Оператор персональных данных: как стать, права и обязанности, требования к оператору

Главная / Советы / Как работодателю стать оператором персональных данных

Рассказываем, почему вам это надо

Каждый бизнес, в котором есть сотрудники, — это оператор персональных данных (ОПД). Если таким статусом не обзавестись, грядут большие штрафы от Роскомнадзора. Разбираемся, как их избежать.

Эксперт — Малхаз Хугашвили, руководитель отдела юридического сопровождения сервиса Модульюрист. Записалa Светлана Сёмина, практикующий бухгалтер, кадровик, автор и редактор текстов для бухгалтерских порталов.

Почему работодатели считаются операторами персональных данных

Ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ; письмо Роскомнадзора от 19.08.2022 г. № 08-75 348

«По факту оператором персональных данных является практически любая организация или физическое лицо, которые добровольно получают от граждан личные данные и используют их в различных целях».

Малхаз Хугашвили

Компании и ИП, у которых есть сотрудники, в том числе и внештатники, обрабатывают персональные данные физлиц: ФИО, паспортные данные, номер телефона, размер зарплаты и т. п. Кроме этого, работодатели передают информацию о работниках в госорганы — в Федеральную налоговую службу (ФНС), Социальный фонд России, Роскомнадзор (РКН).

Поэтому работодатели по закону признаются ОПД и должны сообщать в Роскомнадзор о начале обработки персональных данных физлиц. Такое правило действует с 1 сентября 2022 года.

Как стать оператором персональных данных

Уведомление об обработке персональных данных

Для работы с персональными данными сотрудников никакой предварительной регистрации проходить не надо. Компании и ИП просто направляют в Роскомнадзор специальное уведомление, о котором мы скажем дальше.

Отправить уведомление можно на бумаге или по почте ценным письмом либо отнести лично в территориальный орган Роскомнадзора.

Другой вариант — уведомление в электронном виде. Его отправляют с помощью квалифицированной электронной подписи (КЭП) на сайте Роскомнадзора или через учетную запись юрлица (ИП) на «Госуслугах».

Как заполнить уведомление для Роскомнадзора

«Уведомление должно быть подписано уполномоченным лицом. Дальше Роскомнадзор в течение 30 дней после его получения должен внести сведения в реестр операторов. Потом информацию об этом размещают на официальном сайте РКН и на портале персональных данных».

Малхаз Хугашвили

При подготовке уведомления на сайте Роскомнадзора заполняйте все обязательные поля, которые отмечены звездочкой. Вот как это выглядит.

Информация о компании

Блок выглядит так:

Реквизиты лучше заполнять, копируя актуальные данные, — например, из карточки компании/ИП в личном кабинете ФНС.

Цели обработки

Заполнение блока целей выглядит довольно просто:

Следом за целями отмечайте и все категории используемых данных:

Важно ничего не пропустить, чтобы впоследствии не попасть на штрафы от Роскомнадзора.

Сведения о местонахождении базы данных

Здесь указывается, есть ли у вас собственный центр обработки данных (ЦОД) или он выведен на аутсорсинг.

Информация о безопасности персональных данных

Как оператор должен обеспечить безопасность данных — ст. 19 Федерального закона от 27.07.2006 г. № 152-ФЗ

Здесь нужно указать, какие меры принимает компания, чтобы не было утечки данных: например, стоят ли специальные программы для защиты, есть ли отвечающий за безопасность сотрудник, и т. д. Меры должны соответствовать специальным требованиям закона.

Скачать пример бумажного уведомления об обработке персональных данных

Какие внутренние документы нужны ОПД

Чтобы собирать, обрабатывать и хранить персональные данные, работодатель должен утвердить несколько локальных нормативных актов — то есть внутренних документов компании/ИП.

Положение о защите персональных данных

В этом документе нужно прописать порядок работы с персональными данными, список должностных лиц, которые имеют доступ к базе, правила хранения и защиты документов, содержащих персональные данные.

Унифицированной формы положения нет, но есть рекомендации чиновников Роскомнадзора по содержанию такого документа. Итак, в положение включают следующее:

Политика обработки

В этом документе укажите, какие персональные данные физлиц нужны компании и для каких целей, как происходит обработка и хранение информации.

