В 2022 году в закон внесли правки, обязывающие юридические лица регистрироваться в качестве операторов, осуществляющих обработку персональных данных. Большинство организаций проигнорировали требования закона, с чем власти были не готовы мириться. И уже в июне 2025 года за отсутствие в реестре операторов будут штрафовать на сумму до 300 тыс. руб.
Правило об уведомлении Роскомнадзора о работе с персональными данными существует с 2006 года, однако в старой редакции закона существовал ряд исключений, делающих регистрацию обязательной только для некоторых организаций. Так, если компания обрабатывала персональные данные только сотрудников или контрагентов по договорам, подавать сведения в уполномоченный орган было не обязательно.
Все изменилось в сентябре 2022 года, когда из закона убрали большую часть исключений. Теперь работать без постановки на учет могут только те компании, которые работают с ПДн без использования средств автоматизации. Стоит сделать две оговорки:
компания начинает работать с персональными данными с первого дня создания, поскольку она уже обрабатывает ПДн своих участников и сотрудников;
средства автоматизации — это, в том числе, компьютерная техника (ПК, ноутбуки) и установленное на него программное обеспечение (Office, 1C).
Несложно догадаться, что любое действующее юридическое лицо обязано встать на учет в Роскомнадзор, а таких на сегодня в ЕГРЮЛ более 3 млн компаний. Насколько это исполняется, можно оценить по сведениям реестра, в который на момент подготовки материала внесено 930 000 операторов, с учетом физических лиц и ИП.
Пусть вас не удивляет, но в ряде случаев и граждане должны направлять уведомление в Роскомнадзор. Что же грозит всем остальным?
Регистрация в реестре Роскомнадзора для работы с персональными данными
С 30 мая 2025 года штраф за отсутствие регистрации в реестре Роскомнадзора увеличивается до 300 000 рублей
Отсутствие в реестре операторов ПД Роскомнадзора: последствия
Сегодня организация, отсутствующая в реестре, отделается «легким испугом», так как специальной ответственности не предусмотрено. Максимум, что грозит юридическому лицу — штраф в сумме 5 тыс. рублей за непредоставление сведений в гос. органы (ст. 19.7 КоАП). Все изменится с 30 мая 2025 года, когда будет введена в действие ч. 10 ст. 13.11 КоАП, согласно которой вводится специальная ответственность за неуведомление Роскомнадзора. Теперь если компания не уведомила уполномоченный орган об обработке персональных данных, последней грозит штраф на сумму в 300 тыс. руб.
Узнайте, как обезопасить свой бизнес уже сейчас! Переходите на сайт и оставляйте заявку на бесплатную консультацию с экспертом в сфере обработки персональных данных.
Что еще должны делать операторы персональных данных?
Внесение сведений в реестр — не единственная обязанность оператора. Вне зависимости от того, как обрабатываются персональные данные, компания должна принять соответствующие организационные, правовые и технические меры по охране информации о гражданах.
В первую очередь компания должна утвердить и обнародовать политику оператора в отношении обработки ПДн, на что прямо указано в законе. На базе политики создаются локальные нормативные акты, регулирующие порядок работы с персональными данными в организации, такие как положение об обработке, правила оценки вреда, инструкция ответственного за организацию обработки ПДн, и т.д.
Ответственный за организацию обработки ПДн заслуживает отдельного упоминания. Это лицо, которое должно быть в каждой организации, информация о котором подается в Роскомнадзор и который отвечает за всю обработку в компании. Углубляясь в тему, придется вспомнить о необходимости осуществления внутреннего контроля, оценке вредя и т.д. Все это требует документального закрепления и представление сотрудникам уполномоченных органов в ходе контрольных мероприятий.
Если кажется, что 300 тыс. руб. за отсутствие регистрации — это много, обратите внимание на новые составы правонарушений. Если у вас произошла утечка персональных данных, которой может считаться любая несанкционированная передача информации третьему лицу, и об этом не уведомлен Роскомнадзор в течение 24 часов, компании грозит штраф до 3 млн руб. При этом штраф именно за неуведомление, за саму утечку придется заплатить до 15 млн руб., а при повторном нарушении до 500 млн руб.
Все вышеуказанные штрафы вступают в силу с 30 мая 2025 года, но не стоит забывать и о том, что никто не отменял ответственность, действующую сейчас, предусмотренную ст. 13.11 КоАП.
Как себя обезопасить?
После 2022 года множество компаний уже столкнулись с проверками, проводимыми Роскомнадзором, а главное со штрафами, которые следовали за ними. По нашим наблюдениям, количество контрольно-надзорных мероприятий увеличивается год к году, а с учетом последних изменений штрафных санкций в ближайшее время ситуация не изменится.
Из сказанного можно сделать единственный вывод — если ваша компания нацелена на долгую и успешную экономическую деятельность, то задуматься о регистрации в Реестре операторов, обрабатывающих персональные данные, и приведении документации общества в соответствие требованиям закона стоило еще «вчера». Если же это не сделано, то крайне рекомендуем успеть сделать это до конца мая, иначе это может дорого стоить вашему бизнесу.
Хотите узнать подробнее о том, как зарегистрировать свою компанию в реестре Роскомнадзора, а также получить чек-лист обязательных процедур, необходимых для соблюдения требований Роскомнадзора и ФЗ №152? Тогда переходите на сайт и оставляйте заявку — наш менеджер бесплатно вас проконсультирует и подскажет, какие нарушения есть у вашей компании уже сейчас и как их исправить!
Бесплатный чек-лист обязательных процедур, необходимых для соблюдения законодательства по персональным данным
Организуйте в своей компании работу с персональными данными согласно требованиям закона
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFHiyvQ8
Начать дискуссию