10 рекомендаций как работать с персональными данными по новым правилам
Теперь уведомление — отправная точка официальных отношений с Роскомнадзором. Ведомство вправе проводить комплекс контрольно-надзорных мероприятий в отношении компании. Если организация обрабатывает данные, но не уведомляет об этом Роскомнадзор, то подобное поведение приведет к санкциям. Кроме того, РКН начнет с повышенным вниманием следить за деятельностью такого оператора.
РКН утвердил список контрольных вопросов для проверки, которые можно использовать как ориентир для самоконтроля и понимания зон интереса регулятора (приказ Роскомнадзора от 24.12.2021 № 253). Документ содержит 67 вопросов для юридических и физических лиц, а также индивидуальных предпринимателей в области персональных данных. Ответы укажут, соответствуют или нет действия оператора обязательным требованиям федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — закон № 152-ФЗ.
Учитывайте, что РКН считает оператором не только юрлиц, но и ИП, и физлиц
Предпринимать меры для защиты персональных данных должны все юридические лица. Об этом законодатель прямо указал в ст. 18.1 закона № 152-ФЗ. Однако в этой норме нет информации, что в качестве оператора персональных данных законодатель рассматривает индивидуального предпринимателя. Вместе с тем ИП должны соответствовать требованиям закона № 152-ФЗ. Это следует из общего правила гражданского права о том, что на граждан, которые осуществляют предпринимательскую деятельность без образования юридического лица, распространяются правила, регулирующие деятельность юридических лиц (ч. 3 ст. 23 ГК).