Инструкция по работе с персональными данными в организации

Чтобы обеспечить надлежащую обработку персональных данных и придерживаться нормативных требований, крайне важно хорошо разбираться в новейшей правовой базе.

Итак, в 2024 году каждая организация обязана:

• cоздать систему обработки, записи и хранения персональных данных в соответствии с последними требованиями законодательства.
• обеспечить соблюдение политик, регулирующих обработку персональных данных
• разработать необходимую документацию для процессов обработки персональных данных организации, охватывающую обработку, запись и хранение, в соответствии с обновленными требованиями Роскомнадзора и Закона № 152-ФЗ “О персональных данных”.
• своевременно представлять отчеты в Роскомнадзор.

Ответственность за обработку персональных данных, как внутри компании (сотрудники), так и за ее пределами (клиенты, пациенты, гости, участники мероприятий, партнеры и т.д.), в настоящее время является неотъемлемым аспектом обязательств каждого юридического лица.

Руководители должны осознавать, что управление обработкой, записью и хранением персональных данных взаимосвязано с различными рабочими задачами, включая управление персоналом, бухгалтерский учет, соблюдение законодательства и другие обязанности. Нарушения законодательства о персональных данных могут повлечь за собой штрафы в размере от 300 000 до 18 миллионов рублей.

Ответственность и штрафные санкции за нарушение правил обработки персональных данных

Штрафы за нарушения при обработке персональных данных изложены в статье 13.11 Административного кодекса. Недавно были ужесточены санкции за ненадлежащую обработку с введением новых штрафов и правил защиты. Эти изменения направлены на защиту частной жизни граждан и повышение ответственности организаций, получающих доступ к личной информации.

Например, с марта 2023 года были уточнены руководящие принципы уничтожения персональных данных. Штрафы за несоблюдение требований для индивидуальных предпринимателей составляют от 20 000 до 40 000 рублей, в то время как юридическим лицам могут грозить штрафы от 50 000 до 90 000 рублей. Учитывая динамичный характер законодательства о персональных данных, быть в курсе всех нововведений может быть непросто даже для штатных юристов.

Ответственность за нарушение законодательства о персональных данных изложена в статье 13.11 Кодекса об административных правонарушениях. Каждая компания, без исключения, получает и обрабатывает персональные данные, и этот процесс начинается еще до найма нового сотрудника, на этапе подбора персонала. Давайте рассмотрим, как организовать работу внутри предприятия, чтобы обойти санкции Роскомнадзора. Понимание термина “персональные данные” и понимание того, когда работодатель “обрабатывает” их, имеет решающее значение.

Компания размещает онлайн-объявление о приеме на работу, предлагая потенциальным кандидатам отправить резюме, сопроводительные письма и контактную информацию. С этого момента работодатель берет на себя ответственность за сохранность личной информации. Персональные данные включают в себя любую информацию о физическом лице, прямо или косвенно связанную с ними (статья 3 Закона № 152-ФЗ от 27.07.2006), и позволяет идентифицировать личность.

Для трудоустройства обычно требуются помимо стандартных реквизитов (полное имя, дата и место рождения, адрес регистрации) данные, включающие:

• номера СНИЛС,
• ИНН;
• паспортные данные;
• семейное положение, количество детей;
• информацию об образовании и квалификации;
• данные военного билета;
• информацию о доходах и имущественном положении;
• биометрические данные.

В судебной практике встречается отнесение к персональным данным и другой информации. Например, адрес электронной почты, номер мобильного телефона, информация о смерти гражданина и фотографии.

Защита персональных данных: пошаговые инструкции

Закон № 152-ФЗ обязывает работодателей предотвращать утечку личной информации, полученной во время работы.

Вот пошаговое руководство о том, как реализовать это на практике:

Шаг 1. Разработайте и утвердите местную политику в области обработки персональных данных.

Отсутствие политики в отношении обработки персональных данных сотрудников является основанием для привлечения компании к ответственности по статье 5.27 Административного кодекса. Непредоставление необходимой документации во время проверки Роструда может привести к штрафам в размере от 30 000 до 50 000 рублей.