При оформлении трудового или гражданско-правового договора подпишите с сотрудниками согласие на обработку персональных данных. Согласие можно оформить в виде отдельного документа или включить в текст договора.

Пример бланка для согласия сотрудника на обработку персональных данных

Штрафы по персональным данным

Штрафы за нарушения для ОПД — ст. 4.1.2, . ч. 2 ст. 13.11, ст. 19.7 Кодекса РФ об административных правонарушениях

«Если не представить в Роскомнадзор уведомление об обработке персональных данных, написать в нем неверные данные или представить его позже срока (то есть уже после начала обработки персональных данных), то это будет считаться административным правонарушением. Ответственность за него будет, даже если вы просто что-то пропустили и представили неполные сведения».

Малхаз Хугашвили

У Роскомнадзора есть три вида контрольных мероприятий, по итогам которых компанию или ИП могут наказать за нарушения. Это инспекционный визит, документарная проверка или выездная проверка. Чаще всего проводятся документарные проверки — это вариант, когда у компании просто запрашивают нужные РКН документы, без личного выезда инспекторов в офис.

Для профилактики нарушений представитель РКН может приехать в компанию, которая только начала обрабатывать персональные данные. Например, если вы зарегистрировали ООО и начали набор штатных сотрудников в 2023 году, в 2024 году к вам может приехать инспектор. Во время такого визита инспекторы не штрафуют, а только разъясняют ошибки и проводят профилактические беседы.

За нарушение требований законодательства бизнесу грозят следующие штрафы.

За непредставление уведомления до начала обработки персональных данных:
- 300−500 руб. — для должностного лица;
- 1,5−2,5 тыс. руб. — для малого бизнеса;
- 3−5 тыс. руб. — для средних и крупных компаний.
За обработку данных без письменного согласия физлица:
- 100−300 тыс. руб. — для должностного лица;
- 150−350 тыс. руб. — для малого бизнеса;
- 300−700 тыс. руб. — для средних и крупных компаний.

Дополнительные штрафы представлены в таблице ниже.

Вид нарушения

Размер штрафа
(первое нарушение)

Статья
КоАП РФ

Распространение и разглашение персональных данных, в том числе и ответственным лицом

100−300 тыс. руб. — для должностного лица;

150−350 тыс. руб. — для малого бизнеса;

300−700 тыс. руб. — для средних и крупных компаний

Ч. 2 ст. 13.11

Обработка персональных данных в составе, не совместимом с целями получения информации

10−20 тыс. руб. — для должностного лица;

30−50 тыс. руб. — для малого бизнеса;

60−100 тыс. руб. — для средних и крупных компаний

Ч. 1 ст. 13.11

Отказ в предоставлении информации по запросу физлица

8−12 тыс. руб. — для должностного лица;

20−30 тыс. руб. — для ИП и малого бизнеса;

40−80 тыс. руб. — для средних и крупных компаний

Ч. 4 ст. 13.11

Несоблюдение срока уничтожения или блокировки данных, полученных незаконным путем, например без письменного согласия

8−20 тыс. руб. — для должностного лица;

20−40 тыс. руб. — для ИП и малого бизнеса;

50−90 тыс. руб. — для средних и крупных компаний

Ч. 5 ст. 13.11

Распространение/утечка из-за невыполнения условий безопасности при хранении

8−20 тыс. руб. — для должностного лица;

20−40 тыс. руб. — для ИП и малого бизнеса;

50−100 тыс. руб. — для средних и крупных компаний

Ч. 6 ст. 13.11

Как увеличат штрафы за утечку данных — законопроект № 502104-8

Обратите внимание: власти решили увеличить сумму штрафа за утечку персональных данных. Если изменения примут, то штраф будет зависит от количества «утерянной» информации:

1000−10 000 единиц — от 3 до 5 млн руб. для юрлиц;

10 000−100 000 — от 5 до 10 млн руб. для юрлиц;

более 100 000 — от 0,1 до 3% выручки за год (минимум — 15 млн руб., максимум — 500 млн руб.).