Мы используем файлы cookie, чтобы обеспечить наилучшие впечатления от сайта.
Новости

Как избежать административного штрафа за отсутствие уведомления в Роскомнадзор при обработке персональных данных

Введение административной ответственности за нарушение порядка уведомления Роскомнадзора об обработке персональных данных предопределяет необходимость соблюдения установленных законом процедур всеми юридическими лицами, индивидуальными предпринимателями и иными операторами.

Несвоевременная подача уведомления или его отсутствие может повлечь наложение штрафных санкций в размере до 300 000 рублей в соответствии с кодексом об административных правонарушениях.

Законодательные основания для уведомления Роскомнадзора

Ключевым нормативно-правовым актом, определяющим обязанности операторов персональных данных, выступает Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных".

В частности, пункт 1 статьи 22 устанавливает обязанность любого оператора — как организации, так и индивидуального предпринимателя — предварительно уведомлять Роскомнадзор о начале обработки персональных данных. Субъектами регулирования признаются все лица, которые осуществляют систематизацию, хранение, передачу, сбор или иную обработку информации о пациентах, клиентах, сотрудниках, вне зависимости от способа обработки (автоматизированного либо ручного).

Процедура подготовки и подачи уведомления

Уведомление подаётся до начала обработки персональных данных посредством электронных сервисов Роскомнадзора либо в письменной форме по утверждённой форме. В структуре уведомления должны быть указаны сведения о наименовании оператора, его адрес, цели и категории обрабатываемых данных, описание используемых информационных систем, перечень планируемых операций, а также меры и способы обеспечения безопасности персональных данных. Подтверждение подачи формируется на основании регистрации уведомления и получения ответа от Роскомнадзора.

Необходимость обновления сведений и контроля исполнения

Законодательство (пункт 7 статьи 22 152-ФЗ) предусматривает обязанность операторов персональных данных регулярно контролировать актуальность поданной информации и осуществлять корректировку уведомления при изменении методов, целей, категорий или иных существенных условий обработки персональных данных. Такая практика относится ко всем субъектам, включая юридические лица, индивидуальных предпринимателей, а также организации, осуществляющие деятельность на новых территориях Российской Федерации.

Специфика регулирования для медицинских организаций

Медицинские организации и индивидуальные предприниматели, осуществляющие медицинскую деятельность, в большинстве случаев обязаны проходить регистрацию в Единой государственной информационной системе в сфере здравоохранения (ЕГИСЗ). При наличии актуальной регистрации в ЕГИСЗ отдельная подача уведомления в Роскомнадзор не требуется. Нарушение указанного порядка может повлечь административную ответственность согласно положениям законодательства о персональных данных.

Требования к внутренней документации в сфере обработки персональных данных

Одновременно с подачей уведомления в Роскомнадзор организация обязана создать и поддерживать в актуальном состоянии внутренний комплект документов, регулирующих обработку и защиту персональных данных. Базовые документы включают: положение об обработке и защите персональных данных, внутреннюю политику, приказы о назначении ответственных лиц, согласия субъектов на обработку, акты классификации информационных систем, журналы учета и контрольную документацию, а также инструкции по уничтожению информации.

Контрольные мероприятия и механизмы проверок Роскомнадзора

Надзорные органы осуществляют как регулярные плановые, так и внеплановые проверки соблюдения требований закона. Контроль включает автоматизированный сбор сведений, анализ представленной организацией документации, специализированный технический аудит ИТ-инфраструктуры, а также проверку соответствия публичных документов требованиям законодательства. Нарушения, связанные с передачей персональных данных иностранным сервисам либо хранением вне пределов РФ, могут повлечь более строгую административную ответственность (до 6 000 000 рублей).

Значимость повышения квалификации и информирования персонала

В целях снижения комплаенс-рисков организациям рекомендуется внедрять программы информирования, инструктажей и тестирования работников, имеющих доступ к персональным данным. Несмотря на отсутствие формально закреплённой обязанности по обязательному обучению, подтверждение регулярных инструктажей способствует формированию положительного мнения со стороны контролирующих органов.
Перечень обязательных документов по обработке персональных данных

  • Положение об обработке и защите персональных данных;
  • Политика обработки персональных данных (включая электронные площадки);
  • Приказы о назначении ответственных лиц и утверждении перечней допущенных сотрудников;
  • Формы согласия на обработку персональных данных;
  • Акт классификации информационных систем персональных данных (ИСПДн);
  • Журналы учета носителей, согласий, средств защиты информации;
  • Правила внутреннего контроля обработки и обеспечения комплаенса с законодательством;
  • Инструкции по обработке персональных данных и уничтожению информации;
  • Дополнительные шаблоны и регламенты с учётом специфики деятельности.
Соблюдение порядка уведомления Роскомнадзора, своевременное обновление сведений, наличие полной внутренней документации и адаптация организационных и технических мер контроля представляют собой ключевые условия снижения рисков привлечения к административной ответственности при обработке персональных данных.

Регулярный мониторинг изменений законодательства и привлечение профильных специалистов способствуют поддержанию правомерности деятельности оператора.
Хотите получить готовый пакет документов по персональным данным?

Получите консультацию специалиста Медиатора прямо сейчас: https://mediator-med.ru/podderzhka
Юридическая безопасность