На сайт банка

Каждый бизнес, в котором есть сотрудники, — это оператор персональных данных (ОПД). Если таким статусом не обзавестись, грядут большие штрафы от Роскомнадзора. Разбираемся, как их избежать.

Эксперт — Малхаз Хугашвили, руководитель отдела юридического сопровождения сервиса Модульюрист. Записалa Светлана Сёмина, практикующий бухгалтер, кадровик, автор и редактор текстов для бухгалтерских порталов.

Почему работодатели считаются операторами персональных данных

«По факту оператором персональных данных является практически любая организация или физическое лицо, которые добровольно получают от граждан личные данные и используют их в различных целях».

Малхаз Хугашвили

Компании и ИП, у которых есть сотрудники, в том числе и внештатники, обрабатывают персональные данные физлиц: ФИО, паспортные данные, номер телефона, размер зарплаты и т. п. Кроме этого, работодатели передают информацию о работниках в госорганы — в Федеральную налоговую службу (ФНС), Социальный фонд России, Роскомнадзор (РКН).

Поэтому работодатели по закону признаются ОПД и должны сообщать в Роскомнадзор о начале обработки персональных данных физлиц. Такое правило действует с 1 сентября 2022 года.

Как стать оператором персональных данных

Для работы с персональными данными сотрудников никакой предварительной регистрации проходить не надо. Компании и ИП просто направляют в Роскомнадзор специальное уведомление, о котором мы скажем дальше.

Отправить уведомление можно на бумаге или по почте ценным письмом либо отнести лично в территориальный орган Роскомнадзора.

Другой вариант — уведомление в электронном виде. Его отправляют с помощью квалифицированной электронной подписи (КЭП) на сайте Роскомнадзора или через учетную запись юрлица (ИП) на «Госуслугах».

Как заполнить уведомление для Роскомнадзора

«Уведомление должно быть подписано уполномоченным лицом. Дальше Роскомнадзор в течение 30 дней после его получения должен внести сведения в реестр операторов. Потом информацию об этом размещают на официальном сайте РКН и на портале персональных данных».

Малхаз Хугашвили

При подготовке уведомления на сайте Роскомнадзора заполняйте все обязательные поля, которые отмечены звездочкой. Вот как это выглядит.

Информация о компании

Блок выглядит так:

Реквизиты лучше заполнять, копируя актуальные данные, — например, из карточки компании/ИП в личном кабинете ФНС.

Цели обработки

Заполнение блока целей выглядит довольно просто:

Следом за целями отмечайте и все категории используемых данных:

Важно ничего не пропустить, чтобы впоследствии не попасть на штрафы от Роскомнадзора.

Сведения о местонахождении базы данных

Здесь указывается, есть ли у вас собственный центр обработки данных (ЦОД) или он выведен на аутсорсинг.

Информация о безопасности персональных данных

Как оператор должен обеспечить безопасность данных — ст. 19 Федерального закона от 27.07.2006 г. № 152-ФЗ

Здесь нужно указать, какие меры принимает компания, чтобы не было утечки данных: например, стоят ли специальные программы для защиты, есть ли отвечающий за безопасность сотрудник, и т. д. Меры должны соответствовать специальным требованиям закона.

Какие внутренние документы нужны ОПД

Чтобы собирать, обрабатывать и хранить персональные данные, работодатель должен утвердить несколько локальных нормативных актов — то есть внутренних документов компании/ИП.

Положение о защите персональных данных

В этом документе нужно прописать порядок работы с персональными данными, список должностных лиц, которые имеют доступ к базе, правила хранения и защиты документов, содержащих персональные данные.

Бухгалтерия для ИП и ООО

Считаем за вас налоги и взносы, готовим отчеты, компенсируем штрафы. Занимайтесь бизнесом, а не бумагами!

Унифицированной формы положения нет, но есть рекомендации чиновников Роскомнадзора по содержанию такого документа. Итак, в положение включают следующее:

Политика обработки

В этом документе укажите, какие персональные данные физлиц нужны компании и для каких целей, как происходит обработка и хранение информации.

При оформлении трудового или гражданско-правового договора подпишите с сотрудниками согласие на обработку персональных данных. Согласие можно оформить в виде отдельного документа или включить в текст договора.

Пример бланка для согласия сотрудника на обработку персональных данных

Штрафы по персональным данным

Штрафы за нарушения для ОПД — ст. 4.1.2, . ч. 2 ст. 13.11, ст. 19.7 Кодекса РФ об административных правонарушениях

«Если не представить в Роскомнадзор уведомление об обработке персональных данных, написать в нем неверные данные или представить его позже срока (то есть уже после начала обработки персональных данных), то это будет считаться административным правонарушением. Ответственность за него будет, даже если вы просто что-то пропустили и представили неполные сведения».

Малхаз Хугашвили

У Роскомнадзора есть три вида контрольных мероприятий, по итогам которых компанию или ИП могут наказать за нарушения. Это инспекционный визит, документарная проверка или выездная проверка. Чаще всего проводятся документарные проверки — это вариант, когда у компании просто запрашивают нужные РКН документы, без личного выезда инспекторов в офис.

Для профилактики нарушений представитель РКН может приехать в компанию, которая только начала обрабатывать персональные данные. Например, если вы зарегистрировали ООО и начали набор штатных сотрудников в 2023 году, в 2024 году к вам может приехать инспектор. Во время такого визита инспекторы не штрафуют, а только разъясняют ошибки и проводят профилактические беседы.

За нарушение требований законодательства бизнесу грозят следующие штрафы.

