Как автосервису избежать многотысячных штрафов от Роскомнадзора? 

ОтКомпания «АвтоДилер»

А вы знали, что практически любая российская компания является оператором персональных данных — и речь не только о юрлицах, под закон подпадают также ИП и самозанятые?

Это значит, что и ваш автосервис тоже обязан соблюдать законодательство сфере защиты ПД и отправить соответствующее уведомление в Роскомнадзор. 

Скорее читайте нашу статью: спешим поделиться, как правильно подготовить уведомление, почему лучше успеть до 30 мая и что будет, если вообще этого не сделать.

Для удобства статью подготовили в формате вопрос-ответ. 

А я точно должен подавать уведомление о работе с ПД?

Согласно закону, любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу, уже является персональными данными. Так что, даже если у вас в телефоне просто записаны фамилия, имя и номер сотрудника, или же вы храните список электронных почт клиентов, которые подписались на рассылку, — вы уже становитесь оператором персональных данных.

Если вы еще не отправляли уведомление, это нужно сделать сейчас — причем закон касается как юридических лиц и ИП, так и самозанятых. Последние подают уведомление как физическое лицо. 

Проверить, находится ли ваша компания в реестре операторов, можно на сайте Роскомнадзора.

Если сведения, которые вы отправили в РКН, изменились, вам нужно еще раз отправить уведомление с обновленными данными — до 15 числа следующего месяца.

Также корректирующее уведомление следует подать тем, кто отправлял его до февраля 2023 года, используя старую форму уведомления. Если этого не сделать, можно получить штраф.

Почему мне надо подать уведомление прямо сейчас?

Вообще, по закону вы обязаны уведомить РКН о своем намерении осуществлять обработку персональных данных — то есть прислать уведомление до начала работы компании. Однако на текущий момент к опоздавшим из числа малого и среднего бизнеса относятся снисходительно. Если ранее вы не нарушали закон, отделаетесь предупреждением. 

Но даже если вас решат оштрафовать, до конца следующей недели штраф будет ниже — суммы вырастут уже 30 мая 2025 года:

Штрафы за неуведомление РКН о том, что вы являетесь оператором персональных данных (с 30 мая 2025 г).
Для физических лицОт 5 000 до 10 000 руб.
Для должностных лиц организацийОт 30 000 до 50 000 руб.
Для ИП и юридических лицОт 100 000 до 300 000 руб.

Так что, если вы хотели сохранить эту страницу в закладках и оставить на потом, настоятельно рекомендуем дочитать до конца и взяться за дело уже завтра. 

Как подготовиться к отправке уведомления?

Расскажем как есть: если раньше многие компании просто отправляли уведомление и забывали о нем, сегодня так сделать не получится. Вооружившись нейросетями, сотрудники РКН мониторят сайты предприятий и сравнивают информацию, поданную в уведомлении, с нормативными документами компании.

Поэтому начать заполнение заявления лучше с подготовки внутренней документации компании и реальной работы в сфере обеспечения безопасности ПД в вашей компании. 

1. Издайте Приказ о назначении ответственного за работу с персональными данными. Это может быть генеральный директор, кадровик или любой другой сотрудник. 

2. Соберите информацию обо всех базах, которые существуют в вашей организации — от записей номеров потенциальных клиентов в телефоне у менеджера до файлов с графиком отпусков на компьютере бухгалтера. Все ненужное следует удалить, а необходимые базы перенести на защищенные сервера. В дальнейшем аудит баз должен проводиться регулярно с внесением отметок в специальный журнал. 

3. Откажитесь от сбора ненужной информации в дальнейшем. Например, вы можете перестать собирать данные о днях рождениях клиентов, если не используете эти данные в маркетинговых целях. 

Чем меньше информации вы храните, тем лучше для вас. Собирайте только те данные, касательно которых вы можете обосновать, зачем они вам нужны. Например, для оказания услуг автосервиса вам не обязательно делать копию паспорта клиента — а за избыточный сбор данных вам могут назначить штраф

4. Приказом утвердите места хранения баз и объем собираемой в них информации. Сотрудники должны будут использовать их, а не личные файлы, для хранения персональных данных.

