Как правильно отчитаться в Роскомнадзор

Обзор изменений законодательства: Ужесточение ответственности за нарушение законодательства о персональных данных 30 ноября 2024 г.
Президент РФ подписал Федеральный закон № 420 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который вступит в силу 30 мая 2025 г., и Федеральный закон № 421 «О внесении изменений в Уголовный кодекс Российской Федерации, который вступает в силу 11 декабря 2024 г.

Роскомнадзор — что это 

Роскомнадзор — это ведомство, осуществляющее контроль в рамках закона № 152-ФЗ и защиты прав граждан (субъектов ПД). Роскомнадзор включает сведения об операторах в специальный реестр — перечень ИП и организаций, работающих с чужими данными.  

Цель подачи уведомления  в Роскомнадзор

— сообщить о своем намерении обрабатывать и использовать ПД в коммерческих и иных целях. А также «встать на учет» — попасть в реестр операторов и работать, не нарушая законодательных требований.

Как правильно отчитаться в Роскомнадзор. Питер-Афиша. Мероприятия со вкусом Питера

На Портале Роскомнадзора оператор может сформировать и отправить уведомление в территориальный орган Роскомнадзора.    

Перейти на сайт Роскомнадзора➝

Шаблоны и примеры заполнения документов. Документы РФ по ПД

Смотреть всё / Скачать➝

• Образец уведомления Роскомнадзора об обработке персональных данных (ПД).
• Пример заполнения уведомления.
• Пример внесения изменений.
• Уведомление о намерении осуществлять трансграничную передачу ПД.
• ФЗ от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) О персональных данных.
• Определение уровня СКЗИ.
• Как просмотреть информацию о сертификате ключа подписи СКЗИ.

Информация о требованиях ПД

Кто и когда уведомляет Роскомнадзор   

Все организации, ИП и госучреждения, которые работают с персональными данными физических лиц (ПД), обязаны в 2025 г. подавать уведомление в Роскомнадзор в трех случаях:
— перед началом работы с персональными данными;
— после завершения обработки ПД, когда отпадает необходимость работать с данными;
— при происшествиях, несанкционированных доступах, взломах баз, утечках. 

*Требования к работе с ПД (обеспечению их защиты и безопасности) изложены в законе от 27.07.2006 № 152-ФЗ «О персональных данных».

Организации и ИП (операторы персональных данных) должны правильно собирать, накапливать и обрабатывать данные граждан, использовать для этого специальные базы (российские серверы и ПО). А также информировать Роскомнадзор о начале и завершении работы с ПД (ст. 22 закона № 152-ФЗ).  

В каких случаях уведомление подавать не надо 

Уведомлять не нужно, если работа с данными ведется:

  • вручную — без использования автоматизированных средств;
  • для обеспечения безопасности в сфере транспортного комплекса;
  • с целью поддержания общественного порядка и обеспечения безопасности государства.

Что такое Персональные данные физлиц (ПД)

Персональные данные физлиц — это имя, сведения из паспорта, видео в соцсетях, информация о состоянии здоровья, отпечатки пальцев, политические взгляды и др. 

ПД бывают нескольких типов (ст. 1011 закона № 152-ФЗ): 

  • обычные — ФИО, адрес;
  • специальные — философские убеждения, национальность;
  • биометрические — результаты ДНК, форма глаз.

Таким образом, все, кто собирает данные о своих клиентах, партнерах, сотрудниках, покупателях, пациентах должны отчитываться в Роскомнадзор.

Сроки подачи уведомлений

 Роскомнадзор сообщает, каким способом оператор может направить уведомление (на бумаге или электронно), при этом конкретных сроков ни на сайте ведомства, ни в законодательстве нет. Основное требование — уведомить РКН до того как начинаете работать с ПД.

• Время рассмотрения уведомления — 30 дней: за этот срок Роскомнадзор принимает решение о включении оператора ПД в реестр.

 • Внесение корректировок — до 15 числа следующего месяца (ч. 7 ст. 22 закона № 152-ФЗ).

 • Уведомление о прекращении работы с данными. Срок — не более 10 рабочих дней с момента принятия решения о прекращении.

• Инциденты и компьютерные атаки:
в течение 24 часов — о происшествии, нанесенном вреде, принятых мерах и ответственном сотруднике;
в течение 72 часов — провести внутреннюю проверку и сообщить о последствиях и нарушителях. 

