Как избежать штрафов и что нужно знать о новых поправках

Владельцы сайтов, которые размещают на сайте формы обратной связи, используют системы аналитики, собирают номера телефонов, адреса электронной почты и другую информацию посетителей, обрабатывают персональные данные.

С 1 сентября 2022 года, а также с 1 марта 2023 вступили в силу поправки в закон № 152 «О персональных данных».

Появились новые требования к Политике по обработке персональных данных и трансграничной передаче, то есть отправки персональных данных на территорию иностранного государства.

Если владелец сайта не будет соблюдать эти требования, он может получить штраф. Их существует более 10 видов, а общая сумма штрафов может достигать 18 миллионов рублей.

Никита Володин

Консультант консалтинговой компании Б-152

Никита Володин, консультант компании Б-152, рассказывает, что нужно сделать владельцам сайтов, чтобы организовать сбор и обработку персональных данных и не нарушить новые требования закона.

Операторов персональных данных. Оператор собирает и обрабатывает персональные данные, например, электронные адреса для рассылки. Оператором могут быть физические и юридические лица.

Определение из закона 152-ФЗ «О персональных данных»:

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Любые данные о человеке, по которым его можно опознать. Точного перечисления таких данных в законе нет, но, например, если сведения о музыкальных предпочтениях человека без дополнительной информации нам ни о чём не говорят, то электронная почта — это уже персональные данные.

Определение из закона 152-ФЗ «О персональных данных»:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные можно получать через формы, которые заполняют посетители сайта, и автоматически, без участия пользователя. В первом случае человек сам передаёт вам свои данные, например, для оформления заказа. Чаще всего это:

• email;
• телефон;
• имя, фамилия, отчество;
• адрес;
• дата рождения;
• фотография;
• ссылка на персональный сайт и профиль в соцсетях.

Автоматически персональные данные посетителей сайта собираются при помощи cookie. Cookie — это файл с данными, который сохраняется на компьютере пользователя после посещения сайта. В куки могут храниться:

• данные о местоположении человека;
• IP-адрес;
• информация о действиях на сайте;
• добавленные в корзину товары и так далее.

Владельцы сайтов могут использовать файлы куки, например, для показа таргетированной рекламы или отправки напоминаний об оставленных в корзине товарах. Так как перечня персональных данных в законе нет, нельзя точно сказать, входят ли куки в понятие «персональных данных». Но на практике суды и Роскомназдор признают обработку информации, собираемой при помощи куки, обработкой персональных данных.

Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.

Определение из закона 152-ФЗ «О персональных данных»:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Как владельцам сайтов не нарушить закон об обработке персональных данных и избежать штрафов

Создайте политику обработки персональных данных и разместите её на отдельной странице сайта

На сайте, где собираются данные пользователей, обязательно нужно разместить Политику обработки персональных данных. Это документ, в котором описано, какие именно данные и для какой цели вы собираете, как храните и обрабатываете, а также кому вы можете передавать эти данные. Политика обязательно должна содержать:

• ссылку на сайт, к которому она применяется;
• ФИО или название организации, которая получает согласие посетителя сайта;
• цели обработки персональных данных.

Целью может быть отправка пользователям рассылки или предоставление доступа к образовательным материалам. Если вы собираете cookie, это также нужно указать в политике как отдельную цель. Для каждой цели укажите:

• кто передаёт вам данные (категории субъектов персональных данных). Это могут быть посетители сайта, ваши сотрудники, кандидаты на вакансии;
• категории и перечень данных о пользователях, которые вы получаете;
• способы и сроки обработки и хранения данных,
• порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

Согласно части 3 статьи 13.11 кодекса РФ об административных правонарушениях за отсутствие политики обработки персональных данных на сайте можно получить штраф в размере от 30 до 60 тысяч рублей.Добавьте ссылку на политику обработки персональных данных в футер сайта

Политика должна быть доступна на каждой странице, где собираются данные пользователей. Удобнее всего добавить ссылку в подвал сайта: он одинаковый для всех страниц, поэтому при создании новой вы точно не забудете разместить на ней ссылку на политику.