Хорошей идеей будет сегментация баз на собственных серверах компании, так как это затруднит злоумышленникам возможность получить доступ ко всем имеющимся у вас персональным данным. 

Если вы храните данные в программе «АвтоДилер Онлайн» — вам не о чем переживать. За кибербезопасность отвечаем мы и «Яндекс.Облако» — компания, у которой мы арендуем сервера.

Программа АвтоДилер Онлайн помогает управлять работой автосервиса и обеспечивает безопасность персональных данных ваших сотрудников и клиентов.

попробуйте бесплатно

5. Разделите доступы сотрудников к базам данных, чтобы легче отслеживать утечки. При работе с такими программами, как АвтоДилер, заведите отдельного пользователя для каждого сотрудника. Если каждый работник будет заходить со своим логином и паролем, это снизит риски для бизнеса.

6. Разработайте документы по работе с персональными данными. В первую очередь это должны быть Политика в области обработки персональных данных и Согласия на обработку персональных данных (отдельное согласие нужно для каждой цели сбора — например, для сотрудников и клиентов). Эти документы должны быть опубликованы на сайте организации, а если его нет — размещены в общедоступном месте: например, в уголке потребителя.

Также вам предстоит разработать локально-нормативные акты в области обработки персональных данных. Примерный список документов от Роскомнадзора включает в себя 14 пунктов. 

7. Проведите Оценку вреда, который может быть причинен субъектам персональных данных. В этом документе вы должны зафиксировать потенциальные ситуации, в которых может быть причинен субъектам персональных данных, и как вы планируете не допустить их. Примеры можно найти в интернете — как правило, такие документы публикуют государственные учреждения. 

8. Проверьте сайт. Помимо размещения Политики и Согласия пользователей на обработку ПД, обратите внимание на следующие пункты:

  • Оставляя персональные данные на вашем сайте, пользователи дают Согласие на обработку ПД в соответствии с опубликованным на сайте документом. 
  • При использовании Cookies выводится предупреждающий баннер. 
  • Если на сайте есть персональные данные — например, имена и фото сотрудников — должно быть размещено уведомление о недопустимости копировании и использовании информации третьими лицами. 

Кстати, при размещении персональных данных и фото физических лиц на сайте у вас должно быть на это отдельное письменное согласие.

9. Проведите обучение и тестирование сотрудников по правилам работы с ПД. Ведите журнал — в случае утечки он подтвердит, что вы относились к своим обязанностям со всей ответственностью.

10. Проверьте актуальность антивирусов и сканеров уязвимости1, межсетевых экранов, средств защиты от несанкционированного доступа. Убедитесь, что пользователи используют надежные пароли для входа в рабочие системы. 

Все пункты готовы? Можно переходить к заполнению уведомления. В нем вы должны будете отразить все предпринятые действия. 

Впрочем, даже если вы не подадите уведомление в РКН, в ваши обязанности все равно будет входить исполнение закона «О персональных данных» — а значит, все описанные выше шаги вы должны выполнить.

Как отправить уведомление?

Есть три способа отправки: 

1. На сайте РКН с использованием электронной подписи. Для этого перейдите на сайт Роскомнадзора и заполните форму. Для того чтобы подписать и отправить форму, у вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним.

2. Через Госуслуги. Самозанятым достаточно будет подтвержденной учетной записи. Если вы хотите подать уведомление за организацию, ваш аккаунт должен быть привязан к ней на портале Госуслуг. 

3. В бумажном виде. Заполните форму на сайте Роскомнадзора, распечатайте и отправьте в территориальный орган. 

Что поможет заполнить форму уведомления?

