Согласно Федеральному закону №152-ФЗ «О персональных данных», абсолютно все операторы персональных данных — юридические лица, индивидуальные предприниматели, самозанятые — обязаны уведомить Роскомнадзор перед началом обработки персональной информации (ст. 22 ФЗ №152). Исключения крайне ограничены и касаются только отдельных случаев, не распространяющихся на медицинские организации или ИП, работающих с пациентами.
Это значит, что если вы храните даже минимальный набор данных о клиентах или пациентах, уведомление — ваша обязательная процедура.
Что должно содержаться в уведомлении Роскомнадзора
Постановление Правительства РФ №687 определяет обязательные сведения в уведомлении:
- Полное наименование и адрес оператора
- Цели обработки данных
- Перечень и категории персональных данных
- Категории субъектов (например, пациенты, клиенты)
- Перечень операций с данными (сбор, хранение, передача, уничтожение и др.)
- Описание мер по защите информации
- Сведения об использовании автоматизированных средств
Такая структура позволяет Роскомнадзору идентифицировать способы обработки и контролировать выполнение требований по безопасности данных.
- Полное наименование и адрес оператора
- Цели обработки данных
- Перечень и категории персональных данных
- Категории субъектов (например, пациенты, клиенты)
- Перечень операций с данными (сбор, хранение, передача, уничтожение и др.)
- Описание мер по защите информации
- Сведения об использовании автоматизированных средств
Такая структура позволяет Роскомнадзору идентифицировать способы обработки и контролировать выполнение требований по безопасности данных.
Порядок и сроки подачи уведомления
Уведомление подается только до начала обработки персональных данных. Его можно отправить:
- В бумажном виде по почте
- В электронном виде через официальный сайт Роскомнадзора
Ваша обязанность считается исполненной только после получения подтверждения о принятии уведомления. Если вы начали работать с персональными данными без уведомления — это нарушение законодательства.
- В бумажном виде по почте
- В электронном виде через официальный сайт Роскомнадзора
Ваша обязанность считается исполненной только после получения подтверждения о принятии уведомления. Если вы начали работать с персональными данными без уведомления — это нарушение законодательства.
Обязательная документация по защите персональных данных
Каждая организация, ИП или самозанятый, работающие с персональными данными, должны сформировать внутренний комплект документов:
- Положение о работе с персональными данными
- Политика обработки персональных данных
- Приказы о назначении ответственного
- Перечень сотрудников с доступом к данным
- Журналы учета согласий и носителей информации
- Правила внутреннего контроля
Для интернет-ресурсов обязательно публиковать политику обработки данных и организовать сбор согласий пользователей.
- Положение о работе с персональными данными
- Политика обработки персональных данных
- Приказы о назначении ответственного
- Перечень сотрудников с доступом к данным
- Журналы учета согласий и носителей информации
- Правила внутреннего контроля
Для интернет-ресурсов обязательно публиковать политику обработки данных и организовать сбор согласий пользователей.
Категории субъектов, обязанных к уведомлению
Кто обязан подавать уведомление?
- Юридические лица любой формы собственности
- Индивидуальные предприниматели
- Самозанятые
- Все, кто обрабатывает персональные данные клиентов, пациентов, пользователей, ведет учет через IT-системы (CRM, бухгалтерия, онлайн-сервисы)
Особенности действуют для новых территорий РФ, где порядок может быть специфическим.
- Юридические лица любой формы собственности
- Индивидуальные предприниматели
- Самозанятые
- Все, кто обрабатывает персональные данные клиентов, пациентов, пользователей, ведет учет через IT-системы (CRM, бухгалтерия, онлайн-сервисы)
Особенности действуют для новых территорий РФ, где порядок может быть специфическим.
Особенности для медицинских организаций и ИП
Медучреждения и ИП, даже если не используют компьютерные системы, обязаны подавать уведомление. Вести медицинские карты на бумаге — не основание для освобождения от этой процедуры. Также, в соответствии с требованиями ЕГИСЗ и разъяснениями Роскомнадзора, такие организации автоматически признаются операторами персональных данных и должны быть внесены в специальный реестр.
