С 30 мая штрафы для юридических лиц за неуведомление регулятора (Роскомнадзор) о начале обработки персональных данных (ПД) увеличены с 3-5 тысяч до 300 тысяч рублей; в нашу редакцию поступили вопросы от читателей, к кому применимо требование подать такое уведомление, чтобы не быть оштрафованным.
Из ответа Роскомнадзора на соответствующий запрос редакции следует, что подавать уведомление обязаны все компании и индивидуальные предприниматели, бизнес которых связан с хранением и обработкой ПД (есть несущественные исключения, о них ниже). Для подачи уведомления можно использовать форму на сайте службы.
Контроль за исполнением закона осуществляется согласно постановлению правительства РФ от 29 июня 2021 года N 1046 – исходя из возможных рисков.
В этом постановлении сказано, что контролирующий орган (территориальный орган) при осуществлении государственного контроля (надзора) относит поднадзорные объекты к одной из следующих категорий риска причинения вреда (ущерба): высокий риск, значительный риск, средний риск, умеренный риск, низкий риск.
Плановые контрольные (надзорные) мероприятия в отношении объектов контроля в зависимости от присвоенной категории риска проводятся со следующей периодичностью:
- в отношении объектов контроля, отнесённых к категории высокого риска, – инспекционный визит или выездная проверка раз в два года;
- в отношении объектов контроля, отнесённых к категории значительного риска, – инспекционный визит или выездная проверка раз в три года;
- в отношении объектов контроля, отнесённых к категории среднего риска, – инспекционный визит, документарная проверка или выездная проверка с раз в четыре года;
- в отношении объектов контроля, отнесённых к категории умеренного риска, – документарная или выездная проверка раз в шесть лет;
- в отношении контролируемых лиц, деятельность которых в связи с обработкой ПД отнесена к категории низкого риска, плановые контрольные (надзорные) мероприятия не проводятся.
Из описания критериев риска следует, что низким считается риск, если компания, например, обрабатывает ПД менее чем тысячи человек или обрабатывает данные из общедоступных источников. Обработка ПД от 1000 до 20000 субъектов уже может подпадать под «умеренный риск».
Без уведомления можно обрабатывать ПД:
- в государственных информационных системах, созданных для защиты безопасности государства и общественного порядка;
- в случае, если оператор ПД осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации;
- если ПД обрабатываются в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