Сразу хотим предупредить, что к процессу лучше подготовиться — сайт не сохраняет прогресс заполнения и может автоматически сбросить введенные данные через 40–60 минут после начала работы с уведомлением. Так что, если в процессе вы прерветесь и захотите вернуться к заполнению позже, прогресс может не сохраниться

Как вариант — для начала пройдитесь по вопросам и впишите в обычный файл на компьютере все сведения, которые нужно внести в форму. Так они останутся под рукой, когда вы будете готовы заполнить анкету до конца на сайте РКН.

Обратите внимание, что некоторые вопросы подчеркнуты пунктирной линией — при наведении курсора появится подсказка о том, что должно содержать поле. 

Возможно, более полезными для заполнения будут реальные примеры — вы можете посмотреть, как заполнили форму ваши конкуренты. Для этого в базе реестра введите ИНН интересующего юрлица. Кстати, ваша анкета также появится в открытом доступе после отправки. 

Что конкретно писать в форме уведомления?

Итак, что вас ждет? Публикуем пошаговую инструкцию с разъяснением сложных моментов:

1. В первом блоке необходимо ввести информацию о вашей компании — вы найдете ее в своих учредительных документах. 

В графе «Регионы обработки» вам следует указать все субъекты РФ, на территории которых вы работаете с персональными данными — то есть, если ваш бухгалтер сидит на удаленке в соседней области, а облачные сервера расположены в другом регионе, их тоже важно отметить. 

Регионы обработки для программы «АвтоДилер Онлайн» можно узнать в нашей Справке.

Также вы можете выбрать «Все субъекты Российской Федерации» — это упростит вам задачу. 

2. В следующем блоке вы указываете цель сбора и обработки персональных данных. Если у вас не одна цель, блок заполняется отдельно на каждую из них. Добавить следующую цель можно, нажав кнопку «Добавить цель обработки» в конце блока. Переключаться с одной цели на другую можно вверху блока, там же можно удалить цель. Особых трудностей тут нет — просто выбирайте необходимое из списка. 

Цели следует прописывать максимально точно — не просто «договорные отношения», а, например, «заключение договоров с клиентами на ремонт и техническое обслуживание автомобиля».

Когда вы хотите дополнить списки и выбираете пункт «Иные», обязательно укажите, какие именно категории вы имеете в виду. Например, это может быть степень родства или паспортные данные.

Указанные в данном пункте цели и категории должны совпадать с тем, что вы написали в документе «Политика обработки персональных данных». Если заявленные цели не будут совпадать, это может стать основанием для проверки со стороны РКН

Список целей и категорий собираемых данных под каждую из них должен быть необходимым и достаточным. Если вы укажете не все категории, это может стать поводом для жалобы в РКН со стороны клиента или сотрудника. 

3. В третьем блоке необходимо указать меры и средства обеспечения безопасности персональных данных. Здесь можно указать меры, указанные в статьях 18.1 и 19 Федерального закона «О персональных данных».

В поле «Средства обеспечения безопасности» укажите технические средства, которые обеспечивают безопасность персональных данных при их обработке. Например, программы-антивирусы и использование логинов и паролей при входе в информационные системы. 

Будьте готовы к тому, что РКН может проверить, как вы на практике реализуете меры обеспечения безопасности ПД — например, запросить нормативные документы.

В строке «Дата начала обработки персональных данных» укажите дату регистрации ИП, юридического лица или статуса самозанятого. 

В поле «Срок или условие прекращения обработки персональных данных» выберите «Условие окончания», а ниже укажите «Прекращение деятельности организации». Когда вы прекратите обработку персональных данных, уведомление об этом следует отправить в течение 10 рабочих дней.

В случае, если вы планируете осуществлять трансграничную передачу данных2, уведомление об этом подается отдельно.

4. В 4 пункте нужно указать физическое расположение места хранения данных. Согласно закону, хранить данные о россиянах можно только на территории РФ.

Для сведений, которые вы вносите в программу «АвтоДилер Онлайн», актуальные данные о расположении баз хранения можно взять в Справке программы.

При использовании других программ и облачных хранилищ следует также выяснить их адреса и внести в заявление. Адрес вашего собственного сервера будет совпадать с местом его физического расположения.

