С 1 сентября 2022 года законодательство о персональных данных кардинально изменилось. Исчезло большинство исключений, позволявших компаниям работать «в тени», не подавая документы регулятору. Теперь практически любой бизнес, имеющий сотрудников, клиентов-физлиц или просто пропускную систему в офисе, обязан подать Уведомление Роскомнадзора об обработке ПДн. Игнорирование этого требования влечет не только штраф (который пока невелик), но и попадание в «серую зону» для проверяющих органов, что грозит внеплановыми проверками.
Уведомление Роскомнадзора об обработке ПДн — это документ, который официально декларирует государству: «Я оператор, я обрабатываю данные таких-то категорий людей для таких-то целей, и я храню их в России». Это своего рода постановка на учет. Важно понимать, что уведомление носит уведомительный характер (разрешения ждать не нужно), но сведения в нем должны быть абсолютно достоверными и полными. Любое расхождение с реальностью будет расценено как недостоверная информация (ст. 19.7 КоАП РФ).
Структура Уведомления: где ошибаются чаще всего
Форма уведомления стала объемнее и сложнее. Теперь данные нужно детализировать по каждой цели обработки отдельно.
Ключевые блоки, требующие внимания:
- Цели обработки. Для каждой цели (например, «Ведение кадрового учета», «Доставка товаров», «Маркетинг») нужно отдельно указать категории данных, категории субъектов, правовое основание и способы обработки. Нельзя сваливать все в одну кучу.
- Трансграничная передача. Это самый сложный блок. Перед подачей уведомления необходимо определить, в какие страны уходят данные (например, если сервер почты Google — это США, если подрядчик в Армении — это Армения). С 2023 года о трансграничной передаче нужно уведомлять отдельно и ждать разрешения (для стран без адекватной защиты).
- Сведения о безопасности. Нужно описать, какие меры защиты (организационные и технические) вы применяете. Ссылка на Приказ №21 ФСТЭК и описание уровня защищенности обязательны.
Места хранения данных и ЦОДы
В уведомлении необходимо прямо указать адреса центров обработки данных (ЦОД), где физически находятся серверы с базами данных граждан РФ.
Это проверочный маркер для исполнения требования о локализации (ч. 5 ст. 18 152-ФЗ).
Если вы укажете только зарубежный адрес (например, Франкфурт), это явка с повинной, которая приведет к штрафу до 6 млн рублей. Мы помогаем проверить цепочку хостинг-провайдеров и правильно указать адреса российских серверов.
Сроки и способы подачи
Уведомление можно подать в бумажном виде или электронном (с использованием УКЭП через портал Роскомнадзора или Госуслуги).
Важные моменты:
- Уведомление подается *до* начала обработки данных. Для действующих бизнесов — «вчера».
- Если что-то изменилось (сменили хостинг, начали собирать биометрию), необходимо подать *Уведомление об изменении сведений* в течение 15 рабочих дней.
- Если вы прекратили деятельность, нужно подать заявление о прекращении обработки.
Мы берем на себя заполнение всех форм, классификацию информационных систем и взаимодействие с территориальным органом Роскомнадзора, чтобы ваша компания появилась в реестре операторов с корректными и безопасными данными.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов