Реестр операторов персональных данных — что нужно знать

|

В реестр операторов, осуществляющих обработку персональных данных, который находится в ведении Роскомнадзора, можно попасть двумя способами: добровольно и принудительно-добровольно.

Технически они не отличаются друг от друга. Но главный вопрос: “Зачем нам очередной реестр? Нормально же все было…”.

Среди самых популярных ответов встречаются:

  1. Все побежали и я побежал.
  2. Этого требует контрагент, условия тендера/конкурса.
  3. Прочитал, что иначе будет большой штраф.
  4. Мы — банк. 
  5. До сих пор не понятно.

Кстати, уведомить Роскомнадзор о начале обработки персональных данных и попасть в реестр операторов —это одно и тоже. Сам реестр размещен на сайте РКНа https://rkn.gov.ru/personal-data/register/

Реестр операторов персональных данных
Скриншот с сайта Роскомнадзора

Я — оператор 

Независимо от наличия записи в реестре, в том случае, если компания обрабатывает персональные данные (а любой бизнес их обрабатывает), то она является оператором обработки персональных данных. Т.е. теоретически реестр операторов должен совпадать с ЕГРЮЛом и даже быть немного больше, т.к. и физлицо может являться оператором. Но в реестре находится чуть более 400 000 записей, что явно меньше количества зарегистрированных юридических лиц и индивидуальных предпринимателей. 

Конечно же существует возможность не уведомлять Роскомнадзор об обработке персональных данных. Ряд исключений предусмотрены ст. 22 ФЗ “О персональных данных”, но с ними не все так однозначно как кажется на первый взгляд, о чем напишу позже. Важно понять другое — независимо от наличия вашей компании в Реестре требования законодательства о персональных данных на вас также распространяются и их необходимо неукоснительно соблюдать. 

“Письмо счастья” от Роскомнадзора

Поскольку большинство компаний не стремились и не стремятся направлять уведомления, Роскомнадзор в свое время начал активно пополнять реестр операторов путем направления таких вот писем.

Уведомление Роскомнадзора
Пример уведомления Роскомнадзора о необходимости включения в реестр операторов персональных данных

В чем смысл таких действий в целом понятен из текста. Выборка компаний делается по ОКВЭДам, и та деятельность, которая потенциально связана с обработкой персданных физических лиц, является поводом для направления письма. 

РКН вроде как и не заставляет включаться в реестр, но в противном случае просит предоставить пояснение с указанием правовых оснований обработки ПД без направления уведомления. Для принятия решения предоставляется 30 дней.

Оставить без внимания такое письмо нельзя: нужно включиться в реестр или написать, что деятельность компании попадает под исключения, предусмотренные статьей 22 Закона “О персональных данных”.

В случае игнорирования может последовать привлечение к административной ответственности по статье 19.7 КоАП “Непредставление сведений (информации)”. Штраф, конечно, невелик (до 5 000 руб. на юрлицо), но потенциально игнор — это повод для последующего проведения внеплановой проверки* и вынесения предписания об устранении нарушения законодательства. 

*Справка: поводы, основания, сроки и т.п. моменты, связанные с проведением проверок в сфере персональных данных, установлены Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных (утв. Постановлением Правительства РФ от 13 февраля 2019 г. № 146).

За неисполнение предписания уже последует административка по статье 19.5 КоАП “Невыполнение в срок законного предписания…”.

Вот я в реестре, а дальше что?

Да ничего особенного. В текущей деятельности нет вообще никаких изменений. Ну можете присоединиться к Кодексу добросовестных практик.

Дополнительным фактором для назначения проверки наличие или отсутствие компании в реестре не является, хотя если в ходе проверки будет установлено, что деятельность оператора не попадает под исключения, то может быть наложен более высокий штраф уже по ст. 13.11 КоАП.

Своевременно вносите изменения

Если у вас меняются какие-либо сведения, включенные ранее в реестр, то требуется внести изменения в течение 10 дней со момента их возникновения (часть 7 статьи 22 ФЗ “О персональных данных”). За несвоевременное направление или не направление этих сведений — опять административный штраф по ст. 19.7 КоАП.

Про ответственность за обработку персональных данных без уведомления Роскомнадзора

Закон “О персональных данных” требует направить уведомление в РКН до начала обработки персональных данных. На практике это момент регистрации компании или ИП, то есть фактически дата начала обработки ПД совпадает с датой регистрации в ЕГРЮЛ. 

Следовательно, если фирма в этот момент уведомление в РКН не направит, то уже совершит административное правонарушение, ответственность за которую предусмотрена ст. 13.11 КоАП РФ. 

А срок давности привлечения к административке по этой статье составляет 3 месяца с момента совершения правонарушения. Такое нарушение не является длящимся, поэтому, если речь не идет о неисполнении предписания, то РКН никого к ответственности и не привлекает.

Вывод

Без лишней необходимости направлять в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных не нужно, но и сопротивляться и уклоняться от этого никакого смысла нет. Безусловно, каждая ситуация индивидуальна и эта статья написана мной исключительно для помощи в принятии самостоятельного решения, правильного конкретно для вас.

Обязательно прочитайте материал о том, как Роскомнадзор будет применять законодательство о персональных данных в 2021 году