Уведомление об обработке персональных данных ИП в Роскомнадзор

Когда ИП должен сообщать в Роскомнадзор о начале обработки персональных данных

Индивидуальные предприниматели, обрабатывающие персональные данные, начиная с 2025 г., обязаны подавать специальное уведомление в Роскомнадзор в трех ситуациях:

1. До начала деятельности с персональной информацией граждан.
2. По окончании обработки персданных, когда больше нет необходимости продолжать работу с ними.
3. В случае возникновения непредвиденных событий вроде незаконных проникновений, хакерских атак или утечек данных.

Таким образом, уведомление в Роскомнадзор для ИП — обязательная процедура во всех перечисленных случаях.

Остается неясным, должен ли самозанятый гражданин направлять уведомление об обработке персональных данных в Роскомнадзор. Ответ читайте в системе КонсультантПлюс. Консультации экспертов в системе КонсультантПлюс можно прочитать после подключения бесплатного пробного доступа по ссылке. Цену на постоянное использование системы узнайте здесь.

Обработка персональных сведений регулируется ФЗ-152 от 27.07.2006 г., который обязует операторов обеспечивать безопасность и защиту такой информации. Организация должна корректно получать, хранить и использовать эти данные посредством специальных российских технологий и оборудования, а также своевременно уведомлять надзорный орган обо всех этапах своей работы с персданными.

Однако существуют исключения, освобождающие от подачи уведомлений:

- если обработка происходит исключительно вручную, без привлечения автоматизированных решений,

- либо осуществляется в целях транспортной безопасности, охраны правопорядка или государственной безопасности.

Под термином «персональные данные» понимаются любые идентифицирующие человека сведения: фамилия, паспортная информация, записи видео-хостингов, медицинские диагнозы, биометрия, религиозные предпочтения и другие аналогичные детали.

Для подготовки пакета документов и детального изучения нормативных актов рекомендуем воспользоваться специализированным ресурсом «Роском Онлайн», где размещен полный перечень необходимых материалов.

Почему ИП должен сообщать о начале обработки персональных данных

Согласно закону (ФЗ-152), операторы вправе собирать личные данные лишь после получения добровольного согласия пользователей. До сбора сведений нужно обязательно предупредить людей, зачем именно собираются их персональные данные и как они будут использованы.

Например, ваш домашний адрес необходим для доставки товаров, паспортные данные требуются банку для оформления депозита, информация о вакцинации детей нужна медицинским учреждениям для качественного обслуживания пациентов.

Согласие на обработку персональных данных представляет собой официальное подтверждение, которое позволяет оператору законно получать, хранить и использовать указанные человеком сведения в согласованных пределах. Пользователь самостоятельно выбирает, какие именно данные раскрывать.

Роскомнадзор осуществляет надзор за соблюдением законодательства РФ о защите права граждан на конфиденциальность личных данных. Ведомство ведет специальный реестр юрлиц и ИП, занимающихся обработкой персональной информации граждан.

Какие сведения сообщают Роскомнадзору об операторе (ч. 3 ст. 22 ФЗ-152):

• имя индивидуального предпринимателя;
• Ф.И.О. и должность ответственного сотрудника ИП;
• список лиц, которым предоставлен доступ к обработке данных;
• цели сбора и использования персональных данных;
• применяемые средства защиты от несанкционированного доступа, компьютерные инциденты и устранение возможных утечек;
• описание используемых информационных ресурсов для обработки и хранения данных;
• планируемый срок ведения деятельности по работе с персональными данными, условия ее завершения.

Как ИП подать уведомление в Роскомнадзор

Роскомнадзор разъясняет на официальном веб-сайте способы направления уведомления оператором, однако конкретные временные рамки нигде не установлены. Главное условие заключается в том, чтобы известить ведомство раньше начала работы с персональными данными.

При изменении указанных в реестре данных организация обязана информировать Роскомнадзор до 15-го числа последующего месяца после изменений согласно ч. 7 ст. 22 ФЗ-152.

