Работа с персональными данными в 2025 году: какие документы, что требует РКН, новые штрафы + чек-лист

Кадры

15.05.2025

Работа с персональными данными в 2025 году: какие документы, что требует РКН, новые штрафы + чек-лист

Почему это важно именно сейчас? Все просто: с 2025 года резко повысилась ответственность за работу с персональными данными (ПД). Нарушителей, из-за которых произошла незаконная передача персональных данных, ждут нешуточные штрафы. Если работа с персональными данными у вас пока не налажена, но вы давно собирались посерьезнее относиться к обработке ПД – сейчас самое время.

Команда BIZNESINALOGI

Авторы статей и новостей

135

просмотров

Представляем: подробная инструкция по работе с персональными данными. В ней рассмотрим следующие аспекты:

что такое ПД;
кто такой оператор персональных данных (это и вы тоже);
как разработать и утвердить внутренние документы для грамотной работы с ПД;
как подать уведомление в РКН об обработке персональных данных;
какие меры безопасности внедрить, чтобы работа с персональными данными в организации не привела к штрафам и проч.

А для начала – немного «ужасов» в подтверждение серьезности темы.

С 30 мая 2025 г. нарушение работы с персональными данными приведет к плачевным последствиям. Так, по ч. 1 ст. 13.11 КоАП (в ред. от 30.11.2024 № 420-ФЗ) за обработку ПД в случаях, не установленных законом, или в целях, несовместимых с целями сбора ПД, оператор персональных данных – юрлицо может получить штраф до 300 000 руб. Причем при повторном таком нарушении ИП будет отвечать не как должностное лицо, а как фирма, а штраф для фирмы – до 500 000 руб.

И это только один, привычный состав, а Федеральный закон от 30.11.2024 № 420-ФЗ ввел в КоАП новые. Например, санкции за:

неуведомление о намерении обрабатывать ПД;
опоздание с упомянутым уведомлением;
непредставление в РКН уведомления об обработке ПД;
несообщение о том, что произошла утечка персональных данных.

Есть санкции и за другое, причем в ряде случаев нельзя уплатить штрафы за работу с персональными данными с 50%-ной скидкой.

Теперь давайте разбираться, как работать с ПД так, чтобы не бояться штрафов.

Для всех – хотя, как показывают наблюдения, в зоне особо пристального внимания Роскомнадзора находится работа с персональными данными в 2025 году в сферах онлайн-торговли, HR, маркетинга, цифровых сервисов. Но, повторимся, безопасно нарушать правила работы с ПД не сможет никто.

Даже если вы работаете совершенно в другой сфере, но обрабатываете ПД, то вы оператор персональных данных. Этим термином обозначается любое лицо (неважно, частное или юридическое), которое самостоятельно или совместно с другими лицами организует работу с ПД и (или) обрабатывает их.

Каждый оператор ПД обязан:

иметь актуальную политику обработки персональных данных;
назначить лицо, которое будет отвечать за работу с ПД;
сообщить РКН как о намерении обрабатывать ПД, так и, например, о трансграничной передаче;
обеспечить безопасное хранение, своевременное прекращение обработки, уничтожение ПД;
обучить сотрудников тому, как работать с ПД.

Есть и другие обязанности, это лишь основные. Да, и кстати: персональные данные – это не то же самое, что паспортные данные, или, скажем, отпечатки пальцев, скан сетчатки и прочая экзотика.

Персональные данные – это любая информация, относящаяся к определенному (или определяемому) лицу. То есть и Ф.И.О., и дата, место рождения, адрес, телефон, ИНН, фото, биометрия и т.д. Исчерпывающего перечня ПД нет.

Определились с понятиями – пора пошагово рассмотреть безопасный алгоритм действий.

Любой оператор персональных данных должен до начала обработки ПД направить уведомление в Роскомнадзор (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон о ПД).

Подчеркнем ключевые моменты:

ЛЮБОЙ оператор персональных данных;
уведомляет ДО начала обработки ПД.

Можно не уведомлять РКН, если ваша организация вообще не применяет автоматизацию при обработке ПД (п. 8 ч. 2 ст. 22 Закона о ПД). Однако речь идет именно о том, чтобы вообще не применять цифровые инструменты.

Есть ли еще такие организации, которые ведут от руки, на бумаге, например, клиентские базы, в которых указаны Ф.И.О., номера телефонов, даты рождения, – авторам неизвестно.

