Персональные данные и Роскомнадзор
ПОДАТЬ ИЛИ НЕ ПОДАТЬ УВЕДОМЛЕНИЕ В РОСКОМНАДЗОР? Кажется, вот он, главный вопрос этой недели.
1. В соответствии со ст. 22 закона № 152-ФЗ Оператор до начала обработки персональных данных (ПДн) обязан уведомить Роскомнадзор (РКН).
Это значит, что до того, как физическое лицо, ИП, юридическое лицо начнет совершать любые действия с персональными данными, он должен обязательно подать уведомление в Роскомнадзор (РКН).
2. Тогда возникает вопрос: «А что будет если не подать уведомление?»
В соответствии со ст. 19.7 КоАП за НЕПРЕДОСТАВЛЕНИЕ (вообще не подали уведомление или информацию об изменении сведений в ранее поданное уведомление) или НЕСВОЕВРЕМЕННОЕ (подали уведомление или изменения в него с опозданием) сведений в РКН полагается штраф:
Ответ: Роскомнадзор не может знать ТОЧНУЮ и ПРЕДЕЛЬНУЮ дату НАЧАЛА ОБРАБОТКИ каждого, отдельно взятого Оператора, так чтобы эта дата была ЕДИНОЙ для всех.
То есть, 1 сентября 2022 – дата вступления в силу изменений в закон № 152-ФЗ, а не единая для всех операторов дата начала обработки ПДн.
Практика применения РКН штрафов по ст. 19.7 КоАП РФ такова, что Операторы попадают под штраф, если на дату направления запросов о предоставлении информации/сведений или во время контрольно-надзорных мероприятий Роскомнадзор не видит физическое лицо, ИП, юридическое лицо в реестре Операторов.
Стоит обратить внимание, что при подаче уведомления в РКН Оператор обязан указать дату начала обработки, которая, по мнению РКН, является датой регистрации Оператора в ФНС, т.е. дата начала деятельности из выписки ЕГРЮЛ или ЕГРИП.
Это важно, так как срок давности привлечения к ответственности по ст. 19.7 КоАП РФ составляет 3 месяца, если вы будете обжаловать решение в суде.
Вывод:
По закону все Операторы должны подать уведомления об обработке. Но не конкретной датой 1 сентября, а до начала обработки ПДн – у каждого Оператора эта дата своя.
Если не подали уведомление или не проинформировали о произошедших изменениях, в ранее поданное уведомление и вас «поймали за руку», то будет штраф от 100 р (физические лиц) до 5000 р. (юридические лица) по ст. 19.7 КоАП РФ.
Если не подали уведомление, или не проинформировали о произошедших изменениях, в ранее поданное уведомление, вас «поймали за руку» и наложили штраф – его можно оспорить в связи с истечением срока давности (ст. 4.5 КоАП РФ).
3. О чем еще сообщило ведомство (РКН) относительно даты 1 сентября? Что до тех пор, пока не утверждены новые формы уведомлений об обработке ПДн и о внесении изменений в сведения в реестре операторов можно пользоваться «старыми формами», утвержденными Приказом РКН от 30.05.2017 № 94
Казалось бы, мы только разобрались с вопросами о необходимости уведомлять или нет, и снова возвращаемся к уведомлениям…
Чтобы до конца определить подавать вам сейчас (по старой форме) уведомление об обработке/ о внесении изменений в сведения в реестре операторов или подать по новой (завершение публичных слушаний назначено на 15.09.2022), и оттянуть срок информирования, или вообще не подавать, до тех пор, пока к вам не придет РКН можно решать, если вы понимаете все нюансы разности этих форм уведомлений и вероятных рисков для вашей деятельности.
Текущая форма уведомлений не соответствует новым требованиям ст. 22 закона № 152-ФЗ, вступившим в силу 01.09.2022. Но до утверждения новых форм РКН будет принимать по старым https://pd.rkn.gov.ru/operators-registry/notification/
Поэтому, если вы планируете что ваша компания будет участвовать в конкурсах, торгах и (или) ваша сфера (вид) деятельности такова, что потенциальные Заказчики, Клиенты, Контрагенты и гос. органы и ведомства предъявляют повышенные требования по соблюдению законодательства о персональных данных, то, вам ЛУЧШЕ ПОДАТЬ УВЕДОМЛЕНИЕ, КАК МИНИМУМ, ДО 15.09.2022!
Потому что старая форма не только проста в заполнении, но и не позволяет РКН видеть детализацию ваших процессов обработки ПДн.
В чем это выражается? Сейчас, при заполнении разделов:
- в поле «Общие сведения» - цели обработки
- в поле «Сведения о способе обработки»: категории субъектов ПДн, перечень ПДн,необходимая информация вносится через запятую.
То есть, сейчас невозможно сказать какие ПДн относятся к конкретной категории субъекта ПДн для достижения определенной цели обработки.
Все перемешано и перетасовано! Что хорошо для Операторов, и вызывает трудности для РКН
Когда же утвердят новую форму Операторы будут вынуждены указывать ПОД КАЖДУЮ КОНКРЕТНУЮ ЦЕЛЬ:
Для РКН новая форма – ПОДАРОК: все процессы обработки наружу, прозрачны и являются прямой наводкой на штрафы, а для Операторов – эта форма очень сложная
Если вы уже подавали уведомление, но у вас произошли изменения, то внести изменения лучше по старой форме (информационное письмо о внесении изменений в сведения в реестре операторов) https://pd.rkn.gov.ru/operators-registry/notification/updateform/
Теперь у вас на руках есть вся информация, которая поможет принять взвешенное решение:
- подавать или не подавать уведомление
- сейчас (до 15.09.2022) или потом
Выбор за вами
Это значит, что до того, как физическое лицо, ИП, юридическое лицо начнет совершать любые действия с персональными данными, он должен обязательно подать уведомление в Роскомнадзор (РКН).
