Как пройти регистрацию в Роскомнадзоре для работы с персональными данными?

Навигация

Здравствуйте! С вами Алена Яковлева, управляющий партнер компании «РосКо — Консалтинг и Аудит». Какие сведения относятся к персональным данным человека? Что должны сделать компании перед обработкой персональных данных? Обязательна ли регистрация в Роскомнадзоре? Отвечаем на эти вопросы в нашем видео. С персональными данными мы сталкиваемся на каждом шагу.

При трудоустройстве сотрудника кадровик компании запрашивает у него персональные сведения, при заполнении различных анкет для получения дисконтных карт. Поэтому фирмы, которые получают и обрабатывают эту информацию, перед ее обработкой должны уведомить Роскомнадзор и назначить ответственное лицо за обработку этих сведений.

Компании в России получили право оформлять кадровые документы онлайн, в том числе трудовые договоры и заявления. Но есть и исключения: приказы об увольнении, акты о несчастных случаях на производстве и журналы по охране труда. Об этом мы дали экспертный комментарий изданию «Коммерсант».

Чтобы понимать, какие действия связаны с обработкой персональных данных, обратимся к самому термину «персональные данные». Персональные данные — это абсолютно любая информация, которая прямо или косвенно относится к конкретному физическому лицу. Например, ФИО, адрес проживания, электронная почта, серия и номер паспорта, дата и место рождения, семейное, социальное, имущественное положение, образование, профессия, доходы, фотография, национальность, вероисповедание, сведения о болезнях, биометрические данные. Эти сведения люди оставляют повсеместно — в интернет-магазинах, при заполнении различных анкет, при оказании медицинских или банковских услуг.

Важно знать, что перед обработкой персональных данных человека компания должна заручиться его письменным согласием.

Что представляют собой действия по обработке персональными данными?

Об этом расскажет Ольга Шумикова, юрист компании «РосКо». К действиям по обработке персональных данных относится любое действие, операция либо совокупность операций, которые совершаются с использованием средств автоматизации или без них:

• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение, то есть обновление либо изменение;
• извлечение;
• использование;
• передача, то есть распространение, предоставление, доступ;
• обезличивание;
• блокирование;
• удаление;
• уничтожение персональных данных.

Работодатель может получать персональные данные о сотруднике только в целях, определенных законом. Например, бухгалтер направляет сведения о работнике в СФР, кадровик направляет сотрудника на курсы повышения квалификации, на работника заказывается пропуск для прохода на предприятие. В иных целях, даже если сотрудник не против предоставления своих персональных данных, работодатель не вправе получать информацию.

Как обеспечить сохранность персональных данных?

Для того чтобы обеспечить сохранность персональных данных и не допускать разглашения этих сведений, Роскомнадзор формирует реестр операторов, осуществляющих обработку персональных данных. Для того чтобы попасть в этот реестр, все бизнесмены, которые обрабатывают персональные данные, должны направить уведомление в Роскомнадзор. Сообщение можно направить одним из трех способов:

• на бумаге: для этого нужно предварительно заполнить форму, распечатать бланк и отправить его в территориальный орган по почте;
• по электронным каналам связи: для этого заполненную форму нужно подписать электронной подписью, предварительно установив плагин КриптоПро ЭЦП Browser plug-in;
• через портал госуслуг: для отправки уведомления у пользователя должна быть подтвержденная учетная запись.

После того как оператор персональных данных направит уведомление, Роскомнадзор должен внести его в реестр в течение 30 дней. Через месяц с момента отправки уведомления работодатель должен проверить внесение его в реестр Роскомнадзора. Ведь даже для оформления пропуска в офис или заключения гражданско-правового договора нужны паспортные данные физического лица. А значит, перед началом обработки персональных данных компания должна уведомить об этом Роскомнадзор.

Проверить реестр можно на официальном сайте. По состоянию на 13 марта 2025 года в реестре содержатся сведения о 940 199 операторах персональных данных. Поиск удобнее осуществлять по ИНН компании. В том случае, если пользователь не помнит точный ИНН, то можно найти компанию по ее наименованию. В поисковой строке достаточно указать только оригинальную его часть без указания организационно-правовой формы, спецсимволов, кавычек и сокращений. Если название состоит из двух и более слов, в том числе разделенных дефисом, достаточно указать только одно из этих слов.

Важно знать, что реестр Роскомнадзора открыт для любых посетителей, поэтому получить информацию об операторе персональных данных может каждый заинтересованный пользователь. В том случае, если компании в реестре нет, то нужно подать уведомление о начале обработки персональных данных.

Когда нужно подавать уведомление повторно?

В первый раз все компании должны единожды подать уведомление. Впоследствии необходимость подачи может быть связана:

1. С изменением в ранее предоставленном уведомлении. Чаще всего повторная подача уведомления обусловлена изменением названия компании, адреса, цели обработки персональных данных. Например, в ранее поданном документе целью обработки персональных данных было «обеспечение соблюдения трудового законодательства». Теперь нужно добавить другую цель — «продвижение товаров, работ, услуг на рынке». О новой цели нужно сообщить в Роскомнадзор. Срок уведомления — не позднее 15 числа следующего месяца после изменений.
2. С фактом утечки персональных данных. Например, у компании взломали базу, где хранятся персональные данные сотрудников. Тогда компания должна в кратчайшие сроки сообщить: в течение 24 часов — о произошедшем инциденте, оценить последствия данного события, выявить потенциальные причины и назначить ответственное лицо; в течение 72 часов — о результатах проведенного расследования, которое касается утечки персональных данных.
3. С прекращением обработки персональных данных. Например, компания решила сворачивать свой бизнес либо приняла решение о реорганизации. Такие сведения должны быть поданы не позднее чем через 10 дней с момента завершения обработки персональных данных.

В том случае, если бизнес-планы поменяются и компании вновь необходимо набрать штат, подобрать соискателей на вакантные должности, то следует вновь подать уведомление в Роскомнадзор.

Когда уведомление подавать не нужно?

Уведомление подавать не нужно при обработке персональных данных в государственных системах, которые созданы для защиты безопасности государства и общественного порядка, а также если сведения обрабатываются без средств автоматизации. Если персональные данные хранятся только на бумаге и никак не переносятся для обработки вычислительной техникой, то Роскомнадзор можно не уведомлять. Но если ведение учета осуществляется в программе «1С.ЗУП», то это относится к автоматизированной обработке персональных данных.

Итоги

Подведу итоги. Для того чтобы не было утечки информации о личных данных граждан, любая компания, которая обрабатывает персональные данные, должна быть внесена в реестр Роскомнадзора. Для этого бизнесмены должны подать уведомление.

На этом всё. Хотите узнать больше? Плейлист «Защита деловой репутации» — это must-have для бизнесменов и не только! Самые актуальные и полезные видео о том, как сохранить имидж в эпоху стремительного распространения информации. Подпишитесь, чтобы всегда быть на шаг впереди!

Большое спасибо, что досмотрели это видео до самого конца! С вами была Алена Яковлева. Есть вопросы? Не откладывайте — пишите их прямо сейчас в комментариях, и наши юристы из компании «РосКо» ответят вам совершенно бесплатно! И, конечно же, не забудьте подписаться на наш канал. Будь в курсе — будь с РосКо!

Полезные материалы от RosCo:

• Сайт компании: https://rosco.su/
• YouTube канал: RosCo | Consulting & audit — YouTube
• ВКонтакте: RosCo | Consulting & audit (vk.com)
• Telegram: Telegram: Contact @roscoaudit
• Дзен: RosCo | Consulting & audit | Дзен (dzen.ru)