Уведомление о персональных данных в Роскомнадзор

14 мая14 мая

4 мин

Оглавление

Инструкция по заполнению Уведомления: https://dzen.ru/a/aCr_neoLYTtUyLQK?share_to=link
Читайте актуальные новости :

📢Уведомление о персональных данных в Роскомнадзор до 30.05.2025: кто обязан подавать и в какие сроки?

С 1 января 2024 года вступил в силу новый порядок уведомления в Роскомнадзор о персональных данных, обрабатываемых на территории Российской Федерации. В рамках этого порядка операторы обязаны подать Уведомление о персональных данных в Роскомнадзор до 30 мая 2025 года, если они не успели это сделать ранее.

📌 Кто обязан подавать уведомление?

Уведомление в Роскомнадзор обязаны подавать Операторы, которые:
✅собирают, хранят, обрабатывают или передают персональные данные граждан;
✅осуществляют эти действия на территории Российской Федерации;
✅не являются государственными органами (например, частные компании, ИП, некоммерческие организации).

📌 В какие сроки нужно подавать уведомление?

‼️ До 30 мая 2025 года — крайний срок для подачи уведомления в Роскомнадзор, если вы еще не успели это сделать.

- Если вы начали обработку персональных данных до 1 января 2024 года, но не подали уведомление — вы обязаны это сделать до 30 мая 2025 года.
- Если вы начали обработку персональных данных после 1 января 2024 года, уведомление нужно подавать в течение 10 дней с момента начала обработки.

Все организации и ИП, которые работают с персональными данными физических лиц, обязаны подавать уведомление в Роскомнадзор в трех случаях:

Перед началом работы с персональными данными (начало деятельности организации);
После завершения обработки ПД — когда отпадает необходимость работать с данными (прекращение деятельности организации);
О происшествиях — несанкционированных доступах, взломах баз, утечках.

С 30 мая 2025 года Роскомнадзор будет выносить штрафы по новым правилам (закон от 30.11.2024 № 420-ФЗ) — вносятся изменения в ст. 13.11 КоАП, которая посвящена именно нарушениям в области ПД.

За неуведомление о намерении работать с ПД:

на граждан — от 5 тыс. до 10 тыс. рублей;
на ответственных — от 30 тыс. до 50 тыс. рублей;
на организации — от 100 тыс. до 300 тыс. рублей.

За неуведомление о происшествиях и нарушении прав владельцев ПД:

на граждан — от 50 тыс. до 100 тыс. рублей;
на ответственных — от 400 тыс. до 800 тыс. рублей;
на организации — от 1 млн до 3 млн рублей.

Все, кто собирает данные о своих клиентах, партнерах, сотрудниках, покупателях, пациентах должны отчитываться в Роскомнадзор.

Уведомление подают однократно и в дальнейшем от компании требуется только актуализировать сведения, содержащиеся в нем. Каждый раз, оформляя на работу нового сотрудника подавать уведомление не требуется.

Прежде чем собирать чужие данные следует поставить человека в известность о том, что его данные будут использоваться в определенных целях.

Для этого в организациях используют Разрешение на обработку персональных данных. Это документ, подтверждающий, что человек добровольно разрешает использовать его данные, обрабатывать и хранить в течение оговоренного срока.

Подать уведомление можно одним их трех способов: https://pd.rkn.gov.ru/operators-registry/notification/form

На бумаге. Распечатайте форму на сайте РКН, заполните, подпишите и отнесите в территориальный орган по месту жительства. Также документ можно отправить письмом по почте.
В электронной форме. Заполните электронный документ на сайте РКН, подпишите электронной подписью и отправьте онлайн.
На «Госуслугах». Этот способ также подразумевает отправку уведомления в электронной форме. Потребуется подтвержденный профиль. А если отправляете уведомление от компании, то она должна быть привязана к учетной записи физ.лица (например, директора или руководителя).

Примерный план работ по подготовке уведомления в РКН:

1. Назначьте ответственного за организацию обработки персональных данных в компании. Сделать это нужно приказом. Данные ответственного сотрудника следует внести в уведомление.

2. Определите и пропишите в приказах цели сбора и категории собираемых персональных данных.

3. Разработайте политику в области обработки персональных данных. Информация в политике должна соответствовать тому, что вы укажете в уведомлении. Между этими документами не должно быть расхождений.

4. Проверьте сайт по следующему чек-листу:

какие персональные данные на сайте собираются;
есть ли на сайте формы согласия для обработки данных;
размещена ли политика обработки данных;
наличие метрических программ, собирающих данные.

5. Проверьте наличие и актуальность средств защиты информации, которые должны быть размещены на компьютерах, где обрабатываются персональные данные. Эту информацию тоже нужно отразить в уведомлении в Роскомнадзор.

6. Соберите следующую информацию обо всех сторонних сервисах (например, электронная отчетность или облачные хранилища), в которых вы размещаете личные данные: название, владелец, адреса серверов и т.д. Если компания, у которой вы арендуете сервис, не знает или не дает адрес своего сервера, то в этом случае можно указать юридический адрес этой компании. При этом необходимо сохранить переписку, которая подтвердит, что вы сделали все, чтобы установить адрес, но вам отказали. Это пригодится на случай проверки.