Как уведомить Роскомнадзор о сборе персональных данных
Содержание статьи
Российские законы охраняют частную жизнь граждан и право на личную тайну. Все лица, которые получают доступ к персональным данным человека, должны состоять в реестре операторов. Направлять уведомление в Роскомнадзор для постановки на учет обязаны в том числе работодатели: организации и предприниматели.
Правила уведомления Роскомнадзора
|
Кто обязан отчитаться
С 2022 года закон о персональных данных распространяется на всех лиц, работающих с такой информацией. Это государственные и муниципальные органы, юридические лица всех форм собственности (ООО, АО, НКО и т. д.), а также индивидуальные предприниматели. Любой, кто получает и обрабатывает персональную информацию граждан, должен состоять на учете в реестре операторов. Для внесения в реестр необходимо направить Роскомнадзору соответствующее уведомление.
Кто обязан по закону уведомить Роскомнадзор о работе с персданными:
-
все работодатели;
-
организации и ИП с пропускным режимом и службой доставки;
-
лица, заключившие с гражданами договоры, и др.
Уведомить Роскомнадзор нужно и в случае однократного оформления гражданину пропуска для прохода на территорию организации/ИП. Даже если в пропуске будут указаны только ФИО. Даже если гражданин дал свое согласие на распространение личной информации.
Кто вправе не уведомлять Роскомнадзор
Кто может не уведомлять Роскомнадзор:
-
граждане, которые используют персональные данные для своих нужд (личных/семейных);
-
лица, которые обрабатывают персданные вручную;
-
лица, которые работают с персональной информацией, включенной гос. системы по защите государства или необходимой для обеспечения транспортной безопасности.
К примеру, если предприниматель не имеет наемных работников, не заключает с гражданами ГПХ-договоры и все документы заполняет вручную без компьютера, то формально он может не сообщать в Роскомнадзор о работе с персональными данными. На практике выполнить такие условия достаточно проблематично.
Правила подачи сведений
Закон требует, чтобы операторы сообщали о работе с персональными данными до начала их обработки. Форма уведомления так и называется — о намерении осуществлять обработку персданных. Те лица, которые на момент вступления в силу изменений закона (сентябрь 2022 года) уже работали с такими данными, также должны были уведомить Роскомнадзор.
Таким образом, сообщение о работе с персданными направляется всего один раз, чтобы Роскомнадзор внес сведения об операторе в соответствующий реестр.
Если после внесения в реестр сведения изменились, например, оператор намерен обрабатывать персональные данные в других целях, то следует направить в Роскомнадзор другую форму уведомления — об изменении сведений (срок — до середины следующего месяца). О прекращении работы с персданными также нужно сообщить Роскомнадзору в течение 10 дней, используя форму уведомления о прекращении обработки информации.
Формы уведомлений заполняются в соответствии с утвержденными правилами и направляются в органы Роскомнадзора по месту регистрации юрлица или ИП. Передать документы можно как в бумажном, так и цифровом виде.
Правильно заполнить форму уведомления и проконтролировать получение сведений Роскомнадзором помогут эксперты «Консалт-групп».
Ответственность операторов персданных
Ответственность за неуведомление Роскомнадзора, равно как и несвоевременное уведомление, влечет применение к оператору административной ответственности. Размер санкций по ст. 19.7 КоАП относительно небольшой — штраф до 5 тыс. рублей. Однако другие нарушения при работе с персональной информацией караются гораздо жестче.
-
Не обеспечив беспрепятственный доступ граждан к своей Политике конфиденциальности, юрлицо может получить штраф на сумму от 30 тыс. до 60 тыс. рублей.
-
Обрабатывая данные физлица без его согласия, компания рискует получить штраф на сумму от 30 тыс. до 150 тыс. рублей. За повторное нарушение сумма штрафа увеличится до полумиллиона рублей.
-
Более серьезное нарушение правил работы с персданными может повлечь штраф ст. 13.11 КоАП размером до 18 млн рублей.
Также операторы персданных несут гражданскую ответственность перед физическими лицами. По закону оператор должен возместить гражданину причиненный вред полностью, причем не только материальный, но и моральный (ст. 24 закона 152-ФЗ).
И в уголовном кодексе есть статьи, которые определяют состав преступления в сфере персональных данных: нарушение частной жизни и незаконное получение компьютерной информации (ст. 137, 272 УК).
Во избежание рисков операторам, работающим с персональными данными, следует проконсультироваться с юристами. В компании «Консалт-групп» юрлица и предприниматели могут получить все виды юридической поддержки. Наши специалисты помогут подготовить уведомления для Роскомнадзора, разработать внутренние локальные акты для работы с персданными и многое другое.