В эпоху повсеместной цифровизации, когда данные стали новой нефтью, вопросы защиты персональной информации выходят на первый план. Регулирование обработки персональных данных – сложная и многогранная задача, стоящая перед государствами по всему миру. В Российской Федерации эту роль выполняет Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций), осуществляющий контроль и надзор за соблюдением законодательства в области персональных данных, о чем более подробно рассказано на сайте https://pod-ft.ru/registratsiya-v-rkn/.
Ключевым аспектом регулирования является процедура регистрации в качестве оператора, осуществляющего обработку персональных данных (далее – оператор ПД). Несмотря на кажущуюся простоту, процесс регистрации вызывает множество вопросов и споров среди представителей бизнеса и некоммерческих организаций. Для одних это необходимый шаг для обеспечения законности и прозрачности деятельности, для других – обременительная бюрократическая процедура, не приносящая реальной пользы для защиты прав субъектов персональных данных.
Кто обязан регистрироваться?
Согласно Федеральному закону № 152-ФЗ «О персональных данных», оператором ПД является любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обязанность по уведомлению Роскомнадзора о начале обработки персональных данных возникает у операторов, осуществляющих обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 Закона о персональных данных. К таким исключениям, в частности, относятся:
- Обработка персональных данных, включенных в состав общедоступных персональных данных;
- Обработка персональных данных, осуществляемая в соответствии с трудовым законодательством;
- Обработка персональных данных, необходимых для однократного пропуска субъекта на территорию оператора или в иных аналогичных целях;
- Обработка персональных данных без использования средств автоматизации, осуществляемая в соответствии с законодательством о архивном деле;
- Обработка персональных данных, касающихся состояния здоровья субъекта, осуществляемая лицами, профессионально занимающимися медицинской деятельностью и обязанными сохранять врачебную тайну.
Таким образом, широкий круг организаций и индивидуальных предпринимателей, осуществляющих сбор, хранение, использование, распространение или передачу персональных данных, обязаны пройти процедуру регистрации. К ним относятся интернет-магазины, онлайн-сервисы, образовательные учреждения, медицинские организации, кадровые агентства, банки и многие другие.
Процедура регистрации: шаг за шагом
Процесс регистрации оператора ПД в Роскомнадзоре состоит из нескольких этапов:
- Подготовка уведомления. Оператор ПД должен подготовить уведомление об обработке персональных данных в соответствии с требованиями, установленными Приказом Роскомнадзора от 30.05.2017 № 94. Уведомление содержит информацию об операторе, целях обработки, категориях персональных данных, правовом основании обработки, сроках обработки, способах обработки, наличии трансграничной передачи данных и мерах по обеспечению безопасности персональных данных. Важно тщательно заполнить все поля уведомления, предоставив достоверную и актуальную информацию.
- Направление уведомления в Роскомнадзор. Уведомление может быть направлено в Роскомнадзор в электронной форме через портал государственных услуг, на бумажном носителе почтовым отправлением с описью вложения, либо представлено лично. Наиболее удобным и оперативным способом является подача уведомления в электронной форме.
- Рассмотрение уведомления Роскомнадзором. Роскомнадзор рассматривает уведомление в течение 30 дней со дня его поступления. В случае выявления неточностей или неполноты представленных сведений, Роскомнадзор направляет оператору запрос о предоставлении дополнительных документов или пояснений.
- Внесение оператора в реестр операторов ПД. В случае соответствия представленных сведений требованиям законодательства, Роскомнадзор вносит оператора в реестр операторов, осуществляющих обработку персональных данных. Информация о зарегистрированном операторе становится общедоступной и размещается на официальном сайте Роскомнадзора.
- Актуализация сведений в реестре. Оператор обязан уведомлять Роскомнадзор об изменении сведений, указанных в уведомлении об обработке персональных данных, в течение 10 рабочих дней со дня возникновения таких изменений. Это касается, в частности, изменения целей обработки, категорий персональных данных, правового основания обработки, способов обработки, а также сведений об операторе.
Проблемы и вызовы процедуры регистрации
Несмотря на детально регламентированную процедуру регистрации, на практике операторы ПД сталкиваются с рядом проблем и вызовов.
