Роскомнадзор начал массово требовать уведомления об обработке персональных данных

Автор: Елена Рыбникова, руководитель отдела контроля качества услуг и методологии Интеркомп

Роскомнадзор массово рассылает юридическим лицам и ИП требования предоставить «Уведомления о начале обработки персональных данных». Возможные штрафы – до 75 000 рублей за каждое нарушение. Необходимые действия — заполнение онлайн-формы на сайте rkn.gov.ru.


Елена Рыбникова
руководитель отдела контроля качества услуг и методологии


Причина активности Роскомнадзора — сверка баз зарегистрированных налогоплательщиков в ФНС с базой операторов персональных данных Роскомнадзора.

Напомним, что уведомление о том, что компания является оператором персональных данных, обязаны подавать все, кто обрабатывает персональные данные физических лиц. Уведомление заполняется на сайте Роскомнадзора.

Согласно ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Являюсь ли я оператором обработки персданных?

Если вы хотя бы один раз запросили у физлица персональные данные и передали их третьим лицам, то ДА, вы являетесь оператором: купили билет работнику в командировку, оформили зарплатную или корпоративную карту, сделали постоянный пропуск на территорию бизнес-центра у сторонней службы охраны, взяли резюме у соискателя и т.п.

Штрафы

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при работе с персональными данными (см. таблицу).

Нарушение

Штрафные санкции

Должностное лицо

Юридическое лицо

ИП

Обработка персональных данных в случаях, не предусмотренных законодательством РФ

5 000 – 10 000 руб.

30 000 – 50 000 руб.

5 000 – 10 000 руб.

Обработка персональных данных, несовместимая с целями сбора персональных данных

5 000 – 10 000 руб.

30 000 – 50 000 руб.

5 000 – 10 000 руб.

 Обработка персональных данных без согласия в письменной форме 10 000 - 20 000 руб. 15 000 – 75 000 руб. 10 000 - 20 000 руб.

Невыполнение условий, обеспечивающих сохранность персональных данных

4 000 – 10 000 руб.

25 000 – 50 000 руб.

10 000 – 20 000 руб.

Невыполнение обязанностей оператора в части политику оператора в отношении обработки персональных данных

3 000 – 6 000 руб.

15 000 – 30 000 руб.

5 000 – 10 000 руб.

Невыполнение оператором обязанности по информированию субъекта об обработке его персональных данных

4 000 – 6 000 руб.

20 000 – 40 000 руб.

10 000 – 15 000 руб.

Невыполнение оператором требования субъекта об уничтожении его персональных данных

4 000 – 10 000 руб.

25 000 – 45 000 руб.

10 000 – 20 000 руб.   


На данный момент нет комментариев что делать, если компания уже давно работает с персональными данными, но уведомления не подавала. Штрафных санкций тоже пока не применяли (за первый раз — предупреждение, далее — максимум 75 000 руб. за каждое нарушение для юридических лиц и 20 000 руб. для ИП). Однако, Интеркомп рекомендует обезопасить себя и подать уведомление.

Справочно. Понятие «оператор» и «обработка персональных данных»

Приложение к приказу Роскомнадзора от 30.05.2017 N 94:

П. 2.1. Оператор — федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, иные государственные органы (далее — государственные органы), органы местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.

П. 2.4. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.