Внимание работодателям и другим организациям, обрабатывающим персональные данные! Не забудьте подать уведомление до 30 мая в РКН

С 30 мая 2025 года всех работодателей ждут серьезные изменения в правилах работы с персональными данными. Вступает в силу Федеральный закон от 30.11.2024 №420-ФЗ «О внесении изменений в КоАП РФ», который устанавливает ответственность за невыполнение или несвоевременное выполнение оператором персональных данных обязанности по уведомлению уполномоченного органа об обработке персональных данных.

Кто должен подать уведомление в РКН

Теперь любая компания, даже если она работает только с данными своих сотрудников, обязана зарегистрироваться в реестре операторов персональных данных Роскомнадзора. Раньше за нарушение этого требования штрафовали максимум на 5 тысяч рублей, но теперь штрафы выросли до 300 тысяч рублей. Из за того, что наказание было несущественным, многие организации до сих пор не подали уведомление.

Так же с 30 мая 2025 года вырастут штрафы за нарушения в работе с перс.данными. Например, когда ошибку допустил бухгалтер, запросив лишние документы.

Напомним, что уведомлять РКН надо в таких ситуациях:

• Перед началом работы с персональными данными (ПД);
• После завершения работы с ПД (больше нет необходимости с ними работать);
• Если что-то случилось – произошла утечка, взлом базы и т.п.

Согласно ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», представлять уведомление в Роскомнадзор должны организации, предприниматели и самозанятые, собирающие и обрабатывающие персональные данные:

• сотрудников и кандидатов на работу;
• контрагентов;
• членов общественных объединений и религиозных организаций;
• посетителей для однократного пропуска на территорию компании;
• ФИО любого лица, полученное организацией.

Получив уведомление, РКН его учитывает и контролирует, что с правами физлиц все в порядке. Регулярной отчетности просто потому, что вы работаете с ПД, РКН не ждет.

До 30.05.2025, даже если кто-то не уведомил РКН и работал с данными, материальные санкции ему не грозили. После 30.05.2025 заработают новые нормы КоАП и санкции уже будут грозить.

Таким образом, до 30 мая 2025 года необходимо направить в Роскомнадзор уведомление о работе с персональными данными (в перечисленных выше случаях), если по какой-либо причине это не было сделано ранее (вовремя).

Если компания собирает такие данные, как ФИО, электронная почта или место работы, то она является оператором персональных данных, а следовательно, должна взаимодействовать с РКН.

Это касается и ситуаций, когда у компании есть хотя бы один клиент или сотрудник, чьи личные сведения обрабатываются. Кроме того, если компания сдает в аренду программы, облачные хранилища и прочие места хранения персональных данных, она также является оператором персональных данных и должна подавать в РКН соответствующее уведомление.

Штрафы за неподачу уведомления в РКН

За неподачу уведомления в Роскомнадзор сейчас предусмотрен штраф по ст.19.7 КоАП РФ, который не превышает 5 000 рублей для организаций и 500 рублей для предпринимателей.

С 30 мая 2025 года вступит в силу Федеральный закон от 30.11.2024 №420-ФЗ, который значительно повысит штрафы за непредставление уведомления в РКН. Новые штрафы для граждан составят от 5 000 до 10 000 рублей, для должностных лиц – от 30 000 до 50 000 рублей, а для организаций – от 100 000 до 300 000 рублей.

Как подать уведомление в Роскомнадзор

Уведомление в РКН можно подать на сайте https://pd.rkn.gov.ru/operators-registry/notification/ в электронном виде, либо распечать оттуда же форму для подачи в виде "бумажном".

Если компания реализует несколько целей обработки персональных данных, например данных сотрудников и соискателей для целей ведения кадрового и бухгалтерского учета, и данных о посетителях сайта в маркетинговых целях, то можно в заявлении указать несколько целей обработки с различными категориями.

Кроме того, необходимо указать описание мер, предусмотренных ст.ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и другую информацию в уведомлении. Примеры заполнения отдельных пунктов уведомления ниже.

После заполнения формы уведомления о намерении осуществлять обработку персональных данных, подписания ее с использованием усиленной квалифицированной подписи и отправки в информационную систему Уполномоченного органа по защите прав субъектов персональных данных, на Ваш адрес электронной почты будет направлено уведомление об обработке.

Важным пунктом является информация о местонахождение базы данных - где физически располагаются данные граждан Российской Федерации. Если в случае с использованием программного обеспечения на серверах и компьютерах самой организации все понятно, указывается адрес фактического местонахождения, то для облачных решений (например 1С-Фреш, или 1С-ГРМ, необходимо указать организацию-владельца и адрес местоположения дата-центра. Притом, адресов может быть несколько, если данные обрабатываются как на своих компьютерах, так и в облаке.

Адрес дата-центра серверами хранения данных сервиса 1С-Фреш

Данные сервиса 1С-Фреш хранятся на серверах администратора сервиса (фирмы «1С»), которые находятся в надежном и охраняемом дата-центре NORD-4 фирмы «Центр Хранения Данных», расположенном по адресу: г. Москва, Коровинское шоссе, д. 41.

В настоящее время это cамый крупный коммерческий дата-центр в России. Реквизиты владельца дата-центра: Акционерное общество «Центр Хранения Данных» (АО «ЦХД»), ИНН/КПП 9722084937/772201001, ОГРН 1247700651461, юр.адрес: Российская Федерация, 109316, г. Москва, Остаповский проезд, дом 22, стр.16, e-mail: info@dtln.ru.

Примеры заполнения отдельных пунктов уведомления в РКН

Информация ниже является только примером. Конкретные формулировки должны следовать из проведенной подготовительной работы, разработки политики в в области обработки персональных данных и т.п.

Категории субъектов персональных данных

Правовое основание обработки персональных данных

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»

Разработаны локальные акты, по вопросам обработки персональных данных. Лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Назначен ответственный за организацию обработки персональных данных. На стенде (и (или) сайте) размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных. Разработаны модели угроз безопасности персональным данным в информационных системах. В информационных системах установлен 3 уровень защищенности персональных данных. Обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации. Для обеспечения безопасности персональных данных применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия.

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ

В соответствии с постановлением Правительства от 01.11.2012 №1119 для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных;

утвержден перечень лиц. доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

назначено должностное лицо, ответственный за обеспечение безопасности персональных данных в информационной системе. В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц, осуществляющих обработку персональных данных.

Для решения задач поддержки программных продуктов и информационных систем в актуальном состоянии «ЦЕНТР ТЕХНОЛОГИЙ» предлагает услугу «Информационно-Технологическое Сопровождение для пользователей 1С:Предприятие» (1С:ИТС).

Данная услуга обеспечивает пользователям программ 1С:Предприятие своевременное обновление конфигураций, дает право на получение методических рекомендаций и материалов по работе с программой, гарантирует полное соответствие учетной системы действующему налоговому законодательству.

ЗАКАЗАТЬ 1С:ИТС

Поробнее об услуге можете узнать по ссылке.