В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» все компании, индивидуальные предприниматели и физические лица, которые обрабатывают персональные данные (даже просто ФИО или контакты клиента на своем сайте), должны уведомить Роскомнадзор о том, что они осуществляют обработку персональных данных. Обязанность по отправке данного уведомления закреплена в законе с 1 сентября 2022 года. Многие компании все же до сих пор не исполнили данную обязанность, так как штраф за нарушение данной нормы закона долгое время составлял 5 000 рублей. Однако, скоро все изменится.
С 30 мая 2025 года вступят в силу изменения в КоАП РФ, согласно которым, новые штрафы за неуведомление Роскомнадзора об обработке персональных данных составят:
¾ для должностных лиц государственного или муниципального органа либо некоммерческой организации – от 30 000 до 50 000 рублей;
¾ для ИП и компаний – от 100 000 до 300 000 рублей.
Кроме того, чуть ранее в 2024 году также были введены новые штрафы, в том числе за обработку персональных данных без получения согласия субъекта обработки персональных данных. Уже сейчас такой штраф составляет:
¾ для физических лиц – от 10 000 до 15 000 рублей;
¾ для должностных лиц – от 100 000 до 300 000 рублей;
¾ для юридических лиц – от 300 000 до 700 000 рублей.
Помимо согласия на обработку персональных данных, у каждого оператора (компании, которая обрабатывает персональные данные) должны быть и все остальные документы в соответствии с законодательством Российской Федерации для законной обработки персональных данных.
Уже в 2024 году у многих наших клиентов была проверка Роскомнадзора, на которой требовалось представить полный пакет документов, в соответствии с которыми они обрабатывают персональные данные. При этом, все документы должны соответствовать действующими законодательству Российской Федерации в сфере обработки персональных данных.
К документам, которые должны быть у каждого оператора персональных данных для успешного прохождения проверки Роскомнадзора можно отнести следующие:
1. Согласие на обработку персональных данных;
2. Приказ о назначении ответственного за обработку;
3. Политика обработки персональных данных;
4. Согласие на обработку персональных данных, разрешенных субъектом для распространения;
5. Информированное согласие пользователя сайта;
6. Положение об обработке и защите персональных данных;
7. Последствия отказа предоставить персональные данные;
8. Соглашение о неразглашении информации, содержащей персональные данные;
9. Перечень форм, содержащих персональные данные;
10. Правила рассмотрения запросов субъектов персональных данных;
11. Правила осуществления внутреннего контроля;
12. Модель угроз безопасности;
13. Договор поручения на обработку персональных данных;
14. Приказ о назначении ответственного за безопасность персональных данных;
15. Приказ о хранении бумажных носителей персональных данных;
16. Приказ об утверждении перечня персональных данных;
17. Приказ о допуске к обработке персональных данных;
18. Приказ об утверждении перечня ИСПДн;
19. Правила доступа к персональным данным, обрабатываемым в информационных системах;
20. Приказ об определении контролируемой территории;
21. Инструкция ответственного за организацию обработки персональных данных;
22. Инструкция ответственного за обеспечение безопасности персональных данных;
23. Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн
24. Инструкция по проведению инструктажа допущенных к работе в ИСПДн;
25. Инструкция пользователя ИСПДн;
26. Инструкция по учёту и хранению съёмных носителей;
27. Инструкция по резервному копированию и восстановлению;
28. Инструкция по организации антивирусной защиты в ИСПДн;
29. Инструкция пользователя при возникновении нештатной ситуации;
30. Инструкция по порядку уничтожения и обезличивания персональных данных;
31. Журнал учета запросов субъектов персональных данных;
32. Журнал учета съемных носителей, содержащих персональные данные;
33. Журнал учета прохождения первичного инструктажа;
34. Журнал регистрации нарушения и восстановления работоспособности;
35. Журнал учета прав доступа к ИСПДн;
36. Журнал учета средств защиты информации;
37. Журнал учета проверок контролирующими органами;
38. Форма запроса о наличии и ознакомлении с персональными данными;
39. Форма запроса на уточнение персональных данных;
40. Форма запроса на уничтожение персональных данных;
41. Форма запроса на блокирование персональных данных;
42. Форма запроса с отзывом согласия на обработку персональных данных;
43. Форма уведомления об устранении неправомерных действий с персональными данными;
44. Форма уведомления об отказе внесения изменений в персональные данные субъекта;
45. Форма уведомления органа по защите прав субъектов персональных данных;
46. Акт определения уровня защищенности персональных данных;
47. Акт оценки потенциального вреда субъектам персональных данных;
48. Акт об уничтожении персональных данных.
Таким образом, став оператором персональных данных, необходимо подготовиться к последующим проверкам Роскомнадзора на правильность и законность обработки персональных данных. Для этого необходимо разработать, утвердить и вести вышеперечисленные документы. Если у Вас возникают трудности с самостоятельным изучением законодательства и подготовкой необходимых документов, наши юристы всегда готовы Вам в этом помочь.
Юрист, специалист по разрешительной деятельности
группы Объединённые Юристы.
За помощью обращайтесь в группу компаний Объединенные Юристы.
Наши контакты:
Сайт: https://www.ulc.ru/
Телефоны: 8-495-540-53-43, +7-926-193-53-43.
Эл. почта: mail@ulc.ru
Телеграм: https://t.me/UnitedLawyers
