Обработка персональных данных: новые требования 2025
Справочная информация по включению в реестр операторов по обработке персональных данных
Уведомление о начале обработки персональных данных
ШАГ 1: Проверьте наличие компании в реестре операторов персональных данных.
https://pd.rkn.gov.ru/operators-registry/operators-list/
https://pd.rkn.gov.ru/operators-registry/operators-list/
ШАГ 2: Направьте уведомление об обработке персональных данных (в случае, если ранее не направлялось и юр. лицо отсутствует в реестре).
https://pd.rkn.gov.ru/operators-registry/notification/form/
https://pd.rkn.gov.ru/operators-registry/notification/form/
По закону уведомлять Роскомнадзор нужно еще до начала обработки персональных данных (п. 1 ст. 22 Закона № 152-ФЗ). Поэтому, если раньше вы этого не сделали, направьте документ в ведомство как можно скорее. В уведомлении укажите дату начала обработки персональных данных, цель обработки и другие обязательные сведения.
В Уведомлении необходимо указывать только те категории персональных данных, которые запрашиваются и обрабатываются.
Целей обработки перс. данных по новым правилам должно быть не менее 2-х. (самое распространенное — цель 1 — для ведения кадрового и бух. учета, цель 2 — подготовка, заключение, исполнение ГПХ).
Внимательно следует заполнять графы по обработке биометрических данных, т.к. если в уведомлении будет указано об обработке, а на деле юр. лицо их не обрабатывает — штраф. Также при обработке биометрических персональных данных необходимо становиться на доп. учет в реестр, что тоже проверяется.
Графа: Осуществление трансграничной передачи персональных данных — ВНИМАТЕЛЬНО. Данный пункт о передаче данных на территорию иностранного государства.
Помимо подачи уведомления о включении в реестр, необходимо разработать локальные акты: положение об обработке ПД, политика в отношении обработки ПД и приказ о назначении ответственного
В Уведомлении необходимо указывать только те категории персональных данных, которые запрашиваются и обрабатываются.
Целей обработки перс. данных по новым правилам должно быть не менее 2-х. (самое распространенное — цель 1 — для ведения кадрового и бух. учета, цель 2 — подготовка, заключение, исполнение ГПХ).
Внимательно следует заполнять графы по обработке биометрических данных, т.к. если в уведомлении будет указано об обработке, а на деле юр. лицо их не обрабатывает — штраф. Также при обработке биометрических персональных данных необходимо становиться на доп. учет в реестр, что тоже проверяется.
Графа: Осуществление трансграничной передачи персональных данных — ВНИМАТЕЛЬНО. Данный пункт о передаче данных на территорию иностранного государства.
Помимо подачи уведомления о включении в реестр, необходимо разработать локальные акты: положение об обработке ПД, политика в отношении обработки ПД и приказ о назначении ответственного
ШАГ 3: После включения в реестр необходимо вовремя подавать форму об изменениях (если таковые имеют место быть)
https://pd.rkn.gov.ru/operators-registry/notification/updateform/
https://pd.rkn.gov.ru/operators-registry/notification/updateform/
Направьте в Роскомнадзор уведомление (приложение № 2 к приказу Роскомнадзора от 28.10.2022 № 180). Вы обязаны сообщить об изменениях не позднее 15-го числа месяца, следующего за месяцем, в котором такие изменения возникли (п. 7 ст. 22 Закона № 152-ФЗ). Для того, чтобы получить информацию о том, какие сведения есть в реестре, необходимо произвести поиск по регистр.номеру.
Таблица 1. Новые штрафы за нарушения при работе с персданными
Таблица 2. Новые штрафы за утечку персональных данных
Общая справочная информация
Положение о защите персональных данных.
Включите в положение меры по защите персональных данных. Выбор мер защиты зависит от того, каким способом компания обрабатывает персональные данные — вручную или через компьютерные программы. Например, укажите, что назначили ответственных за защиту персональных данных, установили антивирусные программы и т. д.