Под каждой формой сбора данных разместите предупреждающий текст о сборе персональных данных

Под каждой формой сбора персональных данных добавьте уведомление о том, что вы собираете персональные данные пользователей.

Для этого разместите рядом с кнопкой чек-бокс, где пользователь сможет поставить галочку, и текст «Даю согласие на обработку своих персональных данных». Если на сайте есть пользовательское соглашение (оферта), добавьте на него ссылку в текст.

Если нет — на отдельной странице сайта разместите текст согласия на обработку персональных данных и добавить на него ссылку под форму.

https://www.youtube.com/watch?v=J12TUwE-Kek\u0026pp=ygVy0KDQtdCz0LjRgdGC0YDQsNGG0LjRjyDQvtGA0LPQsNC90LjQt9Cw0YbQuNC4INC60LDQuiDQvtC_0LXRgNCw0YLQvtGA0LAg0L_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINC00LDQvdC90YvRhSAyMDIz

В согласии на обработку персональных данных должны быть:

• наименование или ФИО и адрес оператора, получающего согласие;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых пользователь даёт согласие;
• перечень действий с персональными данными и способы их обработки;
• если вы поручаете обработку персональных данным сторонним лицам или компаниям, укажите их адрес, наименование или ФИО;
• срок, в течение которого действует согласие, а также способ как можно его отозвать.

Обработка персональных данных пользователей без их согласия наказывается штрафом в размере от 60 до 100 тысяч рублей за первое нарушение и от 100 до 300 тысяч — за повторное (ст.13.11 КоАП РФ).

В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.

Показывайте всем новым пользователям сайта предупреждение о том, что вы собираете cookie

Файлы cookie считаются персональными данными, поэтому всем новым посетителям сайта нужно показывать уведомление об их сборе, и получить на это согласие.

Для этого на баннере добавьте кнопку «согласен» или пропишите в тексте предупреждения, например: «используя сайт, вы предоставляете согласие на обработку ваших персональных данных с помощью сервисов веб-аналитики».

В текст добавьте ссылку на политику обработки персональных данных. Если пользователь не хочет, чтобы эти его данные обрабатывались, он должен покинуть сайт.

В библиотеке блоков Тильды уведомление об использовании куки находятся в категории другое. Это блоки: T657, T886 и T887

Подайте уведомление, чтобы внести компанию в реестр операторов персональных данных Роскомнадзора

Владелец сайта должен уведомить Роскомнадзор об обработке персональных данных. Это можно сделать на портале персональных данных. Если оператор уже подал такое уведомление — это нужно сделать заново по новой форме, утверждённой Приказом Роскомнадзора от 28.10.2022 № 180.

В законе есть три исключения, когда можно не подавать уведомление:

• когда обрабатываемые данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• когда данные обрабатываются в рамках исполнения законодательства по устойчивому функционированию транспорта и обеспечению безопасности там;
• когда персональные данные обрабатываются без использования средств автоматизации — только на материальных носителях.

Создайте регламент ответов на запросы посетителей сайтаПользователи могут запрашивать у владельцев сайта, для каких целей собирают их данные, как они обрабатываются, где хранятся и так далее. Раньше у компании был месяц для ответа на обращение, теперь — 10 рабочих дней.

Подготовьтесь к таким запросам заранее и закрепите во внутренних документах срок ответа. Если человек потребует прекратить обработку его персональных данных — оператор обязан это сделать также в течение 10 дней.

Если компания проигнорирует запрос пользователя или ответит после окончания положенного срока, её оштрафуют на сумму от 40 до 80 тысяч рублей.

С 1 сентября 2022 года пользователь также имеет право не предоставлять персональные данные, которые не нужны для исполнения договора. Например, если покупатель оформляет у вас доставку товара в пункт выдачи, а вы запрашиваете его домашний адрес, человек может не предоставлять вам эти данные.