5. Затем укажите Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах. 

Если вы не работаете с данными из государственных и муниципальных систем, просто удалите блок. 

6. В последнем блоке вам нужно указать Сведения об обеспечении безопасности персональных данных — их можно сформулировать на основе пункта 13 постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

В качестве исполнителя укажите человека, который заполнил форму. 

После отправки формы сохраните номер и ключ уведомления. По ним вы сможете отслеживать статус уведомления, а при создании корректирующих уведомлений их можно будет автоматически заполнить на основе уже существующего.

Если заявление будет отклонено, проверьте почту, которую вы указали в качестве контактной — в письме от РКН будут указаны ошибки для исправления. 

Уведомление подано! На этом все?

Увы, это только начало пути. Во-первых, вам нужно будет регулярно проводить обучение и тестирование сотрудников по правилам обеспечения безопасности ПД. Во-вторых — проверять актуальность средств защиты, а отчеты о проведенных мероприятиях заносить в журнал. 

Кроме того, есть еще 2 типа уведомлений, которые вы также обязаны подавать

Корректирующие уведомления

Не забывайте, что вам также нужно будет своевременно уведомлять РКН обо всех изменениях в сборе и обработке персональных данных. Например:

  • Изменился Ответственный за организацию обработки ПД;
  • У вас появились новые цели обработки или, наоборот, перечень целей уменьшился;
  • Появились новые категории ПД или их перечень уменьшился; 
  • Изменились способы обработки ПД;
  • Изменилось наименование или адрес оператора;
  • Изменился перечень мест расположения баз данных. 

Корректирующее уведомление следует подать до 15 числа следующего месяца.

Уведомления об утечках персональных данных

Если у вас есть подозрение, что ваши базы ранее могли попасть в чужие руки, рассказать об этом также лучше до 30 мая. Сейчас датой правонарушения, связанного с утечкой персональных данных, считается дата, когда было подтверждено раскрытие данных неограниченному кругу лиц. И если ваша база «всплывет» уже летом 2025 года — штрафы будут начислены «по новому тарифу».

Штрафы за неуведомление РКН об утечке данных (с 30 мая 2025 г).
Для физических лицОт 50 000 до 100 000 руб.
Для должностных лиц организацийОт 400 000 до 800 000 руб.
Для ИП и юридических лицОт 1 000 000 до 3 000 000 руб.

В дальнейшем, если вы обнаружили утечку данных, вам следует информировать об этом Роскомнадзор:

  • В течение 24 часов вы обязаны предоставить информацию об утечке ПД, предполагаемых причинах и вреде, нанесенном субъектам персональных данных, а также о мерах по устранению последствий. Также нужно указать контакты ответственного лица, которое будет общаться с РКН по поводу утечки;
  • В течение 72 часов следует доложить о результатах внутреннего расследования и лицах, чьи действия привели к утечке (если они есть).

В каких случаях вы должны сообщить о подозрении на утечку данных

  • Вы выявили неправомерное копирование базы данных (например, вы узнали, что бывший сотрудник скопировал себе контакты клиентов);
  • Копия вашей базы данных доступна в интернете;
  • Вы получили сообщение с угрозой раскрыть вашу базу данных;
  • На вашем оборудовании обнаружен вирус-шифровальщик;
  • Ваш сервер был взломан. 

Да, тут действительно лучше кричать «волки» и предупредить РКН, что возможна утечка (например, если на вашем компьютере обнаружен вирус-шифровальщик), а в дальнейшем написать объяснительную, чем не сделать этого и узнать о несанкционированном распространении данных уже от Роскомнадзора вместе со штрафом. 

В каких случаях вам не нужно уведомлять РКН об утечке данных?

  • Несанкционированный доступ внутреннего пользователя (сотрудника) к базе без копирования информации;
  • Случайное уничтожение данных внутренним пользователем;
  • Подозрительная активность пользователя системы. 

