Уведомление об обработке персональных данных в 2024 году
Все организации и ИП, которые планируют начать обработку персональных данных, в 2024 году должны уведомить об этом Роскомнадзор.
Уведомление нужно подать до начала обработки персональных данных по форме, утвержденной приказом Роскомнадзора от 28.10.2022 № 180. Согласно ч.3 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в уведомление должны быть включены следующие данные:
- наименование организации или ФИО предпринимателя, которые планируют осуществлять обработку персональных сведений физлиц, и их адрес;
- цель обработки персональных данных;
- сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
- ФИО работников, ответственных за обработку персональных данных, и их контактные данные (телефон, почтовый индекс, электронная почта);
- дата начала обработки персональных данных;
- срок прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;
- сведения об обеспечении безопасности персональных данных.
Конкретных сроков представления этих сведений в составе уведомления законодательство не содержит. При этом уведомить Роскомнадзор требуется до начала осуществления обработки персональных данных.
О любых изменениях сведений (например, при изменении целей или сроков обработки персональных данных) компания должна уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
Уведомить Роскомнадзор о прекращении обработки персональных данных требуется в течение 10 рабочих дней с даты прекращения их обработки (ч.7 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ).
Как в 1С подготовить Уведомление об обработке персональных данных
В решениях системы «1С:Предприятие 8» поддерживается форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных (приложение № 1 к приказу Роскомнадзора от 28.10.2022 № 180).
Уведомление об обработке персональных данных доступно в разделе Уведомления единого рабочего места 1С-Отчетность (рис. 1).
Рис. 1. Создание уведомления с помощью сервиса 1С-Отчетность в программе 1С
Рис. 2. Уведомление об обработке персональных данных в программе 1СУведомление об обработке персональных данных направляется в Роскомнадзор на бумажном носителе. Также заполнить соответствующую форму можно на официальном сайте ведомства.
Уведомление об утечке персональных данных
Компании в течение 24 часов с момента утечки персональных данных (ч.3.1 ст.21 Федерального закона от 27.07.2006 № 152-ФЗ) должны сообщить об этом в Роскомнадзор путем направления специального уведомления о неправомерной или случайной передаче персональных данных. Специальной формы уведомления об утечке персданных сейчас не установлено. При этом первичное уведомление об утечке должно содержать сведения, указанные в пунктах 2.1–2.3 приказа Роскомнадзора от 14.11.2022 № 187:
- данные об организации или ИП, у которых произошла утечка данных (наименование организации или ФИО ИП);
- ИНН, адрес и адрес электронной почты компании;
- дата и время утечки данных;
- характеристика скомпрометированных персональных данных (содержание базы данных, ставшей доступной неограниченному кругу лиц в результате утечки);
- сведения о предполагаемых причинах утечки персональных данных;
- сведения о предполагаемом вреде, нанесенным утечкой данных;
- сведения о принятых мерах по устранению последствий утечки данных;
- сведения об источнике получения информации об утечке данных.
Направив в Роскомнадзор указанное уведомление, компания должна в течение 72 часов с момента утечки информации провести внутреннее расследование и направить в Роскомнадзор уведомление о результатах такого расследования (дополнительное уведомление). В дополнительном уведомлении нужно указать (при наличии):
- сведения о решении компании о проведении внутреннего расследования с указанием его реквизитов;
- информацию о причинах, повлекших утечку данных;
- сведения о вреде, нанесенном физлицам, данные которых были скомпрометированы;
- информацию о дополнительно принятых мерах по устранению последствий утечки данных;
- сведения о лицах, действия которых стали причиной утечки данных.
Первичное и дополнительное уведомление об утечке персональных данных можно направить в Роскомнадзор как на бумажном носителе, так и в электронном виде путем заполнения рекомендованной формы на официальном сайте контролирующего ведомства.
Ответственность за непредставление таких уведомлений в 2024 году будет в значительной степени ужесточена.
Новые штрафы за неуведомление Роскомнадзора
В настоящее время нет отдельной нормы, предусматривающей самостоятельные штрафы за непредставление уведомлений в Роскомнадзор. Нарушителей штрафуют по общей ст.19.7 КоАП РФ, устанавливающей штрафы за непредставление сведений и информации в контролирующие государственные органы.
В соответствии с данной нормой несдача в Роскомнадзор обязательных уведомлений грозит должностным лицам организаций и ИП штрафом в размере от 300 до 500 рублей, а организациям – от 3 000 до 5 000 рублей. Штрафы в подобных размерах не останавливают недобросовестных операторов персональных данных от несдачи уведомлений.
