Пожалуй, это один из наиболее вечных вопросов. Что любопытно, даже ужесточение формулировок 152-ФЗ в 2022 году не склонило полностью рынок на сторону адептов включения в Реестр. Почему же нет, когда, казалось бы, да? Разбираемся.
Сперва, почему «да»
Из очевидного – включившись в Реестр, нет рисков из невключения в него. Да-да, такие риски есть, и не только риск предписания. В целом невключение в Реестр – ст. 13.11 ч. 1 и ст. 19.7 КоАП. Хотя эти риски НЕ существенные и, судя по практике, вероятность их наступления стремится к нулю.
А если в компании утечка, то без записи в реестре оперативно НЕ уведомить РКН. И вот тогда последствия могут быть более осязаемыми, например, внеплановая проверка РКН.
Благонадежность в глазах партнеров и клиентов. Не раз были случаи, когда банки или другие игроки не контрактуются с контрагентом, у которого в ходе vendor-check’а не находится записи в реестре РКН. Что уж там, сами рекомендуем проверять партнеров, что особенно актуально в свете грядущих оборотных штрафов.
Законопроект предусматривает штрафы до 300 тысяч рублей за неуведомление о начале обработки ПД, что добавляет еще один возможный аргумент в копилку «сторонников» включения в Реестр.
Если передаете ПД в иные страны, то не сможете уведомить РКН о трансграничной передаче. Если, конечно же, вообще планировали уведомить. Но надо понимать, что без такого уведомления передача в неадекватные страны может быть нарушением 13.11 ч. 1, хотя практики такой и нет…пока.
Новое веяние, хотя и не проверенное на практике РКН – НЕ включать в Политику на сайте громоздкие таблицы с указанием целей и категорий обрабатываемых ПД, а сделать ссылку на запись в Реестре, где и будет содержаться необходимая информация по процессам обработки ПД. Ловко!
Почему же «нет»?
Включение в Реестр теоретически повышает риск внимания РКН к компании, например, включение в план по дистанционному мониторингу сайтов. Скорее всего нет, но никто не доказал обратное =))
Теперь РКН проверяет более тщательно информацию на сайте компании vs данные в Реестре. Если РКН обнаружит хотя бы три несоответствия, вместо десяти, как это было ранее, компания действительно будет больше интересовать РКН. А отсутствие записи в Реестре, вероятно, делает невозможным применение этих индикаторов риска.
Однажды включившись, обновляться потребуется регулярно – до 15 числа месяца, следующего за месяцем, в котором произошли эти изменения.
Даже если получим запрос или предписание РКН на включение в Реестр, то сможем это сделать в течение 10 рабочих дней. Если, конечно, у вас есть актуальная RoPA.
И вообще, какие риски, если срок давности привлечения к административной ответственности за непредоставление информации РКН на практике составляет всего 3 месяца, да и еще с момента нарушения, а не с момента выявления! Поэтому вроде и нарушение есть, а ответственность за него – не особо.
Мы умышленно не приводим контраргументы, которые есть для каждого тезиса выше «за» или «против». Ведь включение в реестр операторов РКН – весьма индивидуальный вопрос, учитывающий оценку бизнес-рисков и особенности вашего бизнеса. Но очевидно, что, даже если вы не включаетесь в Реестр прямо сейчас, следует подготовить проект уведомления РКН, который в случае запроса вы сможете оперативно направить.
В следующий раз обсудим (не)уведомление РКН о трансграничной передаче ПД и после выпустим наш Comply.Pulse по этим уведомлениям РКН.
Важно – если у вас были от РКН запреты / ограничения на трансграничную передачу, то пишите в комментариях или info@comply.ru (анонимность гарантирована) – учтем в анализе вместе с нашими инсайдами.