Включите в положение меры по защите персональных данных. Выбор мер защиты зависит от того, каким способом компания обрабатывает персональные данные — вручную или через компьютерные программы. Например, укажите, что назначили ответственных за защиту персональных данных, установили антивирусные программы и т. д.
Обеспечьте условия для хранения персональных данных.
Утвердите перечень уполномоченных лиц, которые по долгу службы обрабатывают личные сведения сотрудников и имеют доступ к документам, в отдельном приказе или в положении о защите персональных данных. Назначьте ответственного сотрудника за защиту персональных данных. Этот сотрудник должен напрямую подчиняться руководителю компании (ч. 2 ст. 22.1 Закона № 152-ФЗ). Закрепите в положении о работе с персданными, какие сведения обрабатываете. Укажите цели, способы и сроки обработки (п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Не включайте в положение об обработке персданных нормы, которые ограничивают права работников. Например, нельзя установить в положении обязанность работника предоставлять сведения о его частной жизни или политических и религиозных убеждениях.
Утвердите перечень уполномоченных лиц, которые по долгу службы обрабатывают личные сведения сотрудников и имеют доступ к документам, в отдельном приказе или в положении о защите персональных данных. Назначьте ответственного сотрудника за защиту персональных данных. Этот сотрудник должен напрямую подчиняться руководителю компании (ч. 2 ст. 22.1 Закона № 152-ФЗ). Закрепите в положении о работе с персданными, какие сведения обрабатываете. Укажите цели, способы и сроки обработки (п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Не включайте в положение об обработке персданных нормы, которые ограничивают права работников. Например, нельзя установить в положении обязанность работника предоставлять сведения о его частной жизни или политических и религиозных убеждениях.
Согласие на обработку персональных данных.
По закону обрабатывать персональные данные физлиц можно только с их согласия (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ).
Согласие не нужно. Если речь идет о сотрудниках, для обработки их персональных данных достаточно заключить трудовой договор. В таком случае вы получаете и храните сведения на основании Трудового кодекса, бухгалтерского, налогового и социального законодательства, поэтому брать согласие не нужно (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ).
Без согласия работника можно передавать персональные данные в различные ведомства, если обязаны это делать по закону (подп. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Например, согласие не нужно для передачи отчетных сведений в налоговую инспекцию, СФР или военный комиссариат. Если же бухгалтерию в компании ведет сторонняя организация, от всех работников нужны согласия на обработку и отдельные согласия на распространение данных (ч. 1 ст. 10.1 Закона № 152-ФЗ). Также потребуется согласие на обработку персданных, если нужно разместить сведения о сотруднике на корпоративном портале. Сведения о работнике берите из его документов.
Сведения о состоянии здоровья, наличии судимости и семейном положении запрашивайте у работников, только если обязаны это делать по закону. С 30 мая малую компанию оштрафуют минимум на 75 тыс. руб., если соберете лишние данные о работнике (ч. 1 ст. 13.11 КоАП).
По закону обрабатывать персональные данные физлиц можно только с их согласия (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ).
Согласие не нужно. Если речь идет о сотрудниках, для обработки их персональных данных достаточно заключить трудовой договор. В таком случае вы получаете и храните сведения на основании Трудового кодекса, бухгалтерского, налогового и социального законодательства, поэтому брать согласие не нужно (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ).
Без согласия работника можно передавать персональные данные в различные ведомства, если обязаны это делать по закону (подп. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Например, согласие не нужно для передачи отчетных сведений в налоговую инспекцию, СФР или военный комиссариат. Если же бухгалтерию в компании ведет сторонняя организация, от всех работников нужны согласия на обработку и отдельные согласия на распространение данных (ч. 1 ст. 10.1 Закона № 152-ФЗ). Также потребуется согласие на обработку персданных, если нужно разместить сведения о сотруднике на корпоративном портале. Сведения о работнике берите из его документов.
Сведения о состоянии здоровья, наличии судимости и семейном положении запрашивайте у работников, только если обязаны это делать по закону. С 30 мая малую компанию оштрафуют минимум на 75 тыс. руб., если соберете лишние данные о работнике (ч. 1 ст. 13.11 КоАП).