Ответ: До начала обработки персональных данных оператор, за исключением отдельных случаев, обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 Закона о персональных данных). Законодательство содержит исчерпывающий и закрытый перечень случаев, когда оператор персональных данных вправе осуществлять обработку персональных данных, не уведомляя об этом Роскомнадзор, без включения в реестр (ч. 2 ст. 22, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) "О персональных данных" {КонсультантПлюс}). Рассмотрим указанный вопрос более подробно далее.   

Обоснование: Согласно ч. 4 ст. 22, Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) "О персональных данных" {КонсультантПлюс} уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

Оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (операций) (п. 2 ст. 3 Закона о персональных данных). Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.

Роскомнадзор ведет реестр операторов персональных данных. В реестр вносятся сведения из уведомлений, подаваемых операторами (ч. 4 ст. 22, п. 3 ч. 5 ст. 23 Закона о персональных данных, п. п. 1, 5.2.4 Положения о Роскомнадзоре). Проверить, включены ли вы в этот реестр, можно на Портале персональных данных, который ведет Роскомнадзор: http://pd.rkn.gov.ru/ (п. 2.3 Методических рекомендаций, утвержденных Приказом Роскомнадзора от 30.05.2017 N 94, см. во вложении к консультации).

Если вы не включены в реестр Роскомнадзора, вы не перестаете быть оператором персональных данных и не освобождаетесь от связанных с этим статусом обязанностей (Информация Роскомнадзора, см. во вложении к консультации).

Также операторы персональных данных обязаны опубликовать или иным образом обеспечить неограниченный доступ к вашей политике обработки персональных данных, к сведениям о реализуемых требованиях к защите таких данных. Документ можно разместить на вашем официальном сайте или на информационном стенде в офисе, если сайта у вас нет. Если же вы осуществляете сбор персональных данных с использованием информационно-телекоммуникационных сетей, то обязаны опубликовать политику обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных в соответствующей сети, а также обеспечить возможность доступа к этому документу с использованием средств такой сети (ч. 2 ст. 18.1 Закона о персональных данных, Письмо Роскомнадзора от 19.10.2021 N 08-71063, см. во вложении к консультации).

По запросу Роскомнадзора вы должны представить документы, определяющие политику обработки персональных данных, и подтвердить, что приняли необходимые меры, в том числе в рамках политики обработки персональных данных (ч. 4 ст. 18.1 Закона о персональных данных).

Обратите внимание: Правительство РФ устанавливает перечень мер, направленных на обеспечение

выполнения обязанностей по Закону о персональных данных и по принятыми в соответствии с ним нормативными правовыми актами, операторами-госорганами (ч. 3 ст. 18.1 Закона о персональных данных). Так, для таких операторов предусмотрены специальные правила опубликования политики обработки персональных данных. Документы подлежат опубликованию на официальном сайте госоргана в течение 10 дней после их утверждения (п. 2 Перечня мер, направленных на выполнение обязанностей операторами-госорганами, утвержденного Постановлением Правительства РФ от 21.03.2012 N 211).

В силу ч. 1 ст. 22, Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) "О персональных данных" {КонсультантПлюс} оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Закон содержит исчерпывающий перечень случаев, когда оператор персональных данных вправе осуществлять обработку персональных данных, не уведомляя об этом Роскомнадзор, без включения в реестр (ч. 2 ст. 22, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) "О персональных данных" {КонсультантПлюс}). К таким случаям относятся:

  1. персональные данные обрабатываемых в соответствии с трудовым законодательством;
  2. персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. обрабатываются персональные данные членов (участников) общественного объединения или религиозной организации для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  4. субъект персональных данных сделал свои данные общедоступными ;
  5. персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;
  6. персональные необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях
  7. персональные данные включены в государственные автоматизированные информационные системы персональных данных либо информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. персональные данные обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  9. персональные данные обрабатываются в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если ваша ситуация подпадает под одну из вышеперечисленных, то вам не нужно направлять уведомление в Роскомнадзор о том, что вы являетесь оператором персональных данных. В случае, если Роскомнадзор направит вам уведомление о нарушении законодательства в связи с невключением в реестр персональных данных, вам необходимо направить мотивированные возражения.

К сожалению, в последнее время направление подобных уведомлений является обычной практикой Роскомнадзора в сфере обработки и защиты персональных данных, особенно, в отношении представительств и филиалов иностранных компаний. Однако компания, зная свои права, может их защитить и избежать негативных последствий признания ее нарушителем в сфере персональных данных.

Таким образом, законодательство содержит исчерпывающий и закрытый перечень случаев, когда оператор персональных данных вправе осуществлять обработку персональных данных, не уведомляя об этом Роскомнадзор, без включения в реестр (ч. 2 ст. 22, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) "О персональных данных" {КонсультантПлюс}).

 

 

Не нашли ответа на свой вопрос?

Задайте его менеджеру