Вопрос:
У кого есть обязанность направить уведомление в Роскомнадзор о начале обработки персональных данных? В каком порядке и по какой форме это сделать?
Ответ:
Кто должен подать уведомление в Роскомнадзор.
Представлять уведомление об обработке персональных данных должен каждый оператор (ч. 1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон)).
Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Закона).
Отметим, что оператор вправе поручить обработку персональных данных иному лицу на основании заключенного с ним договора (в том числе государственного или муниципального контракта) либо путем принятия соответствующего акта (если оператор - государственный или муниципальный орган). Для этого необходимо согласие субъекта персональных данных, если иное не установлено законодательством (ч. 3 ст. 6 Закона). Однако поручение обработки персональных данных иному лицу не освобождает оператора от обязанности подавать уведомление в уполномоченный орган, поскольку, как прямо установлено в ч. 1 ст. 22 Закона, уведомление об обработке персональных данных должно подаваться именно им.
Когда уведомление не нужно.
Уведомление не требуется, если (п. п. 7 - 9 ч. 2 ст. 22 Закона):
1) вы обрабатываете данные, включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
2) обработка проводится исключительно без использования средств автоматизации;
3) сведения обрабатываются в соответствии с законодательством о транспортной безопасности.
Порядок уведомления Роскомнадзора.
Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор (абз. 2 п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 N 228).
Уведомление о намерении осуществлять обработку персональных данных нужно подать в Роскомнадзор до начала их обработки (ч. 1 ст. 22 Закона).
Составьте уведомление по форме, приведенной в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180. В нем укажите, в частности (ч. 3, 3.1 ст. 22 Закона):
· свое наименование (фамилию, имя, отчество), адрес;
· цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных;
· дату начала обработки персональных данных;
· срок или условие прекращения обработки персональных данных;
· сведения об обеспечении безопасности персональных данных в соответствии с установленными требованиями к защите таких данных.
Уведомление должно быть подписано уполномоченным лицом (ч. 3 ст. 22 Закона).
Роскомнадзор на основании этого уведомления в течение 30 дней с даты его поступления должен внести сведения в реестр операторов (ч. 4 ст. 22 Закона).
Если сведения, содержавшиеся в ранее поданном уведомлении, изменились, то нужно уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения, обо всех произошедших за указанный период изменениях. Если вы прекратили обработку персональных данных, нужно уведомить Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных (ч. 7 ст. 22 Закона). Данные уведомления необходимо составлять по формам, приведенным соответственно в Приложениях N N 2 и 3 к Приказу Роскомнадзора от 28.10.2022 N 180.
Если вы намерены осуществлять трансграничную передачу персональных данных, следует направить в Роскомнадзор соответствующее уведомление. Оно подается отдельно от уведомления о намерении осуществлять обработку персональных данных (ч. 3 ст. 12 Закона).
Обоснование:
Что указывать в качестве средств обеспечения безопасности персональных данных при заполнении уведомления об обработке персональных данных.
Оператор при обработке персональных данных обязан принимать или обеспечивать принятие необходимых мер для защиты персональных данных. В том числе безопасность персональных данных достигается путем применения соответствующих организационных и технических мер при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных (ч. 1, п. 2 ч. 2 ст. 19 Закона о персональных данных).
Требования к защите персональных данных при их обработке в информационных системах персональных данных утверждены Постановлением Правительства РФ от 01.11.2012 N 1119. Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах госорганов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств утверждены Приказом ФСБ России от 18.03.2025 N 117.
Выбор средств защиты информации для системы защиты персональных данных осуществляет оператор в соответствии с нормативными правовыми актами, принятыми во исполнение ч. 4 ст. 19 Закона о персональных данных, в том числе (п. 4 Требований, утвержденных Постановлением Правительства РФ от 01.11.2012 N 1119):
· Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными Приказом ФСТЭК России от 18.02.2013 N 21;
· Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденными Приказом ФСБ России от 10.07.2014 N 378.
Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, предусмотрены п. п. 13 - 15 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687.
Готовое решение: Каковы обязанности оператора персональных данных
ПЕРСОНАЛЬНЫЕ ДАННЫЕ: КАК ИЗМЕНИТСЯ ОТВЕТСТВЕННОСТЬ
С 30 МАЯ 2025 ГОДА
Ужесточается административная ответственность за утечку персональных данных и другие нарушения. За повторную утечку коммерческим организациям и ИП грозят оборотные штрафы. В правилах обработки персональных данных изменений нет.
Штраф за нарушение обязанности уведомить о намерении обрабатывать персональные данные - 100 000 - 300 000 руб. (здесь и далее приведены размеры штрафов для коммерческих организаций и ИП).
За нарушение обязанности уведомить об утечке персональных данных - 1 - 3 млн руб.
Обзор: "Персональные данные: как изменится ответственность с 30 мая 2025 года"
Дополнительные материалы:
Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных
Форма: Уведомление о намерении обрабатывать персональные данные (образец заполнения)
Форма: Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных (образец заполнения)
Форма: Уведомление о прекращении обработки персональных данных (образец заполнения)
Форма: Уведомление о намерении осуществлять трансграничную передачу персональных данных (образец заполнения)
Ссылка на страницу сайта Роскомнадзора с электронными формами заявлений: https://pd.rkn.gov.ru/operators-registry/notification/
Ответ подготовлен с использованием материалов СПС «КонсультантПлюс».
Представленная информация носит справочный характер, окончательное решение принимается самостоятельно.