В политике должны быть изложены:

• правила обработки, хранения и использования персональных данных физических лиц;
• перечень документов, содержащих персональные данные и, следовательно, требующих защиты;
• процедуры передачи перепроверенных данных внутри организации и третьим лицам;
• список лиц, имеющих доступ к персональной информации сотрудников;
• ответственность за нарушения правил, регулирующих обработку персональных данных, включая дисциплинарные, финансовые, административные, гражданско-правовые и уголовные последствия.

Шаг 2. Издайте приказ о назначении ответственного лица за сбор и обработку персональных данных.

Руководитель организации должен выбрать сотрудника, который возьмет на себя ответственность за надзор за управлением персональными данными (ПДН) внутри предприятия, как это предусмотрено частью 1 статьи 18.1 и частью 1 статьи 22.1 Закона № 152-ФЗ. Как правило, эта ответственность ложится на кого-то из высшего руководства, например, на начальника кадровой службы, начальника отдела безопасности или заместителя генерального директора. Кроме того, руководитель ИТ-отдела может быть назначен для управления обработкой данных в автоматизированных системах управления и контроля доступа.

Шаг 3. Определите группу лиц, имеющих доступ к персональным данным.

Определенный персонал регулярно занимается обработкой персональных данных во время выполнения своих обязанностей, включая специалистов по персоналу, которые взаимодействуют с соискателями, управляют регистрациями и сканируют личные документы в процессе найма. Доступ таким лицам должен быть предоставлен, и условия их полномочий должны быть четко определены (пункт 6 статьи 88 Трудового кодекса). Важно предоставлять различные уровни доступа в зависимости от должности и должностных обязанностей. Например, секретарь может использовать паспортные данные для покупки билетов, в то время как бухгалтер оформляет больничный лист, а руководители отделов могут получать доступ только к информации о своих подчиненных. Работодатель должен обеспечить обязательство о неразглашении от каждого члена команды, получившего доступ к персональным данным. В этом одностороннем документе указано, что физическое лицо (секретарь, главный бухгалтер, начальник отдела кадров) обязуется не разглашать, не передавать третьим лицам и не использовать личную информацию коллег в личных целях. В нем также записано, что физическое лицо было предупреждено об ответственности в соответствии со статьей 90 Трудового кодекса.

Шаг 4. Обеспечьте безопасное хранение персональных данных.

Способ хранения зависит от того, как обрабатываются данные. В полностью автоматизированной системе меры безопасности должны соответствовать приказу ФСТЭК № 21 от 18.02.2013 г., включая:

• ограничение доступа к электронным базам данных и индивидуальной информации для различных категорий сотрудников.
• внедрение двухуровневой схемы паролей на уровне локальной сети и базы данных.
• периодическую смену паролей, обычно раз в месяц.
• предоставление ключей исключительно авторизованному персоналу.

Для неавтоматизированной обработки, когда персональные данные хранятся на бумажных носителях, работодатель должен:

• определить места хранения физических носителей и обеспечить персонализированный доступ.
• составить список лиц, которым разрешен доступ к хранилищу.
• при необходимости оборудовать помещения системами видеонаблюдения и сигнализации.

Документы, требующие защиты, включают личные карточки, анкеты для собеседования с кандидатами, копии паспортов, информацию об опыте работы и предыдущих местах работы, бумажные трудовые книжки, свидетельства о браке и рождении ребенка, документы о воинском учете, справки о доходах и сумме налогов, документы об образовании и квалификации, копии СНИЛС, трудовые договоры, дополнительные соглашения, приказы и их копии, а также локальные акты, уточняющие персональные данные о конкретных сотрудниках.

Шаг 5. Получите согласие сотрудника на обработку персональных данных.

