Уведомление об обработке персональных данных: нюансы законотворчества

Уведомление об обработке персональных данных: нюансы законотворчества

Дата публикации 5 февраля 2024
Экспертный опыт

В предыдущем интервью начальник отдела экспертной поддержки экосистемы приложений «Альфа» Вера Скопинцева отметила, что чаще всего нарушения касаются подачи уведомления об обработке персональных данных в Роскомнадзор. Сегодня мы подробнее остановимся на этой теме.

− Здравствуйте, Вера! Тема уведомления об обработке персональных данных достаточно сложная. Расскажите, пожалуйста, подробнее, какие трудности возникают у операторов персональных данных при отправке уведомления в Роскомнадзор?

 

− От наших пользователей поступает очень много вопросов, связанных с уведомлением, так как его должны отправлять практически все операторы персональных данных. За свою практику я ещё не сталкивалась с организациями, которым бы не надо было этого делать.

Если говорить о сложностях, с которыми организации столкнулись в последнее время, то они связаны с внесением изменений в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

 

− Что изменилось в законе?

− С 1 сентября 2022 года внесены поправки в ч. 2 ст. 22 Федерального закона № 152-ФЗ, в которой были перечислены случаи, когда оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа. Так, из девяти пунктов утратили силу шесть пунктов. Убрали основные исключения, в том числе пункт 1, на который ссылались многие организации при отсутствии уведомления во время проверок Роскомнадзора. Они считали, что если обрабатывают персональные данные «в соответствии с трудовым законодательством» (п. 1), то уведомление можно не отправлять. Но это было ошибочное мнение, так как организации почему-то не учитывали, что в рамках своей деятельности они обрабатывают персональные данные и в других целях, кроме как в целях выполнения требований трудового законодательства. Соответственно, подавать уведомление всё-таки было нужно.

 

− А какие исключения остались?

 

− В действующей редакции осталось всего три пункта, под которые фактически никто не попадает. Оператор вправе осуществлять без уведомления обработку персональных данных:

«7) включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства».

 

− Хорошо, практически все операторы персональных данных должны отправлять уведомление в Роскомнадзор. А есть утверждённые формы уведомлений?

 

− 26 декабря 2022 года на Портале персональных данных Роскомнадзора появились новые формы уведомлений, которые соответствуют приказу Роскомнадзора от 28 октября 2022 года № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».

И здесь тоже произошли существенные изменения. Теперь уведомление в Роскомнадзор подаётся не в разрезе информационных систем, а в разрезе целей обработки персональных данных. Уведомление стало более конкретным и объёмным. При этом целей много, они достаточно узкие и часто перекликаются между собой. На мой взгляд, подать уведомление сейчас сложнее, чем до появления новых форм.

 

− Скажите, Вера, как быть операторам, которые уже подали уведомление в Роскомнадзор по старому образцу?

 

− Вопрос очень актуальный. Разъяснения по нему дал Юрий Евгеньевич Контемиров, начальник Управления по защите прав субъектов персональных данных Роскомнадзора. 1 марта 2023 года во время онлайн-выступления он подчеркнул, что если уведомление подано до вступления в силу изменений в законодательство, то есть до 1 сентября 2022 года, необходимо подать уведомление о внесении изменений в ранее поданное уведомление в порядке и форме, установленных новым приказом Роскомнадзора. То есть даже если у вас не произошло никаких изменений в текущей деятельности, вам в любом случае нужно подать уведомление о внесении изменений и указать информацию в разрезе целей обработки персональных данных.

 

− Есть какие-либо сроки подачи уведомления в Роскомнадзор?

 

− Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ «О персональных данных» оператор о своём намерении осуществлять обработку персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) до начала обработки персональных данных. Но как мы понимаем, это сделать достаточно сложно и на практике многие отправляют уведомление в Роскомнадзор уже в процессе своей деятельности.

В информационном сообщении, размещённом на Портале персональных данных Роскомнадзора, отмечено, что федеральным законом предельный срок подачи уведомления об обработке персональных данных, а также об изменениях сведений, содержащихся в нём, не определён.

При этом в п. 7 ст. 22 Федерального закона № 152-ФЗ сказано, что в случае изменения сведений, содержащихся в уведомлении, «оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных».

 

− Как вы это трактуете?

 

− Как эксперты в данной сфере мы уже выработали единую согласованную позицию. Если в вашей деятельности ничего не поменялось, но уведомление отправлено по прежней форме, предельного срока по отправке уведомления о внесении изменений нет. Но это не говорит о том, что можно забыть про него. Это обязательно нужно сделать, просто предельного срока пока нет. Если же ранее вы подавали уведомление и параллельно с выходом новых форм в вашей организации изменились сведения, которые содержатся в уведомлении, или добавились новые данные, здесь уже срок определён п. 7 ст. 22 Федерального закона № 152-ФЗ.

 

− А чем грозит отсутствие уведомления или несоответствие сведений в нём?

 

− Этот вопрос регулируется статьёй 19.7 КоАП РФ и влечёт предупреждение или наложение административного штрафа.

 

− Ну и напоследок, при помощи экосистемы приложений «Альфа» можно отправить уведомление в Роскомнадзор?

 

− Хотелось бы ещё раз отметить, что подавать уведомление по новой форме сложно, потому что целей очень много, все их нужно описать. И мало отправить уведомление в Роскомнадзор, нужно ещё и в своей локальной документации прописать всё в разрезе этих же целей, чтобы было полное соответствие информации и в уведомлении, и в разработанных документах.

АльфаДок, который входит в экосистему приложений «Альфа», помогает и сформировать документы, и отправить уведомление в Роскомнадзор. На сегодняшний день при помощи АльфаДок можно подать уведомление о намерении осуществлять обработку персональных данных, уведомление об изменении сведений, уведомление о прекращении обработки персональных данных и уведомление о трансграничной передаче персональных данных.

 

− Благодарю за интервью!

 

Беседовала Людмила Егорова


Статьи по теме
Кейсистемс-Безопасность Контакты:
Адрес: пр. М. Горького, д. 18Б 428000 Чебоксары,
Телефон:88005005233, Электронная почта: alfa@npc-ksb.ru