Статьи

Какие уведомления подавать в Роскомнадзор в 2024 году: виды, сроки и новые штрафы

Уведомление об обработке персональных данных в 2024 году

Все организации и ИП, которые планируют начать обработку персональных данных, в 2024 году должны уведомить об этом Роскомнадзор. 

Уведомление нужно подать до начала обработки персональных данных по форме, утвержденной приказом Роскомнадзора от 28.10.2022 № 180. Согласно ч.3 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в уведомление должны быть включены следующие данные:


  • наименование организации или ФИО предпринимателя, которые планируют осуществлять обработку персональных сведений физлиц, и их адрес;
  • цель обработки персональных данных;
  • сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
  • ФИО работников, ответственных за обработку персональных данных, и их контактные данные (телефон, почтовый индекс, электронная почта);
  • дата начала обработки персональных данных;
  • срок прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;
  • сведения об обеспечении безопасности персональных данных.


Конкретных сроков представления этих сведений в составе уведомления законодательство не содержит. При этом уведомить Роскомнадзор требуется до начала осуществления обработки персональных данных. 

О любых изменениях сведений (например, при изменении целей или сроков обработки персональных данных) компания должна уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.

Уведомить Роскомнадзор о прекращении обработки персональных данных требуется в течение 10 рабочих дней с даты прекращения их обработки (ч.7 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ).


Уведомление об утечке персональных данных

Компании в течение 24 часов с момента утечки персональных данных (ч.3.1 ст.21 Федерального закона от 27.07.2006 № 152-ФЗ) должны сообщить об этом в Роскомнадзор путем направления специального уведомления о неправомерной или случайной передаче персональных данных. Специальной формы уведомления об утечке персданных сейчас не установлено. При этом первичное уведомление об утечке должно содержать сведения, указанные в пунктах 2.1–2.3 приказа Роскомнадзора от 14.11.2022 № 187:


  • данные об организации или ИП, у которых произошла утечка данных (наименование организации или ФИО ИП);
  • ИНН, адрес и адрес электронной почты компании;
  • дата и время утечки данных;
  • характеристика скомпрометированных персональных данных (содержание базы данных, ставшей доступной неограниченному кругу лиц в результате утечки);
  • сведения о предполагаемых причинах утечки персональных данных;
  • сведения о предполагаемом вреде, нанесенным утечкой данных;
  • сведения о принятых мерах по устранению последствий утечки данных;
  • сведения об источнике получения информации об утечке данных.


Направив в Роскомнадзор указанное уведомление, компания должна в течение 72 часов с момента утечки информации провести внутреннее расследование и направить в Роскомнадзор уведомление о результатах такого расследования (дополнительное уведомление). В дополнительном уведомлении нужно указать (при наличии):


  • сведения о решении компании о проведении внутреннего расследования с указанием его реквизитов;
  • информацию о причинах, повлекших утечку данных;
  • сведения о вреде, нанесенном физлицам, данные которых были скомпрометированы;
  • информацию о дополнительно принятых мерах по устранению последствий утечки данных;
  • сведения о лицах, действия которых стали причиной утечки данных.


Первичное и дополнительное уведомление об утечке персональных данных можно направить в Роскомнадзор как на бумажном носителе, так и в электронном виде путем заполнения рекомендованной формы на официальном сайте контролирующего ведомства. 

Ответственность за непредставление таких уведомлений в 2024 году будет в значительной степени ужесточена.


Новые штрафы за неуведомление Роскомнадзора

В настоящее время нет отдельной нормы, предусматривающей самостоятельные штрафы за непредставление уведомлений в Роскомнадзор. Нарушителей штрафуют по общей ст.19.7 КоАП РФ, устанавливающей штрафы за непредставление сведений и информации в контролирующие государственные органы. 

В соответствии с данной нормой несдача в Роскомнадзор обязательных уведомлений грозит должностным лицам организаций и ИП штрафом в размере от 300 до 500 рублей, а организациям – от 3 000 до 5 000 рублей. Штрафы в подобных размерах не останавливают недобросовестных операторов персональных данных от несдачи уведомлений.

Уже принятый в первом чтении законопроект № 502104-8 вводит специальные штрафы за несдачу уведомлений в Роскомнадзор в повышенном размере. В этих целях законопроект дополняет действующую ст.13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных) новыми частями.

Согласно ч.10 ст.13.11 КоАП РФ неуведомление или несвоевременное уведомление Роскомнадзора о намерении начать обработку персональных данных будет грозить следующими штрафами:


  • от 30 000 до 50 000 рублей – для должностных лиц организаций;
  • от 100 000 до 300 000 рублей – для индивидуальных предпринимателей;
  • от 100 000 до 300 000 рублей – для организаций.


По новой ч.11 ст.13.11 КоАП РФ для компаний будут введены штрафы за неуведомление Роскомнадзора об утечке персональных данных. Данное нарушение повлечет наложение штрафов в размере:


  • от 400 000 до 800 000 рублей – для должностных лиц организаций;
  • от 1 млн до 3 млн рублей – для индивидуальных предпринимателей;
  • от 1 млн до 3 млн рублей – для организаций.


Планируется, что эти штрафы будут введены в действие уже в 2024 году. Срок начала их применения, намеченный законопроектом, – по истечении 30 дней после дня официального опубликования закона.

Нет комментариев

Добавить комментарий