Хотя получение информации из документов сотрудника (паспорт, трудовая книжка, военный билет, диплом, СНИЛС) или резюме, а также на основании обязательных медицинских осмотров не требует согласия сотрудника, многие компании предпочитают получать ее при приеме на работу в качестве меры предосторожности для защиты от штрафов. С 2021 года для раскрытия перепроверенных данных неопределенной аудитории требуется еще один документ – согласие на распространение ПДН. Сценарии распространения могут включать публикацию информации об образовании и опыте работы специалиста на корпоративном веб-сайте, в журналах или газетах, на рекламных буклетах, визитных карточках и т.д.

Шаг 6. Отправьте уведомление в Роскомнадзор.

Сбор и обработка информации клиентов не могут вестись спонтанно. Еще до старта отправляется уведомление в Роскомнадзор, поэтому после разработки необходимой документации и проведения организационных и технических мероприятий, нужно отправить уведомление в РКН. В Роскомнадзоре доступна специальная форма уведомления для компаний, обрабатывающих персональную информацию. Отправка уведомлений возможна тремя способами:

• в местное отделение Роскомнадзора отправляется заполненный и распечатанный бланк;
• документ заполняется, подписывается и отправляется непосредственно на сайте Роскомнадзора;
• форма отчетности заполняется и отправляется ведомству на «Госуслугах». Формат доступен компаниям с утвержденной записью.

При желании подавать уведомления от имени компании на портале «Госуслуг» необходимо привязать учетную запись к организации.

Сведения по конкретному ОПД вносятся регулятором в реестр в течение 30 дней с момента отправки уведомления. Если в процессе отправки данных появятся изменения, необходимо будет передать информацию в Роскомнадзор. Уведомление передается и когда компания перестает собирать и обрабатывать личную информацию.

Изменения в работе с персональными данными в 2024 году

Подготовьте проект положения о персональных данных, включающий все поправки к Трудовому кодексу Российской Федерации. Загрузите образец 2024 года и убедитесь, что ваш документ соответствует последним изменениям законодательства. Организуйте процедуры обработки персональных данных в соответствии с обновленным законодательством, начиная с утверждения необходимых внутренних документов, включая положение о персональных данных. Важно отметить, что с 1 сентября компании обязаны уведомлять Роскомнадзор о планах по обработке персональных данных. Сюда входит информация о сотрудниках, гражданах, сообщающих только свою фамилию, имя и отчество, гражданах для разового прохода в помещения компании и физических лицах-подрядчиках для исполнения контрактов. До сентября информирование Роскомнадзора об обработке персональных данных сотрудников, посетителей и подрядчиков было необязательным (подпункты 1-6 пункта 2 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ, до внесения изменений). Теперь освобождение от уведомления Роскомнадзора применимо только к неавтоматизированной обработке персональных данных (подпункт 8 пункта 2 статьи 22 Закона № 152-ФЗ).

Положение о персональных данных в 2024 году

Разработка положения о персональных данных имеет решающее значение, поскольку оно служит корпоративным документом, описывающим процедуры обработки персональных данных физических лиц внутри организации. Компания получает различные данные о физических лицах: сотрудники предоставляют данные на этапе собеседования, клиенты предоставляют данные для заключения контрактов и предоставления услуг, а пользователи веб-сайта регистрируются, предоставляя свои данные. Будьте осторожны с персональными данными сотрудников, чтобы избежать возможных штрафов, поскольку некоторая полученная информация защищена законом. Компания собирает, записывает и накапливает информацию с последующей систематизацией и обновлением для обеспечения актуальности. Информация хранится для извлечения, использования или передачи третьим лицам. Когда необходимость в данных отпадает, они обезличиваются или уничтожаются в соответствии с конкретными процедурами, подробно описанными в положении о персональных данных.

Изменения в защите персональных данных: 2024 год

С 1 марта 2024 года вступает в силу пересмотренная редакция Закона № 152-ФЗ от 27.07.2006, вводящая новую форму обработки — распространение персональных данных. Если ваша организация планирует распространять данные, убедитесь, что в вашем регламенте предусмотрены соответствующие условия. Распространение предполагает предоставление информации широкой аудитории и требует индивидуального согласия. Это отличается от передачи, которая предполагает предоставление данных конкретным лицам. Избегайте путаницы и придерживайтесь новых правил, чтобы предотвратить осложнения, связанные с этим новым типом обработки данных.

