г. Москва, ул. Кирпичная, д. 7 contact@truelex.ru
+7 (495) 128-48-56 Заказать звонок
+7 (495) 128-48-56

Организация работы с персональными данными

Эффективная организация работы с персональными данными — это обязательное требование для компаний, которые стремятся соблюдать законодательство и защитить интересы своих клиентов и сотрудников. Мы предлагаем комплексные решения для построения надежной системы работы с персональными данными, которая соответствует требованиям актуального законодательства.

Консультация Получите консультацию по вашему вопросу от опытного юриста.
Уведомление Роскомнадзора об обработке персональных данных

Уведомление Роскомнадзора об обработке персональных данных

С 1 сентября 2022 года вступили в силу поправки в закон № 152 «О персональных данных».

Статья 22 указанного Закона обязывает оператора* до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

В мае 2025 года в силу вступят изменения в КоАП РФ, усиливающие административную ответственность операторов персональных данных. В частности, отсутствие законного основания для обработки персональных данных (например, согласия) может повлечь наложение штрафа в размере до 300 000 рублей, а при повторном нарушении — до 500 000 рублей.

Кому нужно подавать уведомление?

Направить в адрес Роскомнадзора уведомление об обработке персональных данных должен каждый оператор данных. Компания является оператором, если в том или ином виде взаимодействует с информацией, которую получает у граждан и которая входит в такие данные.

Вы являетесь оператором персональных данных, если:

  • У вас в штате есть сотрудники;
  • У вас есть клиентская база;
  • У вас есть сайт, на котором собираются персональные данные (через формы или cookie);
  • У вас действует пропускная система на предприятии и т. д.
Кому нужно подавать уведомление?

Штрафы за нарушение законодательства о персональных данных в 2025 году

За невыполнение и (или) несвоевременное выполнение обязанности по уведомлению уполномоченного органа о намерении осуществлять обработку персональных данных для юридических лиц будет составлять — от ста тысяч до трехсот тысяч рублей;

В случае установления факта неправомерной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, — размер административного штрафа на юридических лиц будет составлять — от одного миллиона до трех миллионов рублей;

Для крупных компаний, где численность сотрудников от одной тысячи, действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов персональных данных, — размер административного штрафа на юридических лиц будет составлять — от трех миллионов до пяти миллионов рублей;

Индивидуальные предприниматели за невыполнение и (или) несвоевременное выполнение обязанности по уведомлению уполномоченного органа о намерении осуществлять обработку персональных данных будут нести административную ответственность как юридические лица.

Поэтому очень важно следовать законодательству и действовать в соответствии с правилами, чтобы избежать таких негативных последствий.

Для многих юридических лиц введение надлежащих правил по обработке персональных данных видится непреодолимым бюрократическим барьером ввиду необходимости перестройки внутренних процессов. Обращение к специалистам при необходимости составления организационно-распорядительных документов и приведения их в соответствие с ФЗ-152 — является оптимальным решением для любой Компании.

Как избежать штрафов за нарушения в области персональных данных по 152-ФЗ?

Соблюдение нижеуказанных мер позволит минимизировать риски нарушения законодательства о персональных данных и избежать наложения штрафов со стороны контролирующих органов:

1.

Проведение аудита по обработке персональных данных для выявления возможных нарушений и устранения их.

2.

Обеспечение конфиденциальности персональных данных путем их защиты от несанкционированного доступа, утечек и утраты.

3.

Получение согласия субъектов персональных данных на обработку их информации в соответствии с законом.

4.

Обеспечение прав субъектов персональных данных на доступ к своим данным, их изменение и удаление при необходимости.

5.

Обучение сотрудников, работающих с персональными данными, правилам и требованиям по обработке такой информации.

6.

Подать Уведомление в Роскомнадзор, получить статус Оператора персональных данных.

С чего начать оператору при организации работы с персональными данными в организации?

1. Анализ бизнес-процессов оператора. Разработка и утверждение локальных нормативно-правовых актов, регулирующих обработку ПД.

На этом этапе оператору необходимо выявить источники обработки данных, разработать и утвердить локальные акты, регулирующие их обработку, оформить документы об ознакомлении сотрудников с этими актами.

К локальным актам относятся:

  • политика обработки персональных данных (политика конфиденциальности);
  • инструкции и регламенты (инструкция лица, ответственного организацию за обработки персональных данных; план мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных; инструкция ответственного за обеспечение информационной безопасности, регламент по определению уровней защищенности в информационных системах);
  • положения (об обработке и защите персональных данных, о комиссии по приведению деятельности организации в соответствие с требованиями законодательства в области персональных данных и пр.);
  • перечни (должностей и третьих лиц, допущенных к обработке, применяемых средств защиты информации, помещений для обработки персональных данных, обрабатываемых персональных данных, информационных систем персональных данных);
  • приказ о назначении ответственного за организацию обработки персональных данных;
  • приказ о назначении Комиссии по защите персональных данных;
  • поручение на обработку персональных данных с контрагентами.

