В Российской Федерации организации, осуществляющие обработку персональных данных граждан, обязаны уведомлять Роскомнадзор о начале такой деятельности. Несоблюдение данного требования может повлечь наложение административного штрафа до 300 000 рублей.
Для юридических лиц и индивидуальных предпринимателей крайне важно строго соблюдать установленный законом порядок уведомления и документального оформления обработки персональных данных.
Законодательные основания для уведомления Роскомнадзора
Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных" устанавливает обязанность операторов (юридических лиц, индивидуальных предпринимателей, самозанятых), осуществляющих любые операции с персональными данными, предварительно подать уведомление в Роскомнадзор (пункт 1 статьи 22). В категорию операторов входят все субъекты, работающие с данными пациентов, клиентов, работников, а также использующие автоматизированные и неавтоматизированные способы обработки информации, электронные системы, сайты или онлайн-сервисы.
Процедура подготовки и подачи уведомления
Уведомление подаётся до начала обработки персональных данных любым доступным способом: через официальный сайт Роскомнадзора или посредством письменного обращения. В уведомлении необходимо отразить: наименование и адрес организации, цели и категории обработки персональных данных, сведения о субъектах, перечень осуществляемых операций, описание технических и организационных мер по защите данных. Уведомление считается поданным после получения подтверждения от Роскомнадзора.
Контроль исполнения и обновление информации
Субъекты персональных данных обязаны регулярно контролировать актуальность поданных сведений. В случае изменения объёма, категорий, технологий обработки или иных существенных условий необходимо своевременно направить обновлённое уведомление (пункт 7 статьи 22 152-ФЗ). Это требование распространяется на все организации, включая новые территории Российской Федерации, где обязательство регистрации и уведомления наступает с момента начала обработки данных.
Исключения и особые случаи
Медицинские организации, в том числе индивидуальные предприниматели, оказывающие медицинские услуги, подлежат регистрации в ЕГИСЗ (Единая государственная информационная система в сфере здравоохранения) согласно отдельным подзаконным актам. Для данных субъектов уведомление Роскомнадзора о начале обработки персональных данных не требуется только при условии наличия данной регистрации; иное положение может повлечь административную ответственность.
Документальное обеспечение деятельности по обработке персональных данных
Одновременно с подачей уведомления организации обязаны иметь в наличии комплект внутренней документации по обработке и защите персональных данных. Перечень обязательных документов включает: положение об обработке персональных данных, политику обработки для сайта и офлайн-деятельности, приказы о назначении ответственных лиц, перечни сотрудников с допуском, согласие субъекта на обработку, акты классификации ИСПДн, формы журналов учёта и контрольной документации, инструкции и порядок уничтожения персональных данных.
Механизмы контроля со стороны Роскомнадзора
Роскомнадзор осуществляет как плановые, так и внеплановые проверки в соответствии с утверждённым регламентом. Контрольные мероприятия включают автоматизированный сбор сведений, анализ внутренней документации, технический аудит, оценку реализованных мер защиты информации, а также проверку содержания публичных документов на сайтах. Использование зарубежных сервисов (например, иностранных облачных хранилищ), не соответствующих российскому законодательству о персональных данных, может являться основанием для штрафа до 6 000 000 рублей.
Значимость обучения и информирования персонала
Актуальным аспектом обеспечения безопасности персональных данных остаётся обучение и аттестация сотрудников, обладающих доступом к персональным данным. Несмотря на отсутствие прямого законодательного требования к обязательному обучению, наличие подтверждённых инструктажей и тестирований служит положительным фактором при проведении контрольных мероприятий со стороны надзорных органов.
Структура обязательной документации по персональным данным
- Положение об обработке и защите персональных данных;
- Политика обработки персональных данных (в том числе для сайта);
- Приказы о назначении ответственных и утверждении перечней допущенных лиц;
- Форма согласия субъекта на обработку персональных данных;
- Акт классификации информационных систем персональных данных (ИСПДн);
- Журналы учёта носителей информации, согласий, средств защиты;
- Правила внутреннего контроля соответствия обработки требованиям законодательства;
- Инструкции по неавтоматизированной и автоматизированной обработке персональных данных;
- Порядок уничтожения персональных данных;
- Прочие шаблоны, адаптируемые под специфику деятельности организации.
Строгое соблюдение порядка уведомления Роскомнадзора, наличие комплектных документов, своевременное обновление сведений и внедрение организационно-технических мер позволяют существенно снизить риск привлечения к административной ответственности за нарушение закона о персональных данных.
Регулярный мониторинг изменений в законодательстве и консультации с профильными специалистами являются необходимыми условиями правомерной деятельности в сфере персональных данных.
Хотите получить готовый пакет документов по персональным данным?
Получите консультацию специалиста Медиатора прямо сейчас: https://mediator-med.ru/podderzhka