Новый протокол обработки данных: распространение и согласие

Новая форма обработки данных, известная как распространение, предполагает предоставление информации широкой аудитории, что требует отдельного согласия отдельных лиц. Важно не смешивать передачу с распространением. Передача предполагает предоставление данных конкретным лицам, тип обработки, существовавший в законе ранее. Распространение, с другой стороны, влечет за собой публикацию данных в открытых источниках, доступных неопределенной аудитории, например, демонстрацию данных о сотрудниках в разделе “Наши сотрудники” на веб-сайте компании или размещение информации о физическом лице в печатных изданиях или средствах массовой информации.

Новое согласие на распространение

Для распространения данных требуется пересмотренная форма согласия. Согласие должно включать полное имя и контактную информацию физического лица, название и адрес оператора данных (компании, получающей согласие), цель обработки данных, список данных, разрешенных к распространению, условия и ограничения распространения, срок действия согласия и информацию о компании, получающей согласие. платформа, через которую будет осуществляться распространение.

Запрет на распространение общедоступных данных

Начиная с марта 2024 года, персональные данные, полученные из общедоступных источников, не могут распространяться без письменного согласия. Этот запрет распространяется на перепечатку данных, даже если физическое лицо первоначально поделилось ими в социальных сетях.

Публикация информации о согласии

Операторы обязаны публиковать информацию о полученных согласиях на распространение данных и связанных с ними запретах в течение трех дней. Закон не определяет точную платформу для публикации. Можно публиковать и на том же ресурсе, через который распространяете данные.

Как разработать Положение о персональных данных в 2024 году

В каждой организации должно быть положение о персональных данных, что является требованием статьи 87 Трудового кодекса Российской Федерации. Условия обработки данных регулируются Законом № 152-ФЗ от 27.07.2006, а также нормами Трудового и Гражданского кодексов, а также Кодекса об административных правонарушениях. Хотя утвержденной стандартной формы для предоставления персональных данных не существует, эксперты рекомендуют структурировать текст по определенным разделам.

Специалисты компании «EFSOL» являются экспертами в вопросах разработки документов о персональных данных, знают все о том как собирать, хранить персональные данные, могут надежно сопроводить Вас в щепетильном вопросе персональных данных.

Если Вам необходимо зарегистрировать производственный кооператив, пишите нам в EFSOL бот ЗАКАЗАТЬ или ОФОРМИТЕ ЗАЯВКУ НА САЙТЕ

С каждым годом все чаще появляются сообщения об утечке персональных данных. Только в начале 2022 года Роскомнадзор сообщил о 40 инцидентах. Как правило, нападкам злоумышленников подвергаются крупные компании, которые не оказали меры по достаточной защите своих баз данных.Такие кражи и кибератаки наносят владельцам бизнесов непоправимые потери и вредят репутации.

Рассказываем, как организовать защиту персональных данных в организации и соблюсти все требования 152-ФЗ, чтобы не получить штраф.

Какие данные сотрудника считаются персональными?

Персональными данными считается любая информация, которая прямо или косвенно относится к работнику и позволяет его идентифицировать. Информация об этом содержится в статье 3 Федерального закона «О персональных данных», от 27.07.2006 № 152-ФЗ.

Стоит отметить, что hr-специалист имеет дело с персональными данными не только сотрудников, но и кандидатов на вакансии. Например, уже на этапе просмотра резюме, оформлении у охраны пропуска на собеседование или заключении трудового договора.

Что может считаться персональными данными?

В список входят место и дата рождения, ФИО сотрудника, место проживания, фото или видео, номер телефона, e-mail, паспортные данные, СНИЛС, ИНН, сведения о родственниках и семейном положении, индивидуальные личные данные, биометрические данные. Однако следует учитывать некоторые нюансы. Так, определенные данные могут и не быть персональными без связки с другой информацией. Например, номер телефона без указания фамилии, имени и отчества. Однако, если компания укажет на сайте только ФИО сотрудника, не указав при этом должность или дату рождения, Роскомнадзор все равно посчитает это персданными.