Внимание: если у вас на ресепшене «просто» записывают клиентов, внося их Ф.И.О. и телефоны в табличку Excel (т.е. сохраняя файл на ПК или ноутбуке), это уже считается обработкой ПД. И если такую табличку отправляют агенту по продажам для работы, это тоже автоматизированная обработка.

Уведомление в РКН об обработке персональных данных составляется по утвержденной форме (прил. № 1 к приказу РКН от 28.10.2022 № 180). Там указывается следующее:

название организации;
адреса (юридический и фактический);
цель обработки ПД;
категории обрабатываемых данных (скажем, Ф.И.О., телефон, дата рождения);
категории субъектов (клиенты, сотрудники);
способы обработки (сбор, хранение, использование, передача);
дата начала обработки;
условия прекращения обработки;
меры по обеспечению безопасности ПД.

Последний пункт порождает особенно много вопросов, и наиболее популярный: какие меры безопасности указывать?

Отвечаем: закон прямо говорит лишь о том, что обработка ПД должна быть безопасной, т.е. оператор обязан обеспечить защиту ПД (ч. 1 ст. 19 Закона о ПД). Однако обязанности расписывать, как именно, нет.

Поэтому достаточно указать, например, что «Обеспечение безопасности персональных данных осуществляется в соответствии с Требованиями, утвержденными постановлением Правительства РФ от 01.11.2012 № 1119, с применением организационных и технических мер».

Держите руку на пульсе, вовремя актуализируйте ссылки на действующие нормативные акты! В ЛНА, будь то согласие на обработку персональных данных, политика обработки персональных данных и т.п., должны быть ссылки на актуальные документы. Ссылка на НПА, утративший силу, – формальный повод обвинить в некорректной работе с ПД.

Уведомление подписывает руководитель. Получив уведомление, Роскомнадзор проверяет его и, если все в порядке, в течение 30 дней внесет организацию в реестр операторов ПД (ч. 4 ст. 22 Закона о ПД).

Уведомление в РКН об обработке персональных данных – это не то, что один раз подано и забыто. При изменении сведений, указанных в первоначальном уведомлении (категория ПД, способ хранения, цели обработки и т.п.), надо сообщать об этом снова. Срок – не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. Прекратили обрабатывать ПД – тоже надо уведомлять. Используйте спецформы приложений № 2 и № 3 к приказу Роскомнадзора от 28.10.2022 № 180 (далее – приказ № 180).

Подача уведомления в РКН нужна до начала и окончания обработки ПД, а также необходима при изменении сведений, указанных в ранее поданном уведомлении.

Например, вы решили обрабатывать ПД с новой целью – скажем, сообщать своим клиентам о расширении ассортимента оказываемых услуг. Значит, вы должны указать в уведомлении (составленном по форме, установленной прил. № 2 к приказу № 180):

цель обработки ПД;
категории ПД, обрабатываемых с этой целью;
категории субъектов, ПД которых обрабатываются с этой целью;
правовое (правовые) основание (основания) обработки ПД, осуществляемой с указанной целью;
перечень действий с ПД, осуществляемых с указанной целью;
способы обработки ПД, используемых с указанной целью.

И так – по каждой цели.

Особый случай – это уведомление о трансграничной передаче ПД. Он также требует представления отдельного уведомления в Роскомнадзор (ч. 3 ст. 12 Закона о ПД).

Трансграничная передача персональных данных: что важно знать

Команда BIZNESINALOGI

307

05.05.2025

Важная ремарка: использовать американские сервисы для обработки ПД россиян запрещено. Любая работа с персональными данными любых субъектов – работников, клиентов, вообще всех россиян – возможна исключительно с использованием ресурсов, находящихся на территории России, в т.ч. при сборе данных через интернет (ч. 5 ст. 18 Закона о ПД). К тому же США отсутствует в перечне иностранных государств, обеспечивающих адекватную защиту прав субъектов ПД (утв. приказом Роскомнадзора от 05.08.2022 № 128).

Кстати, штрафы за нарушения, связанные с трансграничной передачей ПД, очень велики – до 6 млн руб. (чч. 8, 9 ст. 13.11 КоАП).

