Операторы персональных данных должны до 15 числа текущего месяца уведомлять Роскомнадзор об изменениях в обработке персональных данных, произошедшим за предыдущий месяц ( ч. 7 ст. 22 152-ФЗ). Хотя штрафы за нарушение этого требования невелики, игнорирование обязанности может указывать на незрелость privacy-процессов в компании.
Трудозатраты по сравнению с ответственностью:
1. За неподачу уведомления об изменениях ответственность по 19.7 КоАП РФ (3-5 тысяч руб.). При этом, нужно организовать ежемесячный (постоянный) контроль изменений параметров обработки персональных данных в компании / группе компаний (цели обработки, перечни персональных данных, субъекты персональных данных, нахождение баз данных у обработчиков). Во-первых, это трудозатратный процесс. Во-вторых, это достижимо только при высокой зрелости организации процессов обработки персональных данных, включающей не только ресурсы, но и корпоративную культуру, поддержку руководства, квалификацию сотрудников и др.
2. С 30 мая 2025 года будет действовать новая ч. 10 ст. 13.11 КоАП, где указано: "Невыполнение или несвоевременное выполнение ... обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных". Слово «намерение» корреспондирует с
ч. 1 ст. 22 152-ФЗ (первичное уведомление), а не с ч. 7 ст. 22 152-ФЗ (уведомление об изменениях). По нашему мнению, новая ч. 10 не будет распространяться на уведомление об изменениях.
Конечно, со временем РКН может подтянуть какую-то казуистику, но:
- если посмотрим на применение ст. 3 ч. 13.11 КоАП РФ, то мы не наблюдаем непризнание политик обработки персональных данных таковыми, если пропущен один или несколько обязательных условий (аналогия правоприменения).
- выявить однозначно расхождения в реестре и при фактической обработке персональных данных можно при проверке (но есть нюансы ниже).
Если ответственность не большая, то зачем тратить на этот процесс ресурсы?
1. Сведения в реестре операторов персональных данных все больше становятся ключевой точкой контроля Роскомнадзора операторов персональных данных. Также со временем субъекты персональных данных будут опираться на реестр операторов при жалобах.
Здесь можно упомянуть проект приказа Минцифры РФ (систематические наблюдения по жалобам субъекта) и уже действующие индикаторы риска (не соответствие сведений на сайте и в реестре операторов персональных данных). Еще подведомственная организация Роскомнадзора (ФГУП ГРЧЦ) развивает функции автоматического контроля сведений о персональных данных на сайтах. Расхождения могут стать основанием для жалоб субъектов данных и внеплановых проверок
Непрямая ответственность за неуведомление об изменениях будет выше.
2. Обязанность по ежемесячному уведомлению Роскомнадзора может стать драйвером изменения процессов обработки персональных данных в лучшую сторону.
Обязанность уведомления стимулирует компании четче формализовать параметры обработки. Например, если руководитель отдела продаж (РОП), согласует договор (без DPO/юриста) и соглашается на цель обработки персональных данных "обработчика" в поручении обработки, а не указывает свою цель оператора (по. ч. 3 ст. 6 152-ФЗ в поручении указывается цель обработки), то у оператора появляется новая цель. Это требует уведомления Роскомнадзора в следующем месяце.
Если РОП понимает, что форсировав согласование договора, он не уменьшил свою операционную нагрузку, а даже увеличил, будет более внимательно относится к параметрам обработки персональных данных в поручениях на обработку (в лучших практиках бизнес участвует в определении и контроле параметров обработки персональных данных).
3. Возможность ежемесячных уведомлений Роскомнадзора об изменениях в обработке персональных данных является индикатором зрелости privacy-процессов. Подумайте, насколько достоверно вы бы смогли сегодня уведомить об изменениях в обработке персональных данных за прошлый месяц. Если сегодня ваши данные точны лишь наполовину, это сигнализирует о пробелах в процессах.