Уже принятый в первом чтении законопроект № 502104-8 вводит специальные штрафы за несдачу уведомлений в Роскомнадзор в повышенном размере. В этих целях законопроект дополняет действующую ст.13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных) новыми частями.
Согласно ч.10 ст.13.11 КоАП РФ неуведомление или несвоевременное уведомление Роскомнадзора о намерении начать обработку персональных данных будет грозить следующими штрафами:
- от 30 000 до 50 000 рублей – для должностных лиц организаций;
- от 100 000 до 300 000 рублей – для индивидуальных предпринимателей;
- от 100 000 до 300 000 рублей – для организаций.
По новой ч.11 ст.13.11 КоАП РФ для компаний будут введены штрафы за неуведомление Роскомнадзора об утечке персональных данных. Данное нарушение повлечет наложение штрафов в размере:
- от 400 000 до 800 000 рублей – для должностных лиц организаций;
- от 1 млн до 3 млн рублей – для индивидуальных предпринимателей;
- от 1 млн до 3 млн рублей – для организаций.
Планируется, что эти штрафы будут введены в действие уже в 2024 году. Срок начала их применения, намеченный законопроектом, – по истечении 30 дней после дня официального опубликования закона.
А работу работать когда будем?
Душка из бухгалтерии, Уведомления, представляемые в Роскомнадзор, не носят регулярного характера. Уведомление о начале обработки персональных сведений работодатели вообще должны направить в ведомство однократно, перед началом работы с персональными сведениями.
В дальнейшем такие уведомления сдавать не нужно даже при приеме на работу новых сотрудников и в случае других кадровых изменений. Уведомления об утечке данных также не являются регулярными. Их вообще можно не представлять, если утечек не происходило.
о господи, когда они будут ловить мошенников, а не штрафы организации вводить??
Взъерошенный админ, Так новые штрафы как раз и вводятся в целях борьбы с кибер-мошенничеством и пресечения массовых хищений персональных сведений. На этапе разработки новых штрафов законодатели и представители Роскомнадзора неоднократно отмечали, что мошенничество - это следствие несвоевременного информирования операторов об утечке персональных данных.
При этом сообщать об утечках многие сейчас не спешат именно по причине незначительных штрафов. Штраф в 500 рублей действительно мало кого может удержать от нарушения законодательных требований.
Здравствуйте. Подскажите, какие штрафы грозят работодателю за несвоевременное уведомление об ИЗМЕНЕНИИ сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных ? И каким НПА регламентированы? В ст.13.11 КоАп об этом не прописано
Директор в гневе, Сейчас нет отдельного, специального штрафа за указанное вами правонарушение. За несдачу такого уведомления работодателя в настоящее время привлекают к ответственности по ст. 19.7 КоАП РФ в виде штрафа в размере от 3 до 5 тысяч рублей. Более этой суммы проверяющие назначить штраф не могут.
Но в будущем, когда рассматриваемый здесь законопроект будет принят (сейчас его рассматривают в первом чтении), за такое нарушение станут штрафовать уже по части 10 ст. 13.11 КоАП РФ. Штраф за неуведомление об изменениях вырастет до 300 тысяч рублей, а минимальный штраф составит 100 тысяч рублей как для организаций, так и для ИП.
Штрафы за несдачу уведомлений уже действуют или их введут только с мая?
Герой документооборота, Штрафы за непредставление в Роскомнадзор уведомлений о намерении начать обработку персональных данных уже действуют и успешно применяются. Просто сейчас закон не устанавливает отдельных штрафов именно за неподачу таких уведомлений.
Поэтому компании штрафуют по статье 19.7 КоАП РФ. Максимальный штраф по данной статье не большой и составляет 5 тысяч рублей. А с 30 мая будут введены специальные повышенные штрафы за неподачу таких уведомлений. Максимальный штраф составит уже 300 тысяч рублей.
Добрый день.
Правильно я понимаю, что даже если мы просто храним данные своих работников и больше никакие данные ни с кого не собираем, то нам тоже нужно встать на учет? А если я ИП и у меня нет работников, я тоже подаю заявление?
Добрый инспектор, Если вы являетесь работодателем хотя бы для одного наемного сотрудника, то вы в любом случае обязаны направить в Роскомнадзор уведомление об обработке персональных данных. Все сведения, получаемые от работников при их трудоустройстве, являются персональными данными. Об их обработке требуется сообщать в РКН.
В случае, если у ИП отсутствуют работники и всю деятельность выполняет сам ИП лично, уведомление в Роскомнадзор тоже необходимо. Дело в том, что заключая договоры с другими организациями и ИП, предприниматель также обрабатывает персональные данные должностных лиц контрагентов, которые подписывают документы.