Часто спрашивают, какие именно документы по обработке ПД должны быть в каждой организации. Однозначного ответа нет, но на практике издают следующие акты:

1. Положение о персональных данных. Не обязательно так его называть, главное, чтобы был ЛНА, а в нем – регламент решения всех вопросов обработки ПД, а по каждой цели – категории, перечень ПД, способы, сроки обработки и проч. (п. 2 ч. 1 ст. 18.1 Закона о ПД).

2. Политика обработки персональных данных или иной документ, который определяет политику в отношении обработки ПД (п. 2 ч. 1 ст. 18.1 Закона о ПД). Структуру и содержание установите на свое усмотрение, это допустимо (письмо Роскомнадзора от 19.10.2021 № 08-71063), но разумнее пользоваться рекомендациями самого РКН.

Что делать, если политика обработки персональных данных не утверждена, если отсутствует положение о персональных данных? Ответ очевиден: разработайте и утвердите. И будьте готовы представить их по запросу РКН (ч. 4 ст. 18.1 Закона о ПД).

Политика обработки персональных данных должна быть опубликована так, чтобы каждый мог получить к ней доступ без условий, авторизаций и иных препятствий (ч. 2 ст. 18.1 Закона о ПД). Можно разместить ее на официальном сайте компании и (или, если интернет-представительства у вас нет) разместить на информационном стенде в офисе, зале обслуживания клиентов и т.п. Если ПД собираете через интернет (например, через форму на сайте), то обязательно надо разместить политику на странице сбора данных и обеспечить удобный доступ к ней (см. по этому вопросу письмо Роскомнадзора от 19.10.2021 № 08-71063).

Некоторые интересуются, в чем разница между политикой обработки ПД и положением об обработке ПД. В таблице приведены ключевые различия.

Таблица. Разница между политикой обработки ПД и положением о ПД

Критерий	Политика обработки персональных данных	Положение об обработке персональных данных
Целевая аудитория	Внешний документ, он должен быть доступен всем (ч. 2 ст. 18.1 Закона о ПД)	Внутренний ЛНА, регулирует действия сотрудников, используется внутри фирмы
Требования к содержанию	Строгих требований к содержанию нет. Можно ориентироваться на рекомендации РКН	Требования к содержанию есть (п. 2 ч. 1 ст. 18.1 Закона о ПД). Указываются: порядок сбора, хранения и использования ПД; меры по их защите; ответственные лица
Процедура принятия	На усмотрение оператора ПД, обычно утверждается руководителем	Может потребоваться согласование, например, с профсоюзом, если положение регулирует обработку ПД сотрудников (ч. 2 ст. 8, ст. 87, ч. 1 ст. 372 ТК)
Порядок ознакомления сотрудников	Надо ознакомить всех работников под подпись (ч. 2 ст. 22, ч. 3 ст. 68, п. 8 ч. 1 ст. 86, ст. 87 ТК)	Ознакомить с ним только тех, кто непосредственно работает с ПД (п. 6 ч. 1 ст. 18.1 Закона о ПД)

Если у вас есть политика, но она не опубликована, то штрафы могут достигать до 60 000 руб. (ч. 3 ст. 13.11 КоАП).

Какие документы РКН точно потребует при проверке

Грядет проверка работы с персональными данными – будьте готовы представить по требованию контролеров как минимум следующие документы:

устав (для уточнения структуры, направлений деятельности);
документы на помещения – как правило, это договоры аренды (чтобы подтвердить фактический адрес, условия хранения ПД);
штатное расписание (чтобы контролеры понимали, кто из сотрудников за что отвечает);
ЛНА, регулирующий политику обработки ПД, устанавливающий меры их защиты;
перечень сотрудников, имеющих доступ к ПД;
согласия субъектов ПД на обработку их данных;
подтверждение отправки уведомлений в РКН;
приказ о назначении лица, ответственного за организацию работы с ПД.

По требованию контролеров надо быть готовым представить все эти документы – так вы подтвердите, что в организации правильно выстроена работа с персональными данными сотрудников, клиентов и иных лиц.

Также РКН при проверках требует представить результаты оценки вреда. Это мероприятие надо провести в рамках установленных требований (утв. приказом Роскомнадзора от 27.10.2022 № 178), поручив его ответственному лицу или комиссии. В итоге должна быть определена степень вреда, который может быть причинен при нарушении организацией Закона о ПД, – высокая, средняя или низкая. Различия показаны в таблице.