Механизмы проверки и контроля
Роскомнадзор контролирует исполнение закона посредством:
- Плановых и внеплановых проверок
- Анализа документации
- Технических аудитов
- Оценки мер информационной безопасности
- IT-систем и искусственного интеллекта, отслеживающих нарушения
Любое несоответствие приводит к предписаниям и, в случае серьезных нарушений, к штрафам или даже приостановке деятельности.
Механизмы проверки и контроля
Роскомнадзор контролирует исполнение закона посредством:
- Плановых и внеплановых проверок
- Анализа документации
- Технических аудитов
- Оценки мер информационной безопасности
- IT-систем и искусственного интеллекта, отслеживающих нарушения
Любое несоответствие приводит к предписаниям и, в случае серьезных нарушений, к штрафам или даже приостановке деятельности.
Минимальный комплект необходимых документов
Для выполнения требований ФЗ-152 медицинской организации или ИП необходимы:
- Положение об обработке персональных данных
- Политика информационной безопасности
- Журнал учета согласий и носителей
- Инструкции для ответственного по персональным данным
- Перечень сотрудников с доступом к данным
- Документация по уничтожению и обезличиванию данных
- Приказы о назначении ответственного и внутреннем контроле
- Шаблоны согласий для сайта и бумажного документооборота
Все локальные акты должны соответствовать специфике деятельности и законодательству.
- Положение об обработке персональных данных
- Политика информационной безопасности
- Журнал учета согласий и носителей
- Инструкции для ответственного по персональным данным
- Перечень сотрудников с доступом к данным
- Документация по уничтожению и обезличиванию данных
- Приказы о назначении ответственного и внутреннем контроле
- Шаблоны согласий для сайта и бумажного документооборота
Все локальные акты должны соответствовать специфике деятельности и законодательству.
Ответственность за нарушения и санкции
Отсутствие уведомления в Роскомнадзор — это серьезное правонарушение! За выявленные нарушения предусмотрены административные штрафы до 300 000 рублей. Кроме штрафов, возможны предписания об устранении нарушений, вплоть до временного ограничения деятельности.
Своевременное и корректное уведомление Роскомнадзора, а также ведение полного пакета документов по персональным данным — ключ к защите вашей организации от штрафов и правовых рисков. Если вы не уверены в правильности оформления или хотите получить готовый комплект документов — обратитесь за консультацией к специалистам: https://mediator-med.ru/podderzhka
Не откладывайте выполнение требований закона — обезопасьте свою деятельность уже сейчас!
Своевременное и корректное уведомление Роскомнадзора, а также ведение полного пакета документов по персональным данным — ключ к защите вашей организации от штрафов и правовых рисков. Если вы не уверены в правильности оформления или хотите получить готовый комплект документов — обратитесь за консультацией к специалистам: https://mediator-med.ru/podderzhka
Не откладывайте выполнение требований закона — обезопасьте свою деятельность уже сейчас!
Самыми частыми нарушения обработки ПДн в интернете является:
– отсутствие или неправильное оформление документов на обработку ПДн
– отсутствие отдельного согласия на рекламную рассылку
– Разглашение персональных данных в социальных сетях, видео, на стендах в организации
Как организовать работу с персональными данными с помощью юристов МЕДИАТОРА?
1 Провести аудит имеющихся документов.
2 Провести аудит соответствия данных в Роскомнадзоре.
3 Разработать недостающую документацию.
4 Провести аудит сайта медицинской организации.
5 Обучить сотрудников: у нас запустилась 2-недельная программа обучения: «Правила работы с персональными данными в организациях по требованию 152-ФЗ». Курс мы разработали на основании запросов медицинских организаций, но обучение доступно всем желающим.
2 Провести аудит соответствия данных в Роскомнадзоре.
3 Разработать недостающую документацию.
4 Провести аудит сайта медицинской организации.
5 Обучить сотрудников: у нас запустилась 2-недельная программа обучения: «Правила работы с персональными данными в организациях по требованию 152-ФЗ». Курс мы разработали на основании запросов медицинских организаций, но обучение доступно всем желающим.
📌Получить аудит документов по персональным данным можно на сайте: https://mediator-med.ru/podderzhka
📌Узнать больше про курс «Правила работы с персональными данными в организациях по требованию 152-ФЗ» можно на сайте: https://mediator-med.ru/kurs-personal-dannie