Как организовать защиту персональных данных в организации?

Работодатель выступает оператором персональных данных: в его обязательства входят сохранность конфиденциальной информации.

Чтобы организовать защиту пнд, необходимо:

1)  Начать с приказа о назначения ответственного за организацию обработки персданных.

Для этого может быть создана новая должность или дополнительные функции для действующего сотрудника. Также ему необходимо предоставить должностную инструкцию.

2)  Издать внутренние документы, которые определят действия работодателя в отношении обработки пнд, и предоставить их сотрудникам. Собрать у работников согласия на обработку персональных данных.

Исходя из ст. 87 ТК РФ, каждый работодатель обязан утвердить порядок хранения и использования персданных в Положении о персональных данных. В данном документе прописывают: Общие положения, Основные понятия, Состав персональных данных, Обработка персональных данных, Передача персональных данных (внутри организации и третьим лицам), Доступ к персональным данным, Ответственность за нарушения и т.д.

Кроме того, у работодателя должна быть Политика обработки персональных данных согласно ч. 2 ст. 18.1 Закона № 152-ФЗ.

3)  Проконтролировать, соответствует ли обработка пнд законам и локальным актам организации. Ответственное лицо должно контролировать исполнение требований и соблюдение правил, отслеживать изменения действующего законодательства, оптимизировать способы и методы защиты и т.п.

4)  Оценить вред, который может быть причинен сотрудникам при нарушении защиты пнд. Законодательно подобная оценка не закреплена, поэтому работодатель может осуществлять ее по собственному усмотрению.

5)  Применять организационные и технические меры по защите персональных данных. Они должны защищать пнд от неправомерного доступа, блокирования, изменения, копирования и многого другого. Подробнее о них мы поговорим в следующем пункте.

Чтобы не пропустить новые материалы «MDS Media», подписывайтесь на наш Телеграм-канал.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Среди мер защиты выделяют:

• ограниченное число работников, которые имеют доступ к персданным;

• принятие нормативных документов;

• утверждение перечня документов, которые содержат пнд;

• внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

• проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

• установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

Как соблюсти все требования Закона № 152-ФЗ и не получить штраф?

1.  Согласно новым правилам, с 1 сентября 2022 года работодатели обязаны сообщать Роскомнадзору об обработке персональных данных работников. Причем сделать это необходимо еще до получения первого резюме и приема сотрудников.

Таким образом, работодателя внесут в реестр как оператора персональных данных. Форму уведомление можно найти на сайте Роскомнадзора.

2.  Не забывать получать разрешение у сотрудников на сбор и обработку данных.

3.  Следует помнить о том, что собирать и хранить пнд можно только для достижения определенных целей и на определенный срок. После  достижения целей сбора или истечению срока по заявлению работников уничтожать.

4.  Вовремя отвечать на обращения субъектов и предоставлять им всю информацию.

 5.  Хранить и защищать персональные данные по закону и правовым актам. Кроме того, обеспечивать их сохранность, тайну и точность данных, не передавая третьим лицам. Если же передача необходима, то обязательно документальное подтверждение и только аттестованным.

Узнать подробнее, как защитить персональные данные, изучить особенности их сбора, хранения и обработки вы можете на онлайн курсе «Защита персональных данных». 

Оператор персональных данных — это любая организация, ИП или самозанятый, обрабатывающие персональные данные граждан — от номеров телефонов до паспортных данных. В соответствии с Федеральным законом №152-ФЗ «О персональных данных» все операторы обязаны уведомить Роскомнадзор о начале обработки персональных данных. Регистрация в качестве оператора персональных данных в реестре РКН — обязательная и важная процедура.

Официальный реестр Роскомнадзора — это открытая база, в которую вносятся данные обо всех зарегистрированных операторах, целях обработки персональной информации, используемых методах и применяемых мерах безопасности. Доступность сведений способствует прозрачности деятельности и повышает уровень доверия со стороны клиентов и контролирующих органов.

