Уведомление о начале или осуществлении обработки персональных данных
Сразу скажем, что мы не оказываем услуг по отправке уведомлений в РКН за предпринимателей.
Мы лишь напоминаем о необходимости соблюдения требований законодательства, и хотим уберечь вас от миллионных штрафов.
О размерах штрафов, которые появятся в КоАП РФ с 30 мая 2025 года, мы рассказывали здесь.
Только за отсутствие регистрации в реестре Роскомнадзора может быть назначен штраф в размере до 300 тыс. рублей (и это ещё немного по сравнению со штрафами за другие нарушения). Поэтому мы торопим своих клиентов и напоминаем, что всем ИП и генеральным директорам ООО следует срочно уведомить РКН о начале или осуществлении обработки персональных данных.
Но этого будет недостаточно для соблюдения требований законодательства.
Перед уведомлением нужно назначить ответственного за работу с персональными данными и составить локальные нормативные акты.
В законодательстве не закреплён единый перечень документов для работы с персональными данными. Перечислим основные, которые должны быть у всех компаний:
- политика обработки персональных данных;
- политика конфиденциальности;
- согласие на обработку персональных данных;
- акт на уничтожение ПД.
Эти документы впоследствии нужно будет предъявлять клиентам и контрагентам, но до этого перечень документов должен быть отражён в уведомлении, отправляемом в РКН.
Уведомление удобно заполнить и отправить прямо на официальном сайте ведомства, но можно сделать это и в бумажном варианте.
При заполнении уведомления обратите особое внимание на описание целей обработки ПД, категорий обрабатываемых данных и меры по организации защиты ПД. Именно в этих разделах предприниматели допускают больше всего ошибок.
В течение 10 дней ведомство примет решение, включить компанию в реестр или отказать. Обязательно проконтролируйте результат.
Далее нужно будет следить за актуальностью ЛНА. Если поменяется законодательство или у компании изменится деятельность, нужно будет своевременно отразить это в документах, иначе может быть наложен штраф.
Если в компании есть работники, нужно будет разработать правила и обязанности при работе с персональными данными, и обеспечить их соблюдение.
Уведомление о об осуществлении трансграничной передачи ПД
Если вы осуществляете или собираетесь осуществлять трансграничную передачу данных, нужно отдельно уведомить об этом Роскомнадзор (ст. 12 № 152-ФЗ от 27.07.06). На сайте Роскомнадзора найдёте целых 2 формы уведомления, соответственно, о намерении осуществлять передачу таких данных и, собственно, о факте передачи.
Такая передача данных без уведомления РКН может обернуться лишением свободы на срок до 8 лет, штрафом до 2 млн рублей (или в размере дохода за 3 года), а также дисквалификацией до 4 лет (ст. 272.1 УК РФ).
Многие предприниматели уверены в том, что не имеют никакого отношения к ТППД, но на деле всё обстоит иначе.
Трансграничной передачей персональных данных является не только передача ПД иностранным лицам, но также использование иностранного ПО или сервисов, которые позволяют обмениваться информацией.
Если компания для сбора и хранения данных использует сервисы Google, иностранные мессенджеры или сервисы для отправки рассылок, иностранные CRM-системы или облачные сервисы, то она осуществляет трансграничную передачу персональных данных и должна уведомить об этом РКН.
Чтобы вычислить сервисы, базы данных которых расположены за границей, придётся читать пользовательские соглашения.
Перед уведомлением о трансграничной передаче ПД нужно, чтобы компания была включена в реестр операторов персональных данных, — т.е. нужно подать уведомление, о котором мы говорили выше.
Также до подачи уведомления нужно соблюсти требования законодательства, т.е. получить от иностранных юрлиц, которым планируется передача данных, сведения, описанные в ст. 12 № 152-ФЗ. В частности, это реквизиты лиц, которым предстоит передача данных.
Способа получения этих сведений законодательством не установлено, но РКН может потребовать эту информацию во время рассмотрения уведомления.
Уведомление также можно подать в электронном виде через портал РКН.
Что нужно сделать, если у компании есть сайт
Если у компании есть сайт, то до 30 мая 2025 года следует проверить его на соблюдение требований законодательства, чтобы не допустить штрафных санкций.
Что проверять:
- размещение полных контактных данных владельца сайта;
- наличие согласия о сборе cookie;
- актуальность политики обработки персональных данных;
- актуальность политики конфиденциальности;
- размещение во всех формах «галочки» согласия на обработку ПД.
Внимание! Сайт не должен нарушать требования законодательство к ТППД.
Необходимо периодически проводить технический и юридический аудит сайта для выявления нарушений и предотвращения штрафов. Рекомендуем обращаться к специалистам, если вы не хотите пропустить нарушения, о которых можете даже не знать.
Роскомнадзор начинает использовать искусственный интеллект для совершенствования системы контроля соблюдения требований законодательства о ПД. Кроме того, в полномочия ведомства входит проверка сайтов компаний — в этом случае сайты проверяются выборочно силами сотрудников ведомства.
Таким образом, рано или поздно будут вычислены все нарушители. Не допустите штрафов, которые с 30 мая вырастают в разы и исчисляются миллионами.
Поспешите сделать всё как можно быстрее
Почему мы всех торопим? Во-первых, потому что уже с 30 мая увеличиваются санкции за нарушения — сумма штрафов за нарушения будут доходить до 20 млн рублей. Будут и оборотные штрафы — в размере до 3% выручки за год.
Кроме того, в КоАП появятся отягчающие обстоятельства, которые будут влиять на размер штрафов. Вряд ли у вас есть лишние миллионы и желание потратить их таким образом.
Меры ответственности по новым правилам распространяются и на индивидуальных предпринимателей, и на самозанятых.
А во-вторых, сокращаются сроки, которые даются на устранение нарушений. После получения предписания Роскомнадзора у вас будет всего 10 дней на предоставление истребуемого пакета документов или на устранение нарушения.
Трезво оцените свои возможности — сможете ли быстро отреагировать и подготовить пакет документов. При том, что устранение нарушений вовсе не означает, что компанию освободят от штрафа.
Также 10 дней даётся на ответы пользователям, которые могут запрашивать, для каких целей собирается ПД, или требовать их удаления. Нарушение этих сроков также грозит штрафами, поэтому стоит заранее подготовить ответы на вопросы и необходимые документы.
