Как известно, 1 сентября 2022 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», согласно которым были исключены почти все пункты, позволяющие осуществлять обработку персональных данных без включения в реестр операторов персональных данных (уведомления об обработке персональных данных).
С 1 сентября, если у компании есть трудовые отношения с сотрудниками или иные гражданско-правовые отношения с клиентами, контрагентами и т.д., такая компания обязана уведомить Роскомнадзор об обработке персональных данных.
Есть всего несколько исключений, когда не нужно направлять уведомление (вносить сведения в реестр операторов персональных данных):
- обработка персональных данных (любой информации о конкретном человеке, даже ФИО) исключительно на бумажных носителях от руки без использования технических средств;
- обработка персональных данных в государственных информационных системах, связанных с безопасностью Российской Федерации и транспортной безопасностью.
Что ж, изучив все изменения, Вы направили уведомление в Роскомнадзор, и Вас внесли в реестр операторов персональных данных. Вроде бы все хорошо, и больше можно об этом не думать. Однако, все не так просто!
С того момента, как сведения о Вашей компании внесены в реестр операторов персональных данных, Роскомнадзор теперь Вас знает и может в любой момент прийти с проверкой.
Как же правильно обрабатывать персональные данные?
Прежде всего, все персональные данные должны храниться на территории Российской Федерации.
Кроме того, у операторов персональных данных должно быть лицензионное программное обеспечение, а также лицензионная антивирусная система защиты информации на компьютерах или серверах, на которых она хранится. Конечно, не всем под силу выполнить такие требования, особенно малому бизнесу.
Выход из данной ситуации заключается в максимальных усилиях по правильной обработке персональных данных. Например, можно хотя бы иметь в наличии пакет документов, необходимых для обработки персональных данных. Таких документов должно быть 46, подробный список можно посмотреть у нас на сайте.
Имейте в виду, проверку деятельности компании может инициировать не только Роскомнадзор, но и органы прокуратуры, МВД, Минтруда РФ. Если на проверке оператор предоставит государственному органу хотя бы полный комплект документов, обязательный для обработки персональных данных, последствия отсутствия лицензионных ПО или антивируса могут быть минимальны. Приняв максимальные усилия по приведению своей деятельности в соответствие закону, можно избежать максимальных санкций госорганов, отделавшись, например, предупреждением.
Опытные специалисты группы компаний Объединенные Юристы готовы помочь Вам разработать формы обязательных документов для обработки персональных данных специально для Вашей компании, чтобы избежать наступления негативных последствий, когда к Вам придет проверка после уведомления Роскомнадзора об обработке персональных данных.
https://www.ulc.ru/razrabotka-paketa-dokumentov-operatora-personalnyh-dannyh/
Гольская Екатерина,
юрист, специалист по лицензированию
группы Объединённые Юристы.