FAQ по изменениям в регулировании персональных данных: уведомление РКН
С 1 сентября 2022 года перечень способов обработки ПДн, осуществляемых без уведомления РКН, значительно сокращен. Как было и как стало написал Валерий Афонин - руководитель практики Цифрового права и Егор Смородинов - стажер ЮК Зарцын и партнеры".
Как было
Уведомление РКН не требовалось направлять при обработке:
1. Персональных данных работников;
2. Персональных данных, полученных во исполнение договора;
3. Персональных данных членов общественного объединения, обрабатываемых данным общественным объединением;
4. Персональных данных, разрешенных субъектом персональных данных для распространения;
5. Персональных данных, включающих в себя только ФИО;
6. Персональных данных для однократного пропуска лица на территорию, на которой находится оператор ПД;
7. Персональных данных, включенных в государственные информационные системы ПД;
8. Персональных данных при обработке без средств автоматизации;
9. Персональных данных, обрабатываемых для обеспечения транспортной безопасности.
Как стало
пп. 1-6 утратили силу . Теперь оператору персональных данных нужно вносить сведения о себе в реестр операторов персональных данных и уведомлять РКН о намерении обрабатывать персональные данные. .
Кроме того, изменена форма уведомления при обработке ПД:
Ранее в уведомлении требовалось просто перечислить набор сведений:
1. цели обработки;
2. категории ПД;
3. категории субъектов;
4. правовое обоснование обработки;
5. перечень действий с персональными данными
Теперь по каждой цели обработки ПД нужно подавать детальную информацию : состав данных, категории данных, категории субъектов, правовое основание обработки, перечень действий, способы обработки.
К примеру, если вы собираете персональные данные не только для обеспечения доступа к вашему сервису, но и для направления зарегистрированным пользователям рекламных и иных сообщений, то в уведомлении вы должны указать для обеих целей свой набор данных.
Новое требование: необходимо указывать сведения о лицах, имеющих доступ или осуществляющих на основании договора обработку персональных данных из государственных и муниципальных информационных системах .
Срок подачи уведомлений – на данный момент для внесения данных в реестр установлены сжатые сроки – 10 дней с момента изменений в процессах обработки персональных данных. Однако с 1 марта сроки на подачу уведомлений будут изменены: если в процессах обработки персональных данных произошли изменения, то уведомление в РКН нужно подать не позднее 15-го числа месяца, следующего за месяцем, когда произошли данные изменения, однако о прекращении обработки персональных данных нужно извещать в течение 10-ти дней.
26-го декабря вступил в силу Приказ Роскомнадзора, утвердивший новые формы уведомлений. С этого момента появилась техническая возможность подавать уведомления в соответствии требованиям закона.
Что делать компаниям, не подавшим уведомление о начале обработки персональных данных или информационное письмо по новым требованиям?
Если компания не вносила сведения о себе в реестр операторов персональных данных, ей следует внести сведения о себе в реестр и направить уведомление по новым формам .
Если компания состоит на 26-к декабря в реестре операторов персональных данных, но сведения из реестра не соответствуют новым требованиям, то стоит уточнить эти сведения повторным направлением информационного письма.
Что изменилось с принятием форм для подачи уведомлений?
Все новые уведомления об обработке персональных данных и изменениях в процессе их обработки направляются в РКН по новым формам.
Содержащиеся в реестре записи об обработке ПД хотя и требуют уточнения, какие-либо сроки направления уточняющих информацию писем или ответственность за обработку персональных данных без уточнения информации не предусмотрены. Позиция РКН в том, что операторы в праве уточнить данные, но не обязаны этого делать .
С примерами заполнения уведомлений об обработке ПД и об уточнении сведений вы можете ознакомиться на сайте РКН.