Одна из самых «незаметных» обязанностей оператора персональных данных — это уведомление Роскомнадзора о начале обработки персональных данных. Незаметная — потому что о ней нередко забывают при регистрации бизнеса, и ещё потому, что её нарушение не требует никакой утечки или инцидента: штраф до 300 000 рублей может получить компания, которая в целом хорошо защищает данные, но просто не подала документ. Разберём, кому нужно уведомление, как его подать и как исправить ситуацию, если уведомление ещё не подано.
Кто обязан уведомлять Роскомнадзор
Согласно статье 22 ФЗ-152, оператор персональных данных обязан уведомить уполномоченный орган (Роскомнадзор) до начала обработки персональных данных. Это требование распространяется на:
- Юридические лица любой организационно-правовой формы
- Индивидуальных предпринимателей
- Государственные и муниципальные органы
- Иностранные компании, работающие с данными российских граждан
Кто освобождён от обязанности уведомления
Закон предусматривает ограниченный перечень исключений. Уведомление не требуется, если:
- Персональные данные обрабатываются исключительно в соответствии с Трудовым кодексом РФ (данные собственных сотрудников для нужд трудовых отношений)
- Данные получены при заключении разовых договоров с физическими лицами и не передаются третьим лицам
- Обработка ведётся без автоматизации (полностью ручной режим, данные не в цифровом виде)
- Обрабатываются только данные членов некоммерческой организации и не передаются третьим лицам
Важное уточнение: исключение для данных сотрудников работает только для кадрового учёта. Если компания ведёт базу данных клиентов, подрядчиков, пользователей сайта — уведомление обязательно, даже если данные сотрудников входят в это же исключение.
Санкции за отсутствие уведомления
| Субъект | Статья | Минимальный штраф | Максимальный штраф |
|---|---|---|---|
| Физическое лицо | ч. 1 ст. 19.7 КоАП РФ | 100 руб. | 300 руб. |
| Должностное лицо | ч. 1 ст. 19.7 КоАП РФ | 300 руб. | 500 руб. |
| Индивидуальный предприниматель | ч. 1 ст. 19.7 КоАП РФ | 1 000 руб. | 10 000 руб. |
| Юридическое лицо | ч. 1 ст. 19.7 КоАП РФ | 10 000 руб. | 300 000 руб. |
При повторном нарушении штраф удваивается. Кроме того, РКН вправе вынести предписание об устранении нарушения — его неисполнение является самостоятельным нарушением с дополнительным штрафом.
Пошаговая инструкция: как подать уведомление в РКН
-
Определите, нужно ли вам уведомление
Проверьте, подпадает ли ваша деятельность под исключения статьи 22 ФЗ-152. Если вы обрабатываете данные клиентов, пользователей сайта или контрагентов — уведомление нужно.
-
Подготовьте сведения об обработке персональных данных
Вам потребуется следующая информация: наименование и адрес организации; ИНН и ОГРН; цели обработки персональных данных; категории обрабатываемых данных (ФИО, контакты, платёжные данные и так далее); категории субъектов (клиенты, сотрудники, посетители сайта); правовые основания обработки; перечень действий с данными; описание мер защиты; информация о трансграничной передаче (если есть).
-
Зайдите на официальный портал РКН
Адрес портала для подачи уведомлений: pd.rkn.gov.ru. Для авторизации потребуется учётная запись на Госуслугах (для юридического лица — учётная запись организации).
-
Заполните форму уведомления
Форма состоит из нескольких разделов. Уделите особое внимание разделу «Цели обработки» — именно здесь допускается наибольшее количество ошибок. Цели должны быть конкретными и соответствовать реальным процессам.
-
Подпишите уведомление электронной подписью
Для юридических лиц требуется квалифицированная электронная подпись (КЭП) руководителя или уполномоченного лица. Если КЭП нет, уведомление можно подать в бумажном виде через МФЦ или почтой.
-
Отправьте уведомление и получите подтверждение
После отправки вам придёт электронное подтверждение. РКН вносит сведения в реестр операторов в течение 30 дней. Проверить факт включения в реестр можно на сайте РКН: pd.rkn.gov.ru/operators-registry.
-
Следите за актуальностью сведений
При изменении целей, категорий данных или иных сведений, указанных в уведомлении, необходимо подать уведомление об изменениях. Это обязательно, иначе реестровые сведения устареют, что само по себе является нарушением.
Типичные ошибки при заполнении уведомления
- Слишком широкие цели обработки — формулировки типа «для нужд бизнеса» не соответствуют требованиям; цели должны быть конкретными
- Неполный перечень категорий данных — если вы обрабатываете платёжную информацию, это должно быть отражено
- Игнорирование раздела о трансграничной передаче — использование иностранных облачных сервисов требует указания этого факта
- Неверное указание правовых оснований — каждая цель обработки должна иметь чёткое законное основание
Что делать, если уведомление давно не подано
Если компания работает без уведомления уже несколько лет, рекомендуется не ждать проверки, а подать уведомление самостоятельно. Добровольное устранение нарушения до момента его выявления проверяющими является смягчающим обстоятельством при назначении штрафа. Кроме того, РКН в ряде случаев ограничивался предупреждением для компаний, добровольно раскрывших и устранивших нарушение.
Главное правило: подать уведомление в РКН быстро и бесплатно — это самый простой шаг в системе комплаенса по персональным данным. Штраф за его отсутствие до 300 000 рублей несопоставимо больше любых трудозатрат на заполнение формы. Сделайте это сегодня, не откладывая.