Трудности при заполнении уведомления

Что такое СКЗИ?

СКЗИ — это  средства криптографической защиты информации  шифруют и дешифруют данные, проверяют их целостность и помогают безопасно передавать информацию. Это программные и аппаратные решения, которые защищают бизнес от утечек, подделки и несанкционированного доступа.

СКЗИ простыми словами в контексте подачи уведомления в Роскомнадзор — это Ваш ключ электронной подписи КриптоПро CSP.

Класс защиты КС2 и КС1, в чем разница?    

Варианты исполнения СКЗИ класса защиты КС3, КС2 и КС1

Вариант 1, это базовое программное обеспечение СКЗИ обеспечивающий класс защиты КС1.
Вариант 2, это СКЗИ класса КС2, состоящего из базового СКЗИ класса КС1 совместно с сертифицированным аппаратно-программным модулем доверенной загрузки (АПМДЗ).
Вариант 3, это СКЗИ класса КС3, состоящего из СКЗИ класса КС2 совместно со специализированным программным обеспечением для создания и контроля замкнутой программной среды.

Как правильно отчитаться в Роскомнадзор. Питер-Афиша. Мероприятия со вкусом Питера

Как просмотреть информацию о сертификате ключа подписи?

  • В «Личном кабинете» в нижней части вкладки «Договор» — «Список сертификатов».
  • В «КриптоПро CSP»:
    Откройте «КриптоПро CSP»:

Windows 7: «Пуск» — «Все программы» — «КРИПТО-ПРО» — «КриптоПро CSP»;

Windows 8: нажмите ПКМ на рабочем столе — выберите внизу экрана «Все приложения» — «КРИПТО-ПРО» — «КриптоПро CSP»;

Windows 10, 11: меню «Пуск» — папка «КРИПТО-ПРО» — «КриптоПро CSP».

• В появившемся окне нажмите кнопку «Обзор»;
• Откройте вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере»;
• Выберите нужный ключевой контейнер (сертификат);
• После выбора контейнера нажмите кнопку «Далее»;
• Откройте сертификат с помощью кнопки «Свойства».

В «Панели управления»:

Windows 7
Windows 8
Windows 10, 11
Реквизиты, указанные в сертификате, можно посмотреть на вкладке:
«Общие»
«Состав»
«Путь сертификации»

Новые штрафы в 2025 году

Если организация не подает уведомление в Роскомнадзор, то за это ей грозят штрафы по ст. 19.7 КоАП. Штрафы следующие — до 500 руб. (на ответственного), до 5 000 руб. (на организацию). 

По факту статья 19.7 КоАП охватывает все случаи, когда организация не подает сведения (либо подает недостоверные / неполные сведения) в контрольный орган. Под эту норму подвели и сферу персональных данных.

С 30 мая 2025 года Роскомнадзор будет выносить штрафы по новым правилам (закон от 30.11.2024 № 420-ФЗ) — вносятся изменения в ст. 13.11 КоАП, которая посвящена именно нарушениям в области ПД.

За неуведомление о намерении работать с ПД:

  • на граждан — от 5 тыс.  до 10 тыс. рублей;
  • на ответственных — от 30 тыс. до 50 тыс. рублей;
  • на организации — от 100 тыс. до 300 тыс. рублей.

За неуведомление о происшествиях и нарушении прав владельцев ПД:

  • на граждан — от 50 тыс.  до 100 тыс. рублей;
  • на ответственных — от 400 тыс. до 800 тыс. рублей;
  • на организации — от 1 млн до 3 млн рублей.

Сейчас максимальный штраф для организаций за неуведомление о намерении работать с ПД — 5 тыс. рублей. Для тех, кто твердо стоит на ногах, наказание не такое уж критическое. 

С началом лета 2025 года штрафы ужесточаются — организация-нарушитель за неуведомление РКН о начале работы с ПД может получить штраф до 300 тыс. руб. А за неуведомление о происшествиях максимальное наказание для компаний — 3 млн руб. 

P.S.

Уведомление в Роскомнадзор подать не составит особого труда. Важно в дальнейшем соблюсти все требования к ведению документации в организации. Желаем Вам сохранить Ваши деньги и спокойствие для успешного бизнеса!

На этом сайте используются файлы cookie. Продолжая просмотр сайта, вы разрешаете их использование.