Уведомление о начале или осуществлении обработки персональных данных
Согласно ст. 22 № 152-ФЗ от 27.07.06 «О персональных данных», любой оператор (а это практически любой бизнес с сотрудниками или клиентами) обязан до начала обработки данных направить уведомление в Роскомнадзор.
Сразу скажем, что мы не оказываем услуг по отправке уведомлений в РКН за предпринимателей.
Мы лишь напоминаем о необходимости соблюдения требований законодательства, и хотим уберечь вас от миллионных штрафов.
Надеемся, вы помните, что с 30 мая прошлого года были значительно увеличены штрафы для компаний за нарушения работы с персональными данными. Мы подробно писали о них - только за отсутствие регистрации в реестре Роскомнадзора может быть назначен штраф в размере до 300 тыс. рублей. И это ещё немного по сравнению со штрафами за другие нарушения, которые исчисляются десятками миллионов.
Поэтому напоминаем, что всем ИП и генеральным директорам ООО необходимо уведомить РКН о начале или осуществлении обработки персональных данных. Уведомление отправляется один раз – другое уведомление потребуется, только если у ООО или ИП меняются данные в ЕГРЮЛ.
Это касается всех предпринимателей, ведущих кадровый учёт, собирающих контакты клиентов через сайты, CRM или мессенджеры, а также осуществляющих сбор cookie-файлов. А также требования распространяются на самозанятых.
Исключения составляют случаи, когда данные обрабатываются исключительно без средств автоматизации (только на бумаге), но на практике под них попадает очень узкий круг лиц.
Однако уведомления недостаточно для соблюдения всех требований законодательства. Перед ним нужно назначить ответственного за работу с персональными данными и составить локальные нормативные акты.
В законодательстве не закреплён единый перечень локальных актов для работы с персональными данными. Перечислим основные, которые должны быть у всех компаний:
- политика обработки персональных данных;
- политика конфиденциальности;
- согласие на обработку персональных данных;
- акт на уничтожение ПД.
Их впоследствии нужно будет предъявлять клиентам и контрагентам, а до этого перечень документов должен быть отражён в уведомлении, отправляемом в РКН.
Уведомление удобно заполнить и отправить прямо на официальном сайте ведомства, но можно сделать это и в бумажном варианте.
▶ При заполнении уведомления обратите особое внимание на описание целей обработки ПД, категорий обрабатываемых данных и меры по организации защиты ПД. Именно в этих разделах предприниматели допускают больше всего ошибок.
В течение 10 дней ведомство примет решение, включить компанию в реестр или отказать. Обязательно проконтролируйте результат.
Далее нужно будет следить за актуальностью ЛНА. Если поменяется законодательство или у компании изменится деятельность, нужно будет своевременно отразить это в документах, иначе может быть наложен штраф.
Если в компании есть работники, нужно будет разработать отдельные правила и обязанности при работе с персональными данными, и обеспечить их соблюдение.
Уведомление о об осуществлении трансграничной передачи ПД
Если вы осуществляете или собираетесь осуществлять трансграничную передачу данных, нужно отдельно уведомить об этом Роскомнадзор (ст. 12 № 152-ФЗ от 27.07.06). На сайте Роскомнадзора найдёте целых 2 формы уведомления - о намерении осуществлять передачу таких данных и, собственно, о факте передачи.
Такая передача данных без уведомления РКН может обернуться лишением свободы на срок до 8 лет, штрафом до 2 млн рублей (или в размере дохода за 3 года), а также дисквалификацией до 4 лет (ст. 272.1 УК РФ).
Многие предприниматели уверены в том, что не имеют никакого отношения к ТППД, но на деле всё обстоит иначе.
Трансграничной передачей персональных данных является не только непосредственно передача ПД иностранным лицам, но также использование иностранного ПО или сервисов, которые позволяют обмениваться информацией.
Если компания для сбора и хранения данных использует сервисы Google, иностранные мессенджеры или сервисы для отправки рассылок, иностранные CRM-системы или облачные хранилища, сайты на зарубежных платформах вроде Tilda, то она осуществляет трансграничную передачу персональных данных и должна уведомить об этом РКН.
Чтобы «вычислить» сервисы, базы данных которых расположены за границей, придётся читать пользовательские их соглашения.
Перед уведомлением о трансграничной передаче ПД нужно, чтобы компания была включена в реестр операторов персональных данных, — т.е. нужно подать уведомление, о котором мы говорили выше.
Также до подачи уведомления нужно соблюсти требования законодательства, т.е. получить от иностранных юрлиц, которым планируется передача данных, сведения, описанные в ст. 12 № 152-ФЗ (в частности, это реквизиты лиц, которым предстоит передача данных). Способов получения этих сведений законодательством не установлено, но РКН может потребовать эту информацию во время рассмотрения уведомления.
Уведомление также можно подать в электронном виде через портал РКН.
Что нужно сделать, если у компании есть сайт
Если у компании есть сайт, то необходимо проверить его на соблюдение требований законодательства, чтобы не допустить штрафных санкций.
Что проверять:
- размещение полных контактных данных владельца сайта;
- наличие согласия о сборе cookie и обработке ПД;
- актуальность политики обработки персональных данных;
- актуальность политики конфиденциальности;
- размещение во всех формах «галочки» согласия на обработку ПД;
- соблюдение требований законодательство к ТППД.
Как показывает практика, для штрафа достаточно самого факта отсутствия документа, даже если нарушение не принесло вреда субъектам данных.
Необходимо периодически проводить технический и юридический аудит сайта для выявления нарушений и предотвращения штрафов. Рекомендуем обращаться к специалистам, если вы не хотите пропустить нарушения, о которых можете даже не знать.
Роскомнадзор уже использует использовать искусственный интеллект для совершенствования системы контроля соблюдения требований законодательства о ПД. В том числе в полномочия ведомства входит проверка сайтов компаний.
Таким образом, рано или поздно будут вычислены все нарушители. Не допустите штрафов, которые с 30 мая вырастают в разы и исчисляются миллионами.
Старайтесь сделать всё как можно быстрее
Постарайтесь отправить уведомления максимально быстро после регистрации ООО или ИП. Санкции за нарушения очень большие, включая оборотные штрафы до 3% выручки за год.
Также в КоАП прописаны отягчающие обстоятельства, которые влияют на размер штрафов. Вряд ли у вас есть лишние миллионы и желание потратить их таким образом.
Если РКН установит отсутствие уведомления, отправит предписание, и у вас будет всего 10 дней на предоставление требуемого пакета документов. А, напомним, Роскомнадзор уже использует искусственный интеллект для анализа сайтов и сервисов — алгоритмы автоматически выявляют отсутствие политик, неправильно оформленные согласия, факты использования зарубежных облачных сервисов.
Трезво оцените свои возможности — сможете ли быстро отреагировать и подготовить пакет документов. При этом, устранение нарушений вовсе не означает, что компанию освободят от штрафа.
Также 10 дней даётся на ответы пользователям, которые могут запрашивать, для каких целей собирается ПД, или требовать их удаления. Нарушение этих сроков также грозит штрафами, поэтому стоит заранее подготовить ответы на вопросы и необходимые документы.
Суммы штрафов исчисляются миллионами, а в некоторых случаях процентами от годовой выручки. Лучше потратить несколько дней на приведение документов в порядок сейчас, чем потом платить десятки тысяч рублей штрафов и тратить время на общение с проверяющими.
И ещё об одном уведомлении, обязательном для начала деятельности.