2. Тогда возникает вопрос: «А что будет если не подать уведомление?»
В соответствии со ст. 19.7 КоАП за НЕПРЕДОСТАВЛЕНИЕ (вообще не подали уведомление или информацию об изменении сведений в ранее поданное уведомление) или НЕСВОЕВРЕМЕННОЕ (подали уведомление или изменения в него с опозданием) сведений в РКН полагается штраф:
- На граждан, физическое лицо от 100 р. до 300 р.
- На должностных лиц, ИП от 300 р. до 500 р.
- На юридических лиц от 3000 р. до 5000 р.
Ответ: Роскомнадзор не может знать ТОЧНУЮ и ПРЕДЕЛЬНУЮ дату НАЧАЛА ОБРАБОТКИ каждого, отдельно взятого Оператора, так чтобы эта дата была ЕДИНОЙ для всех.
То есть, 1 сентября 2022 – дата вступления в силу изменений в закон № 152-ФЗ, а не единая для всех операторов дата начала обработки ПДн.
Практика применения РКН штрафов по ст. 19.7 КоАП РФ такова, что Операторы попадают под штраф, если на дату направления запросов о предоставлении информации/сведений или во время контрольно-надзорных мероприятий Роскомнадзор не видит физическое лицо, ИП, юридическое лицо в реестре Операторов.
Стоит обратить внимание, что при подаче уведомления в РКН Оператор обязан указать дату начала обработки, которая, по мнению РКН, является датой регистрации Оператора в ФНС, т.е. дата начала деятельности из выписки ЕГРЮЛ или ЕГРИП.
Это важно, так как срок давности привлечения к ответственности по ст. 19.7 КоАП РФ составляет 3 месяца, если вы будете обжаловать решение в суде.
Вывод:
По закону все Операторы должны подать уведомления об обработке. Но не конкретной датой 1 сентября, а до начала обработки ПДн – у каждого Оператора эта дата своя.
Если не подали уведомление или не проинформировали о произошедших изменениях, в ранее поданное уведомление и вас «поймали за руку», то будет штраф от 100 р (физические лиц) до 5000 р. (юридические лица) по ст. 19.7 КоАП РФ.
Если не подали уведомление, или не проинформировали о произошедших изменениях, в ранее поданное уведомление, вас «поймали за руку» и наложили штраф – его можно оспорить в связи с истечением срока давности (ст. 4.5 КоАП РФ).
3. О чем еще сообщило ведомство (РКН) относительно даты 1 сентября? Что до тех пор, пока не утверждены новые формы уведомлений об обработке ПДн и о внесении изменений в сведения в реестре операторов можно пользоваться «старыми формами», утвержденными Приказом РКН от 30.05.2017 № 94
Казалось бы, мы только разобрались с вопросами о необходимости уведомлять или нет, и снова возвращаемся к уведомлениям…
Чтобы до конца определить подавать вам сейчас (по старой форме) уведомление об обработке/ о внесении изменений в сведения в реестре операторов или подать по новой (завершение публичных слушаний назначено на 15.09.2022), и оттянуть срок информирования, или вообще не подавать, до тех пор, пока к вам не придет РКН можно решать, если вы понимаете все нюансы разности этих форм уведомлений и вероятных рисков для вашей деятельности.
Текущая форма уведомлений не соответствует новым требованиям ст. 22 закона № 152-ФЗ, вступившим в силу 01.09.2022. Но до утверждения новых форм РКН будет принимать по старым https://pd.rkn.gov.ru/operators-registry/notification/
Поэтому, если вы планируете что ваша компания будет участвовать в конкурсах, торгах и (или) ваша сфера (вид) деятельности такова, что потенциальные Заказчики, Клиенты, Контрагенты и гос. органы и ведомства предъявляют повышенные требования по соблюдению законодательства о персональных данных, то, вам ЛУЧШЕ ПОДАТЬ УВЕДОМЛЕНИЕ, КАК МИНИМУМ, ДО 15.09.2022!
Потому что старая форма не только проста в заполнении, но и не позволяет РКН видеть детализацию ваших процессов обработки ПДн.
В чем это выражается? Сейчас, при заполнении разделов:
- в поле «Общие сведения» - цели обработки
- в поле «Сведения о способе обработки»: категории субъектов ПДн, перечень ПДн,необходимая информация вносится через запятую.
То есть, сейчас невозможно сказать какие ПДн относятся к конкретной категории субъекта ПДн для достижения определенной цели обработки.
Все перемешано и перетасовано! Что хорошо для Операторов, и вызывает трудности для РКН
Когда же утвердят новую форму Операторы будут вынуждены указывать ПОД КАЖДУЮ КОНКРЕТНУЮ ЦЕЛЬ:
- категории персональных данных,
- категории субъектов,
- перечень ПДн,
- правовое основание обработки ПДн,
- перечень действий с ПДн,
- способы обработки ПДн
Для РКН новая форма – ПОДАРОК: все процессы обработки наружу, прозрачны и являются прямой наводкой на штрафы, а для Операторов – эта форма очень сложная
Если вы уже подавали уведомление, но у вас произошли изменения, то внести изменения лучше по старой форме (информационное письмо о внесении изменений в сведения в реестре операторов) https://pd.rkn.gov.ru/operators-registry/notification/updateform/
Теперь у вас на руках есть вся информация, которая поможет принять взвешенное решение:
- подавать или не подавать уведомление
- сейчас (до 15.09.2022) или потом
Выбор за вами
Татьяна Совина
Кадровый аудитор-консультант Школы Медицинского Бизнеса, автор курсов по трудовому законодательству