Если собираете телефоны и адреса электронных почт клиентов, или даже просто обрабатываете информацию о соискателях при поиске нового сотрудника, нужно подавать уведомления в РКН. Подробно рассказали, как это делать, и разобрались, какие есть исключения.
Кто должен подавать уведомления в РКН
Порядок работы с персональными данными регламентирован Федеральным законом №152-ФЗ от 27.07.2006. Вот базовые понятия из закона:
-
Персональные данные (ПД) — любая информация, прямо или косвенно относящаяся к определенному физическому лицу.
-
Оператор ПД — это юридическое или физическое лицо, ИП, государственный или муниципальный орган, который занимается обработкой ПД.
-
Обработка ПД — действия с персональными данными: сбор, запись, систематизация, накопление, хранение, актуализация, использование, передача, обезличивание, блокирование, удаление или уничтожение.
Практически все бизнесы работают с персональными данными:
- заключают договоры с физлицами,
- собирают контакты клиентов для рассылок,
- хранят резюме соискателей,
- записывают данные покупателей в интернет-магазинах.
Оператор ПД должен уведомлять Роскомнадзор о начале обработки ПД. Именно факт начала работы с ПД является причиной подачи уведомления, а не наоборот.
В законе есть и исключения — не подавайте уведомление в РКН, если:
- Работаете с данными вручную (например, ведёте бумажный журнал клиентов).
- Обрабатываете информацию для транспортной безопасности (например, данные пассажиров).
- Ваши данные — часть госсистем (ЕИС Закупки, ГИС ЖКХ и др.).
Как подать уведомление в РКН
Форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 №180 (Приложение 1). В Приложениях 2 и 3 к Приказу есть формы об изменениях в обработке с ПД и прекращении обработки ПД. Их тоже нужно формировать и направлять к РКН.
Способы подачи уведомления доступны на сайте РКН. Есть всего три способа:
- на бумаге: заполните форму на сайте и распечатайте, отнесите или направьте заказным письмом в РКН;
- в электронном виде с ЭЦП: отправьте уведомление через сайт РКН;
- в электронном виде: через Госуслуги.
Как заполнить уведомление в РКН
Форму удобно заполнять на сайте ведомства — там есть всплывающие подсказки о том, как правильно указывать информацию в полях.
Информацию указывайте без сокращений и в соответствии с паспортными данными. Обратите внимание на поля, помеченные звёздочкой (символом *). Они обязательны для заполнения:
- регионы обработки информации: выберите регионы, в которых работаете, или поставьте галочку «Все регионы»;
- цель обработки ПД: выберите из предложенного списка нужный вариант. Если трудоустраиваете сотрудника, то это «Обеспечение соблюдения трудового законодательства РФ», заключаете договор ГПХ с cамозанятым — ставьте галку «Подготовка, заключение и исполнение гражданско-правового договора», формируете базу для рассылок — «Продвижение товаров, работ, услуг на рынке». Не нашли свой случай — выберите «иная» и в дополнительном окне укажите свою цель, например «Информирование клиентов об акциях»;
- категории ПД: отметьте вид персональных данных, которые собираете и обрабатываете — ФИО, дата рождения, семейное положение и другое по списку;
- категории субъектов ПД: укажите, кем является физлицо, данные которого обрабатываются. Это может быть работник, клиент или соискатель;
- правовое обоснование ПД: выберите из списка основание — например, договор или согласие на обработку ПД;
- перечень действий: выберите из списка, что будете с данными — сбор, хранение, запись;
- способы обработки ПД: автоматизированная, неавтоматизированная или смешанная, без передачи или с передачей по внутренней сети юрлица, без передачи или с передачей в интернете.
Поля «Категории ПД», «Категории субъектов ПД», «Правовое обоснование ПД», «Перечень действий», «Способы обработки ПД» заполняйте для каждой цели обработки ПД.
- описание мер безопасности: укажите меры из списка в ст.18.1 и 19 Федерального закона №152-ФЗ, которые вы фактически будете делать для защиты ПД;
- средства обеспечения безопасности: укажите технические средства, если они есть. Это могут быть, например, антивирусные программы;
- использование шифровальных (криптографических) средств: укажите, если такие используются, или выберите «Не используются»;
- ответственный за организацию обработки персональных данных: укажите, только если такой специалист есть. Кто может быть ответственным, в законе не уточняется;
- дата начала обработки ПД: дата основания компании, регистрации ИП или дата непосредственного начала обработки ПД;
- срок или условие прекращения обработки ПД;
- осуществление трансграничной передачи персональных данных: укажите, если данные передаются в иностранные государства.
Потом заполните обязательные блоки:
- Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ: адрес сервера, на котором хранятся ПД.
- Сведения об обеспечении безопасности персональных данных: данные из Постановления Правительства №1119 от 01.11.2012.
Не заполняйте данные наугад, обратитесь к ИТ-специалисту, который точно знает, какие виды защиты информации используются в вашей компании.
В конце формы укажите данные исполнителя — того, кто заполнил уведомление, должность и контактный телефон. Поставьте галочки об ознакомлении и направьте уведомление в РКН.
На сайте можно отслеживать статус исполнения уведомления. Если по истечении 30 дней информацию не внесли, обратитесь в приёмную ведомства. Если информацию не направите, РКН может прийти с проверкой.
Штрафы за неуведомление
Санкции за нарушения вырастут кратно. До 30 мая 2025 были такие суммы:
- ИП, самозанятые — до 300 ₽;
- Компании — до 5 000 ₽.
С 30 мая 2025 вводится новая статья 13.11 КоАП и штрафы значительно вырастут. Вот сколько придётся заплатить:
- Самозанятые — от 5 000 до 10 000 ₽;
- Должностные лица — от 30 000 до 50 000 ₽;
- Компании и ИП — от 100 000 до 300 000 ₽.
Ошибки при заполнении уведомлений в РКН
На сайте РКН есть список самых частых ошибок при заполнении уведомлений. Ознакомьтесь с ним, чтобы не допустить ошибок, и ваше уведомление приняли.
