26 декабря 2022 года вступил в силу приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных». Новая форма будет автоматически высвечиваться взамен старой при заполнении уведомления на сайте РКН. Расскажем, чем она отличается.
- Введение
- Позиция регулятора
- В каких случаях нужно подавать уведомление по новой форме?
- Что изменилось в форме уведомления?
- О чём могут сигнализировать изменения в форме уведомления?
- Выводы
Введение
После вступления в силу приказа № 180 у операторов персональных данных (ПДн) появились вопросы. Операторы не понимали, нужно ли подавать уведомление по новой форме, если компания уже находится в реестре операторов ПДн или недавно подавала уведомление по старой форме.
Для разъяснения этих вопросов наши специалисты обратились в РКН и получили официальный ответ от регулятора.
Позиция регулятора
По мнению Роскомнадзора, нужно подавать уведомление по новой форме, даже если компания уже есть в реестре.
Рисунок 1. Полный ответ от регулятора
В каких случаях нужно подавать уведомление по новой форме?
Уведомление по новой форме должно отправляться в следующих случаях:
- Если компания никогда не отправляла его ранее. Новая форма уведомления вступила в силу с 26.12.2022, а значит, все отправленные ранее формы являются устаревшими.
- Если после отправки уведомления по новой форме в компании произошли изменения в процессе обработки ПДн.
Также РКН обратил внимание на то, что нет точных сроков подачи уведомления по новой форме.
Что изменилось в форме уведомления?
Всего произошло два изменения:
- В новой форме нужно указать, будет ли осуществляться трансграничная передача ПДн, ответив «Да» или «Нет». В старой форме нужно было ещё и указывать страну, в которую будет направлена трансграничная передача.
- В новой форме уведомления надо описывать обработку ПДн исходя из каждой цели, для которой необходимо будет указывать способы и правовые основания, категории персональных данных и их субъектов, а также перечень действий с персональными данными. До этого нужно было описывать обработку в каждой информационной системе персональных данных (ИСПДн).
Стоит отметить, что в связи с нововведениями на заполнение формы уведомления потребуется гораздо больше времени. Ранее нужно было описывать обработку в каждой из ИСПДн, которых можно было выделить две-три, максимум четыре. В новой же форме обработка описывается исходя из целей, количество которых, как правило, равняется примерно 20 для одной компании.
О чём могут сигнализировать изменения в форме уведомления?
Специалисты компании Pointlane считают, что изменения были введены по следующим причинам:
- Для унификации и упрощения процессов проверки, в целях увеличения скорости и эффективности последних.
- Для возможной автоматизации какой-то части проверок.
- Для возможной приоритизации операторов, которые имеют отличительные особенности обработки ПДн — например, обрабатывают специальные категории ПДн или биометрические данные, осуществляют трансграничную передачу ПДн в страны, где не обеспечивается адекватная защита субъектов ПДн, или охватывают более 100 тысяч субъектов ПДн.
- Для соответствия логике законодательства «О персональных данных», в котором все категории сводятся к целям.
Выводы
Специалисты компании Pointlane рекомендуют:
- Подать уведомление по новой форме, даже если ваша компания уже находится в реестре операторов персональных данных.
- Уделять больше времени заполнению обновлённой формы уведомления.
- Обращаться за помощью в заполнении уведомления к профильным компаниям.
Авторы:
Павел Мельников, генеральный директор компании Pointlane
Оксана Романова, главный аналитик компании Pointlane