Обработка персональных данных: несоответствие информации в политике конфиденциальности и уведомлении РКН может привести к внеплановой проверке

По закону все, кто собирает персональные данные физлиц, являются операторами персональных данных (ОПД). ОПД должен уведомить Роскомнадзор о своем намерении обрабатывать персональные данные до начала их обработки.

Уведомление Роскомнадзора — разовое действие, поэтому для многих оно стало простой формальностью: подал уведомление и забыл. Не многие ОПД следят за актуальностью поданных данных и внесением изменений при их наличии. Однако данная обязанность закреплена ч. 7 ст. 22 Закона о персональных данных, согласно которому оператор ПД обязан уведомить Роскомнадзор об изменениях представленных им ранее сведений об обработке персональных данных, произошедших за месяц, в срок не позднее 15-го числа следующего месяца. Такое уведомление подается в отношении любых изменений.

Если уведомление об обработке персональных данных и о внесении изменений в ранее поданное уведомление не представлено, организацию могут привлечь к административной ответственности по ст. 19.7 КоАП РФ и оштрафовать:

• граждан на сумму от 100 до 300 руб.,

• должностных лиц — от 300 до 500 руб.,

• юридические лица — от 3000 до 5000 руб.

С появлением нового индикатора риска с 18 ноября при выявлении трех и более расхождений информации, поданной в Роскомнадзор, и информации, указанной на сайте оператора ПД, Роскомнадзор вправе назначить внеплановую контрольно-надзорную проверку.

Такой инструмент активации внеплановых контрольных мероприятий, как «индикатор риска», является достаточно новым для российского регулирования и был введен в использование только в 2021 г., вместе с принятием Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) <…>». При этом изначальная версия перечня индикаторов, используемых Роскомнадзором при проверке нарушений в области персональных данных, состояла всего из двух пунктов. С 18 ноября 2023 г. к ним добавился еще один.

В целом, говоря о тенденциях в развитии законодательства в области контрольно-надзорных мероприятий, следует отметить, что риск-ориентированный подход и работа над увеличением количества используемых индикаторов риска является одним из ключевых направлений. Этот подход, в частности, нашел отражение и в опубликованном проекте Концепции совершенствования контрольной (надзорной) деятельности до 2026 г. (проект распоряжения Правительства РФ, ID: 01/23/11-23/00143245).

Как следует из проекта Концепции, помимо самих индикаторов риска скоро можно ожидать появления «калькулятора рисков», позволяющего в режиме реального времени определять категорию риска для конкретного объекта контроля, а также градацию индикаторов по степени возможных негативных последствий.

Индикаторы разрабатываются в целях оценки риска причинения вреда и принятия решения контролирующим органом о проведении внепланового контрольного мероприятия, а также виде такого мероприятия (например, инспекционный визит, документарная проверка, выездная проверка).

Соответственно, в случае выявления трех и более несоответствий между тем, о чем оператор уведомил Роскомнадзор (в части обработки и трансграничной передачи персональных данных), и тем, о чем оператор информирует субъектов персональных данных в политике конфиденциальности в сети Интернет, Роскомнадзор вправе провести внеплановое контрольное мероприятие, в частности осуществить выездную проверку к оператору. Причем такая проверка будет касаться не только выявленных несоответствий, а деятельности оператора по обработке персональных данных в целом.

Стоит отметить, что, несмотря на общий запрет проведения проверок в 2022—2023 гг., при выявлении индикаторов риска Роскомнадзор вправе осуществить внеплановую проверку по согласованию с прокуратурой.

Новый индикатор риска нарушения обязательных требований в сфере персональных данных является закономерным продолжением масштабной реформы законодательства о персональных данных, начавшейся с изменений от 14.07.2022. Введение нового индикатора является реакцией на расширение случаев обязательной подачи уведомления об осуществлении обработки персональных данных (теперь каждая компания должна подать такое уведомление), на введение отдельного уведомления о трансграничной передаче, а также на уточнение положений по политике обработки персональных данных в сети Интернет.

Новый индикатор принят в русле общего курса на повышение информированности субъектов персональных данных и усиления контроля со стороны государства.

Учитывая изменения, следует ожидать проведения Роскомнадзором масштабного мониторинга интернет-сайтов, сравнения размещенных на них политик с поданными уведомлениями в целях формирования перечня потенциальных нарушителей по новому индикатору. Поэтому в ближайшее время операторам необходимо позаботиться о проведении аудита документов.

С января 2022 года действует перечень индикаторов риска нарушения обязательных требований при осуществлении контроля (надзора) за обработкой персональных данных (Приказ Минцифры России от 15.11.2021 № 1187). Он включал два индикатора, а именно - установление Роскомнадзором в течение календарного года:

• десяти и более фактов несоответствия сведений, предоставляемых контролируемым лицом по запросу контролирующего органа, и информации, поступившей в контролирующий орган от граждан, в части, касающейся наличия в деятельности контролируемого лица признаков неправомерной обработки их персональных данных;

• десяти и более фактов предоставления неограниченному кругу лиц доступа к базам персональных данных и (или) распространения баз персональных данных в информационно-телекоммуникационной сети «Интернет», имеющих признаки принадлежности контролируемому лицу.

С 18 ноября 2023 года перечень индикаторов риска нарушения законодательства был расширен. Новым индикатором является установление контролирующим органом трех и более факторов несоответствия информации указанной в уведомлении о намерении осуществить трансграничную передачу персональных данных и уведомлении об обработке персональных данных, сведениям указанным в документе, определяющем политику оператора в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, опубликованном на сайте в сети «Интернет» (ч. 2 ст. 18.1, ч.1, 3 ст. 22 Закона о персональных данных).

Выявление одного и более индикаторов риска является основанием для проведения Роскомнадзором внеплановых контрольных (надзорных) мероприятий (ч.1 ст. 57 Федерального закона от 31.07.2020 №248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», Постановление Правительства РФ от 29.06.2021 №1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных»).