Таблица. Возможные последствия нарушения работы с ПД (степень вреда)

Степень вреда	Ситуации, случаи, обстоятельства
Высокая	Обработка биометрических ПД и ПД, которые используются оператором для установления личности субъекта (есть исключения) Обработка специальных категорий ПД: раса, национальность, политические взгляды, религиозные, философские убеждения, состояние здоровья, интимная жизнь, сведения о судимости (есть исключения) Обработка ПД несовершеннолетних для исполнения договоров в их интересах Обезличивание ПД, в т.ч. для проведения исследований Дача поручения иностранному лицу (иностранным лицам) осуществлять обработку ПД россиян Сбор ПД с использованием баз данных, находящихся за пределами России
Средняя	Распространение ПД на официальном сайте, предоставление ПД неограниченному кругу лиц (есть исключения) Обработка ПД в дополнительных целях, отличных от первоначальной цели сбора Продвижение товаров (работ, услуг) через прямые контакты с использованием баз ПД, владельцем которых является иной оператор Получение согласия на обработку ПД через сайт, без дальнейшей идентификации и (или) аутентификации Обработка ПД, предполагающая получение согласия в т.ч. на предоставление права обработки ПД определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой
Низкая	Ведение общедоступных источников ПД, сформированных в соответствии со ст. 8 Закона о ПД Назначение лицом, ответственным за обработку ПД, персоны, которая не является штатным сотрудником оператора

Если нет уверенности в том, какой именно вред может быть причинен, выбирайте более высокую степень (пп. 2, 6 требований). По результатам составьте акт за подписями тех, кто проводил оценку (пп. 3–5 требований), и именно этот акт надо будет представить проверяющим из РКН. Еще несколько замечаний практического характера, которые помогут избежать претензий:

Проследите за единообразием формулировок. Они должны быть одинаковыми как в приказе о назначении лица, ответственного за работу с ПД, так и в трудовом договоре и (или) должностной инструкции.
Разработайте и утвердите алгоритм устранения последствий утечек ПД – это может быть составляющая политики в отношении ПД или же отдельный документ.
Помимо перечня сотрудников, которые имеют доступ к ПД, желательно утвердить и список сотрудников, имеющих доступ к информационным системам, с помощью которых обрабатывают ПД (п. «в» ч. 13 требований, утв. постановлением Правительства от 01.11.2012 № 1119).
Подготовьте описания помещений, в которых обрабатываются ПД (адрес, номер помещения, отметки о пропускном режиме, условия хранения бумажных носителей ПД, меры, принятые для ограничения доступа посторонних, и т.п.).
Согласия на обработку ПД должны быть свежими, информация в них – актуальной. Разумеется, каждое согласие на обработку персональных данных должно быть собственноручно подписано!
Если ведете личные дела сотрудников, то подготовьте на каждое справку о составе документов, входящих в него.
Ведите журналы, в которых работники должны расписываться в ознакомлении со всеми документами, касающимися обработки ПД.
Проводите инструктажи по работе с ПД и фиксируйте их результаты.
Храните документы, касающиеся уничтожения ПД после того, как достигнуты цели их обработки. Это не только регламент, устанавливающий порядок уничтожения ПД, но и акты уничтожения – как материальных носителей ПД, так и выгрузки цифровых версий.

Человек, назначенный ответственным за работу с ПД, должен:

организовывать внутренний контроль;
обеспечивать соблюдение требований законодательства в сфере ПД;
контролировать соответствие политики компании законным требованиям.

Все действия, которые совершаются с ПД, должны соответствовать следующим принципам (ст. 5 Закона о ПД):

законность;
целевая направленность;
достоверность информации;
недопущение избыточного сбора и хранения;
конфиденциальность.

Это не пустые слова, а обязательные принципы. Порядок работы с персональными данными, который не соответствует им, будет считаться незаконным.

Помните о том, что обработка ПД допустима лишь в целях, оправданных ситуацией (ч. 1 ст. 6 Закона о ПД), например:

для заключения или исполнения договора, где субъект ПД является стороной (поручителем, выгодоприобретателем);
субъект ПД сам желает заключить договор и представляет ПД по своей инициативе;
для исполнения закона.

В подавляющем большинстве случаев обработка ПД возможна лишь с согласия субъекта (п. 1 ч. 1 ст. 6, 9, 10.1 Закона о ПД).