За сам факт утечки персональных данных также предусмотрен штраф:

Штрафы за утечку персональных данных (с 30 мая 2025 г).
Для физических лицОт 2 000 до 6 000 руб.
Для ИПОт 10 000 до 20 000 руб.
Для юридических лицОт 150 000 до 300 000 руб.

Немного хороших новостей — суммы штрафов за утечку персональных данных могут быть уменьшены. Для этого вам нужно будет доказать, что вы соблюдали следующие правила: 

1. Ежегодные инвестиции в информационную безопасность оператора составили не менее 0,1% от оборота/выручки в течение 3 лет. Сюда относятся закупки антивирусов, межсетевых экранов, средств защиты информации, услуги пентестов3

2. Отсутствие отягчающих обстоятельств: ранее вы не привлекались к административной ответственности.

3. У вас есть документальное подтверждение соблюдения требований к защите персональных данных: вы подали уведомление, у вас подготовлен весь пакет документов в сфере обеспечения безопасности персональных данных, а также журналы о проведении обучения у сотрудников и плановых проверок соблюдения правил безопасности. 

Приглашаем обсудить статью с коллегами в комментариях нашего Телеграм-канала!

Там же запустили опрос о том, готовы ли вы к работе с персональными данными — следим с большим интересом!

  1. Сканеры уязвимостей — это программы для диагностики и мониторинга сетевых компьютеров, позволяющее сканировать сети, компьютеры и приложения для обнаружения потенциальных уязвимостей в системе безопасности. ↩︎
  2. Трансграничная передача персональных данных — это передача личной информации о человеке на территорию иностранного государства органам власти, физическим или юридическим лицам этой страны. В частности, это касается случаев, когда организация или физическое лицо передает персональные данные за границу, например, при использовании зарубежных сервисов или при работе с иностранными контрагентами.  ↩︎
  3. Пентест — имитация атаки хакеров для определения уровня защищенности. ↩︎

АвтоДилер Онлайн –
программа для автосервиса

  • Все для управления СТО
  • Старт за 5 минут
  • Поддержка и обучение
  • От 1 495 р./мес.
Попробовать бесплатно

Похожие записи

Когда один день стоит целого года

Когда один день стоит целого года

ОтКомпания «АвтоДилер»

Если у фермеров летний день год кормит, то у шиномонтажников — осенний. Примерно в середине осени наступает горячая пора, когда очереди «на переобуться» становятся длиннее, чем в театральный буфет во время антракта. В этой статье обсудим, как справиться с этим бурным  потоком и заработать в шиномонтажный сезон.

5 способов ускорить оформление заказ-наряда

5 способов ускорить оформление заказ-наряда

ОтКомпания «АвтоДилер»

Рассказываем, как оптимизировать заполнение главного документа в работе любого автосервиса — заказ-наряда.

Бизнес на распутье: что лучше открыть начинающему автокоммерсанту?

Бизнес на распутье: что лучше открыть начинающему автокоммерсанту?

ОтКомпания «АвтоДилер»

Начинающие коммерсанты в поисках стабильной ниши в бизнесе часто останавливаются на автомобильной сфере: спрос может измениться на всё, но человеку во все времена нужно будет на чем-то ездить и это что-то обслуживать. Вопрос только в том, что предпочтительнее — автосервис, автомойка или шиномонтаж.

Не место красит автосервис, а автосервис — место

Не место красит автосервис, а автосервис — место

ОтКомпания «АвтоДилер»

Успех нового автосервиса напрямую зависит от заложенной в него стратегии. А в её основе лежит место, в котором вы планируете запустить бизнес. Выбирать локацию нужно ответственно, и в качестве совета мы перечислили в этой статье основные варианты с их сильными и слабыми сторонами.

Франшизы VS независимые СТО

Франшизы VS независимые СТО

ОтКомпания «АвтоДилер»

Как поступить, если открыть автосервис хочется, а нужного опыта не хватает? Можно купить готовый бизнес по франшизе. Или всё-таки лучше набить собственные шишки на пути к успеху? Разберём в этой статье.