backgraund

Уведомление об обработке персональных данных

Соберем сведения, разъясним риски, подготовим уведомления по ст. 22 152-ФЗ в Роскомнадзор

Оставить заявку
01 / Нам доверяют
02 / Описание

Защитим от штрафа до 300 тыс. рублей за неподачу Уведомления в Роскомнадзор

Когда могут привлечь к ответственности?

  • Отсутствие надлежащего уведомления

Оператору грозит штраф до 300 тыс. рублей, если обработка персональных данных начинается без соответствующего уведомления регулятора либо направленное уведомление отсутствует вовсе.

  • Несоответствие фактической деятельности компании заявленной информации в уведомлении

Когда мониторинг Роскомнадзора выявляет три и более факта расхождений между информацией, представленной в уведомлении, и реальной деятельностью оператора, это становится основанием для внеплановой проверки, что может привести к выявлению еще более существенных нарушений и миллионным штрафам.

  • Жалобы граждан

Любой осведомленный гражданин имеет право подать жалобу в Роскомнадзор относительно возможных нарушений при обработке его персональных данных. В судебной практике уже имеются случаи рассмотрения жалоб граждан на некорректные сроки обработки ПДн, указанные в уведомлении компании.

  • Невыполнение предписания контролирующего органа

Если ранее выданное предписание Роскомнадзора остается неисполненным или исполнение неполное, организация подвергается санкциям повторно.

  • Непредставление необходимых документов

Невозможность подтверждения полноты направленных в Роскомнадзор сведений об обработке персональных данных.

  • Использование специальных категорий данных без особых оснований

Отдельные категории данных (биометрические, медицинские, финансовые) требуют повышенного уровня контроля и отдельного согласования. Их обработка без наличия специального разрешения или обоснования дополнительно увеличивает риск проверок и штрафов.

  • Недостоверность уведомления

Любые умышленные искажения информации в уведомлении расцениваются как серьезные нарушения, способные повлечь крупные санкции вплоть до приостановления деятельности организации.
Читать статью

Когда необходимо уведомлять?

В соответствии со статьей 22 № 152-ФЗ оператор обязан уведомить Роскомнадзор:

  • До начала обработки персональных данных (уведомление о намерении осуществлять обработку).

  • При изменении сведений, указанных в первичном уведомлении - не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения (корректирующее уведомление).

  • При прекращении обработки персональных данных - в течение 10 рабочих дней с момента прекращения обработки персональных данных.

Типовые ошибки, допускаемые при заполнении уведомления:

  • Объединение разнородных целей в одну, использование повторяющихся целей для разных категорий субъектов: в отношение каждой категории субъектов должна быть выбрана собственная цель, перечень данных, действия с ними, способы обработки. Также важно проверить соотношение целей, указанных в локальных нормативных актах, с целями, указанными в Уведомлении.

  • Неполный перечень категорий субъектов для одной или нескольких целей обработки, перечень правовых оснований обработки: цели, категории субъектов, правовые основания обработки персональных данных должны соотноситься с реестром процессов обработки (RoPA).

  • Неполные сведения об адресах баз данных: адрес вовсе не указан или указан неполный перечень адресов баз данных. Оператору необходимо собрать информацию по всем сторонним сервисам, где осуществляется размещение его баз данных.

  • Некорректно указана дата начала или окончания обработки персональных данных: неправильное указание дат в уведомлении с одной стороны влияют на давность привлечения к административной ответственности, с другой может являтся поводом к привлечению к административной ответственности.

  • Несоответствие содержания уведомления локальным актам и фактической деятельности: с вступлением в силу Приказа Минцифры России от 17.08.2023 г. № 720 расширен перечень индикаторов риска нарушения обязательных требований в области обработки личной информации. Новый индикатор - факт обнаружения Роскомнадзором хотя бы трех расхождений между информацией из уведомлений об обработке персональных данных или осуществлении их трансграничной передаче и данными, опубликованными на сайте оператора в силу обязанности (ч. 2 ст. 18.1 №152-ФЗ), а также с документами, определяющими Политику в отношении обработки перслнальных данных. Напомним, если Роскомнадзор выявил индикаторы риска, он может по согласованию с прокуратурой внепланово провести ряд контрольно-надзорных мероприятий.

03 / Решения
Проведем мероприятия по уведомлению Роскомнадзора
1
Инвентаризация бизнес-процессов по обработке персональных данных
Что включает:

Выявляем процессы, где происходит обработка персональных данных. На основании собранных сведений проводим инвентаризацию процессов обработки персональных данных - для каждого процесса определяем цели обработки персональных данных, категории субъектов, перечень данных, действия с данными, сроки обработки и хранения данных, а также целый ряда иных необходимых параметров обработки данных оператором.

2
Составление реестра процессов обработки персональных данных
Что включает:

Завершаем инвентаризацию составлением RoPA — основного документа, отражающего все события, связанные с обработкой персональных данных внутри компании. Утверждаем реестр в составе локального нормативного акта согласно п. 2 ч.1 ст. 18.1 № 152-ФЗ.

3
Учет информационных систем и места нахождения баз данных
Что включает:

Проверяем перечень ИСПДн: где и как хранятся персональные данные, кто имеет доступ, какие средства защиты информации и организационные меры применяются. Закрепляем результат внутренним актом.

4
Назначение ответственного за организацию обработки персональных данных
Что включает:

Без указания ответственного за организацию обработки персональнызх данных Роскомнадзор не примет уведомление. Такой ответственный в компании должен быть один, но в последующем он может делегировать свои функции.

5
Описание мер по защите персональных данных и локальные нормативные акты
Что включает:

Составляем описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", описываем случаи трансграничной передачи персональных данных, разрабатываем локальные нормативные правовые акты или планируем их разработку в будущем.

6
Подготовка и подача уведомления в Роскомнадзор
Что включает:

Заполняем проект уведомления на отдельном носителе для согласования. Даже если подача происходит в электронном виде, не следует загружать на сторону Роскомнадзора черновик уведомления так как на этом этапе в нем могут быть несогласованные сведения, которые могут быть доступны органам власти. При необходимости подадим уведомление по доверенности.

7
Контроль внесения
Что включает:

Контролируем внесение уведомления в реестр операторов персональных данных, отвечаем на запросы об уточнении при необходимости.

Уведомление Роскомнадзора является частью комплаенс-мероприятий, предусмотренных законом

04 / Центр компетенций
Не готовы обратиться сейчас?