Очередная волна массовых волнений накрыла предпринимателей в связи с подачей уведомлений в Роскомнадзор об обработке персональных данных. В сентябре 2022 года была похожая ситуация и многие предприниматели не понимают что изменилось и что сейчас надо им сделать. Постараюсь рассказать что и кому нужно сделать в области обработки персональных данных.
Кто должен регистрироваться?
Подать уведомление в Роскомнадзор должны все категории предпринимателей:
- самозанятые, так как собирают информацию о своих клиентах (ФИО, телефон, электронный адрес);
- индивидуальные предприниматели ( все, и с работниками и без работников);
- предприятия всех форм собственности.
Все перечисленные категории собирают персональные данные о своих сотрудниках и клиентах и соответственно должны быть зарегистрированы в реестре Роскомнадзора. Если вы в сентябре 2022 года или ранее уже подавали первичное заявление на регистрацию, то стоит зайти на сайт Роскомнадзора и по ИНН проверить наличие о вас информации в реестре.
При подаче заявления необходимо указывать цели обработки персональных данных и если при первичной регистрации вы указали только обработку персональных данных по сотрудникам, то необходимо внести изменения в реестр подав ещё одно уведомление в котором добавить цель сбора персональных данных в отношении ваших клиентов. Документ, которые необходимо заполнить называется - Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.
Не подавать уведомление в Роскомнадзор могут только те предприниматели и предприятие, которые обрабатывают персональные данные на бумаге и не заносят их в информационные системы и компьютеры. Если у вас нет электронной почты, сайта и вы не пользуетесь электронной подписью и не составляете электронную отчетность и все оформляете в бумажном виде, то вы можете не регистрироваться в Роскомнадзоре как обработчик персональных данных.
Что относиться к персональным данным?
Персональный данные это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Некоторые говорят, мы не собираем паспортные данные и не обрабатываем персональные данные, но к персональным данным относятся не только данные паспорта. Можно привести несколько примеров персональных данных:
- электронная почта;
- ИНН и ФИО;
- номер телефона и ФИО.
Какая ответственность при отсутствии регистрации в Роскомнадзоре?
С 30 мая 2025 года усиливается административная ответственность за отсутствие уведомления об обработке персональных данных. По данному виду нарушений не предусмотрена ответственность в виде предупреждения, но предусмотрены административные штрафы:
- для физических лиц от 5 до 10 тысяч руб.;
- для должностных лиц и индивидуальных предпринимателей от 30 до 50 тысяч руб.;
- для юридических лиц от 100 до 300 тысяч руб.
Что делать при обработке персональных данных?
Во-первых, необходимо назначить ответственного за организацию обработки персональных данных и это не обязательно должен быть работник отдела кадров или бухгалтер, начисляющий зарплату. Это должен быть сотрудник, который обладает полномочиями и получает информацию от клиентов, поставщиков и сотрудников.
Во-вторых, необходимо разработать локальные-нормативные акты в области обработки персональных данных, в том числе политику в области обработки персональных данных. Политика должна определять цели обработки персональных данных и перечень персональных данных обрабатываемых в отношении каждой цели. Например, какие данные собираются по клиентам и какие данные обрабатываются по сотрудникам. Политика в области обработки персональных данных должна быть размещена на сайте или в ином доступном месте ( например, в уголке покупателя). Если нет сайта, то можно разместить документ в облако и предоставлять к нему доступ по запросу заинтересованных лиц (клиентов, сотрудников).
В-третьих, необходимо установить средства защиты информации. Это могут быть антивирусы, сканеры уязвимости и другие средства от несанкционированного доступа. Информация о средствах защиты персональных данных необходимо указывать в уведомлении, подаваемом в Роскомнадзор.
Кроме того, необходимо создать приказ в каких базах данных хранятся персональные данные и где эти базы размещаются. (примеры информационных баз - 1С, Битрикс и др.). Информация об адресах размещения баз данных указывается при подаче уведомления в Роскомнадзор.
Не стоит копировать чужие локальные нормативные акты, так как у разных предпринимателей различные виды деятельности и нормативная база для формирования политики в области обработки персональных данных будет различаться.
Если клиент или сотрудник просит у вас предоставить ему политику в области обработки персональных данных, то вы не можете ему отказать и обязаны предоставить документ для ознакомления. Срок предоставления ответа десять рабочих дней и в случае нарушения сроков ответа предусмотрена ответственность для юридических лиц от 40 до 80 тыс. руб.
Если вы подавали уведомление по старой форме, то нужно подать изменения по форме Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных. Как определить старое у вас уведомление в реестре Роскомнадзора или новое? Если у вас в форме уведомления раздел называется:
- "Информационные системы персональных данных", то у вас старое заявление и необходимо подать изменения.
- "Цели обработки персональных данных", то у вас новая форма изменения подавать нет необходимости.
Обработка персональных данных это существенный бизнес-процесс для любого предпринимателя и организации и он требует отдельного сотрудника для выполнения всех законодательных требований.