Регистрация в реестре Роскомнадзора (РКН): как компаниям и ИП организовать процесс обработки персональных данных?
Не так давно в законодательстве, регулирующем обработку и хранение персональных данных (ПД), произошли значительные изменения, которые обязательны к изучению для всех организаций. Далее разъясняем причины этого.
С 2024 года все юрлица и индивидуальные предприниматели автоматически становятся операторами персональных данных (ОПД) и на них ложится обязанность по уведомлению Роскомнадзор о том, что они занимаются обработкой данных. Данное требование распространяется на обработку следующих типов ПД:
- Внутренние сведения (данные работников): Наибольшая ответственность ложится на бухгалтерию и кадровые службы. Эти подразделения обязаны обеспечить регистрацию в Роскомнадзоре, организацию работу с ПД сотрудников, оформить нужную документацию и регулярно актуализировать сведения о работе с ПД в Роскомнадзоре.
- Внешние данные (сведения клиентов, заказчиков, пациентов, посетителей, студентов/учеников и т.д.): В данном случае требования значительно строже. Потребуется подготовить целый комплекс документов, соответствующих специфике деятельности компании, настроить процесс приема, обработки и хранения данных, а также организовать отчеты в Роскомнадзор на постоянной основе.
В настоящее время каждой компании или индивидуальному предпринимателю необходимо выполнить обязательные действия, чтобы не столкнуться со штрафами:
- Пройти процесс регистрации в РКН в качестве оператора персональных данных.
- Подготовить и внедрить полный пакет документов, который регламентирует работу с персональными данными согласно требованиям Роскомнадзора и закона
№152-ФЗ. - Если регистрация была проведена ранее, важно пересмотреть свои обязательства и обновить информацию в Роскомнадзоре
Эти шаги необходимо выполнить без промедления, поскольку Роскомнадзор в первую очередь проверяет наличие регистрации и корректности документов у всех юрлиц и ИП.
Компаниям и индивидуальным предпринимателям, прошедшим регистрационные мероприятия до 2023 года, нужно как можно скорее подать уведомление об обновлении данных в карточке ОПД на сайте РКН, поскольку форма уведомления была существенно изменена.
К тому же, у значительного числа ранее зарегистрированных ОПД обнаружены значительные недочеты. В карточке часто не указаны цели обработки данных, отсутствуют сведения о применяемых мерах безопасности, шифровальных средствах, а также трансграничной передаче данных. Это лишь часть возможных нарушений.
Штрафные санкции в случае несоблюдения требований законодательства в части персональных данных
Правонарушения, такие как отсутствие регистрации в Роскомнадзоре, ошибки в заполнении формы извещения или использование устаревшей внутренней документации, способны привести к предписаниям от надзорных органов и наложению санкций согласно статье 13.11 КоАП РФ.
С конца 2023 года размеры штрафов за нарушения в области обработки ПД значительно увеличились:
- В случае непредоставления публичного доступа к политике обработки персональных данных предусмотрен штраф до 60 000 рублей.
- Обработка данных без согласия их владельца может повлечь санкцию размером до 700 000 рублей, а при повторных неисполнениях законодательных требований — до 1,5 млн рублей.
- За обработку данных, не соответствующую заявленным целям, грозит штраф до 100 000 рублей.
- Нарушение мер по обеспечению сохранности персональных данных способно обернуться санкцией в размере до 100 000 рублей.
- Хранение данных граждан России на серверах за пределами страны без извещения об этом РКН грозит внушительной санкцией от 6 до 18 млн рублей (например, при использовании облачных сервисов таких как Google Диск, Dropbox, OpenDrive, MEGA и других).
Как избежать штрафов при работе с ПД?
Для предотвращения штрафов за нарушения в сфере обработки персональных данных, необходимо предпринять ряд ключевых шагов:
- Провести обновление внутренней документации, касающейся работы с персональными данными, в соответствии с последними изменениями в законодательстве.
- Согласие на обработку, передачу и распространение персональных данных;
- Политика компании по обработке ПД;
- Инструкции для сотрудников по работе с персональными сведениями;
- Приказы и иные внутренние распоряжения, регулирующие процесс обработки данных (рекомендуется запросить полный пакет документов).
- Подать извещение в РКН о начале обработки персональных данных или об обновлении информации, представленной ранее
Комплект документов включает около 60 обязательных позиций, среди которых особое внимание следует уделить следующим
Отправка соответствующего извещения в РКН с полным набором сведений, в том числе описание мер, предусмотренных статьями 18.1 и 19 Федерального закона №152-ФЗ, а также информацию о применяемых мерах по обеспечению безопасности персональных данных, позволяет минимизировать риск получения штрафов за отсутствие ограниченного доступа к Политике обработки ПД.
В уведомлении также указываются данные о разработанных внутренних документах и локальных актах, регулирующих обработку ПД. Это означает, что к моменту подачи уведомления у оператора ПД должен быть актуализирован полный пакет документов, обеспечивающий соответствие компании всем требованиям законодательства.
Наш менеджер вас проконсультирует