Чек‑лист: проверяем необходимость подачи корректировок в РКН

Если ваша компания работает с персональными данными (например, собирает контакты клиентов, хранит информацию о сотрудниках), вы обязаны соблюдать требования 152-ФЗ — закона о персональных данных. Одно из ключевых правил: информировать Роскомнадзор об изменениях в том, как вы обрабатываете данные.

Кто считается оператором персональных данных?

Оператор — это любая организация или ИП, которая:

• собирает персональные данные (например, ФИО, телефон, email, паспортные данные);
• хранит их (в базе данных, таблицах, облаке);
• использует для своих целей (рассылка, учёт, анализ).

Под это правило попадает множество организаций: интернет-магазины, медицинские клиники, онлайн-школы, агентства и др. Как только какие-либо данные клиентов попадают к вам, вы уже — оператор.

Работаете с персональными данными?

Проведём аудит по 152-ФЗ и устраним риски штрафов

Для заполнения данной формы включите JavaScript в браузере.

Ваше имя *

Ваш телефон *

Ваш телефон Checkboxes

Checkboxes *

• Даю согласие на обработку персональных данных

Отправить

1. Проверяем сведения об операторе

Роскомнадзор ведёт реестр операторов, обрабатывающих персональные данные. В нём зафиксированы базовые данные о вашей организации: наименование, адрес, контакты, цели обработки и т. п. Если что‑то из этого изменилось — надо уведомить ведомство.

Что проверить:

• Официальное название компании.
• Юридический или фактический адрес (даже смена офиса в пределах одного здания).
• Контактные данные (телефон, email, сайт), указанные в реестре.
• Появились ли новые лица, ответственные за организацию обработки персональных данных?
• Менялись ли реквизиты документа, на основании которого действует руководитель (например, Устав)?

Если хоть по одному пункту есть изменения — готовьте уведомление.

2. Проверяем цели обработки ПДн

Цели обработки — это то, для чего вы собираете и используете персональные данные. Например, для оформления трудовых отношений, оказания услуг, маркетинга. Если вы начали обрабатывать данные для новых целей или отказались от прежних — это повод подать уведомление.

Что проверить:

• Появились ли новые виды деятельности, где вы собираете персональные данные? Например, открыли новое направление.
• Прекратили ли вы обработку данных для каких‑то из ранее заявленных целей? Например, отказались от карт лояльности.
• Изменились ли способы использования данных (например, раньше использовали только внутри компании, а теперь передаёте партнёрам)?

Если да — значит, цели обработки изменились, и нужно уведомить Роскомнадзор.

3. Проверяем состав обрабатываемых персональных данных

В реестре указано, какие именно данные вы обрабатываете: ФИО, паспортные данные, номера телефонов и т. п.. Если вы начали собирать новые категории данных или перестали обрабатывать какие‑то из прежних — это основание для уведомления.

Что проверить:

• Стали ли вы запрашивать у клиентов или сотрудников данные, которых не было в списке ранее (например, СНИЛС, данные о семейном положении)?
• Перестали ли вы собирать какие‑то из ранее указанных видов данных?
• Изменился ли объём данных, которые вы получаете от субъектов (например, теперь запрашиваете не только имя и телефон, но и адрес электронной почты)?

Если есть изменения — подавайте уведомление.

4. Проверяем способы обработки персональных данных

Способы обработки — это как именно вы работаете с данными: вручную, с помощью автоматизированных систем, передаёте ли третьим лицам и т. п. Если методика изменилась, это надо отразить в реестре.

Что проверить:

• Начали ли вы использовать новые программные средства для обработки данных? Например, перешли на облачный сервис.
• Стали ли вы передавать данные контрагентам, партнёрам или подрядчикам, о которых раньше не заявляли?
• Изменился ли порядок хранения данных? Например, раньше хранили на серверах в России, а теперь — за рубежом?
• Ввели ли вы новые процедуры обработки? Например, автоматизированную рассылку уведомлений?

Если хотя бы один ответ положительный — уведомляйте Роскомнадзор.

5. Проверяем меры по обеспечению безопасности персональных данных

Вы обязаны защищать персональные данные от утечек и несанкционированного доступа. Если вы обновили методы защиты, например, внедрили новое ПО или изменили порядок доступа к данным, это может потребовать уведомления.

Что проверить:

• Внедрили ли вы новые технические средства защиты: антивирусы, шифрование, системы контроля доступа?
• Изменились ли внутренние регламенты по безопасности? Например, ввели дополнительные проверки для сотрудников?
• Проводили ли вы аудит информационной безопасности, по итогам которого скорректировали меры защиты?

Если меры безопасности обновились — стоит уведомить ведомство.

6. Проверяем сроки хранения персональных данных

В реестре указаны периоды, в течение которых вы храните персональные данные. Если вы пересмотрели эти сроки (увеличили или сократили), это основание для подачи уведомления.

Что проверить:

• Увеличили ли вы сроки хранения каких‑либо данных? Например, решили хранить анкеты клиентов не 1 год, а 3?
• Сократили ли вы периоды хранения? Например, теперь удаляете данные через 6 месяцев вместо года?
• Ввели ли вы новые правила архивирования или уничтожения данных?

Если сроки изменились — подавайте уведомление.

7. Проверяем список лиц, имеющих доступ к персональным данным

В реестре вы указываете, кто в вашей организации работает с персональными данными (например, кадровики и бухгалтеры). Если круг таких лиц расширился или сузился, это надо зафиксировать.

Что проверить:

• Назначили ли вы новых сотрудников, которые получают доступ к персональным данным?
• Уволились ли работники, ранее имевшие такой доступ?
• Изменились ли должностные инструкции, расширяющие или ограничивающие доступ к данным?

Если состав ответственных лиц обновился — уведомляйте Роскомнадзор.

Как подать уведомление?

Зайдите на портал Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/form/.

Заполните электронную форму. Понадобятся:

• реквизиты компании (название, ИНН, ОГРН);
• описание изменений;
• данные ответственного за обработку данных.

Отправьте форму. Подтверждение придёт на указанную почту.

• Уведомление подаётся в течение 10 рабочих дней с момента изменений.
• Если изменения касаются трансграничной передачи данных (например, вы начали отправлять данные за границу), срок сокращается до 3 рабочих дней.

Что будет, если не уведомить РКН?

Нарушение грозит штрафами по ст. 13.11 КоАП РФ:

• для ИП — от 5 000 до 10 000 ₽;
• для компаний — от 15 000 до 30 000 ₽.

Кроме того, Роскомнадзор может провести проверку и потребовать устранить нарушения.

Читайте в нашем блоге

Советы для бизнеса

1. Ведите журнал изменений. Записывайте все правки в обработке данных — это поможет не пропустить срок уведомления.
2. Назначьте ответственного. Пусть один сотрудник следит за соблюдением требований закона.
3. Проверяйте требования регулярно. Законодательство меняется — подписывайтесь на официальные уведомления Роскомнадзора.
4. Консультируйтесь со специалистами. Если сомневаетесь, нужно ли уведомлять, лучше перестраховаться.

Итог

Если по любому из пунктов вы обнаружили изменения — обязательно подайте уведомление в Роскомнадзор. Сделать это нужно в течение 10 рабочих дней с момента изменения. Форма уведомления доступна на сайте ведомства.

Не игнорируйте этот шаг: за несообщение об изменениях предусмотрен штраф (ст. 19.7 КоАП РФ).