Если вы откажете пользователю в доставке, то есть в исполнении договора, и он потребует объяснить, почему это произошло, нужно ответить в короткие сроки: на письменный запрос — в течение 7 дней, на устный — незамедлительно.

https://www.youtube.com/watch?v=J12TUwE-Kek\u0026pp=YAHIAQE%3D

Это изменение будет особенно актуально для владельцев интернет-магазинов, поэтому им необходимо:

• определить, какие персональные данные обязательны для исполнения договора купли-продажи, чаще всего это публичная оферта на сайте;
• обосновать, зачем обрабатывается такое количество персональных данных;
• исключить из оферты сбор данных, которые не используются для исполнения договора.

Выше мы рассказали о действиях, которые необходимо выполнить всем владельцам сайтов, чтобы избежать штрафов. Далее расскажем о том, что актуально для тех, кто передаёт данные на территорию иностранного государства, или поручает обработку данных третьим лицам.

Подайте уведомление в РКН о трансграничной передачи персональных данных

Трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства: органу власти, иностранному физическому или юридическому лицу.

Например, если компания помогает найти обучение за рубежом, для этого получает данные граждан России и передаёт их в иностранные школы, это считается трансграничной передачей.

К ней также относится использование сервисов, чьи базы данных расположены за границей (Mailchimp, Notion, Zoho CRM, Trello и другие).

С 1 марта 2023 года до начала трансграничной передачи нужно подать уведомление в РКН. Если после подачи уведомления прошло 10 рабочих дней и вы не получили ответ — можно осуществлять такую передачу. Ответ придёт только в случае запрета или ограничения передачи данных иностранному оператору.

Если вы ранее подали уведомление о трансграничной передачи, повторно отправлять его не нужно.

Также проверьте, в какие страны вы планируете передавать данные. Все страны мира, в соответствии с Приказом Роскомнадзора, делятся на обеспечивающие «адекватную» защиту персональных данных и не обеспечивающие.

К странам, обеспечивающим адекватную защиту персональных данных, относятся Болгария, Польша, Литва, Словения и другие подписанты Евроконвенции, а также отдельные страны по приказу Роскомнадзора. К «неадекватным» — все остальные.

Проверьте поручение на обработку персональных данныхЕсли вы поручаете обработку персональных данных другой компании, это должно быть прописано в договоре с ней. Поручать обработку можно, например, маркетинговым агентствам или дата-центрам — чаще всего это компании, которые работают на аутсорсе.

В тексте поручения на обработку персональных данных нужно прописать:

• перечень персональных данных;
• все планируемые с ними действия;
• цели обработки персональных данных;
• гарантии соблюдения конфиденциальности и безопасности персональных данных;
• обязанность обработчика по запросу оператора предоставлять сведения о соблюдении требований конфиденциальности и безопасности;
• обязанность обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных на территории РФ;
• все требования к защите персональных данных, содержащиеся в ст. 18 и ст. 19 ФЗ № 152.

Отсутствие поручения в договоре с подрядчиком может привести к штрафу от 60 до 100 тысяч рублей, а в случае повторного нарушения — от 100 до 300 тысяч рублей.

Выше мы назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.

Что нужно еще сделать компаниям:

Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.

Подписать с сотрудниками согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным.

Если произошла утечка персональных данных, оператор теперь обязан в течение 24 часов уведомить РКН: сообщить предполагаемые причины утечки и оценить вред.

Затем в течение 72 часов провести расследование инцидента и сообщить о его результатах.

В Минцифры готовят законопроект о внесении изменений в Кодекс административных правонарушений, согласно которым за утечки персональных данных компании будут штрафовать в размере до 3% от годовой выручки.

https://www.youtube.com/watch?v=QAZuiUg4qrQ\u0026pp=ygVy0KDQtdCz0LjRgdGC0YDQsNGG0LjRjyDQvtGA0LPQsNC90LjQt9Cw0YbQuNC4INC60LDQuiDQvtC_0LXRgNCw0YLQvtGA0LAg0L_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINC00LDQvdC90YvRhSAyMDIz

Защитить персональные данные техническими и организационными мерами: антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. Всё это прописано в приказе № 21 Федеральной службы по техническому и экспортному контролю.

• Определите, какие персональные данные собираются на сайте.

• Добавьте ссылку на политику обработку персональных данных в подвал сайта.

