Фактически весь бизнес должен был подавать уведомление в Роскомнадзор, что он оператор персональных данных. Раньше это делалось только после предписания от Роскомпадзора, а большинство и не знало об этом. С 30 мая 2025 года ситуация томно меняется. Резко вырастут штрафы за неподачу уведомления.
С 30 мая 2025 года статья 13.11 КоАП РФ дополнена частью 10:
С 30 мая 2025 года статья 13.11 КоАП РФ дополнена частью 10:
Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.
Остаются считанные дни, поэтому делимся, как подготовится в сжатые сроки самостоятельно.
Уведомление об обработке (о намерении осуществлять обработку) персональных данных.
Первое, что нужно сделать - успеть подать уведомление. Поэтому ниже пошаговый гайд, который подойдет большинству компаний.
Заходим сюда https://pd.rkn.gov.ru/operators-registry/notification/form/
Заходим сюда https://pd.rkn.gov.ru/operators-registry/notification/form/
Определяемся, как будем отправлять.
Бумажно почтой - самый плохой вариант. Мы от него отказались, так как находили информацию, что Роскомнадзор сроком подачи считает дату поступления уведомления, а не дату отправки. Так ли это, проверять не стали.
Бумажно лично, плохой вариант, так как есть рабочие часы и в последние дни возможен ажиотаж. Но если электронная подача невозможна, то это единственный вариант.
ЭДО есть у многих, а значит есть и электронная подпись. Мы выбрали для себя этот вариант. Но сейчас уже наблюдаются проблемы в работе сайта Роскомнадзора.
ИП может отправить через ЕСИА, при наличии подтвержденной учетной записи.
Заполнение формы
Перед началом заполнения совет: есть возможность сохранить черновик обращения. Полезная функция советуем сохранять почаще.
Сведения об операторе
С заполнением первого блока никаких проблем возникнуть не должно.
Регион регистрации - регион регистрации компании. Дальше реквизиты.
Регионы обработки - все субъекты РФ.
Цели обработки персональных данных
Здесь важно добавить все цели обработки, т.к. осуществление обработки вне целей также является нарушением.
Добавить цели можно внизу.
Очень заметная кнопка.
Цели добавляются как отдельная вкладка.
Цели добавляются как отдельная вкладка.
Для себя мы выбрали 6 целей. В принципе это основные цели любого бизнеса. Далее примеры заполнения по отдельным целям, если начнете собирать дополнительные данные, то можно будет подать письмо о внесении изменений.
У нас есть разные категории лиц, чьи персональные данные обрабатываются:
По ним собираются разные персональные данные.
У нас есть разные категории лиц, чьи персональные данные обрабатываются:
- Сотрудники
- Контрагенты, с кем заключаем договора
- Возможные клиенты, например, обращения с сайта.
По ним собираются разные персональные данные.
Ведение кадрового и бух учета
Обеспечение соблюдения трудового законодательства РФ
Обеспечение соблюдения налогового законодательства РФ
Обеспечение соблюдения пенсионного законодательства РФ
Подготовка, заключение и исполнение гражданско-правовых договоров
Продвижение товаров, работ, услуг на рынке
Действия по обработке одинаковы для всех целей.
Обработка смешанная. CRM есть? Диадоком пользуетесь? Значит через интернет передаете.
Меры защиты
Текст для копирования:
Назначение ответственного за организацию обработки персональных данных. Издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных. Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных.
- идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия. - использование безопасных протоколов передачи данных, которые поддерживает шифрование посредством криптографических протоколов SSL. - Kaspersky Virus Removal Tool
Указаны самые основные и универсальные.
Ответственный за организацию обработки это тот, кто указан во внутреннем приказе как ответственный (или тот, кто будет ответственным, когда будете этот приказ делать).
Дата начала обработки - дата регистрации юр. лица или ИП.
Срок прекращения обработки - ликвидация юр. лица или снятие ИП с учета.
Дата начала обработки - дата регистрации юр. лица или ИП.
Срок прекращения обработки - ликвидация юр. лица или снятие ИП с учета.
ЦОДы
Сюда добавляются места физического нахождения документов, а также местонахождения серверов (именно аппаратуры).
Как узнать расположение серверов, самое простое спросить в чатах тех. поддержки хостинга. Точно добавьте сервера сайтов и CRM.
Как узнать расположение серверов, самое простое спросить в чатах тех. поддержки хостинга. Точно добавьте сервера сайтов и CRM.
Сведения об обеспечении безопасности персональных данных
Прописываем минимальный джентльменский набор:
организован режим обеспечения безопасности помещений, в которых размещена информационная система персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему; утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе персональных данных, необходим для выполнения ими служебных (трудовых) обязанностей; использование средств защиты информации (пароли, уровни доступа).
Отправка
Скачиваем и устанавливаем модуль https://www.cryptopro.ru/products/cades/plugin
Отправляем форму.
Распечатываем. Уведомлению присваивается номер и ключ статус направления в систему (если отправка осуществляется онлайн).
Отправляем форму.
Распечатываем. Уведомлению присваивается номер и ключ статус направления в систему (если отправка осуществляется онлайн).
Далее на почту приходи письмо с регистрационным номером, по которому тут https://pd.rkn.gov.ru/operators-registry/notification_check/ можно контролировать статус обработки.
Если выбрали отправку не онлайн, то распечатывайте получившуюся форму в 2-зх экземплярах и регистрируйте непосредственно в отделении Роскомнадзора.
Готовим сайт
Политика конфиденциальности
Говим в конструкторе https://tilda.cc/ru/privacy-generator/
Это не панацея, но лучше, чем ее вообще не будет.
Создается страница на сайте и публикуется получившийся текст.
Это не панацея, но лучше, чем ее вообще не будет.
Создается страница на сайте и публикуется получившийся текст.
Всплывашка о куках
На сайте внедрите уведомление о сборе куков.
Формы связи
На все формы связи ставятся 2 галочки принятия
Обе галочки должны быть не заполнены, а на согласие с получение рекламы, еще и не обязательной.
Google.Аналитикс
Роскомнадзор приравнивает Аналитикс и Тег менеджер к осуществлению трансграничной передачи.
Варианта 2: удалить с сайта, или подать уведомление, что осуществляется трансграничная передача (и не забыть это указать в политики конфиденциальности).
- Согласие на обработку персональных данных и принятие политики конфиденциальности, со ссылкой на ранее созданную страницу.
- Согласие получение рекламных материалов
Обе галочки должны быть не заполнены, а на согласие с получение рекламы, еще и не обязательной.
Google.Аналитикс
Роскомнадзор приравнивает Аналитикс и Тег менеджер к осуществлению трансграничной передачи.
Варианта 2: удалить с сайта, или подать уведомление, что осуществляется трансграничная передача (и не забыть это указать в политики конфиденциальности).
Из основного это все, про внутреннюю документацию нужно разговаривать отдельно, успевайте подать уведомление до 30 мая 2025 года.