- Сложность определения необходимости регистрации. Не всегда очевидно, подпадает ли деятельность организации под обязанность уведомления Роскомнадзора. Некоторые операторы ошибочно полагают, что если они не собирают «чувствительные» персональные данные (например, сведения о расовой или этнической принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни), то они не обязаны регистрироваться. Однако, обработка даже простых персональных данных (например, ФИО, адреса, телефоны) может потребовать регистрации, если не подпадает под исключения, предусмотренные законом.
- Недостаточное понимание требований законодательства. Многие операторы не в полной мере осознают свои обязанности в области защиты персональных данных, что приводит к неправильному заполнению уведомления и другим нарушениям. Необходимо тщательно изучить Федеральный закон № 152-ФЗ «О персональных данных», а также другие нормативные правовые акты, регулирующие обработку персональных данных.
- Трудности с обеспечением безопасности персональных данных. Операторы обязаны принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. Обеспечение безопасности персональных данных – сложная и дорогостоящая задача, требующая привлечения квалифицированных специалистов и использования современных технологий.
- Отсутствие четких критериев проверки Роскомнадзором. Процесс проверки уведомлений об обработке персональных данных Роскомнадзором не всегда прозрачен и предсказуем. Операторы жалуются на отсутствие четких критериев, по которым принимается решение о внесении в реестр или об отказе во внесении.
- Несовершенство нормативной базы. Законодательство в области персональных данных постоянно развивается и изменяется. Операторам необходимо постоянно отслеживать изменения в нормативной базе и адаптировать свои процессы обработки персональных данных к новым требованиям.
Перспективы развития регулирования в области персональных данных
В последние годы наблюдается тенденция к ужесточению регулирования в области персональных данных как в России, так и в мире. Вступление в силу Общего регламента по защите данных (GDPR) в Европейском Союзе оказало значительное влияние на законодательство многих стран, включая Россию.
Ожидается, что в ближайшем будущем будут предприняты следующие шаги по совершенствованию регулирования в области персональных данных в России:
- Усиление ответственности за нарушение законодательства о персональных данных. Штрафы за нарушение требований законодательства о персональных данных будут увеличены. Также возможно введение уголовной ответственности за наиболее серьезные нарушения.
- Упрощение процедуры регистрации операторов ПД. Рассматривается возможность упрощения процедуры регистрации операторов ПД, в частности, путем внедрения риск-ориентированного подхода. Операторы, осуществляющие обработку небольшого объема персональных данных, не содержащих «чувствительную» информацию, могут быть освобождены от обязанности регистрации.
- Повышение прозрачности деятельности Роскомнадзора. Планируется повысить прозрачность деятельности Роскомнадзора путем публикации подробных разъяснений по вопросам применения законодательства о персональных данных, а также путем проведения консультаций с представителями бизнеса и некоммерческих организаций.
- Развитие механизмов защиты прав субъектов персональных данных. Будут развиваться механизмы защиты прав субъектов персональных данных, в частности, путем упрощения процедуры подачи жалоб в Роскомнадзор и в суд.
В заключение
Регистрация в Роскомнадзоре в качестве оператора, осуществляющего обработку персональных данных, – это важный шаг для обеспечения законности и прозрачности деятельности организаций и индивидуальных предпринимателей, работающих с персональными данными. Несмотря на существующие проблемы и вызовы, процедура регистрации является необходимым инструментом для защиты прав субъектов персональных данных и обеспечения их конфиденциальности.
Операторам ПД необходимо тщательно изучить требования законодательства в области персональных данных, своевременно уведомлять Роскомнадзор о начале обработки персональных данных и принимать необходимые меры для обеспечения безопасности персональных данных. Только в этом случае можно избежать штрафов и других негативных последствий, а также завоевать доверие клиентов и партнеров.
В конечном счете, цель регулирования в области персональных данных – найти баланс между необходимостью защиты приватности граждан и обеспечением возможности для развития цифровой экономики. Успешное решение этой задачи требует совместных усилий государства, бизнеса и общества.