• Проверьте, чтобы под формами сбора персональных данных на сайте был чек-бокс с предупреждающим текстом о том, что пользователь соглашается на обработку персональных данных. В тексте должна быть ссылка на пользовательское соглашение или согласие на обработку персональных данных.

• Разместите на сайте уведомление об использовании cookie.

• Если вы не подали уведомление об обработке персональных данных в реестр операторов — сделайте это.

• Разработайте регламент реагирования на запросы пользователей и проведите тренинг для сотрудников, обрабатывающих персональные данные.

• Если у вас интернет-магазин, проверьте содержание оферты и формы на предмет «избыточных» персональных данных.

• Если вы планируете осуществлять трансграничную передачу персональных данных — подайте уведомление в РКН.

• Если вы юрлицо — разработайте пакет внутренних документов по защите персональных данных, подпишите согласие с сотрудниками на обработку персональных данных, защитите данные необходимыми мерами.

Никита ВолодинИллюстрации, дизайн и верстка: Юлия Засс

Если материал вам понравился, расскажите о нем друзьям. Спасибо!

Изменения по персональным данным с 01.03.2023

Обработка персональных данных в 2023 году

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.

Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве.

Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.

Напомним, что еще до 1 марта 2023 года работодатели обязаны передавать РКН специальные уведомления об обработке персональных данных. Подробнее см. «Уведомление РКН об обработке персональных данных». 

С 1 марта 2023 года требований к обработке персональных данных становится еще больше. Кроме того, в 2023 году РКН усилит проверки за персональными данным. В частности, начнет проводить “дистанционные” проверки операторов персональных данных.

Уведомление об изменении персональных данных: новый срок

С 1 марта будет больше времени, чтобы известить Роскомнадзор об изменении персональных данных.

Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений. Уведомление подается по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180.

Уничтожение персональных данных: новые правила

С 1 марта нужно фиксировать факт уничтожения персональных данных актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных. Основание: Приказ Роскомнадзора от 28.10.2022 N 179.

С 1 марта 2023 года работодатель должен будет фиксировать факт того, что уничтожил персданные, двумя документами:

• актом об уничтожении персональных данных;
• выгрузкой из журнала регистрации событий в информационной системе персональных данных.

К сведению

Если компания обрабатывает данные вручную для подтверждения будет достаточно акта.

• Обязательные реквизиты акта об уничтожении персональных данных
• 
• Обязательные реквизиты выгрузки
• 

СКАЧАТЬ ОБРАЗЕЦ АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ С 01.03.2023

СКАЧАТЬ ОБРАЗЕЦ ВЫГРУЗКИ ИЗ ЖУРНАЛА С 01.03.2023

Оценка степени вреда: новый порядок

С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о персональных данных. РКН утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных (приказ Роскомнадзора от 27.10.2022 № 178).

Степени вреда всего 3 (три):

1. высокая;
2. средняя;
3. низкая.

Таблица. Какие персданные к какой степени вреда относятся

Заметим, что отнесения вреда к какой-либо категории, вам потребуется составить специальный акт. Предлагаем ознакомиться с образцом.

СКАЧАТЬ ОБРАЗЕЦ АКТА ОЦЕНКИ ВРЕДА С 01.03.2023

Передача персональных данных за границу

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных.

А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут.

Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

Обратите внимание

Уведомление о намерении осуществлять трансграничную передачу можно будет оформить на бумаге или в электронном виде. Подавать его нужно будет отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных.

Для подачи сведений на сайте РКН сделали специальный раздел по адресу https://pd.rkn.gov.ru/cross-border-transmission/form/

Ркн ужесточает проверки

Также см. «К кому придут с проверкой в 2023 году».

За нарушение работы с персональными данными в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).

Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным (постановление от 04.02.2023 № 161).

Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с персданными.

Наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере персданных и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо Роскомнадзора от 31.01.

2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.

РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.

Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).

