В соответствии с требованиями Закона «О персональных данных» №152-ФЗ от 27.07.2006 г. (Далее – Закон №152-ФЗ) юридические лица (Далее - Компании), обрабатывающие персональные данные граждан, например, личную информацию сотрудников при приеме на работу, являются Операторами персональных данных.

Положения Закона №152-ФЗ относят к персональным данным практически любую информацию о физическом лице (или субъекте данных), которая может быть получена Компанией, в том числе: ФИО, дату и место рождения, адрес, семейное положение, образование, профессия, паспортные данные, данные трудовой книжки, сведения воинского учета, ИНН, СНИЛС, сведения о зарплате, данные медицинского полиса, гражданство, сведения о близких родственниках, контактные телефоны, адреса электронной почты, а также данные о геопозиции посетителей и «куки» (cookies – маркетинговые данные о тех, кто смотрел сайт), собираемые сайтами Компаний, и другая информация, позволяющая идентифицировать конкретного субъекта персональных данных.

В этой связи, Оператором персональных данных является любая Компания, получающая и каким-либо образом обрабатывающая (в том числе сбор, накопление, хранение, использование, передача и пр) данные физических лиц, например в случаях:

• Получения информации о соискателях при поиске и приеме на работу сотрудников;
• Осуществления трудовых взаимоотношений с работниками, в том числе оформления им страховых полисов или зарплатных проектов;
• Заключении и исполнении договоров с физическими лицами на приобретение (реализации им), товаров, прав на результаты интеллектуальной деятельности и (или) услуг, и (или) выполнении работ;
• Получении информации от физических лиц через формы обратной связи сайтов или по телефону в виде запросов, обращений, заявлений и пр.;
• В других случаях.

Закон о № 152-ФЗ накладывает ряд обязанностей на Операторов персональных данных как в части подготовки документации и защиты информации физических лиц, требований к порядку хранения данных и размещения серверов сайтов и баз данных на территории России, так и в части уведомления Роскомнадзора, о чем будет рассказано далее по тексту.

Необходимость дополнительного контроля организации работы с данными физических лиц и приведения в соответствие принимаемых Компаниями мер по защите персональных данных актуализируется в связи со вступлением в силу с 30 мая 2025 года поправок в ст. 13.11 Кодекса РФ об административных правонарушениях «Нарушение законодательства Российской Федерации в области персональных данных», в соответствии с которыми значительно возрастают штрафы за нарушения требований Закона №152-ФЗ.

В частности, для руководителей (должностных лиц) и Компаний – Операторов персональных данных – установлены новые санкции в следующих размерах:

• В случае неуведомления или несвоевременного уведомления Роскомнадзора об обработке персональных данных - штраф на должностных лиц - от 30 000 до 50 000 рублей; на юридических лиц – от 100 000 до 300 000 рублей;
• Для Компаний, у которых есть сайт, через который собираются данные граждан, (например, через форму обратной связи), в случае если не опубликована Политика в отношении обработки персональных данных - штраф на должностных лиц - от 6 000 до 12 000 рублей; на юридических лиц - от 30 000 до 60 000 рублей.
• За обработку персональных данных без согласия физлица в письменной форме (например, при приеме на работу) или путем проставления отметки на сайте Компании (при обращении через обратную связь) - штраф на должностных лиц - от 100 000 до 300 000 рублей; на юридических лиц - от 300 000 до 700 000 рублей. За повторное нарушение - на должностных лиц - от 300 000 до 500 000 рублей; на юридических лиц - от 1 000 000 до 1 500 000 рублей. 
• За обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации, либо обработку персональных данных, несовместимую с целями сбора персональных данных, указанных в заявлении (например, в случае сбора данных о соискателях, которые впоследствии используются для маркетинговых исследований или пересылаются третьим лицам) - на должностных лиц - от 50 000 до 100 000 рублей; на юридических лиц - от 150 000 до 300 000 рублей, за повторное нарушение -  на должностных лиц - от 100 000 до 200 000 рублей; на юридических лиц - от 300 000 до 500 000 рублей. 
• Несвоевременное уведомление Роскомнадзора об утечке персональных данных – штраф на должностных лиц - от 400 000 до 800 000 рублей; на юридических лиц - от 1 000 000 до 3 000 000 рублей. 
• И, наконец, наиболее серьезные штрафы установлены за размещение персональных данных физических лиц на серверах (базах данных), расположенных за пределами Российской Федерации (например, в облачных хранилищах иностранных провайдеров) - на должностных лиц - от 100 000 до 200 000 рублей; на юридических лиц - от 1 000 000 до 6 000 000 рублей. За повторное нарушение - на должностных лиц - от 500 000 до 800 000 рублей; на юридических лиц - от 6 000 000 до 18 000 000 рублей. 

