Уведомление Роскомнадзора об обработке персональных данных: кто обязан подать

Уведомить Роскомнадзор обязаны почти все компании, ИП и другие операторы, которые обрабатывают персональные данные с помощью компьютеров, сайтов, CRM, электронной почты или облачных сервисов. Исключения остались только для узких случаев, включая полностью неавтоматизированную обработку. Если данные уже собираются, а уведомление не подано, лучше направить его сейчас.

Уведомление Роскомнадзора об обработке персональных данных кто обязан подать

Кто считается оператором персональных данных

Оператором признается лицо, которое определяет, зачем собирать персональные данные, какие сведения использовать и что с ними делать. Это может быть коммерческая компания, НКО, государственное учреждение, ИП или физическое лицо.

Обработкой считается не только передача информации третьим лицам. Закон относит к ней сбор, запись, хранение, систематизацию, обновление, использование, удаление и уничтожение сведений.

Например, интернет-магазин сохраняет имя, телефон и адрес покупателя. Работодатель ведет электронную кадровую базу, а частный мастер записывает клиентов в таблицу. Во всех случаях обрабатываются персональные данные.

Не имеет значения, называется ли используемая программа CRM. Обычная таблица Excel, электронная почта, онлайн-форма, мессенджер или бухгалтерская программа также могут быть средствами автоматизированной обработки.

Кто обязан уведомить Роскомнадзор

Уведомление требуется, когда оператор обрабатывает данные работников, соискателей, покупателей, заказчиков, подписчиков, посетителей сайта или представителей контрагентов. Размер бизнеса и количество людей значения не имеют.

Обычно уведомление должны подать:

  • организации и ИП с наемными работниками;
  • магазины, сервисные компании, клиники и образовательные центры;
  • владельцы сайтов с формами обратной связи, регистрацией или заказом;
  • управляющие компании, ТСЖ, СНТ и некоммерческие организации;
  • самозанятые и частные специалисты, ведущие электронную клиентскую базу;
  • компании, использующие CRM, рассылки, телефонию и системы пропусков.

Например, ИП работает без сотрудников, но получает через сайт имена, телефоны и адреса доставки. Он самостоятельно определяет цель сбора информации и поэтому выступает оператором.

Компания может не иметь сайта, но хранить кадровые документы в программе 1С. Такая обработка также обычно требует уведомления.

Нужно ли работодателю подавать уведомление

Да, если сведения о работниках обрабатываются с использованием компьютеров и информационных систем. Старое исключение для данных, обрабатываемых по трудовому законодательству, больше не действует.

Уведомление необходимо даже организации, которая работает только с собственными сотрудниками. В нем можно указать кадровый и бухгалтерский учет, расчет зарплаты, исполнение обязанностей работодателя и ведение воинского учета.

Перед заполнением формы определите сотрудника, отвечающего за организацию обработки. Его данные указываются в уведомлении и включаются в открытый реестр.

Скачать образец и бланк приказа о назначении ответственного за обработку персональных данных

Важно! Этот документ можно скачать в КонсультантПлюс

Скачать в КонсультантПлюсБесплатный доступ к документу

Для кадровой работы также подойдет приказ о защите персональных данных работников.

Нужно ли уведомление владельцу сайта

Наличие сайта само по себе еще не означает обработку персональных данных. Но обязанность обычно возникает, если на сайте есть форма заявки, личный кабинет, регистрация, заказ обратного звонка или подписка на рассылку.

Имя, телефон, электронная почта, адрес доставки и сведения из личного кабинета относятся к персональным данным, когда позволяют определить человека прямо или косвенно.

Файлы cookie и сетевые идентификаторы оцениваются с учетом того, можно ли связать их с конкретным посетителем. Если сайт использует аналитику, рекламные кабинеты или внешнюю CRM, нужно установить, какие сведения реально собираются и кому передаются.

На сайте следует разместить доступную политику обработки данных. Внутренние правила можно утвердить с помощью приказа об утверждении положения о защите персональных данных.

Когда уведомление можно не подавать

Основное практическое исключение действует, если оператор обрабатывает данные исключительно без средств автоматизации. При этом вся работа должна действительно выполняться только на бумаге.

Если сведения хотя бы частично заносятся в компьютер, электронную таблицу или информационную систему, применять это исключение рискованно. Сканирование анкет, электронная отчетность и ведение цифрового реестра уже указывают на автоматизацию.

