С 30 мая штрафы для юридических лиц за неуведомление регулятора (Роскомнадзор) о начале обработки персональных данных (ПД) увеличены с 3-5 тысяч до 300 тысяч рублей; в нашу редакцию поступили вопросы от читателей, к кому применимо требование подать такое уведомление, чтобы не быть оштрафованным.
Из ответа Роскомнадзора на соответствующий запрос редакции следует, что подавать уведомление обязаны все компании и индивидуальные предприниматели, бизнес которых связан с хранением и обработкой ПД (есть несущественные исключения, о них ниже). Для подачи уведомления можно использовать форму на сайте службы.
Контроль за исполнением закона осуществляется согласно постановлению правительства РФ от 29 июня 2021 года N 1046 – исходя из возможных рисков.
В этом постановлении сказано, что контролирующий орган (территориальный орган) при осуществлении государственного контроля (надзора) относит поднадзорные объекты к одной из следующих категорий риска причинения вреда (ущерба): высокий риск, значительный риск, средний риск, умеренный риск, низкий риск.
Плановые контрольные (надзорные) мероприятия в отношении объектов контроля в зависимости от присвоенной категории риска проводятся со следующей периодичностью:
Из описания критериев риска следует, что низким считается риск, если компания, например, обрабатывает ПД менее чем тысячи человек или обрабатывает данные из общедоступных источников. Обработка ПД от 1000 до 20000 субъектов уже может подпадать под «умеренный риск».
Без уведомления можно обрабатывать ПД: