Мифы и реальность уведомления Роскомнадзора об обработке персональных данных

Автор: Руководитель Бюро по защите прав предпринимателей и инвесторов подмосковного отделения «ОПОРЫ РОССИИ» Любовь Шаталина

Чего только не говорят по поводу необходимости подачи Уведомления в Роскомнадзор об обработке персональных данных (далее также — ПД) в связи с тем, что 30 мая 2025 года «вступают в силу» штрафы (новая норма в КоАП РФ) за неподачу уведомления об обработке ПД.

Давайте обратимся к закону….(ФЗ № 152-ФЗ «О персональных данных»)…

1.Что относится к персональным данным?

Ст. 3 ФЗ №152-ФЗ:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД.)

К ним относятся, например, семейное положение, номер счета, сведения об образовании, имущественное положение, реквизиты банковской карты, имущественное положение и пр.

2. Кто такой Оператор, который должен подать уведомление?

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

Да, самозанятый, физ.лицо, «имеющие доступ» к чужим ПД — тоже операторы и на них тоже распространяется обязанность подать Уведомление.

Подают уведомления также, конечно, ИП, компании, которые обрабатывают ПД работников, контрагентов, клиентов, собирают данные на сайте…

3. Что понимается под обработкой ПД?

Обработка ПД — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

Автоматизированная обработка ПД — обработка ПД с помощью средств вычислительной техники (ПК)

4. Когда нужно подать Уведомление?

Ч.1 ст. 22 ФЗ -152 устанавливает: Оператор до начала обработки ПД обязан уведомить РКН о своем намерении осуществлять обработку ПД, за исключением случаев, предусмотренных ч.2. ст. 22 ФЗ-152.

Оператор до начала осуществления деятельности по трансграничной передаче ПД обязан уведомить РКН о своем намерении осуществлять трансграничную передачу ПД (например, сбор куки-файлов на сайте с помощью метрической программы Гугл-аналитика РКН относит также к трансграничной передаче ПД)… Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных. Но в настоящей статье мы не говорим об Уведомлении о трансграничной передаче ПД.

Уведомление подается, чтобы «встать» в Реестр операторов по обработке персональных данных. То есть «встать в реестр операторов» равно «подать Уведомление об обработке (о начале обработки) ПД.

5. Когда не нужно подавать Уведомление?

Ч. 2 ст. 22 ФЗ №152-ФЗ: Оператор вправе осуществлять без уведомления РКН обработку ПД:

— включенных в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;

— в случае, если оператор осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации (ПК);

— обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

То есть практически все предприниматели должны подать это Уведомление.

6. Что должно содержать Уведомление?

Ч.3 ст. 22 ФЗ №152-ФЗ указывает: Уведомление должно содержать следующие сведения:

— наименование (фамилия, имя, отчество), адрес оператора;

— цель обработки персональных данных;

— описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

— фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

— дата начала обработки персональных данных;

— срок или условие прекращения обработки персональных данных;

— сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

— сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;

— фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах;

— сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

При предоставлении указанных сведений, оператор для каждой цели обработки ПД указывает категории ПД, категории субъектов, ПД которых обрабатываются, правовое основание обработки ПД, перечень действий с ПД, способы обработки ПД.

Исходя из этого, можно сделать вывод, что подать «правильное» Уведомление способно лицо, хоть немного знакомое с темой ПД и понимающее специфику вопроса.

Эти данные указываются при подаче Уведомления на сайте РКН путем заполнения (выбора) соответствующих окошек (граф).

7. Как подать Уведомление?

Через сайт РКН: https://pd.rkn.gov.ru/operators-registry/notification/form/ (надо выбрать один из трех предложенных вариантов).

На сайте РКН указывается, что направить уведомление можно одним из следующих способов:

1. Сформировать уведомление и направить в бумажном виде

Вы можете заполнить форму, распечатать и отправить в территориальный орган.

2. Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи

Вы можете заполнить форму и подписать ее электронной подписью. В этом случае подача в бумажном виде не потребуется. У вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним.

3. Сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА

Пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде. У Вас должна быть подтвержденная учетная запись. Отправка копии в бумажном виде в данном случае не потребуется. В случае если Вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале Госуслуг.

8. Сколько рассматривается Уведомление РКН и какой итог подачи?

В течение 30 дней после подачи Уведомления вносятся данные в Реестр операторов («включение в Реестр операторов»). В случае предоставления неполных или недостоверных сведений-РКН может попросить уточнить сведения.

9. Нужно ли платить за подачу Уведомления?

Нет.

10. А может я (моя компания, ИП) уже есть в Реестре?

Посмотреть можно на сайте РКН: https://pd.rkn.gov.ru/operators-registry/operators-list/ (по ИНН, ОГРН, Ф.И.О.)

Но если со времени, когда вы встали в реестр изменились, например, категории обрабатываемых ПД, цели обработки -об этом также надо уведомить РКН.

11. Какая ответственность устанавливается с 30 мая 2025 года за неподачу Уведомления?

Ч.10 ст. 13.11 КоАП РФ:

Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку ПД влечет наложение штрафа:

— на граждан -в размере от 5 тысяч до 10 тысяч рублей;

-на должностных лиц (ИП) — от 30 тысяч до 50 тысяч рублей;

-на юридических лиц — от 100 тысяч до 300 тысяч руб.

12. Что все таки будет, если не подать Уведомление?

Время покажет.