Кто обязан подавать уведомление в Роскомнадзор

Обязательство зарегистрироваться в реестре ложится на всех, кто систематически взаимодействует с ПД в рамках профессиональной или коммерческой деятельности.

Обязательная регистрация требуется для:

• Юридических лиц — вне зависимости от формы собственности, масштаба бизнеса или частоты обработки данных.

• Индивидуальных предпринимателей, включая тех, кто нанимает персонал или собирает контактные данные клиентов.

• Самозанятых, если они ведут учет клиентской базы, сотрудников или подрядчиков в коммерческих целях.

Не нужно подавать уведомление, если:

• Данные уже содержатся в государственных автоматизированных системах, созданных для обеспечения общественной безопасности и защиты государства.

• Обработка происходит вручную, без использования компьютеров и других автоматизированных средств, и при этом соблюдаются установленные законом правила по защите и безопасности данных.

• Работа с персональными данными ведется в рамках законодательства о транспортной безопасности, например, для обеспечения бесперебойной работы транспортной инфраструктуры и предотвращения угроз.

• Вы — частное лицо, использующее данные исключительно для личных нужд (например, адресная книга или семейные заметки).

Эти исключения позволяют сократить административную нагрузку на организации, при этом соблюдая требования безопасности. Однако при любой иной форме обработки регистрация остается обязательной. Если у оператора возникают сомнения, есть ли необходимость подавать уведомление, лучше сделать это. Несоблюдение требований закона может привести к проверкам и штрафам.

Вопрос: Я самозанятая, веду бухгалтерию для компаний и ИП, работаю через 1С, у клиентов есть сотрудники. Кто подает уведомление в Роскомнадзор?

Ответ: И вы, и ваши клиенты – операторы персональных данных. Уведомление обязаны подать оба.

Вопрос: Обслуживаю ИП и организации, самозанятая. С физлицами не контактирую, но рассчитываю зарплату для их сотрудников. Должна ли я регистрироваться в Роскомнадзоре?

Ответ: Да. Если вы обрабатываете ФИО, ИНН, паспортные данные сотрудников – вы оператор ПД. Понадобятся письменные согласия от каждого сотрудника клиента на передачу данных.

Вопрос: ИП без сотрудников, УСН. В договорах только ФИО и ИНН клиентов. Обязана ли я уведомлять Роскомнадзор?

Ответ: Да. Даже минимальный объем ПД – ФИО, ИНН, email – уже считается обработкой. Вы попадаете под требования закона 152-ФЗ.

Вопрос: ИП работает через маркетплейсы, заключает договоры с ООО. Нужно ли регистрироваться?

Ответ: Да. Даже если сотрудников нет, передача ФИО или других идентификаторов юрлица (директора, доверенных лиц) – это обработка ПД.

Помимо подачи уведомления в Роскомнадзор, важно помнить об обязательствах, которые установлены ст.18.1 Федерального закона №152-ФЗ «О персональных  данных». Каждая организация, обрабатывающая персональные данные, должна оформить внутренний комплект документов: регламенты, положения, инструкции, описывающие порядок работы с персональными данными. Эти локальные акты позволяют успешно пройти проверку надзорных органов. Подготовить такой комплект можно и после 30 мая 2025 года, но откладывать не стоит — требования закона действуют уже сейчас.

Как зарегистрироваться в реестре операторов персональных данных: порядок действий

Регистрация в РКН  проходит в несколько шагов. Следование этой последовательности позволит избежать распространенных ошибок и ускорит включение в реестр.

1. Подготовительный этап

На этом этапе нужно собрать всю необходимую информацию:

• Полные реквизиты оператора (название организации, ИНН, ОГРН, адрес, контактные данные).

• Категории ПД, которые планируется обрабатывать (например, паспортные данные, номера телефонов, email).

• Кто является субъектами данных — клиенты, сотрудники, контрагенты.