Допустим, новое должностное лицо назначено ответственным за работу с персданными 20 января, значит сообщение об изменениях нужно передать не позже 15 февраля.

Для подачи уведомления предусмотрено три варианта действий:

1. На бумажном носителе. Распечатываете бланк формы с официального ресурса Роскомнадзора, заполняете вручную, ставите подпись и лично передаете ее в соответствующий территориальный отдел ведомства либо направляете заказное письмо почтой.
2. Электронный документооборот. Заполняете заявление непосредственно на веб-ресурсе Роскомнадзора, используете электронную цифровую подпись и отправляете онлайн.
3. Через портал «Госуслуги». Этот метод предполагает подачу электронного документа аналогично предыдущему варианту, но здесь предварительно понадобится зарегистрированный аккаунт с подтвержденной идентификацией. Если отправителем выступает юридическое лицо, оно должно быть заранее прикреплено к профилю физического лица (например, директора фирмы).

Как ИП заполнить уведомление в Роскомнадзор

Уведомительная форма утверждена приказом № 180 Роскомнадзора от 28.10.2022 г., содержит стандартные поля и пять разделов, большинство из которых предполагают выбор вариантов из раскрывающихся списков или установку флажков.

Чтобы заполнить раздел, выбираются категории субъектов персданных («работники», «контрагенты», «посетители сайта» и другие).

Как долго Роскомнадзор добавляет оператора в реестр

Срок включения оператора в реестр — максимум 30 календарных дней, начиная с дня получения ведомством вашего заявления. Если статус оператора персданных был получен ранее, повторная подача уведомления не нужна, стоит лишь убедиться, что ваши сведения включены в официальный реестр операторов.

Окончание обработки персональных данных-как оформить

Компания вправе прекратить обрабатывать персональные данные и соответственно сообщить об этом в Роскомнадзор в пределах 10 раб. дней после прекращения такой деятельности.

Предположим, владелец интернет-магазина принял решение закрыть свою деятельность 27 января 2025 г. Последним днем для отправки уведомления будет считаться 7 февраля.

Уведомление Роскомнадзора в случае инцидента с утечкой данных

Если произошел инцидент с утратой, взломом базы данных или иным нарушением безопасности, важно оперативно связаться с Роскомнадзором:

• Сообщить о факте инцидента, степени ущерба и предпринятых действиях необходимо в течение 24 часов.
• По итогам внутренней проверки в течение последующих 72 часов надо представить результаты анализа происшествия и выявленных виновников.

Сообщить о нарушении возможно тремя путями:

• Через портал «Госуслуги».
• Через НКЦКИ в случаях нарушения информационной безопасности.
• Используя систему ИС ГосСОПКА в ситуациях компьютерных угроз.

Процедура предусматривает возможность формирования и отправки электронного уведомления посредством портала госуслуг с последующей проверкой вашей учетной записи и заполнением специальной формы.

Также предусмотрена возможность направления письменного уведомления:

1. Либо по обычной почте в печатном варианте.
2. Электронный вариант с применением цифровой подписи требует установки специального программного обеспечения ("КриптоПро").

Штрафы для ИП за нарушения в сфере персональных данных

Предпринимателям, которые не направляют уведомления в Роскомнадзор, грозит административная ответственность согласно статье 19.7 КоАП. Статья 19.7 охватывает любые ситуации, когда компания либо вовсе не передает необходимую информацию контролирующему органу, либо делает это некорректно или не полностью. Теперь эта норма применяется также к вопросам обработки персданных. С 01.07.2025 в п. 1 этой статьи вносятся изменения (ФЗ-218 от 13.06.2023).

С 30.05.2025 г. начали действовать новые правила наложения штрафов (введены ФЗ-420 от 30.11.2024 г.).

Штрафы за непредоставление сведений о намерениях обрабатывать персональные данные для ИП составляют от 30 до 50 тыс. руб.

При несоблюдении обязанности информирования о нарушениях или инцидентах, связанных с правами субъектов персданных, предусмотрен штраф для ИП от 400 до 800 тыс. руб.