Все организации и ИП, которые собирают и хранят информацию о своих клиентах и сотрудниках, должны уведомлять Роскомнадзор о начале обработки персональных данных. Перед этим необходимо разработать пакет документов, регламентирующий обращение с персональными данными. Невыполнение этого требования может повлечь за собой серьезные штрафы.
Что считать персональными данными?
Персональные данные (ПД) — это абсолютно любая информация, которая имеет отношение к конкретному лицу, как прямо, так и опосредованно (ст. 3 закона о персональных данных). Это не только пол, возраст, ФИО, паспортные данные, ИНН, СНИЛС и т.п., но и:
номер телефона;
данные о полученном образовании, повышении квалификации;
биографические факты (в том числе судимость, служба в армии и т.п.);
предыдущая трудовая деятельность;
деловые качества;
личные качества оценочного характера;
сведения о зарплате и, вообще, финансовом положении (ст. 3 закона о персональных данных, разъяснения Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059);
фото, аудио- и видеозаписи, и, разумеется, пальцевые отпечатки (письмо Роскомнадзора от 10.02.2020 № 08АП-6782);
другие данные, которые позволяют установить личность.
Что нужно сделать перед подачей уведомления в Роскомнадзор?
Перед тем, как оформить и отправить уведомление на официальном сайте Роскомнадзора, необходимо предпринять несколько шагов:
разработать политику в области ПД;
сформировать политику их обработки;
утвердить оба документа специальным приказом;
этим же приказом определить перечень лиц, которые должны быть ознакомлены с документами;
подписать с этими лицами обязательства о неразглашении ПД.
Политику обработки персональных данных нужно опубликовать на сайте или, если веб-страницы у вас нет, то на инфостенде в офисе, месте приема граждан, клиентуры и т.п.
Как уведомить Роскомнадзор?
Важно провести эту операцию до того, как начать обрабатывать персональные данные(ст. 22 закона о персональных данных).
Информирование ведомства обязательно вне зависимости от статуса лица — организация или ИП (если он выступает оператором ПД). Форма уведомления утверждена в Приложении № 1 к приказу Роскомнадзора от 28.10.22 № 180. Прописывается:
наименование, ФИО оператора, адрес;
цель обработки;
дата начала обработки;
срок (или же условие) прекращения обработки;
сведения о том, как обеспечивается безопасность ПД, само уведомление подписывается уполномоченным лицом (ч. 3 ст. 3, 22 закона о персональных данных).
В течение 30 суток с момента получения уведомления Роскомнадзор вносит организацию или ИП в реестр операторов (ч. 4 ст. 22 закона о персональных данных).
Какая санкция грозит за несоблюдение правил обработки личной информации? Самая серьезная.
Если не будут исполнены требования законодательства о ПД, в том числе представление Роскомнадзору неполных, устаревших, неточных данных, штраф может составить (ч. 2, 3 ст. 13.11 КоАП):
при первичном нарушении — до 90 000 руб.;
при повторном правонарушении — 500 000 руб.
Если не обеспечить условия для хранения ПД (например, за применение для этого иностранных серверов), грозит штраф (ч. 8, 9 ст. 13.11 КоАП):
при первичном нарушении — до 6 млн руб.;
при повторном нарушении — 18 млн руб.
В ситуации, когда следственные органы увидят в действиях обязанного лица признаки правонарушения, то может последовать ответственность по УК. В частности, неполучение согласия может повлечь ответственность по УК. Согласно ст. 137 УК, за допущение неправомерного доступа к цифровой информации, в результате чего она была уничтожена (заблокирована, изменена, скопирована) — по ч. 1 ст. 272 УК и т.п.
Чтобы не давать поводов для предписаний Роскомнадзора, прокуратуры и не рисковать «налететь» на штраф от 300 000 до 18 000 000 руб. получите бесплатную консультацию.