• Цели обработки: кадровое делопроизводство, ведение клиентской базы, выполнение договорных обязательств и др.

• Методы обработки — электронные, бумажные, автоматизированные или ручные.

• Применяемые меры защиты информации (антивирусы, системы шифрования, ограничение доступа и др.).

2. Заполнение уведомления в РКН

Подать уведомление можно двумя способами:

1. Через личный кабинет на сайте Роскомнадзора (предпочтительно).
2. Лично или по почте — с приложением распечатанной формы уведомления на бланке.

Онлайн-форма сопровождается подсказками и автоматически проверяет корректность введенных данных. Важно внимательно отнестись к следующим моментам:

• Указать дату начала обработки информации.

• Не пропускать обязательные поля.

• Избегать расплывчатых или общих формулировок в целях обработки.

• Удостовериться, что выбран актуальный шаблон уведомления.

Для слушателей курса «Защита персональных данных» в Институте профессиональных квалификаций доступна подробная пошаговая инструкция по заполнению каждого поля формы уведомления на сайте Роскомнадзора. 20-страничный документ снабжен пояснениями эксперта и поможет избежать типичных ошибок при подаче сведений в РКН.

3. Рассмотрение и регистрация

После отправки уведомления Роскомнадзор рассматривает его на предмет полноты и достоверности. Если все оформлено корректно, оператор вносится в реестр, а на указанный адрес направляется подтверждающее письмо с регистрационным номером.

Этот документ рекомендуется хранить в распечатанном и электронном виде — он потребуется при проверках.

Как убедиться, что вы в реестре: проверить информацию о себе или своей организации можно в реестре операторов персональных данных на сайте Роскомнадзора. Для поиска достаточно ввести ИНН.

Типичные ошибки при подаче уведомления

На практике довольно часто встречаются ошибки, из-за которых уведомление возвращается на доработку:

• Неправильно или недостаточно конкретно описаны цели обработки.

• Пропущены сведения о категориях данных или категориях субъектов.

• Указаны неточные юридические данные организации.

• Использован устаревший или неверный шаблон уведомления.

Чтобы избежать этих проблем:

• Проверьте все данные несколько раз перед отправкой.

• Используйте только формы с официального сайта Роскомнадзора.

• В сложных случаях консультируйтесь с юристами.

Вопрос: ООО с единственным директором. Нужно ли подавать уведомление?

Ответ: Да. Даже если директор — единственный сотрудник, его данные — ПД. Любая организация обязана подать уведомление, если собирает или хранит ПД.

Вопрос: Документы ведутся только на бумаге, без ИТ-систем. Нужно ли регистрироваться?

Ответ: Если данные не хранятся в электронном виде – уведомление не требуется. Но требования закона 152-ФЗ все равно действуют.

Вопрос: НКО, юристы и адвокаты. Есть сотрудники по трудовому договору и ГПХ. Нужно ли уведомлять Роскомнадзор?

Ответ: Да. Закон 152-ФЗ распространяется на всех, кто работает с ПД, независимо от формы организации.

Что грозит за нарушение правил обработки персональных данных

С 30 мая 2025 года усиливается ответственность за нарушение законодательства в сфере персональных данных. У РКН расширены полномочия: он может не только проводить проверки, но и применять жесткие санкции.

Штрафы за неуведомление

• Для самозанятых — до 10 000 ₽.

• Для руководителей — до 50 000 ₽.

• Для организаций — до 300 000 ₽.

Также возможна приостановка деятельности и блокировка сайтов — при серьезных нарушениях. Обязательные предписания с указанием сроков устранения нарушений.

Штрафы за утечку данных

Вступают в силу и новые нормы, ужесточающие санкции за утечку данных по вине оператора ПД:

• Штрафы за передачу данных без согласия увеличены и теперь зависят от числа затронутых лиц.

• За утечку биометрических данных предусмотрены самые жесткие наказания.

• При повторных нарушениях — санкции в миллионы рублей.

• Введена уголовная ответственность за неправомерную обработку данных, особенно в отношении несовершеннолетних или при наличии корыстного мотива.