Без уведомления также допускается обработка данных в государственных информационных системах, созданных для обеспечения государственной и общественной безопасности. Отдельное исключение предусмотрено законодательством о транспортной безопасности.

Обычный бизнес почти никогда не подпадает под эти специальные случаи. Поэтому использовать исключение следует только после проверки реального порядка работы с информацией.

Какие прежние исключения больше не работают

До 1 сентября 2022 года перечень исключений был значительно шире. Например, уведомление часто не подавали работодатели и компании, обрабатывавшие данные клиентов только для исполнения договора.

Эти основания исключили из закона. Теперь наличие трудового договора, заказа покупателя или договора оказания услуг само по себе не освобождает от уведомления.

Из-за этого опасно пользоваться старыми статьями и памятками. Компания может законно обрабатывать сведения без отдельного согласия клиента, но при этом оставаться обязанной уведомить Роскомнадзор.

Разница между законным основанием обработки и уведомлением подробно разобрана в материале о согласии на обработку персональных данных.

Уведомление Роскомнадзора об обработке персональных данных кто обязан подать

Когда нужно подать уведомление

По общему правилу уведомление направляют до начала обработки персональных данных. Получать предварительное разрешение Роскомнадзора и ждать включения в реестр не требуется.

Если компания давно работает и обнаружила, что не подавала уведомление, специального нового срока закон не предоставляет. Безопаснее провести аудит и направить достоверные сведения без дальнейшей задержки.

Не нужно прекращать кадровый учет или удалять клиентскую базу только ради подачи формы. Следует привести документы и фактические процессы в соответствие, а затем указать реальные цели, категории данных и способы обработки.

Дату начала обработки нельзя выбирать произвольно для удобства. Она должна соответствовать фактическому началу работы с персональными данными.

Как подать уведомление в Роскомнадзор

Уведомление направляют в территориальное управление Роскомнадзора по месту регистрации оператора. Актуальная форма размещена на Портале персональных данных.

Предусмотрены три основных способа:

  1. Заполнить форму, распечатать, подписать и отправить на бумаге.
  2. Направить электронный документ с усиленной квалифицированной подписью.
  3. Авторизоваться через ЕСИА и отправить уведомление в электронном виде.

Государственная пошлина не уплачивается. Роскомнадзор вносит сведения в реестр операторов в течение 30 дней после поступления уведомления.

После отправки сохраните электронное подтверждение, почтовую квитанцию или второй экземпляр с отметкой. Затем проверьте появление записи в реестре по ИНН или наименованию.

Что указать в уведомлении

Сначала опишите каждую цель обработки. Не стоит объединять все процессы общей фразой «осуществление деятельности организации».

Отдельными целями могут быть кадровый учет, расчет заработной платы, заключение договоров, исполнение заказов, доставка товаров, рассмотрение обращений и направление рекламы.

Для каждой цели указываются категории субъектов и данных. Например, при кадровом учете субъектами будут работники и соискатели, а при продажах - покупатели и получатели товара.

Также нужно указать:

  • правовые основания обработки;
  • выполняемые действия и способы обработки;
  • меры защиты персональных данных;
  • ответственного сотрудника и его контакты;
  • дату начала и условие прекращения обработки;
  • место нахождения баз данных;
  • наличие трансграничной передачи.

Формулировки в уведомлении должны совпадать с реальными процессами, политикой и внутренними документами. Не включайте специальные или биометрические данные «на всякий случай», если компания их не обрабатывает.

Какие ошибки допускают при заполнении

Частая ошибка - указать только данные клиентов и забыть о работниках, соискателях и представителях контрагентов. В результате запись в реестре не отражает фактическую деятельность.

Не следует путать юридический адрес оператора и адрес сервера. В уведомлении отдельно указывается место нахождения базы данных граждан России.

Проверьте договоры с хостингом, CRM, сервисом рассылок, облачной бухгалтерией и кол-центром. Если подрядчик получает доступ к данным, условия его работы должны быть оформлены как поручение на обработку.

Для внутренней организации клиентской базы можно использовать приказ об организации работы с клиентской базой.

Нужно ли отдельное уведомление при передаче данных за границу

Обычное уведомление о начале обработки и уведомление о трансграничной передаче - разные документы. Одно не заменяет другое.

Если данные передаются иностранной компании или на зарубежную информационную инфраструктуру, до начала такой передачи необходимо отдельно уведомить Роскомнадзор. Это правило действует и для оператора, уже включенного в общий реестр.

