Обработка персональных данных 2025: обязанность регистрации в Роскомнадзоре

  • Главная
  • Civil law
  • Обработка персональных данных 2025: обязанность регистрации в Роскомнадзоре

Все организации и ИП, которые собирают и хранят информацию о своих клиентах и сотрудниках, должны уведомлять Роскомнадзор о начале обработки персональных данных. Перед этим необходимо разработать пакет документов, регламентирующий обращение с персональными данными. Невыполнение этого требования может повлечь за собой серьезные штрафы.

Что считать персональными данными?

Персональные данные (ПД) — это абсолютно любая информация, которая имеет отношение к конкретному лицу, как прямо, так и опосредованно (ст. 3 закона о персональных данных). Это не только пол, возраст, ФИО, паспортные данные, ИНН, СНИЛС и т.п., но и:

номер телефона;

данные о полученном образовании, повышении квалификации;

биографические факты (в том числе судимость, служба в армии и т.п.);

предыдущая трудовая деятельность;

деловые качества;

личные качества оценочного характера;

сведения о зарплате и, вообще, финансовом положении (ст. 3 закона о персональных данных, разъяснения Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059);

фото, аудио- и видеозаписи, и, разумеется, пальцевые отпечатки (письмо Роскомнадзора от 10.02.2020 № 08АП-6782);

другие данные, которые позволяют установить личность.

Что нужно сделать перед подачей уведомления в Роскомнадзор?

Перед тем, как оформить и отправить уведомление на официальном сайте Роскомнадзора, необходимо предпринять несколько шагов:

разработать политику в области ПД;

сформировать политику их обработки;

утвердить оба документа специальным приказом;

этим же приказом определить перечень лиц, которые должны быть ознакомлены с документами;

подписать с этими лицами обязательства о неразглашении ПД.

Политику обработки персональных данных нужно опубликовать на сайте или, если веб-страницы у вас нет, то на инфостенде в офисе, месте приема граждан, клиентуры и т.п.

Как уведомить Роскомнадзор?

Важно провести эту операцию до того, как начать обрабатывать персональные данные(ст. 22 закона о персональных данных).

Информирование ведомства обязательно вне зависимости от статуса лица — организация или ИП (если он выступает оператором ПД). Форма уведомления утверждена в Приложении № 1 к приказу Роскомнадзора от 28.10.22 № 180. Прописывается:

наименование, ФИО оператора, адрес;

цель обработки;

дата начала обработки;

срок (или же условие) прекращения обработки;

сведения о том, как обеспечивается безопасность ПД, само уведомление подписывается уполномоченным лицом (ч. 3 ст. 3, 22 закона о персональных данных).

В течение 30 суток с момента получения уведомления Роскомнадзор вносит организацию или ИП в реестр операторов (ч. 4 ст. 22 закона о персональных данных).

Какая санкция грозит за несоблюдение правил обработки личной информации? Самая серьезная.

Если не будут исполнены требования законодательства о ПД, в том числе представление Роскомнадзору неполных, устаревших, неточных данных, штраф может составить (ч. 2, 3 ст. 13.11 КоАП):

при первичном нарушении — до 90 000 руб.;

при повторном правонарушении — 500 000 руб.

Если не обеспечить условия для хранения ПД (например, за применение для этого иностранных серверов), грозит штраф (ч. 8, 9 ст. 13.11 КоАП):

при первичном нарушении — до 6 млн руб.;

при повторном нарушении — 18 млн руб.

В ситуации, когда следственные органы увидят в действиях обязанного лица признаки правонарушения, то может последовать ответственность по УК. В частности, неполучение согласия может повлечь ответственность по УК. Согласно ст. 137 УК, за допущение неправомерного доступа к цифровой информации, в результате чего она была уничтожена (заблокирована, изменена, скопирована) — по ч. 1 ст. 272 УК и т.п.

Чтобы не давать поводов для предписаний Роскомнадзора, прокуратуры и не рисковать «налететь» на штраф от 300 000 до 18 000 000 руб. получите бесплатную консультацию.