Отвечаю на частые вопросы о нашумевших поправках к Закону о персональных данных.
Коротко напомню: с 30 мая существенно вырастут штрафы за отсутствие уведомления об обработке персональных данных в Роскомнадзор.
Изменения касаются всех, кто ведет предпринимательскую деятельность.
Нужно ли подавать уведомление в Роскомнадзор, если вы самозанятый/физлицо/ИП без сотрудников
Закон не разграничивает статусы лиц, которые являются операторами персональных данных. Это может быть как большая корпорация, так и физлицо. Поэтому если вы собираете, храните и каким-то образом обрабатываете персональные данные, уведомление подавать надо.
И самозанятые, и ИП без сотрудников не существуют в вакууме - они общаются со своими клиентами и подрядчиками, составляют договоры, где указаны персональные данные, хранят их и так далее. Поэтому вступать в реестр операторов нужно примерно всем :)
Что такое обработка персональных данных без средств автоматизации
Если персональные данные обрабатываются без средств автоматизации, уведомление можно не подавать. Но что имеется в виду под этим термином - вопрос спорный.
Если мы откроем постановление Правительства №687, которое регламентирует этот вопрос, там указано, что включение или извлечение данных из информационной системы еще не означает, что данные обрабатываются автоматически.
Но подход Роскомнадзора такой: если вы составляете договор на компьютере в ворде и вносите в этот текст данные контрагента, это уже автоматизированная обработка и, соответственно, появляется обязанность подать уведомление и вступить в реестр операторов ПД. Мне это кажется непонятным, поэтому я направила запрос в РКН с просьбой разъяснить, действительно ли такая обработка считается автоматизированной. Поделюсь потом с вами ответом :)
Как подать уведомление в РКН и вступить в реестр операторов
Уведомление подается абсолютно бесплатно на сайте Роскомнадзора. Можно сделать это в электронном виде или на бумаге.
Если после подачи уведомления изменился подход к обработке (например, вы начали собирать другие данные или для других целей)
На сайте Роскомнадзора есть отдельная форма направления письма для уточнения данных.
Лучше, чтобы у РКН всегда были достоверные и точные сведения, потому что в случае проверке будут сверять информацию из уведомления с процессами, которые у вас проходят на самом деле.
Для чего составлять реестр процесса обработки персональных данных
Во-первых, при проверке РКН может затребовать такой реестр.
Во-вторых, с ним вам самим будет проще контролировать процессы обработки персональных данных в рамках своей деятельности.
Вот пример моего реестра, можно использовать как образец. В нем я указываю, какие данные я собираю, как обрабатываю, цели обработки, где и сколько храню, кто имеет к ним доступ и т.д. - все эти вопросы есть в анкете РКН при подаче уведомления.
Что еще важно знать на эту тему :)
Если вы являетесь оператором персональных данных - как минимум, у вас должна быть политика обработки персональных данных. Ее нужно разместить в публичном доступе (проще всего это сделать на сайте, но можно повесить ее и в соцсетях или даже в офисе). Остальной комплект документов зависит от деятельности компании, масштабов и целей обработки ПД.
Также у вас должны быть законные основания для обработки ПД. Это может быть заключенный договор или личное согласие на обработку персональных данных.
Картинка на превью сгенерирована нейросетью Qwen.