Уведомление о персональных данных в Роскомнадзор: кто должен подавать и как составить

Всё про уведомление в Роскомнадзор

• Когда нужно подавать уведомление в Роскомнадзор
• Как составить и подать уведомление в РКН
• Как проверить, есть ли вы в реестре РКН
• Что будет, если не уведомить Роскомнадзор

Когда нужно подавать уведомление в Роскомнадзор

Операторы обязаны уведомить РКН о намерении обрабатывать персданные. То есть уведомление нужно подать до начала обработки. Если вы начали собирать персданные, но не сообщили об этом в Роскомнадзор или же отправили уведомление позже, придется заплатить штраф (ч. 1 ст. 22 152‑ФЗ).

Обрабатывать персданные без сообщения в РКН можно лишь в исключительных случаях. Не подавайте уведомление, если (ч. 2 ст. 22 152‑ФЗ):

1. Обрабатываете персданные без автоматизации. То есть не заносите в базы данных и не используете с помощью автоматизированных средств. Например, даете своим клиентам заполнить бумажные анкеты от руки и собираете полученные данные в обычную папку.
2. Обрабатываете персданные, включенные в государственные информационные системы, которые создали для защиты госбезопасности и общественного порядка. Например, госсистему МВД или других правоохранительных органов.
3. Обрабатываете персданные в соответствии с законодательством о транспортной безопасности. Например, продаете билеты пассажирам по паспорту или оформляете страховой полис для безопасной поездки.

Во всех остальных случаях оператор обязан заранее отправить в РКН уведомление об обработке персданных.

Как составить и подать уведомление в РКН

Уведомление заполняют по унифицированной форме (приведена в приложении № 1 к приказу РКН № 180 от 28.10.2022) на сайте РКН.

Сведения об операторе

В этом разделе заполняете поля по данным из ЕГРЮЛ (ЕГРИП). В качестве почтового укажите адрес фактического нахождения. Телефон и электронная почта нужны, чтобы Роскомнадзор мог с вами связаться.

В поле «Регионы» выберите те, в которых осуществляется обработка персональных данных: головная организация, филиалы, обособленные подразделения.

«Филиалы» заполняются только в случае, если имеются обособленные подразделения, филиалы без выделения отдельного ИНН.

Цели обработки персональных данных

Необходимо указать как цели сбора и обработки персданных в ходе деятельности, указанной в учредительных документах, так и фактически осуществляемой. Цели можно выбрать из предложенных вариантов, если нет подходящей — кликните на «иная» и заполните вручную.

Для каждой цели обработки нужно указать категории персональных данных; категории субъектов, персональные данные которых обрабатываются; правовое основание обработки персональных данных, перечень действий и способы обработки.

Например, для цели «Ведение кадрового и бухгалтерского учета» укажите:

• Категории персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; профессия; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании.
• Специальные категории персональных данных: сведения о состоянии здоровья.
• Категории субъектов, персональные данные которых обрабатываются: работники; родственники работников; уволенные работники.
• Правовые основания обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; Трудовой кодекс РФ.
• Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление.
• Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

Описание мер, предусмотренных ст. 18.1 и 19 ФЗ «О персональных данных»

Необходимо указать конкретные организационные и технические меры, которые вы приняли. Например:

1. Разработаны локальные акты по вопросам обработки персональных данных.
2. Назначены ответственный за организацию обработки персональных данных и за обеспечение безопасности персональных данных.
3. Работники, осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных.

Средствами обеспечения безопасности могут быть:

• антивирусные программы;
• идентификация и проверка подлинности пользователя при входе в информационную систему по паролю;
• сейфы;
• запираемые металлические шкафы;
• сигнализация.

Дата начала обработки персданных может совпадать с датой регистрации компании или ИП. Условием прекращения обработки чаще всего будет ликвидация или реорганизация.

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ

Если ЦОД собственный, то указываем фактический адрес местонахождения своей организации. Это будет в случае:

• если есть документы, которые создаются в электронном виде и обрабатываются на локальных ПК организации/ИП;
• есть документы с персданными, которые создаются на бумажных носителях (например, трудовые книжки, резюме, заявления на налоговый вычет и пр.).

Если ЦОД не собственный, то в зависимости от типа организации: ИП, юрлицо, физлицо или иностранная организация — система попросит заполнить ее данные.

Сведения об обеспечении безопасности персональных данных

По Постановлению Правительства РФ от 01.11.2012 № 1119 определите необходимый уровень защищенности для ваших персданных. Затем посмотрите, какие требования вы должны соблюдать в соответствии с вашим уровнем. В форме уведомления укажите из перечня этих требований те, которые у вас внедрены.

Подача уведомления

Подать уведомление можно:

• на бумаге — в территориальное отделение РКН;
• в электронном виде — через сайт РКН, подписав усиленной квалифицированной подписью (УКЭП), но предварительно придется установить и настроить плагин «КриптоПро ЭЦП Browser plug‑in»;
• через портал «Госуслуги» — если есть подтвержденная учетная запись организации или физлица (для ИП).

В течение 30 дней после получения уведомления РКН внесет сведения об организации/ИП в реестр операторов персданных. После этого вы сможете обрабатывать персональные данные физлиц без штрафов и взысканий.

Как проверить, есть ли вы в реестре РКН

Если хотите удостовериться, что вас внесли в реестр операторов и вы действительно можете обрабатывать персданные без последствий, можете найти свою организацию/ИП на сайте РКН. Вот как это сделать:

1. Зайдите на портал персданных.
2. Введите название/ФИО оператора или ИНН.
3. Запустите поиск и посмотрите результат. Если сведения о вашей компании есть в реестре, значит вы — оператор и можете официально работать с персданными.

Поиск оператора персданных в реестре Роскомнадзора

Что будет, если не уведомить Роскомнадзор

Операторы обязаны уведомить РКН о начале, изменении или прекращении обработки персданных. Также необходимо сообщать в РКН об утечках ПД. Неуведомление РКН — это критический риск для бизнеса. И если вы проигнорируете эту обязанность, придется заплатить существенный штраф (ст. 13.11 КоАП РФ).