Роскомнадзор бесплатно консультирует бизнес по организации работы с персональными данными. На своем сайте ведомство напоминает о доступности сервиса «Роском Онлайн», действующих правилах обработки и передачи данных, о необходимости уведомлять регулятора при сборе соответствующей информации и (с 2024 года) окончании работы с ней.
Также Роскомнадзор сообщает, что в 2025 году алгоритмы не изменятся. Регистрация компаний и ИП в качестве операторов персональных данных останется обязательной. И перед уведомлением регулятора о начале работы с данными нужно будет привести локальные НПА в соответствие текущим нормам.
Кого касается?
Де-факто любая компания или ИП, которые обрабатывают данные клиентов, являются операторами ПД. Но не всем нужно регистрироваться в Роскомнадзоре и попадать в соответствующий реестр.
Регулятора можно не уведомлять, если вы:
- Обрабатываете данные без средств автоматизации и в присутствии их владельцев
- Работаете с ПД, включенными в государственные информационные системы, созданные для защиты общественного порядка и обеспечения госбезопасности
- Обрабатываете ПД в случаях, предусмотренных законодательством в отношении транспортной безопасности, защиты интересов государства, общества, личности
- Во всех остальных случаях сбора, обработки, хранения, передачи персональных данных регулятора нужно уведомлять в установленном порядке.
Для чего это нужно?
В 2024 году Роскомнадзор изменил правила уведомления о работе с ПД. Раньше уведомление подавалось один раз – в начале обработки данных. Теперь отчетность подается дважды: в начале обработки ПД и по ее завершении.
Что с этим делать?
Новым субъектам предпринимательской деятельности, которые будут обрабатывать ПД и должны зарегистрироваться в качестве операторов, регулятор рекомендует начать с подготовки локальных нормативно-правовых актов. ФЗ № 152 указывает на то, что универсального пакета документов нет, он формируется с учетом сферы деятельности для каждого оператора отдельно.
Санкции, последствия?
За обработку ПД без уведомления Роскомнадзора в случаях, когда представление отчетности обязательно, предусмотрен штраф от 300 тысяч до 6 миллионов рублей. А за обработку данных без письменного согласия физлица – 700 тысяч в первый раз и 1,5 миллиона за повторные нарушения. Несанкционированная трансграничная передача данных обойдется еще дороже. За нарушение предусмотрен штраф от 6 до 18 миллионов рублей.