Уведомления в Роскомнадзор (РКН) могут быть разными, а сегодня обсудим (1) уведомления о намерении осуществлять обработку персональных данных (ПД) и (2) о трансграничной передаче ПД (ТГП).
Оператор обязан уведомить РКН о своем намерении обрабатывать ПД и осуществлять ТГП. РКН включает эту информацию в общедоступный реестр операторов ПД (Реестр). В Реестре содержатся данные об операторе, о целях и правовых основаниях обработки, категориях обрабатываемых ПД, информация о ТГП и иные данные. Реестр, как privacy–ЕГРЮЛ, обеспечивает публичную достоверность содержащихся в нем сведений. Если операторы пытаются подорвать эту достоверность, несвоевременно или не в полном объеме предоставляя сведения, они рискуют понести наказание.
То есть, казалось бы, очевидным, что уведомительный порядок взаимодействия с РКН позволит митигировать риски. Но как показывает практика, такие уведомления, митигируя одни риски, создают другие. Целесообразность уведомлений РКН необходимо рассматривать в контексте оценки рисков именно для вашей компании. С учетом специфики бизнеса и субъективной интерпретации рисков итоги могут разительно отличаться. Есть много разумных аргументов как «за», так и «против» уведомлений РКН. Поэтому мы не будем рекомендовать (не) уведомлять РКН, но, что важнее, сформулируем список аргументов для взвешенного ответа на этот вопрос.
Все мы знаем как надо, но не всегда так как надо – правильно. Поэтому НЕуведомляйте, если не согласны с приведенными в анкете аргументами, считаете их неприменимыми к вашей ситуации или оцениваете риск их реализации для компании как низкий или вовсе теоретический. И наоборот – уведомляйте, если согласны! Вопрос веры, не иначе.
Итак, если отклонение:
от нуля в любую сторону в пределах двух баллов, то status quo, то есть действуйте по своему убеждению;
три и более баллов, то все же, как кажется, вы определились;
в положительную сторону, то подавайте уведомление, если же в отрицательную, то воздержитесь.
Анкета поможет определить, критично ли для вашего бизнеса быть в Реестре, а также уведомлять о ТГП, если вы «трансграничите» уже или планируете.
Даже если вы решите пока не уведомлять РКН, все равно стоит заранее подготовить уведомления. А если речь идет об уведомлении о ТГП, то до подготовки такого уведомления в любом случае необходимо провести оценку по ч. 5 ст. 12 152-ФЗ.
Если же вы решили уведомить РКН, важно аккуратно сформулировать уведомление. Для этого необходимо обобщить информацию о целях обработки ПД, смягчить формулировки, избегать очевидной токсичности и избыточности для РКН. Кроме этого, как известно, для комплаенса важна консистентность, а потому необходимо обеспечить согласованность между собой обоих уведомлений РКН, уведомлений и RoPA, уведомлений и Политики об обработке ПД, уведомления и информирований на сайте и т.д.