В предыдущем интервью начальник отдела экспертной поддержки экосистемы приложений «Альфа» Вера Скопинцева отметила, что чаще всего нарушения касаются подачи уведомления об обработке персональных данных в Роскомнадзор. Сегодня мы подробнее остановимся на этой теме.
− Здравствуйте, Вера! Тема уведомления об обработке персональных данных достаточно сложная. Расскажите, пожалуйста, подробнее, какие трудности возникают у операторов персональных данных при отправке уведомления в Роскомнадзор?
− От наших пользователей поступает очень много вопросов, связанных с уведомлением, так как его должны отправлять практически все операторы персональных данных. За свою практику я ещё не сталкивалась с организациями, которым бы не надо было этого делать.
Если говорить о сложностях, с которыми организации столкнулись в последнее время, то они связаны с внесением изменений в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
− Что изменилось в законе?
− С 1 сентября 2022 года внесены поправки в ч. 2 ст. 22 Федерального закона № 152-ФЗ, в которой были перечислены случаи, когда оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа. Так, из девяти пунктов утратили силу шесть пунктов. Убрали основные исключения, в том числе пункт 1, на который ссылались многие организации при отсутствии уведомления во время проверок Роскомнадзора. Они считали, что если обрабатывают персональные данные «в соответствии с трудовым законодательством» (п. 1), то уведомление можно не отправлять. Но это было ошибочное мнение, так как организации почему-то не учитывали, что в рамках своей деятельности они обрабатывают персональные данные и в других целях, кроме как в целях выполнения требований трудового законодательства. Соответственно, подавать уведомление всё-таки было нужно.
− А какие исключения остались?
− В действующей редакции осталось всего три пункта, под которые фактически никто не попадает. Оператор вправе осуществлять без уведомления обработку персональных данных:
«7) включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства».
− Хорошо, практически все операторы персональных данных должны отправлять уведомление в Роскомнадзор. А есть утверждённые формы уведомлений?
− 26 декабря 2022 года на Портале персональных данных Роскомнадзора появились новые формы уведомлений, которые соответствуют приказу Роскомнадзора от 28 октября 2022 года № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».
И здесь тоже произошли существенные изменения. Теперь уведомление в Роскомнадзор подаётся не в разрезе информационных систем, а в разрезе целей обработки персональных данных. Уведомление стало более конкретным и объёмным. При этом целей много, они достаточно узкие и часто перекликаются между собой. На мой взгляд, подать уведомление сейчас сложнее, чем до появления новых форм.
− Скажите, Вера, как быть операторам, которые уже подали уведомление в Роскомнадзор по старому образцу?
− Вопрос очень актуальный. Разъяснения по нему дал Юрий Евгеньевич Контемиров, начальник Управления по защите прав субъектов персональных данных Роскомнадзора. 1 марта 2023 года во время онлайн-выступления он подчеркнул, что если уведомление подано до вступления в силу изменений в законодательство, то есть до 1 сентября 2022 года, необходимо подать уведомление о внесении изменений в ранее поданное уведомление в порядке и форме, установленных новым приказом Роскомнадзора. То есть даже если у вас не произошло никаких изменений в текущей деятельности, вам в любом случае нужно подать уведомление о внесении изменений и указать информацию в разрезе целей обработки персональных данных.
− Есть какие-либо сроки подачи уведомления в Роскомнадзор?
− Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ «О персональных данных» оператор о своём намерении осуществлять обработку персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) до начала обработки персональных данных. Но как мы понимаем, это сделать достаточно сложно и на практике многие отправляют уведомление в Роскомнадзор уже в процессе своей деятельности.
В информационном сообщении, размещённом на Портале персональных данных Роскомнадзора, отмечено, что федеральным законом предельный срок подачи уведомления об обработке персональных данных, а также об изменениях сведений, содержащихся в нём, не определён.
При этом в п. 7 ст. 22 Федерального закона № 152-ФЗ сказано, что в случае изменения сведений, содержащихся в уведомлении, «оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных».
− Как вы это трактуете?
− Как эксперты в данной сфере мы уже выработали единую согласованную позицию. Если в вашей деятельности ничего не поменялось, но уведомление отправлено по прежней форме, предельного срока по отправке уведомления о внесении изменений нет. Но это не говорит о том, что можно забыть про него. Это обязательно нужно сделать, просто предельного срока пока нет. Если же ранее вы подавали уведомление и параллельно с выходом новых форм в вашей организации изменились сведения, которые содержатся в уведомлении, или добавились новые данные, здесь уже срок определён п. 7 ст. 22 Федерального закона № 152-ФЗ.
− А чем грозит отсутствие уведомления или несоответствие сведений в нём?
− Этот вопрос регулируется статьёй 19.7 КоАП РФ и влечёт предупреждение или наложение административного штрафа.
− Ну и напоследок, при помощи экосистемы приложений «Альфа» можно отправить уведомление в Роскомнадзор?
− Хотелось бы ещё раз отметить, что подавать уведомление по новой форме сложно, потому что целей очень много, все их нужно описать. И мало отправить уведомление в Роскомнадзор, нужно ещё и в своей локальной документации прописать всё в разрезе этих же целей, чтобы было полное соответствие информации и в уведомлении, и в разработанных документах.
АльфаДок, который входит в экосистему приложений «Альфа», помогает и сформировать документы, и отправить уведомление в Роскомнадзор. На сегодняшний день при помощи АльфаДок можно подать уведомление о намерении осуществлять обработку персональных данных, уведомление об изменении сведений, уведомление о прекращении обработки персональных данных и уведомление о трансграничной передаче персональных данных.
− Благодарю за интервью!
Беседовала Людмила Егорова