Важно отметить, что для подтверждения введения каждого из перечисленных локальных нормативных актов, исполнительный орган оператора должен издать приказ об их утверждении.

Также, на этом этапе проводится детальный аудит сайта при его наличии (даже если они обрабатывают только cookie-файлы), договоров с контрагентами и иных источников получения или передачи персональных данных субъектов, не являющихся работниками оператора.

2. Контроль за соблюдением законодательства сотрудниками при обработке персональных данных.

Для сотрудников компании, обрабатывающих персональные данные, важно следовать определенным правилам и рекомендациям, чтобы обеспечить безопасность и конфиденциальность информации. В этой связи необходимо подготовить следующие документы:

  • локальные нормативно-правовые акты, регламентирующие порядок допуска сотрудников и третьих лиц к обработке персональных данных;
  • требования к учету и хранению носителей, порядок осуществления трансграничной передачи персональных данных;
  • сведения о средствах и способах резервного копирования и уничтожения персональных данных, а также проведение контрольных мероприятий и реагированию на инциденты информационной безопасности;
  • инструкция пользователя информационных систем персональных данных;
  • перечень работников, которым предоставляется доступ к информационной системе персональных данных;
  • положение об обеспечении безопасности персональных данных в информационных системах.

Далее следует разработать унифицированные формы согласий субъектов на обработку персональных данных и журналы ознакомления с ними. Благодаря этому оператор может быть уверенным в том, что он имеет право обрабатывать персональные данные субъектов, а его сотрудники ознакомлены с локальными актами Компании о том каким образом осуществляется обработка.

Только после соблюдения вышеперечисленных пунктов можно подавать Уведомление в Роскомнадзор и получать статус Оператора персональных данных.

3. Подача уведомления о начале обработки персональных данных в уполномоченный орган.

Уведомление подается в бумажном или электронном формате с подписью уполномоченного лица до начала обработки в Роскомнадзор. Уведомление должно содержать:

  • наименование и адрес оператора;
  • цель обработки;
  • категории персональных данных;
  • правовое основание обработки;
  • описание способов обработки;
  • перечень принятых мер по безопасности обработки;
  • дата начала и срок (условие) прекращения обработки.

Обращаем внимание, что согласно законодательству, в случае несоблюдения требования о предоставлении уведомления о начале обработки персональных данных в Роскомнадзор, предусмотрено наложение штрафа в размере до 300 000 рублей.

Также на операторе лежит обязанность актуализировать переданные в надзорный орган сведения об обработке персональных данных в срок не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.

Чем мы можем помочь

Проведение полного аудита процессов обработки персональных данных;

Разработка обязательного пакета документов, касающихся обработки персональных данных (положение об обработке персональных данных, политика обработки персональных данных, согласия на обработку персональных данных и тд.);

Аудит сайта компании на предмет соответствия требованиям законодательства о персональных данных;

Разработка документов в области персональных данных для сайта компании (политика конфиденциальности, согласие на обработку персональных данных, cookie, согласие на распространение персональных данных и тд);

Подготовка Уведомления для Роскомнадзора;

Анализ процессов, связанных с трансграничной передачей персональных данных содействие в обеспечении соблюдения требований законодательства о персональных данных;

Консультирование и подготовка рекомендаций для ответственного за обработку персональных данных.

Если у вас возникли какие-либо вопросы или вам требуется консультация, обращайтесь к нам

Мы всегда рады помочь вам обеспечить юридическую защиту вашего бизнеса и продукта!

Консультация

FAQ

Что относится к персональным данным?

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Что такое обработка персональных данных?

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Какие документы должны быть у оператора ПД?

Необходимый пакет документов 152-ФЗ, который должен быть у каждой организации, физического лица, муниципального органа или иного субъекта, выполняющего операции с ПД, разрабатывается для каждого оператора индивидуально и включает несколько десятков документов, в том числе: политика конфиденциальности персональных данных пользователей сайта, политика оператора в отношении обработки персональных данных, согласие на обработку персональных данных, согласие на обработку файлов cookies, должностные инструкции, регламенты, правила, положения и т. д.

Что такое трансграничная передача ПД?

Передача персональных данных на территорию иностранного государства органу власти этого государства, иностранному физическому или юридическому лицу.

Почему важно своевременно подать уведомление в Роскомнадзор и правильно обрабатывать персональные данные?

Новый законопроект не только увеличивает размеры уже существующих штрафов за нарушение законодательства в области персональных данных, но и предусматривает новые штрафные санкции, вводит понятие оборотного штрафа.