Образцы документов, которые нельзя игнорировать в 2023 году

Далее приведем образцы некоторых документов по персональным данным, которые могут потребоваться в 2023 году:

Название документа	Ссылка на скачивание
Положение о работе с персональными данными работников	СКАЧАТЬ
Положение о порядке уничтожения персональных данных	СКАЧАТЬ
Приказ о создании комиссии по уничтожению документов с персональными данными	СКАЧАТЬ
Общая форма согласия на передачу и обработку персональных данных	СКАЧАТЬ
Согласие на обработку персональных данных на сайте	СКАЧАТЬ
Обязательство о неразглашении персональных данных	СКАЧАТЬ

Видео по теме

Кто является оператором персональных данных

Многие индивидуальные предприниматели и компании не знают, нужно ли им передавать о себе данные в Роскомнадзор и регистрироваться в качестве оператора персональных данных. Постараемся разобраться, кому это делать необходимо.

Про ОПД

К персональным данным человека относится ФИО, номер паспорта, адрес прописки и пр. Исчерпывающий список не утвержден ни одним из действующих законов. Оператор персональных данных это любое физическое лицо или государственный орган, который обрабатывает ПД в тех или иных целях.

Т.е. если сотруднику предприятия по специфике своей работы приходится запрашивать или пересылать персональные данные, его можно назвать их оператором. Это же относится и к лицам, которые имеют доступ к ПД.

Соответственно оператором можно назвать почти любого человека. К примеру, пользователь ПК ведет свой сайт в интернете и собирает информацию о подписчиках. Про банки и различные компании, которые целенаправленно собирают данные гражданина отдельный разговор. Даже если продавец в магазине предлагает покупателю приобрести фирменную бонусную карту, он также является оператором ПД.

Обязанности оператора

Граждане, которые сталкиваются с обработкой персональных данных, обязаны соблюдать связанные с этим вопросом законы. Самый главный из них – неразглашение. После того, как ПД клиента больше не нужны, оператор обязан уничтожить их из хранилища. К прочим обязанностям оператора персональных данных относятся:

1. Разъяснение. Перед тем, как человек сообщит свои данные, оператор обязан объяснить, для чего они нужны и в каких целях будут использоваться. После этого клиент в письменном виде должен дать согласие на обработку ПД. Такое правило регламентируется ФЗ № 152.
2. Политика обработки. Оператор обязан разработать документ, в котором будет подробно описана политика обработки персональных данных в компании. Документ публикуется любым удобным способом. Чаще всего его помещают на официальный сайт компании. Там с ним может ознакомиться люб ой человек.
3. Меры защиты. Главное правило для оператора ПД – неразглашение. Кроме этого лицо, отвечающее за обработку, обязано обеспечить защиту персональных данных от похищения третьими лицами. Т.е. если данные хранятся на компьютере, от оператора требуется защитить их от хакерских атак и пр. Если ПД хранятся на бумажных носителях в помещении, доступ туда должен быть только у оператора.
4. Уничтожение. После того, как ПД больше не нужны (например, клиент прекратил сотрудничество с компанией) данные должны быть уничтожены в отведенные законом сроки. Эта обязанность также лежит на операторе.

Все правила касательно обработки персональных данных закреплены Федеральным законом № 152 от 26 июля 2006 года.

Как зарегистрироваться в качестве ОПД

Перед тем, как оператор начнет обрабатывать персональные данные клиентов, он обязан обратиться в соответствующий государственный орган надзора и сообщить об этом. Однако, согласно все тому же ФЗ № 152 (ч. 2 ст. 22) от постановки на учет освобождаются:

1. Лица, которые используют для своей работы общедоступные данные, которые люди раскрыли сами. Это может быть информация, которая содержится на личных страницах в соц.сетях или на сайтах.
2. Операторы государственных информационных систем, которые используются для обеспечения общественного порядка. Их очень много (Эра-Глонасс, Усправление и пр.).
3. Частные лица и организации, которые используют персональные данные для обеспечения безопасного функционирования транспорта. К примеру, при поездке на междугороднем автобусе или поезде кассир обязан спросить человека ФИО и паспортные данные. Однако регистрироваться в качестве оператора ПД ему не нужно.
4. Освобождаются от регистрации и организации, которые обрабатывают персональные данные вручную, без каких бы то ни было средств автоматизации.

Однако, даже если организация не попадает в обязательный список регистрации операторов ПД, ей все равно придется сообщить о своей деятельности в Роскомнадзор.