Обработка ПД без согласия субъекта возможна, но в строго определенных случаях. Например, для исполнения государственных функций, спасения жизни, защиты иных жизненно важных интересов субъекта.

Как правило, согласие отбирается в письменном виде, а в ряде случаев это обязательная форма. Например, при обработке биометрических ПД, данных о семейном положении, здоровье и т.д. (ч. 4 ст. 9 Закона о ПД). В согласии должны быть (пп. 1–9 ч. 4 ст. 9 Закона о ПД):

Ф.И.О. субъекта;
цель обработки;
перечень действий с данными (сбор, хранение, передача и т.д.);
описание способов обработки и т.п.

Согласие на распространение ПД оформляется отдельно от других видов согласий (ч. 1 ст. 10.1 Закона о ПД), его можно получить через сайт, электронную форму или бумажный бланк. Требования к такому согласию утверждены приказом Роскомнадзора от 24.02.2021 № 18.

Если закон обязывает получать ПД или согласие на их обработку, то необходимо разъяснять субъекту последствия отказа. Например, что без согласия нельзя будет заключить договор или начать сотрудничество (ч. 2 ст. 18 Закона о ПД).

Внимание: ни в коем случае не отказывайте потребителю в заключении (исполнении, изменении, расторжении) договора из-за того, что он не стал проходить идентификацию (аутентификацию) по биометрии! После 30 мая 2025 г. за это могут оштрафовать на сумму до 500 000 руб. (ч. 8 ст. 14.8 КоАП в ред. от 30.11.2024 № 420-ФЗ).

Запрашивая согласие, надо перечислить все действия, которые будут производиться с ПД, а именно:

запись;
систематизация;
хранение;
использование;
передача;
обезличивание;
удаление;
уничтожение (п. 3 ст. 3 Закона о ПД).

Чтобы на 100% быть уверенным в том, что в организации соблюдаются правила работы с персональными данными, разумно регулярно осуществлять внутренний контроль или проводить аудит работы с ПД (ч. 1 ст. 18.1 Закона о ПД). Разница в том, что внутренний контроль проводят силами собственных сотрудников, а аудит доверяют независимым экспертам.

Помните о том, что ПД нельзя хранить бесконечно. Хранить их можно не дольше, чем того требуют цели обработки (ч. 7 ст. 5 Закона о ПД), указанные в:

договоре;
законе;
ином документе, по которому субъект выступает стороной или выгодоприобретателем.

Если срок нигде не указан, то оператор персональных данных должен определить его самостоятельно, учитывая характер деятельности и цели использования ПД.

Документы, которые содержат ПД работников, хранить надо не меньше сроков, указанных в ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» и перечне типовых управленческих архивных документов (утв. приказом Росархива от 20.12.2019 № 236).

Оператор ПД обязан защищать данные от:

несанкционированного доступа;
уничтожения;
изменения;
копирования;
распространения;
иных неправомерных действий (ст. 18.1, 19 Закона о ПД).

Для этого принимать все меры:

правовые (к ним относятся издание и внедрение ЛНА);
организационные (обучение персонала, назначение ответственных лиц);
технические (внедрение систем защиты, шифрования, организация контроля доступа).

Произошла утечка персональных данных

Утечка персональных данных – это не просто техническая проблема, а юридический инцидент, который нужно задокументировать и о котором надо сообщить в Роскомнадзор. Соблюдайте правила, прописанные в ч. 3.1 ст. 21 Закона о ПД, и порядок, утвержденный приказом РКН от 14.11.2022 № 187.

Узнали об утечке и (или) неправомерной передаче – немедленно направьте в Роскомнадзор первичное уведомление, которое должно содержать:

информацию об инциденте (включая описание скомпрометированной базы);
предположительные причины утечки;
оценку возможного вреда;
меры, уже принятые для минимизации последствий;
данные лица, уполномоченного взаимодействовать с надзорным органом.

В течение 72 часов надо подготовить дополнительное уведомление, в котором следует отразить:

результаты внутреннего расследования;
точные причины утечки;
вред, нанесенный субъектам ПД;
дополнительные меры по предотвращению подобных ситуаций;
информацию о лицах, допустивших нарушение, если они уже известны.

