Вопрос: Будет ли действовать новый индикатор риска в условиях, когда организация не подавала в Роскомнадзор уведомление о начале обработки персональных данных, но политику на своем сайте опубликовала? (ответ службы Правового консалтинга ГАРАНТ, ноябрь 2023 г.)

Перечень индикаторов риска нарушения обязательных требований в области обработки личной информации с 18.11.2023 расширен. Новый показатель - ситуация, когда Роскомнадзор обнаружил хотя бы три расхождения между такими сведениями:

- с одной стороны, информацией из уведомлений о намерении обрабатывать персональные данные и (или) осуществлять их трансграничную передачу;

- с другой стороны, данными, которые оператор опубликовал на своем сайте в силу обязанности.

Будет ли действовать вышеуказанный индикатор риска в ситуации, когда организация не подавала в Роскомнадзор уведомление о начале обработки персональных данных, но политику на своем сайте опубликовала?

Одним из оснований для внепланового контрольного (надзорного) мероприятия (далее - КНМ) является выявление соответствия объекта контроля параметрам, утвержденным индикаторами риска нарушения обязательных требований, или отклонение объекта контроля от таких параметров (п. 1 ч. 1 ст. 57 Федерального закона от 31 июля 2020 г. N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации").

Соответствующие индикаторы утверждены приказом Минцифры России от 15 ноября 2021 N 1187. При этом приказом Минцифры России от 17 августа 2023 г. N 720 перечень индикаторов дополнен положением о том, что основанием для внепланового КНМ является также установление контролирующим органом трех и более фактов несоответствия между сведениями, которые размещены на сайте оператора персональных данных, и информацией, ранее указанной оператором в уведомлениях: о намерении начать обработку персональных данных (ч. 1 ст. 22 Закона N 152-ФЗ); о намерении осуществлять их трансграничную передачу (ч. 3 ст. 12 Закона N 152-ФЗ).

Выявить такое несоответствие Роскомнадзор может в ходе проверочных мероприятий без взаимодействия с оператором, они не подчиняются требованиям Федерального закона от 31 июля 2020 г. N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" и проводятся ведомством по собственному усмотрению (п. 22 ч. 5 ст. 2 Закона N 248-ФЗ).

Полагаем, что в случае ненаправления оператором уведомления о намерении осуществлять обработку персональных данных или трансграничить эти данные у Роскомнадзора не будет информации для сравнения с той, которая размещена на страницах официального сайта оператора и определяет его политику в отношении обработки персональных данных, о реализуемых требованиях к защите персональных данных и т.п. Поэтому формально повода для внеплановой проверки именно по новому основанию мы не усматриваем.

Однако сам факт неуведомления Роскомнадзора образует состав административного правонарушения, предусмотренного ст. 19.7 КоАП РФ, что может быть самостоятельным основанием для КНМ.

Ответ подготовил:

Эксперт службы Правового консалтинга ГАРАНТ

Амирова Ларисас

Ответ прошел контроль качества

23 ноября 2023 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. Для получения подробной информации об услуге обратитесь к обслуживающему Вас менеджеру.