Политика обработки персональных данных
Обработка персональных данных без согласия владельца персональных данных
С 30 мая 2025 года размеры штрафов:
для физлиц — до 30 000 рублей;
для должностных лиц — до 500 000 рублей;
для индивидуальных предпринимателей — до 1 000 000 рублей;
для юридических лиц (организаций) — до 1 500 000 рублей.
Важно: несоблюдение процедуры грозит блокировкой сайтов и сервисов Роскомнадзором.
Итак, вы уже решили, что не хотите получать письмо от Управления Роскомнадзора с похожим текстом:
Управлением Роскомнадзора (далее – Управление) в соответствии с пп. 58-60 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденного постановлением Правительства от 29.06.2021 № 1046, проведено контрольное (надзорное) мероприятие без взаимодействия с контролируемым лицом в отношении организации (далее также – Оператор).
Управлением в целях предупреждения, выявления и пресечения нарушения обязательных требований, установленных законодательством Российской Федерации в области персональных данных, проведен анализ интернет-ресурса https://******/ (далее – Сайт), по результатам которого установлено следующее.
На Сайте размещены формы сбора персональных данных с использованием которых собираются персональные данные пользователей Сайта (в том числе: Имя, фамилия, номер телефона, email.).
Сбор и последующая обработка персональных данных допускается
в случаях, предусмотренных ч. 1 ст. 6 Федерального закона от 27.07.2006
№ 152-ФЗ «О персональных данных» (далее – Закон), в частности:
для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона);
для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона).
Вместе с тем при сборе персональных данных на Сайте выявлено отсутствие правовых оснований обработки персональных данных, предусмотренных ч. 1 ст. 6 Закона.
Кроме того, на Сайте выявлен факт использования метрической программы «Яндекс.Метрика», функционал которой позволяет определить уникального посетителя Сайта, формировать сведения о его предпочтениях и поведении на Сайте, что является обработкой персональных данных и допускается в случаях, установленных ч. 1 ст. 6 Закона.
Вместе с этим в ходе осмотра Сайта выявлено отсутствие правовых оснований обработки персональных данных, собираемых посредством метрической программы «Яндекс.Метрика», в соответствии с ч. 1 ст. 6 Закона, а равно информирование при входе на Сайт об обработке персональных данных с использованием метрической программы «Яндекс.Метрика».
Согласно п. 2 ч. 1 ст. 18.1 Закона одной из мер является издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных, в том числе, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
В соответствии с ч. 4 ст. 21 Закона в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом или другими федеральными законами.
***Перечисляются иные нарушения***
На основании изложенного, руководствуясь п. 1 ч. 3 ст. 23 Закона, просим в срок, установленный ч. 4 ст. 20 Закона (в течение 10 рабочих дней с момента получения настоящего требования), предоставить информацию о соблюдении вышеуказанных требований Закона, а именно ч. 1 ст. 6, п. 2 ч. 1 ст. 18.1, ч. 4 ст. 21.
Ответ может быть направлен в Управление по адресу электронной почты *******@rkn.gov.ru .
Одновременно разъясняем, что в случае непредставления или несвоевременного представления в государственный орган сведений, представление которых предусмотрено федеральным законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или в искаженном виде, предусмотрена административная ответственность в соответствии со статьей 19.7 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ).
За нарушение требований законодательства Российской Федерации в области персональных данных предусмотрена административная ответственность по ст. 13.11 КоАП РФ.
Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования уполномоченного органа по защите прав субъектов персональных данных образует состав административного правонарушения в соответствии с ч. 5 ст. 13.11 КоАП РФ.
Отлично! Мы подскажем что вам нужно сделать:
1. Создать документы и локальные акты, определяющие политику оператора в отношении обработки персональных данных, для каждой цели обработки, в том числе, сроки их обработки, хранения и порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований.
2. Выложить созданные документы и локальные акты на сайт, оформив это соответствующим образом (должны быть легко доступны и читаемы).
3. Пройти регистрацию в качестве оператора на сайте Роскомнадзора (как это сделать написано ниже).
Если у вас возникли проблемы с документами и их размещением на сайте – звоните +7(925)798-35-80 и мы поможем.
Невыполнение обязанности по уведомлению Роскомнадзора влечёт административную ответственность!
Регистрация в Роскомнадзоре (РКН) в качестве оператора персональных данных — обязательная процедура для любого бизнеса, обрабатывающего информацию о клиентах, сотрудниках или подрядчиках. Это закреплено в Федеральном законе №152-ФЗ «О персональных данных».
