Новости

Штраф 300 000 рублей за отсутствие уведомления в Роскомнадзор: как избежать санкций

Российское законодательство в сфере персональных данных предусматривает обязательное уведомление Роскомнадзора перед началом обработки персональной информации. Несоблюдение данного требования влечёт за собой административную ответственность и штрафные санкции до 300 000 рублей. Организациям, индивидуальным предпринимателям и самозанятым крайне важно выполнить установленные законом процедуры, чтобы минимизировать риски.

Законодательные основания для подачи уведомления

Согласно требованиям Федерального закона №152-ФЗ «О персональных данных», обязанность по подаче уведомления в Роскомнадзор возникает у всех операторов, осуществляющих обработку персональных данных граждан Российской Федерации, независимо от формы собственности и вида деятельности (ст. 22 ФЗ №152). Исключения предусмотрены только для отдельных случаев (например, обработка в целях трудовых отношений или исполнения государственных функций), но медицинские организации и ИП, ведущие работу с пациентами, исключению не подлежат.

Содержание обязательного уведомления

Уведомление составляется в соответствии с Постановлением Правительства РФ №687 и должно содержать следующие данные: полное наименование оператора, юридический и фактический адрес, цели обработки персональных данных, перечень и категории персональных данных, категории субъектов данных, перечень осуществляемых действий с персональными данными, описание мер защиты информации, а также сведения об использовании средств автоматизации. Наличие этих сведений позволяет идентифицировать способы обработки и обеспечивать контроль исполнения обязательств по защите персональных данных.

Хотите получить готовый пакет документов по персональным данным?

Получите консультацию специалиста Медиатора прямо сейчас: https://mediator-med.ru/podderzhka

Сроки и порядок подачи уведомления

Уведомление о намерении осуществлять обработку персональных данных направляется в Роскомнадзор исключительно до начала такой обработки (ч. 1 ст. 22 ФЗ №152). Допускается использование как бумажной, так и электронной формы через официальный сайт ведомства. Отсутствие подтверждения о принятии уведомления трактуется как нарушение лицензионных требований к оператору персональных данных.

Обязательная документация по защите персональных данных

В каждой организации, ведущей обработку персональных данных, должен быть сформирован нормативный комплект внутренней документации. К таковой относятся: положение о работе с персональными данными, политика обработки персональных данных, приказы о назначении ответственного лица, перечень сотрудников с доступом к персональным данным, журналы учета носителей и согласий, правила внутреннего контроля. На интернет-ресурсах дополнительно требуется опубликование политики обработки данных и получение согласия пользователей.

Категории субъектов, обязанных к уведомлению

Обязанность по подаче уведомления распространяется на юридических лиц, индивидуальных предпринимателей, самозанятых граждан, а также все организации, взаимодействующие с персональными данными клиентов, пациентов, пользователей, либо осуществляющие обработку данных при помощи вычислительной техники, онлайн-сервисов, бухгалтерских или CRM-систем. Особый режим действием закона предусмотрен для новых территорий Российской Федерации.

Специфика для медицинских учреждений и ИП

Медицинские организации и индивидуальные предприниматели, даже при отсутствии автоматизированных систем обработки, согласно разъяснениям Роскомнадзора и требованиям ЕГИСЗ, признаются операторами персональных данных и обязаны внести соответствующие сведения в реестр. Даже бумажное ведение медицинских карт не освобождает от оповещения Роскомнадзора. Уведомление подаётся до начала деятельности с персональными данными.

Механизмы государственной проверки и контроля

Контроль осуществления требований закона реализуется посредством плановых и внеплановых проверок, анализа документации, технических аудитов и оценки мер информационной безопасности. Дополнительно используются IT-решения, автоматизация обработки сведений и инструменты искусственного интеллекта для мониторинга и поиска нарушений. Результаты проверок оформляются предписаниями и, в случае значительных нарушений, приводят к штрафу или приостановке деятельности.

Комплект минимально необходимых документов

Полный перечень локальных актов и шаблонов, рекомендуемых для утверждения в медицинских организациях: положение об обработке персональных данных, политика безопасности, журнал учета согласий, инструкция для ответственного лица, перечни сотрудников, документация для уничтожения и обезличивания данных, журналы учета носителей, приказы о назначении ответственного и внутреннем контроле, шаблоны согласий для сайта. Все документы должны быть приведены в соответствие с требованиями ФЗ №152 и спецификой деятельности.

Ответственность за несоблюдение требований и санкции

В случае установленного факта отсутствия уведомления, Роскомнадзор применяет административные санкции (ч. 1 ст. 13.11 КоАП РФ) вплоть до наложения денежного штрафа до 300 000 рублей. Отдельно отмечается, что использование зарубежных облачных сервисов для хранения персональных данных юридически запрещено и предусматривает штрафы до 6 000 000 рублей. Практика показывает ужесточение контроля и снижение вероятности формального подхода к проверкам со стороны надзорных органов.