Проще всего задействовать для уведомлений Госуслуги. Достаточно авторизоваться через ЕСИА, заполнить специальную форму, подписать документ УКЭП. При необходимости Роскомнадзор может запросить недостающие данные в течение трех рабочих дней, а чтобы дать ответ ведомству, у вас есть три рабочих дня.

Несколько слов о том, кому оператор персональных данных обязан предоставлять ПД. Прежде всего это, конечно, сам субъект ПД – физическое лицо. Оно вправе запросить у оператора информацию о себе, а оператор обязан предоставить ему эти сведения в течение 10 рабочих дней с момента обращения с возможностью продления на пять дней при наличии веских причин (чч. 1, 3 ст. 14 Закона о ПД). Третьи лица вправе потребовать предоставления ПД при наличии письменного согласия субъекта (ст. 7 Закона о ПД). Роскомнадзор тоже может затребовать ПД, ответ надо дать в такие же сроки (ч. 4 ст. 20 Закона о ПД).

Без согласия субъекта ПД данные могут получить:

органы прокуратуры – для осуществления прокурорского надзора (ч. 2.1 ст. 4 Федерального закона от 17.01.1992 № 2202-1);
полиция – в рамках расследования уголовных дел, административных правонарушений или проверки заявлений, по мотивированному запросу (п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 № 3-ФЗ);
налоговые органы – в ходе контрольных мероприятий;
суд (ст. 57 ГПК, ч. 4 ст. 66 АПК);
приставы – для обеспечения исполнения судебных решений (п. 2 ч. 1 ст. 64 Федерального закона от 02.10.2007 № 229-ФЗ);
нотариус – для совершения нотариальных действий (ст. 15 Основ законодательства РФ о нотариате);
юридическое лицо – для установления бенефициарных владельцев может запрашивать ПД у учредителей и участников (п. 5 ст. 6.1 Федерального закона от 07.08.2001 № 115-ФЗ).

В Соцфонд работодатель также вправе передавать ПД сотрудников без получения их согласия.

Основное про защиту персональных данных для работодателя

Команда BIZNESINALOGI

626

18.04.2025

В банкротном процессе арбитражный управляющий вправе потребовать предоставить ему ПД руководителя, контрагентов (п. 1 ст. 20.3 Федерального закона от 26.10.2002 № 127-ФЗ). Финансовый управляющий также вправе потребовать и получить ПД гражданина в рамках банкротного процесса – данные о его имуществе, счетах и переводах, супруге (ПД других родственников может запросить лишь суд, п. 7 ст. 213.9 указ. Закона).

Представим: вы выяснили, что обрабатываете ПД клиента без его согласия. В таком случае надо это прекратить в течение трех рабочих дней (ч. 3 ст. 21 Закона о ПД).

Немедленно надо прекратить обработку ПД по требованию их субъекта, если ПД обрабатываются для рекламы, т.е. продвижения товаров (работ, услуг) на рынке прямыми контактами, а также для политической агитации (ч. 2 ст. 15 Закона о ПД).

Если у оператора нет возможности восстановить законность обработки ПД – например, получив согласие, – данные надо уничтожить в течение 10 рабочих дней с момента выявления нарушения (ч. 3 ст. 21 Закона о ПД). О том, что нарушения устранены или данные уничтожены, надо уведомить субъекта ПД и (или) Роскомнадзор, если поступило обращение от последнего.

Достигнута цель обработки ПД, отозвано согласие субъекта – необходимо в течение 30 дней прекратить обработку ПД (обеспечить прекращение) и уничтожить ПД (или обеспечить уничтожение) (ч. 4 ст. 21 Закона о ПД).

Уничтожить значит сделать так, чтобы восстановление было невозможно, неважно, в информационной системе или на материальных носителях (п. 8 ст. 3 Закона о ПД).

Поручить это можно комиссии, созданной по приказу руководителя. По итогам составляется:

акт об уничтожении персональных данных, если данные обрабатывались без автоматизации;
акт об уничтожении плюс выгрузка из журнала регистрации событий в ИСПД, если ПД обрабатывали с использованием технических средств или одновременно с автоматизацией и без.

Это установлено пп. 1, 2 и 7 требований, утвержденных приказом Роскомнадзора от 28.10.2022 № 179. Формы актов можно разработать самостоятельно.

1. Уведомление РКН.

