Проверьте свою организацию на Портале Роскомнадзора, Портал персональных данных. Если вашей организации там нет, нужно срочно подать уведомление, заполнив блоки
- цели обработки персональных данных, в большинстве случаев, это ведение кадрового и бухгалтерского учета (для заключения ГПД – отдельная цель),
- категории персональных данных,
- специальные категории персональных данных,
- категории субъектов, персональные данные которых обрабатываются,
- правовое основание обработки персональных данных,
- перечень действий,
- способы обработки,
- Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
- средства обеспечения безопасности,
- использование шифровальных (криптографических) средств.
- ответственный за организацию обработки персональных,
- дата начала обработки персональных данных,
- срок или условие прекращения обработки персональных данных,
- осуществление трансграничной передачи персональных данных.
- сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ
Реестр операторов, осуществляющих обработку персональных данных
https://pd.rkn.gov.ru/operators-registry/operators-list/
Если вы в уведомлении не указали какую-то цель, то на том же Портале можно подать новое уведомление о внесении изменений. В противном случае вас ждут штрафы.
С 30 мая 2025 года за нарушения в работе с персональными данными предусмотрены штрафы, которые регулируются статьёй 13.11 КоАП РФ.
Некоторые виды нарушений и размеры штрафов:
Непредставление в Роскомнадзор уведомлений о начале обработки персональных данных (ч. 10 ст. 13.11 КоАП РФ):
-для физлиц — от 5 000 до 10 000 рублей;
- для должностных лиц организаций — от 30 000 до 50 000 рублей;
- для ИП — от 100 000 до 300 000 рублей;
- для организаций — от 100 000 до 300 000 рублей.
Непредставление уведомления об утечке персональных данных (ч. 11 ст. 13.11 КоАП РФ):
- для физлиц — от 50 000 до 100 000 рублей;
- для должностных лиц организаций — от 400 000 до 800 000 рублей;
- для ИП — от 1 до 3 млн рублей;
- для организаций — от 1 до 3 млн рублей.
Незаконная передача третьим лицам персональных данных свыше 10 000, но не более 100 000 человек (ч. 13 ст. 13.11 КоАП РФ):
- для физлиц — от 200 000 до 300 000 рублей;
- для должностных лиц организаций — от 300 000 до 500 000 рублей;
- для ИП — от 5 до 10 млн рублей;
- для организаций — от 5 до 10 млн рублей.
Незаконная передача третьим лицам персональных данных более 100 000 человек (ч. 14 ст. 13.11 КоАП РФ):
- для физлиц — от 300 000 до 400 000 рублей;
- для должностных лиц организаций — от 400 000 до 600 000 рублей;
- для ИП — от 10 до 15 млн рублей;
- для организаций — от 10 до 15 млн рублей.
Повторная передача третьим лицам персональных данных без законных оснований (новая ч. 15 ст. 13.11 КоАП РФ):
- для физлиц — от 400 000 до 600 000 рублей;
- для должностных лиц организаций — от 800 000 до 1,2 млн рублей;
- для ИП и организаций — от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение.
Своевременно уничтожайте лишние кадровые бумаги и сведения. Организациям и ИП из реестра МСП за хранение лишних документов может грозить штраф 150 тыс.руб. Когда цель обработки достигнута, т.е. сотрудник уволен, или с клиентом или заказчиком вы более не сотрудничаете, персональные данные необходимо уничтожить. Для этого нужно провести инвентаризацию кадровых бумаг.
ВАЖНО: копий паспортов, СНИЛС, военных билетов и других личных документов сотрудников в личных делах быть не должно. Но есть исключения: фотографии (биометрические данные) и копии документов могут храниться в личном деле с письменного разрешения сотрудника.
Персональные данные уволившихся сотрудников, даже если сотрудник отозвал свое согласие на обработку персональных данных, по рекомендациям Роскомнадзора необходимо хранить в соответствии со сроками, установленными для хранения первичных документов. Из базы данных информацию о сотруднике можно удалить через пять лет после увольнения. Бумажные документы с личной информацией уволенного сотрудника после истечения календарного года сдают в архив. Личное дело и карточка уволенного может храниться в архиве без его согласия. Документы уволенных до 1 января 2023 года хранятся 75 лет, тех, кто уволился позже 2003 года – 50 лет.
https://base.garant.ru/73524230/
В компании должны быть следующие документы:
- Положение об обработке персональных данных.
- Согласие об обработке персональных данных.
- Положение о защите персональных данных.
В случае закрытия компании, т.е. о планировании прекращения обработки персональных данных, в течение 10 рабочих дней также необходимо уведомить об этом Роскомнадзор.
Согласие на обработку персональных данных на детей сотрудников (свидетельства о рождении, установлении отцовства и т.д.) дает сотрудник.
Согласие на обработку персональных данных с контрагента-физика можно не брать, если согласие прописано в договоре аренды.
Также нужно согласие и от клиентов посетителей салонов красоты, записывающихся онлайн или по телефону. Согласие можно получить письменно или электронно.
Согласие у контрагентов ИП или самозанятого брать не нужно, но для рассылки рекламных материалов такое согласие потребуется.
При утечке данных в течение 24 часов об этом необходимо уведомить Роскомнадзор, и в течение 72 часов – о последствиях. нарушителях и результатах проверки.
С 1 сентября те компании, которые работают с персональными данными физических лиц, должны передавать обезличенную (без указания на конкретного человека) информацию в специальную геоинформационную систему (ГИС). Система будет доступна компаниям, состоящих в реестре операторов персональных данных, ко всему прочему такие компании не должны быть под контролем иностранных компаний и лиц, не иметь связей с терроризмом и экстремизмом, а также иметь достоверные сведения в ЕГРЮЛ или ЕГРИП