Регистрация в реестре Роскомнадзора (РКН): как компаниям и ИП организовать процесс обработки персональных данных?

Не так давно в законодательстве, регулирующем обработку и хранение персональных данных (ПД), произошли значительные изменения, которые обязательны к изучению для всех организаций. Далее разъясняем причины этого.

С 2024 года все юрлица и индивидуальные предприниматели автоматически становятся операторами персональных данных (ОПД) и на них ложится обязанность по уведомлению Роскомнадзор о том, что они занимаются обработкой данных. Данное требование распространяется на обработку следующих типов ПД:

1. Внутренние сведения (данные работников): Наибольшая ответственность ложится на бухгалтерию и кадровые службы. Эти подразделения обязаны обеспечить регистрацию в Роскомнадзоре, организацию работу с ПД сотрудников, оформить нужную документацию и регулярно актуализировать сведения о работе с ПД в Роскомнадзоре.
2. Внешние данные (сведения клиентов, заказчиков, пациентов, посетителей, студентов/учеников и т.д.): В данном случае требования значительно строже. Потребуется подготовить целый комплекс документов, соответствующих специфике деятельности компании, настроить процесс приема, обработки и хранения данных, а также организовать отчеты в Роскомнадзор на постоянной основе.

В настоящее время каждой компании или индивидуальному предпринимателю необходимо выполнить обязательные действия, чтобы не столкнуться со штрафами:

1. Пройти процесс регистрации в РКН в качестве оператора персональных данных.
2. Подготовить и внедрить полный пакет документов, который регламентирует работу с персональными данными согласно требованиям Роскомнадзора и закона
   №152-ФЗ.
3. Если регистрация была проведена ранее, важно пересмотреть свои обязательства и обновить информацию в Роскомнадзоре

Эти шаги необходимо выполнить без промедления, поскольку Роскомнадзор в первую очередь проверяет наличие регистрации и корректности документов у всех юрлиц и ИП.

Компаниям и индивидуальным предпринимателям, прошедшим регистрационные мероприятия до 2023 года, нужно как можно скорее подать уведомление об обновлении данных в карточке ОПД на сайте РКН, поскольку форма уведомления была существенно изменена.

К тому же, у значительного числа ранее зарегистрированных ОПД обнаружены значительные недочеты. В карточке часто не указаны цели обработки данных, отсутствуют сведения о применяемых мерах безопасности, шифровальных средствах, а также трансграничной передаче данных. Это лишь часть возможных нарушений.

Получить бесплатную консультацию по регистрации в Роскомнадзоре или подготовке документов для работы с персональными данными

Консультация

Штрафные санкции в случае несоблюдения требований законодательства в части персональных данных

Правонарушения, такие как отсутствие регистрации в Роскомнадзоре, ошибки в заполнении формы извещения или использование устаревшей внутренней документации, способны привести к предписаниям от надзорных органов и наложению санкций согласно статье 13.11 КоАП РФ.

С конца 2023 года размеры штрафов за нарушения в области обработки ПД значительно увеличились:

1. В случае непредоставления публичного доступа к политике обработки персональных данных предусмотрен штраф до 60 000 рублей.
2. Обработка данных без согласия их владельца может повлечь санкцию размером до 700 000 рублей, а при повторных неисполнениях законодательных требований — до 1,5 млн рублей.
3. За обработку данных, не соответствующую заявленным целям, грозит штраф до 100 000 рублей.
4. Нарушение мер по обеспечению сохранности персональных данных способно обернуться санкцией в размере до 100 000 рублей.
5. Хранение данных граждан России на серверах за пределами страны без извещения об этом РКН грозит внушительной санкцией от 6 до 18 млн рублей (например, при использовании облачных сервисов таких как Google Диск, Dropbox, OpenDrive, MEGA и других).

Как избежать штрафов при работе с ПД?

Для предотвращения штрафов за нарушения в сфере обработки персональных данных, необходимо предпринять ряд ключевых шагов:

1. Провести обновление внутренней документации, касающейся работы с персональными данными, в соответствии с последними изменениями в законодательстве.

Комплект документов включает около 60 обязательных позиций, среди которых особое внимание следует уделить следующим

• Согласие на обработку, передачу и распространение персональных данных;
• Политика компании по обработке ПД;
• Инструкции для сотрудников по работе с персональными сведениями;
• Приказы и иные внутренние распоряжения, регулирующие процесс обработки данных (рекомендуется запросить полный пакет документов).
2. Подать извещение в РКН о начале обработки персональных данных или об обновлении информации, представленной ранее

Отправка соответствующего извещения в РКН с полным набором сведений, в том числе описание мер, предусмотренных статьями 18.1 и 19 Федерального закона №152-ФЗ, а также информацию о применяемых мерах по обеспечению безопасности персональных данных, позволяет минимизировать риск получения штрафов за отсутствие ограниченного доступа к Политике обработки ПД.

В уведомлении также указываются данные о разработанных внутренних документах и локальных актах, регулирующих обработку ПД. Это означает, что к моменту подачи уведомления у оператора ПД должен быть актуализирован полный пакет документов, обеспечивающий соответствие компании всем требованиям законодательства.