  • За непредставление уведомления до начала обработки персональных данных:

    • 300−500 руб. — для должностного лица;
    • 1,5−2,5 тыс. руб. — для малого бизнеса;
    • 3−5 тыс. руб. — для средних и крупных компаний.

  • За обработку данных без письменного согласия физлица:

    • 100−300 тыс. руб. — для должностного лица;
    • 150−350 тыс. руб. — для малого бизнеса;
    • 300−700 тыс. руб. — для средних и крупных компаний.

Дополнительные штрафы представлены в таблице ниже.

Вид нарушения

Размер штрафа
(первое нарушение)

Статья
КоАП РФ

Распространение и разглашение персональных данных, в том числе и ответственным лицом

100−300 тыс. руб. — для должностного лица;

150−350 тыс. руб. — для малого бизнеса;

300−700 тыс. руб. — для средних и крупных компаний

Ч. 2 ст. 13.11

Обработка персональных данных в составе, не совместимом с целями получения информации

10−20 тыс. руб. — для должностного лица;

30−50 тыс. руб. — для малого бизнеса;

60−100 тыс. руб. — для средних и крупных компаний

Ч. 1 ст. 13.11

Отказ в предоставлении информации по запросу физлица

8−12 тыс. руб. — для должностного лица;

20−30 тыс. руб. — для ИП и малого бизнеса;

40−80 тыс. руб. — для средних и крупных компаний

Ч. 4 ст. 13.11

Несоблюдение срока уничтожения или блокировки данных, полученных незаконным путем, например без письменного согласия

8−20 тыс. руб. — для должностного лица;

20−40 тыс. руб. — для ИП и малого бизнеса;

50−90 тыс. руб. — для средних и крупных компаний

Ч. 5 ст. 13.11

Распространение/утечка из-за невыполнения условий безопасности при хранении

8−20 тыс. руб. — для должностного лица;

20−40 тыс. руб. — для ИП и малого бизнеса;

50−100 тыс. руб. — для средних и крупных компаний

Ч. 6 ст. 13.11

Как увеличат штрафы за утечку данных — законопроект № 502104-8

Обратите внимание: власти решили увеличить сумму штрафа за утечку персональных данных. Если изменения примут, то штраф будет зависит от количества «утерянной» информации:

1000−10 000 единиц — от 3 до 5 млн руб. для юрлиц;

10 000−100 000 — от 5 до 10 млн руб. для юрлиц;

более 100 000 — от 0,1 до 3% выручки за год (минимум — 15 млн руб., максимум — 500 млн руб.).

Открыть счет для бизнеса в Модульбанке

Бесплатный тариф, защита от блокировок, вывод прибыли на личную карту без ограничений и специальные условия для маркетплейсов

Открыть счет бесплатно
Еще какие-то статьи
Законы Ограничения на майнинг, пилот по сбору биометрии у иностранцев и новое в маркировке товаров
Ограничения на майнинг, пилот по сбору биометрии у иностранцев и новое в маркировке товаров
3 декабря
9 мин
Советы Страшилки для предпринимателя: что делать, чтобы не сесть в тюрьму за неуплату налогов
Страшилки для предпринимателя: что делать, чтобы не сесть в тюрьму за неуплату налогов
О том, смягчили или нет в этом году уголовную ответственность за налоговые преступления
30 ноября
6 мин
Подписаться в Телеграме
Перейти на канал
Подпишитесь на нас в Телеграме
Топчик
Страшилки для предпринимателя: что делать, чтобы не сесть в тюрьму за неуплату налогов
Советы

Страшилки для предпринимателя: что делать, чтобы не сесть в тюрьму за неуплату налогов

О том, смягчили или нет в этом году уголовную ответственность за налоговые преступления
Упрощенная система налогообложения в 2025 году: что меняется
Советы

Упрощенная система налогообложения в 2025 году: что меняется

С 1 января будет много нового. НДС, новые лимиты, новые правила учета взносов ИП
Как ИП подготовиться к повышению налогов в 2025 году
Советы

Как ИП подготовиться к повышению налогов в 2025 году

Спросили у эксперта, как подготовиться к налоговой реформе
Бизнес помогает: три истории предпринимателей
Рынок

Бизнес помогает: три истории предпринимателей

В офисе нет аптечки? Заплатите штраф
Советы

В офисе нет аптечки? Заплатите штраф

Объясняем, что грозит работодателю, если сотруднику станет плохо, а первой помощи на работе нет
Переходим на ПСН в 2025 году: как работать и платить налоги
Советы

Переходим на ПСН в 2025 году: как работать и платить налоги

Все о том, что надо знать, если собираетесь на патент
Страшилки для предпринимателя: что делать, чтобы не сесть в тюрьму за неуплату налогов
Советы

Страшилки для предпринимателя: что делать, чтобы не сесть в тюрьму за неуплату налогов

О том, смягчили или нет в этом году уголовную ответственность за налоговые преступления
Актуальное

Когда сотрудникам нужен медосмотр

Понятно, что медосмотр проходят все, кто работает с людьми или едой. И, казалось бы, совсем неожиданно, что он нужен тем, кто печатает на компьютере, но это так.
23 ноября 2018
20440
3

Как ничего не пропустить

Подпишитесь
в соцсетях

Публикуем ссылку на статью,
как только она выходит. Отдельно даём знать о важных изменениях в законах.

Получайте статьи почтой

Присылаем статьи пару раз в неделю, а ещё новостной дайджест и приветы от Модульбанка.

Подписываясь, вы соглашаетесь с политикой конфиденциальности.

А если не хотите подписываться почтой и дружить в соцсетях —
ну что ж!
Вы можете набирать наш адрес руками в браузере, как в двухтысячном.