Срок, в ходе которого Компаний может быть привлечена к ответственности составляет один год с момента нарушения, которое может быть выявлено как в ходе анализа Роскомнадзором интернет-ресурса компаний (сайта) с использованием автоматических систем, так и в результате прямых обращений граждан в РКН, поскольку Реестр Операторов персональных данных является открытым и размещен на официальном сайте Регулятора по адресу: https://pd.rkn.gov.ru/operators-registry/operators-list/.

Как было указано ранее, в соответствии со ст. 22 Закона №152-ФЗ юридические лица - Операторы персональных данных – обязаны уведомлять Роскомнадзор до начала любой обработки персональных данных. Формы уведомлений утверждены приказом Ведомства от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных», которое может быть представлено одним из следующих способов:

• В бумажном виде;
• В электронном виде с использованием усиленной квалифицированной электронной подписи;
• В электронном виде через Госуслуги.

В разделе «Реестр операторов» официального сайта Роскомнадзора https://pd.rkn.gov.ru/operators-registry/notification/form/ можно подготовить и направить Уведомление.

Сведения об операторе данных Роскомнадзор в 30-ти дневный срок вносит в Реестр операторов персональный данных.

Уведомление подается однократно, однако впоследствии в случае изменения представленных сведений, или прекращении обработки данных Компании подают соответствующие формы:

• для изменения данных в реестре операторов — до 15 числа месяца, следующего за истекшим месяцем;
• в случае прекращения работы с персональными данными — в течение 10 дней.

Одновременно с подготовкой Уведомления во избежании штрафов, исходя из специфики деятельности и целей обработки Персональных данных, Компании необходимо осуществить следующие мероприятия, если они еще не произведены:

1. Подготовить пакет локальных нормативных актов:

• Политика конфиденциальности (п. 2 ч. 1 ст. 18.1 Закона №152-ФЗ).
• Политика Компании в отношении обработки персональных данных, с указанием перечня собираемых данных, целей их обработки, порядка сбора, хранения и уничтожения, а также другие данные. Документ необходимо опубликовать на сайте Компании или иным образом обеспечить неограниченный доступ к нему. Образец Политики размещен на официальном сайте органа Роскомнадзора:

https://46.rkn.gov.ru/directions/p24906/p24914/p36320/

Кроме того, РКН выпустило рекомендации по подготовке Политики:

https://normativ.kontur.ru/document?moduleId=1&documentId=361184 

• Модель угроз безопасности персональных данных при их обработке в информационных системах - определяющую основные проблемы обеспечения сохранности и безопасности персональных данных (п. 1 ч. 2 ст. 19 закона № 152-ФЗ), проект которой представлен ФСТЭК на официальном сайте службы:

https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/bazovaya-model-ot-15-fevralya-2008-g

• Приказ о назначении ответственных за обработку персональных данных.
• Согласие на обработку персональных данных, образец формы которого приведен на официальном сайте органа Роскомнадзора:

https://55.rkn.gov.ru/directions/control/p12797/p16745/

• Соглашение о конфиденциальности (неразглашении).

2. Обеспечить защиту персональных данных от несанкционированного доступа, ее конфиденциальность и неразглашение, а также соответствие фактического использования полученных данных целям их сбора. в том числе:

• Хранение и обработка полученной информации на локальных Информационных системах персональных данных (ИСПДн - комплекс, включающий базы данных с персональными данными и технологические средства для их обработки), то есть использование баз данных (центров обработки данных, серверов) расположенных на территории России, оборудование и программное обеспечение которых сертифицировано ФСТЭК.
• Установка соответствующих программных продуктов для защиты информации: антивирусы, программы обнаружения вторжений, межсетевые экраны и прочее, сертифицированные для использования на территории России.
• Организация системы доступа к персональным данным ограниченного круга сотрудников предприятия.
• Обеспечение сохранности и защищенности полученных персональных данных в случае их предоставления третьим лицам (например, при передаче сведений в банк при открытии зарплатных продуктов или организации добровольного мед.страхования).
• Организация раздельного хранения различных категорий персональных данных (работники, соискатели, исполнители по договорам ГПХ и т. д.), в том числе несовместимых между собой по целям обработки.
• Организация своевременного удаления персональных данных после истечения предусмотренного срока или достижения изначально установленных условий обработки.

3. Организовать и провести обучение и информирование сотрудников, в том числе незанятых на обработке персональных данных, основам безопасного обращения и защиты информации Компании, а также предпринять другие меры, необходимые и достаточные для выполнения обязанностей, установленных Законом №152-ФЗ.

      В связи со значительностью вводимых санкций, а также ввиду отсутствия достаточной правоприменительной практики по вопросам привлечения к ответственности рекомендуем проверить и привести в соответствие используемые Вашей Компанией практики и принимаемые меры требованиям Закона №152-ФЗ о работе с персональными данными.