Основные рекомендации:

• Регулярно проводить аудит и мониторинг безопасности данных;

• Своевременно уведомлять Роскомнадзор о начале и изменениях в обработке персональных данных;

• Внедрять современные технические и организационные меры защиты, особенно для биометрической информации;

• Проходить повышение квалификации по защите персональных данных;

• Обучать сотрудников и назначать ответственных за безопасность персональных данных;

• Разрабатывать и оттачивать планы реагирования на инциденты утечки данных.

На что обращает внимание Роскомнадзор при проверке

Во время плановых и внеплановых проверок специалисты ведомства оценивают:

• Наличие оператора в реестре и соответствие заявленных целей реальным действиям.

• Соответствие методов обработки информации требованиям закона.

• Наличие и эффективность мер по защите данных.

• Реакцию оператора на инциденты (утечки, жалобы).

Подача уведомления в РКН — не формальность, а требование закона, гарантирующее соблюдение норм безопасности и прозрачность деятельности.

АНО «Институт профессиональных квалификаций» предлагает дистанционное обучение по программе повышения квалификации «Защита персональных данных». Программа разработана в соответствии с требованиями законодательства РФ и профстандартов, включает 36 академических часов. Обучение проходит в удобной системе дистанционного образования, где слушателям доступен личный кабинет с учебными модулями, практическими заданиями и материалами. По итогам обучения выдается удостоверение о повышении квалификации, внесенное в ФИС ФРДО.

Программа ориентирована на следующие категории специалистов:

• Самозанятые и индивидуальные предприниматели (ИП), работающие с персональными данными — обучение поможет правильно выстроить процессы обработки данных и снизить риски нарушений законодательства.

• Сотрудники подразделений, ответственные за сбор и хранение персональных данных — обучение поможет правильно организовать работу с персональными данными в организации, соблюдая требования законодательства.

• Специалисты по защите информации — повышение квалификации позволит углубить знания в области защиты данных и соответствовать современным требованиям безопасности.

• Руководители служб безопасности и защиты информации — обучение обеспечит понимание организационных и технических мер по защите персональных данных.

• Администраторы систем безопасности и сетевые администраторы — повышение квалификации поможет эффективно управлять системами безопасности и обеспечивать защиту данных.
   

Курсы повышения квалификации по защите персональных данных дистанционно

1. Подайте заявку на странице образовательной программы «Защита персональных данных».

2. Далее оплатите счет-оферту. На электронную почту, указанную в заявке, вам придут логин и пароль для входа в систему дистанционного обучения (СДО). Наша образовательная платформа устроена таким образом, чтобы вы могли изучать лекции, смотреть видеоматериалы, сдавать тесты с любого устройства (смартфона, компьютера, планшета) в любое удобное для вас время 24/7.

3. Если во время обучения возникнут какие-то вопросы, вы всегда можете обратиться к вашему куратору — его контакты указаны в личном кабинете слушателя в СДО. 

4. Материалы программы повышения квалификации «Защита персональных данных» в Институте повышения квалификации разработаны в полном соответствии с требованиями законодательства РФ. Программа регулярно обновляется и дополняется, поэтому вы получите все актуальные знания для работы с персональными данными. 

5. Доступ к учебным материалам сохранится еще 6 месяцев после окончания вашего обучения. Также вы получите бесплатный доступ на 1 год к электронной библиотеке ИПК с огромным количеством книг, статей и методических пособий по теме. 

6. Программа в объеме 36 академических часов. Действуют скидки, специальные предложения и рассрочка для слушателей. 

7. После сдачи итогового теста вы получите удостоверение о повышении квалификации по направлению «Защита персональных данных». Документ подтверждает обновление ваших профессиональных знаний и развитие актуальных компетенций в данной сфере. Данные о документах, выданных Институтом, обязательно заносятся в базу данных ФИС ФРДО, что делает их официальным документом на всей территории Российской Федерации.

8. Документ направляется Почтой России в любую точку страны бесплатно.