Все организации, которые осуществляют обработку данных сотрудников или заказчиков, обязаны уведомить об этом Роскомнадзор до 30 мая. Кроме того, компания должна обеспечить сохранность этих сведений.
В случае нарушения требований Роскомнадзора предприятие может столкнуться со штрафом или штрафами, которые многократно увеличиваются с 1 июня.
Что нужно сделать?
- Для начала выясните, какими видами персональных данных вы располагаете. В этом вопросе не всегда все очевидно. Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу (статья 3 Федерального закона от 27.07.2006 № 152-ФЗ). Определение не вполне понятное, поэтому давайте выясним, что конкретно считается персональными данными.
- Подайте уведомление об обработке данных.
- через авторизацию в ЕСИА, то есть пройдя аутентификацию на портале „Госуслуги“.
- Подписав документ усиленной квалифицированной электронной подписью на портале Роскомнадзора
- В бумажном виде
- Обязательно проверьте, что ваше уведомление принято.
Телефон, электронная почта. Часто возникают дискуссии, относятся ли к персональным данные, которые компании собирают для маркетинговых целей — например, номера телефонов и адреса электронной почты клиентов. Эти сведения не могут быть признаны персональными, если с их помощью нельзя однозначно определить, к какому именно физическому лицу они относятся (определение Верховного суда от 21.07.2023 № 305-ЭС23-12160, постановление Краснодарского УФАС России от 18.11.2020 № 023/04/7.32.4-5036/2020). Например, если вы собираете только электронные адреса без связки с фамилией и именем, уведомлять Роскомнадзор об этом не требуется. Но если вы ведете базу клиентов в CRM с указанием Ф.И.О. и контактной информации, то здесь уже почта будет считаться персональными данными.
ИНН и СНИЛС физического лица. Постановление Правительства от 05.10.2017 № 1212 и постановление Президиума Верховного суда от 27.09.2017 г определяют эти данные как персональные. Однако в отношении ИНН возможно и другое толкование. Министерство финансов полагает, что ИНН — это всего лишь цифровой код (письмо от 12.01.2021 № 03-01-11/347). И Роскомнадзор не налагает штрафы за передачу кому-либо исключительно номера ИНН без указания имени человека.
Ф.И.О., место жительства, отпечатки пальцев и другие сведения. Здесь сомнений нет, это точно персональные данные. Ниже представлена таблица с различными видами информации, отранжированными от “наиболее безопасных”, за обработку которых вам ничего не грозит, до персональных данных, за нарушение правил обработки которых неминуемо последует миллионный штраф. В таблице перечислены штрафы за первое нарушение; при повторных нарушениях размер штрафа может достигать 500 миллионов рублей. За сознательное раскрытие информации также предусмотрена уголовная ответственность согласно статье 272.1 Уголовного кодекса Российской Федерации.
| Что за данные | Относятся ли к персональным | Какая максимальная ответственность возможна при первой утечке данных |
| Рабочий телефон или e-mail | Нет | Никакая |
| Личный телефон или e-mail, номер машины (без Ф.И.О.) | Нет | Никакая, хотя нельзя полностью исключить спор с проверяющими |
| ИНН физлица (без Ф.И.О.) | Вопрос спорный | Вероятнее всего, никакая |
| Ф.И.О, СНИЛС, пол, дата и место рождения, адрес | Да | 15 млн руб. при утечке данных более 100 тыс. человек |
| Раса и национальность; политические, религиозные и философские взгляды; состояние здоровья, интимная жизнь (специальные данные) | Да | 15 млн руб. при утечке любого количества данных |
| Фото и видео человека, отпечатки пальцев, снимок радужки глаза, ДНК, запись голоса (биометрические данные) | Да | 20 млн руб. при утечке любого количества данных |
Под понятие обработки подпадают любые действия, в том числе и хранение (статья 3 Закона № 152-ФЗ). И если вы обрабатываете персональные данные, вы обязаны проинформировать об этом в Роскомнадзор.
Уведомление можно направить:
Роскомнадзор должен вносить информацию об уведомлениях в реестр операторов персональных данных. Однако пользователи уже сталкиваются с ситуациями, когда уведомления были отправлены, но в реестре не отображаются.
После отправки уведомления убедитесь, что запись о вашей компании появилась в реестре. Для этого просто введите ИНН компании и нажмите на ее наименование.
Если вам требуется помощь в том, чтобы разобраться, какие данные, находящиеся в распоряжении вашей компании, являются персональными, если вам некогда заниматься составлением и подачей необходимых документов, напишите или позвоните Accetera, мы всегда рядом!