Важно! После внесения поправок в действующее законодательство 01. 09. 2022 любой работодатель обязан быть зарегистрированным в реестре Роскомнадзора в качестве оператора персональных данных. Это касается как ИП, у которых есть сотрудники, так и глав больших организаций.

Для регистрации человеку необходимо подать заявление в Роскомнадзор. Его образец можно скачать на сайте контролирующего органа или на Госуслугах. Есть он и в Приказе Минкомсвязи России от 21.12.2011 № 346.

Важно! Подать заявление можно как в бумажном, так и в электронном виде. В первом случае человек после заполнения бланка лично относит его в территориальный орган Роскомнадзора или отправляет его по почте. Во втором – документ оформляется непосредственно на сайте контролирующего органа.

В заявлении необходимо указать следующие данные:

• название компании (как полное, так и сокращенное);
• организационно-правовую форму компании;
• почтовый адрес;
• юридический адрес;
• цель обработки персональных данных;
• какие именно категории персональных данных планирует обрабатывать компания;
• ПД каких категорий граждан будут обрабатываться (пассажиров, работников и т.д.);
• законодательная база на основе которой организация считает возможным обработку персональных данных своими сотрудниками;
• полные сведения о сотрудниках, которые будут заниматься обработкой ПД;
• информацию о том, какие меры защиты ПД будут использованы в компании;
• планируемая дата начала обработки ПД;
• сведения о том, где будут храниться ПД.

Рассмотрение вопроса о регистрации может занять до 30 суток. Если заявление было подано в электронном формате, организации все равно придется направить в территориальный орган Роскомнадзора его бумажную копию. В процессе регистрации сотрудники контролирующего органа вправе потребовать у организации документы для уточнения тех или иных сведений.

Если в процессе работы у организации меняются цели или способы обработки персональных данных, ее руководство в 10-дневный срок обязано уведомить об этом Роскомнадзор. При этом в адрес контролирующего органа направляется письмо. Его форму можно посмотреть на сайте Роскомнадзора.

Основные изменения после 1 сентября 2022 года

В сентябре 2022 года в закон об обработке персональных данных был внесен ряд изменений. Основные из них:

1. Изменился срок ответа на запросы Роскомнадзора (его сократили с 30 до 10 суток);
2. Расширился список тех, к4то обязан регистрироваться в качестве оператора персональных данных. Теперь эту процедуру должны проходить практически все ИП и организации. Исключение – те компании, которые не используют средств автоматизации. К примеру. Если человеку для того, чтобы попасть на территорию предприятия необходимо получить пропуск, оформленный через специальную компьютерную программу, организации необходимо зарегистрироваться в качестве оператора. А если охранник вручную вносит его данные в журнал учета посетителей, регистрация не нужна.
3. В заявление на регистрацию теперь необходимо вносить данные о категории ПД, законодательной базе, на основе которой организация будет заниматься обработкой ПД и подробный перечень действий с ПД, способы их обработки и защиты.
4. Если в компании произошла утечка ПД в течение 24 часов ее руководство должно сообщить об этом в Роскомнадзор. 3 дня дается на проведение внутреннего расследования. Через 72 часа организация должна сообщить Роскомнадзору причину происшествия.
5. Бланк согласия на обработку ПД должен выглядеть понятно и однозначно. Т.е. прочитав его человек сразу должен понять, куда будут внесены его данные, где они буду храниться, как будут защищены и зачем с него требуют их предоставить.

Что будет если не зарегистрироваться в реестре

Ответственность за отказ регистрироваться в реестре наступает согласно ст. 19.7 КоАП РФ. Нарушителям в статусе должностного лица грозит штраф от 300 до 500 рублей, а юридическим лицам – от 3 до 5 тыс. рублей.

В случае, если оператор нарушил условия обработки персональных данных, он будет нести ответственность согласно ст. 13.11 КоАП РФ. Это штраф. Для юридических лиц он варьируется от 15 до 75 тыс. руб. Для ИП – от 5 до 20 тыс. руб. Здесь все зависит от тяжести преступления, а также от того, как именно оно повлияло на репутацию клиентов.