносит сведения в реестр операторов. Проверить наличие своей компании в реестре можно на официальном сайте ведомства: перейдите в раздел «Реестр операторов персональных данных», введите ИНН или ОГРН организации и выполните поиск. Если запись появилась — регистрация завершена.

6. Что делать после подачи заявления

Обрабатывать ПДн можно сразу после подачи заявления в Роскомнадзор. Регистрирующий орган рассматривает его в течение 30 календарных дней. Если в ходе проверки выявлены ошибки, оператору направляется запрос с требованием их устранить. Если замечаний нет, сведения вносятся в реестр операторов, и с этого момента регистрация считается завершенной.

7. Как проверить наличие в реестре операторов ПДн

Проверить, включена ли ваша компания в реестр операторов персональных данных, можно на официальном сайте Роскомнадзора в разделе «Реестр операторов». Для поиска достаточно ввести ИНН или ОГРН организации. Сервис покажет, зарегистрирован ли оператор, и позволит убедиться, что все сведения внесены корректно. Рекомендуется проводить такую проверку после каждой подачи или корректировки заявления оператора персональных данных, а также периодически — для контроля актуальности информации.

8. Какие штрафы предусмотрены 

За невыполнение или несвоевременное выполнение обязанности по подаче уведомления в Роскомнадзор наступает административная ответственность по части 10 статьи 13.11 КоАП РФ. Размеры штрафов следующие:

Если вы еще не подали уведомление, обратитесь к нашим юристам — они помогут подготовить документы и корректно заполнить заявление в Роскомнадзор, чтобы избежать штрафов и претензий со стороны регулятора.