Использование иностранного сервиса не всегда автоматически означает трансграничную передачу. Нужно установить, где размещены базы, какое юридическое лицо получает доступ и по каким маршрутам передается информация.

Когда обновлять сведения в реестре

Если изменились цели обработки, категории данных, ответственный сотрудник, адрес базы или сведения о трансграничной передаче, нужно направить уведомление об изменениях.

Срок - не позднее 15-го числа месяца, следующего за месяцем изменения. Например, нового ответственного назначили 20 марта. Обновить сведения нужно не позднее 15 апреля.

Когда оператор полностью прекращает обработку персональных данных, уведомление направляется в течение 10 рабочих дней. Роскомнадзор после этого исключает сведения из реестра.

Прекращение одной цели не всегда означает завершение всей обработки. Компания может перестать вести рассылку, но продолжить хранить кадровые и бухгалтерские документы.

Для организации удаления информации пригодится приказ о создании комиссии по уничтожению персональных данных.

Заменяет ли уведомление согласие и политику

Нет. Включение в реестр не подтверждает, что любая обработка законна. У оператора по-прежнему должны быть конкретные цели и предусмотренное законом основание.

Согласие требуется не всегда. Например, данные можно обрабатывать для исполнения договора с самим человеком или выполнения обязанности работодателя. Но при отсутствии другого основания оператору понадобится надлежащее согласие.

Политика, локальные акты, правила доступа и меры информационной безопасности также обязательны независимо от подачи уведомления. Сотрудники должны понимать, какие данные им разрешено использовать.

Если человек отозвал ранее выданное разрешение, он может использовать отзыв согласия на обработку персональных данных.

Что грозит за неподачу уведомления

За неподачу или несвоевременную подачу уведомления установлена отдельная административная ответственность. Для коммерческих организаций штраф составляет от 100 000 до 300 000 рублей.

ИП по этой норме отвечает как юридическое лицо. Для граждан предусмотрен штраф от 5 000 до 10 000 рублей. Должностным лицам государственных органов и НКО может грозить от 30 000 до 50 000 рублей.

Штраф за уведомление не отменяет ответственность за другие нарушения. Отдельное наказание возможно за отсутствие политики, незаконную обработку, неправильное согласие, нарушение локализации и утечку данных.

Порядок действий при инциденте разобран в статье об утечке персональных данных и штрафах для компании. Для обращения пострадавшего предусмотрена жалоба на утечку персональных данных.

При несогласии с действиями территориального управления можно подготовить жалобу в Роскомнадзор.

Практический порядок действий оператора

  1. Составьте перечень работников, клиентов и других категорий субъектов.
  2. Найдите все бумажные и электронные базы персональных данных.
  3. Определите отдельные цели и правовые основания обработки.
  4. Проверьте сайты, CRM, облака, рассылки и внешних подрядчиков.
  5. Назначьте ответственного и утвердите локальные документы.
  6. Заполните уведомление по фактическим процессам.
  7. Направьте его в территориальное управление Роскомнадзора.
  8. Сохраните подтверждение и проверьте запись в реестре.
  9. Обновляйте сведения при каждом существенном изменении.

Уведомление Роскомнадзора об обработке персональных данных кто обязан подать

FAQ: уведомление Роскомнадзора об обработке персональных данных

Нужно ли уведомлять Роскомнадзор, если в компании один директор?

Обычно да, если его данные хранятся и обрабатываются в электронных системах. Количество работников не влияет на обязанность оператора.

Обязан ли ИП без работников подавать уведомление?

Да, если он автоматически обрабатывает данные клиентов, заказчиков или других физических лиц. Отсутствие работников само по себе не является исключением.

Нужно ли уведомление самозанятому?

Может потребоваться, если самозанятый ведет электронную клиентскую базу и самостоятельно определяет цели обработки. Личная переписка для семейных нужд к такой деятельности не относится.

Можно ли подать уведомление после начала работы?

Да, если обязанность ранее не исполнена, уведомление следует подать сейчас. Это не гарантирует освобождение от ответственности, но прекращает продолжающееся бездействие.

Нужно ли каждый год заново подавать форму?

Нет. Новое уведомление подается при начале обработки, а далее направляются сведения об изменениях или прекращении обработки.

Сохранить в браузере
Нажмите сочетание клавиш Ctrl + D

Мы используем файлы Cookies для улучшения работы сайта. Оставаясь на сайте, Вы соглашаетесь с использованием Cookies.