В подавляющем большинстве случаев оператор персональных данных обязан ДО начала обработки ПД подать уведомление в Роскомнадзор. Контролеры обязательно проверят:

подано ли уведомление, и если да, то своевременно ли;
полностью ли заполнены все поля (цель, категория данных, способ обработки);
актуализировались ли данные в случае изменений (например, новая цель или способ хранения).

2. Формулировки, наличие согласий на обработку ПД.

Проверяйте корректность формулировок, наличие, соответствие целям. Согласие на обработку персональных данных – один из самых частых пунктов претензий со стороны надзорного органа. На что обратить внимание:

ясность и однозначность формулировок;
согласие должно быть добровольным;
цель получения согласия должна соответствовать реальным целям обработки.

Согласие на обработку ПД, разрешенных для распространения, должно быть оформлено по правилам, установленным приказом Роскомнадзора от 24.02.2021 № 18.

3. Хранение данных россиян в России.

Это касается в т.ч. и облачного хранения. Если ваша CRM-система, сайт или ERP-система использует данные россиян, необходимо организовать хранение в России.

4. Правильные реакции на утечки.

В случае инцидента с утечкой персональных данных закон требует действовать быстро и четко:

направить уведомление в Роскомнадзор;
сообщить субъекту ПД о произошедшем;
принять меры по устранению последствий и т.п.

5. Общедоступность политики обработки ПД.

Она должна быть общедоступна без логина и пароля, и ее содержание должно соответствовать реальной практике работы.

Эти пять направлений – основные болевые точки при взаимодействии с Роскомнадзором.

Какие именно данные считаются персональными? Только Ф.И.О. и паспортные данные?

Нет, персональные данные – это любая информация, относящаяся к определенному или определяемому физическому лицу (ст. 3 Закона о ПД), в т.ч. Ф.И.О., дата рождения, адрес, пол, телефон, e-mail, биометрические данные (например, отпечатки пальцев) и многое другое.

Резюме: даже если вы не собираете паспортные данные, а просто взяли номер телефона, e-mail, то вы уже обрабатываете ПД.

Должен ли ИП подавать уведомление в РКН о намерении обрабатывать ПД?

Да, если ИП является оператором персональных данных, т.е. собирает, использует или хранит информацию о физических лицах (ч. 1 ст. 22 Закона о ПД). Если ИП осуществляет обработку ПД исключительно без использования средств автоматизации (п. 8 ч. 2 ст. 22 Закона о ПД), то уведомлять Роскомнадзор он не должен.

Можно ли обрабатывать данные соискателей без их письменного согласия?

Можно при наличии законного основания (ч. 1 ст. 6 Закона о ПД), например, при заключении трудового договора, для исполнения обязанностей работодателя, в т.ч. представления сведений в Соцфонд, в целях исполнения закона.

Согласие на обработку ПД позволяет распространять ПД, верно?

Нет. Согласие на обработку – это разрешение субъекта на сбор, хранение, использование его данных в рамках цели, указанной в согласии (ст. 9 Закона о ПД). Согласие на распространение – это отдельный документ, который позволяет передавать данные третьим лицам, публиковать их (например, отзывы, фото, видео), размещать в открытых источниках (ч. 1 ст. 10.1 Закона о ПД). Иными словами, если желаете опубликовать отзыв клиента на сайте, то нужно, во-первых, получить согласие на обработку данных при оформлении заказа, во-вторых, отдельное согласие на распространение этих данных.

Как правильно организовать хранение персональных данных (бумажных и электронных)?

Это тема для отдельного разговора, но общие принципы такие. Хранение ПД на бумажных носителях допускается в месте, защищенном от несанкционированного доступа; шкафы, сейфы должны запираться; необходимо вести журнал учета доступа к этим архивам и т.п. При хранении ПД в цифре надо обеспечить шифрование, ограничение прав доступа, необходимость авторизации и т.п.

Нужно ли получать согласие на обработку cookie на сайте?

Да, обработка cookie может приравниваться к работе с персональными данными, если с помощью этих данных можно идентифицировать пользователя.

Кто несет ответственность в компании за нарушения?

Это может быть и должностное лицо, и фирма в целом – зависит от обстоятельств правонарушения.

Мы подготовили список для быстрой проверки того, все ли в вашей фирме благополучно с обработкой ПД. Если пункт выполнен, то ставьте галочку, нет – крестик. Есть крестики – следует это исправить.