Кто обязан подать уведомление:
юридические лица — вне зависимости от формы собственности, масштаба бизнеса или частоты обработки данных;
индивидуальные предприниматели, включая тех, кто нанимает персонал или собирает контактные данные клиентов;
самозанятые, если они ведут учёт клиентской базы, сотрудников или подрядчиков в коммерческих целях.
Исключения: не нужно подавать уведомление, если данные уже содержатся в государственных автоматизированных системах, обработка происходит вручную, работа с персональными данными ведётся в рамках законодательства о транспортной безопасности и т. д..
Требования
Перед регистрацией необходимо подготовить внутренние документы по работе с персональными данными. Организация должна заранее разработать и утвердить ряд локальных актов, которые подтвердят, что соблюдаются требования закона №152-ФЗ. Некоторые документы:
Политика оператора в отношении обработки персональных данных — ключевой документ, описывающий цели, состав ПДн, порядок их защиты и т. д..
Приказы и распоряжения по персональным данным — например, приказ о назначении ответственного за обработку ПДн, перечень лиц, допущенных к работе с данными.
Уведомление подаётся один раз — повторно уведомлять Роскомнадзор не нужно, если оператор уже числится в реестре. Однако при изменении характера обработки данных (например, начали собирать новые категории ПДн или передавать их новым партнёрам) стоит обновить внутренние документы и, при существенных изменениях, направить новое уведомление с корректировками.
Процедура
Подать уведомление можно тремя способами:
Электронно через официальный сайт РКН — в этом случае потребуется усиленная электронная цифровая подпись.
Через сайт РКН, пройдя аутентификацию через портал «Госуслуги» — для этого у отправителя должна быть подтверждённая учётная запись. Если уполномоченное лицо подаёт уведомление за организацию, его учётная запись на «Госуслугах» должна быть привязана к этой компании.
В бумажном формате — принести в РКН лично или направить по почте.
В уведомлении требуется указать исчерпывающие сведения о деятельности как оператора:
название и адрес оператора;
правовое основание обработки (обычно, Федеральный закон №152-ФЗ и Трудовой кодекс РФ);
цели обработки (например, «исполнение трудовых отношений», «маркетинговые рассылки», «исполнение договорных обязательств»);
категории обрабатываемых ПД (ФИО, адрес, телефон, данные о здоровье и т. д.);
категории субъектов (работники, клиенты, контрагенты);
сроки обработки и сведения о наличии трансграничной передачи (передача данных за пределы РФ).
Роскомнадзор проверяет уведомление после получения и затем, при отсутствии замечаний, сведения об операторе вносятся в Реестр операторов, осуществляющих обработку персональных данных. Как правило, это происходит в течение 30 дней с момента подачи уведомления.
Проверить, появилась ли организация в реестре, можно на портале Роскомнадзора, найдя раздел реестра операторов ПДн и введя свой ИНН или название компании.
Некоторые виды нарушений и штрафы
| Нарушение | Категория нарушителя | Размер штрафа (с 30 мая 2025 года) |
|---|---|---|
| Обработка персональных данных в случаях, не предусмотренных законом (ч. 1 и 1.1 ст. 13.11 КоАП РФ) | ИП, физлица (первичное нарушение) | 10 000–15 000 рублей |
| (повторное нарушение) | 15 000–30 000 рублей | |
| Должностные лица (первичное нарушение) | 50 000–100 000 рублей | |
| (повторное нарушение) | 100 000–200 000 рублей | |
| Юридические лица (первичное нарушение) | 150 000–300 000 рублей | |
| (повторное нарушение) | 300 000–500 000 рублей | |
| Неуведомление Роскомнадзора о намерении обрабатывать персональные данные (ч. 10 ст. 13.11 КоАП РФ) | Граждане | 5 000–10 000 рублей |
| Должностные лица (государственные/муниципальные органы, НКО) | 30 000–50 000 рублей | |
| Юридические лица (не являющиеся государственными/муниципальными органами или НКО), ИП | 100 000–300 000 рублей | |
| Неоповещение Роскомнадзора об утечке персональных данных (ч. 11 ст. 13.11 КоАП РФ) | Граждане | 50 000–100 000 рублей |
| Должностные лица | 400 000–800 000 рублей | |
| Юридические лица | 1 000 000–3 000 000 рублей | |
| Утечка персональных данных (в зависимости от количества затронутых субъектов и других условий) | Граждане | Варьируется в зависимости от масштаба утечки |
| Должностные лица | Варьируется в зависимости от масштаба утечки | |
| Юридические лица | Варьируется в зависимости от масштаба утечки |
Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.