1 сентября и персональные данные
Наверняка вы знаете о поэтапной реформе законодательства о персональных данных. Мы немного обсуждали это в чате .
Еще может видели кучу рассылок, где утверждалось, что всем работодателям срочно до 1 сентября нужно подать уведомление, иначе штраф, кара, порицание, заплатите нам и мы все сделаем быстро и дешево.
Все это выливается в самый задаваемый вопрос : нужно ли торопиться и подавать уведомление об обработке ПД в Роскомнадзор до 1 сентября?
Мы придерживались позиции — не нужно.
РКН вчера подтвердил:
Предельный срок уведомления Роскомнадзора об обработке персональных данных не определен. Таким образом, 1 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных.
Поясню почему так.
С 1 сентября сокращен перечень исключений, позволяющих осуществлять обработку ПД без уведомления (ст. 22 Закона). Их было 9, осталось 3.
Но по факту и раньше эти исключения не работали, т.к. по мнению РКН, освободить от уведомления могла только совокупность всех девяти условий.
Наверно, рассыльщиков тригернуло исключение пункта: осуществляется обработка ПД в соответствии с трудовым законодательством.
Сейчас исключения остались только для государственных информационных систем, а также случаев обработки ПД исключительно на бумаге или в целях транспортной безопасности и защиты интересов личности, общества, государства.
Далее. Закон “О персональных данных” требует направить уведомление в РКН до начала обработки персональных данных. На практике это момент регистрации компании или ИП, то есть фактически дата начала обработки ПД совпадает с датой регистрации в ЕГРЮЛ.
Следовательно, если оператор в этот момент уведомление в РКН не направит, то уже совершит административное правонарушение.
Срок давности привлечения к административке по статье 19.7 КоАП составляет 3 месяца с момента совершения правонарушения. Такое нарушение не является длящимся, поэтому РКН никого к ответственности и не привлекает. За редким случаем, когда оператор получает требование от РКНа о включении в реестр и не исполняет его.
Напомню: есть ли компания в реестре операторов ПД, нет ли ее там — все обязаны исполнять требования законодательства о персональных данных.
То есть в любом случае у оператора должны быть разработаны все локальные акты, все формы согласий и вестись постоянная работа, направленная на защиту ПД.
Уведомление можно считать подтверждением этой работы, финальным штрихом. А когда его подавать, решите для себя самостоятельно: можно сейчас, можно после получения требования РКНа.
Гораздо печальнее ситуация может возникнуть при подаче уведомления, заполненного по чьему-то образцу из интернета. В нем не будет отражена ваша специфика и нюансы. А выяснится несоответствие при каком-нибудь профилактическом визите инспектора Роскомнадзора.
#ПерсональныеДанные