Ответ: Да, указанная обязанность устанавливается законодательством, однако существуют исключения (рассмотрим далее порядок, исключения, сроки регистрации, а также правовые последствия не подачи уведомления на регистрацию в реестр персональных данных).

Обоснование: Оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Фактически любое действующее юридическое лицо по смыслу Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) "О персональных данных" {КонсультантПлюс} является оператором персональных данных (компании обрабатывают данные клиентов, работников и т.д.). Однако далеко не любая компания, являющаяся оператором персональных данных, обязана включаться в реестр операторов персональных данных (уведомлять Роскомнадзор об обработке персональных данных.

По вопросу сообщения в Роскомнадзор об обработке персональных данных работодателем сложилось несколько позиций (Рекомендации по уведомлению представлены на портале персональных данных Роскомнадзора).

Первая позиция основана на том, что не сообщать можно только об обработке персональных данных в рамках трудового законодательства (т.е. Трудового кодекса РФ, иных нормативных правовых актов, содержащих нормы трудового права) (часть 2 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ).

Если же обработка персональных данных происходит с целью исполнения, например, налогового законодательства или законодательства о бухгалтерском учете, то в Роскомнадзор необходимо сообщать. И не влияет на это даже тот факт, что не требуется согласие работников на обработку их данных с целью реализации норм федеральных законов.

Если обработка персональных данных осуществляется в рамках исполнения оператором обязательств, установленных законом, не требуется согласие на обработку персональных данных (ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). Также не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета. Не распространяется законодательство о персональных данных и на материалы, переданные в архивную организацию для архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных. Это следует из положений абзацев 6–10 пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г. (см. во вложении <Разъяснения> Роскомнадзора "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве" {КонсультантПлюс}).

Противоположная позиция основана на утверждении, что обработка персональных данных уволенных работников, справки о доходах, свидетельства о рождении и прочие документы запрашиваются и обрабатываются в рамках трудовых отношений, т.е. в соответствии с трудовым законодательством. Что позволяет Роскомнадзор не уведомлять.

Более безопасной, конечно, является первая позиция. Поскольку оштрафовать работодателя за то, что он уведомил Роскомнадзор, в то время как такой обязанности у него не было, нельзя.

Уведомление о намерении осуществлять обработку персональных данных можно направить в электронном виде через портал персональных данных (ч. 3 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ). Каждая графа, которая вызывает вопросы при заполнении, является гиперссылкой, где подробно описано – что конкретно необходимо отразить в документе (см. https://pd.rkn.gov.ru/operators-registry/notification/form/).

На портале также представлены методические рекомендации и заполненный пример интересующего Вас уведомления (см. https://pd.rkn.gov.ru/operators-registry/operators-registry-documents/).

Обратите внимание, что бумажная Форма уведомления о намерении осуществлять обработку персональных данных, которая утверждена приказом Минкомсвязи России от 21 декабря 2011 г. № 346, более не действует. Поскольку документ признан утратившим силу Приказом

Минкомсвязи России от 20.07.2017 № 373.

Таким образом, закон содержит исчерпывающий перечень случаев, когда оператор персональных данных вправе осуществлять обработку персональных данных, не уведомляя об этом Роскомнадзор.

К таким случаям могут быть отнесены:
  • персональные данные обрабатываемых в соответствии с трудовым законодательством;
  • персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • обрабатываются персональные данные членов (участников) общественного объединения или религиозной организации для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  • субъект персональных данных сделал свои данные общедоступными;
  • персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;
  • персональные необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • персональные данные включены в государственные автоматизированные информационные системы персональных данных либо информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • персональные данные обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  • персональные данные обрабатываются в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если ваша ситуация подпадает под одну из вышеперечисленных, то вам не нужно направлять уведомление в Роскомнадзор о том, что вы являетесь оператором персональных данных. В случае, если Роскомнадзор направит вам уведомление о нарушении законодательства в связи с невключением в реестр ПД, вам необходимо направить мотивированные возражения.

К сожалению, в последнее время направление подобных уведомлений является обычной практикой Роскомнадзора в сфере обработки и защиты персональных данных, особенно, в отношении представительств и филиалов иностранных компаний. Однако компания, зная свои права, может их защитить и избежать негативных последствий признания ее нарушителем в сфере персональных данных.

Если же Вы осуществляете обработку персональных данных, при этом ваша деятельность не подпадает под перечисленные выше случаи, вам необходимо до начала обработки персональных данных направить в Роскомнадзор уведомление.

1) Уведомление в Роскомнадзор должно содержать:
  • наименование (фамилия, имя, отчество),
  • адрес оператора цель обработки персональных данных;
  • категории персональных данных категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
  • описание мер по обеспечению безопасности персональных данных, предусмотренных законом, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
  • ФИО физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  • дату начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Уведомление подается на бумажном носителе или в электронном виде. За непредставление или несвоевременное представление уведомления предусмотрена административная ответственность: предупреждение или штраф для должностных лиц — от 300 до 500 руб.; для юридических лиц — от 3 000 до 5 000 руб. (ст. 19.7 КоАП РФ). Определенный срок представления уведомления не предусмотрен, однако, уведомление должно быть направлено до начала использования (обработки) персональных данных.

2) Внесение сведений в реестр Роскомнадзора (публикация сведений в реестре).

Роскомнадзор на основании предоставленного уведомления вносит сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления.

Пошлина за регистрацию в реестре операторов персональных данных Роскомнадзора не уплачивается.

В случае предоставления неполных или недостоверных сведений в уведомлении Роскомнадзор вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов (отказ во внесении в реестр законом не предусмотрен).

В случае изменения сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Таким образом, в течение 30 дней с даты поступления уведомления уполномоченный орган вносит содержащиеся в нем сведения (а также сведения о дате направления уведомления) в реестр операторов, осуществляющих обработку персональных данных (ч. 4 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) "О персональных данных" {КонсультантПлюс}).

Информация о внесении сведений об операторе в реестр размещается на официальном сайте и портале персональных данных (п. 3.5 Приказа Роскомнадзора от 30.05.2017 N 94 (ред. от 30.10.2018) "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения" {КонсультантПлюс}, документ во вложении к консультации).

Сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора. Ни Законом, ни Рекомендациями не предусмотрена обязательная выдача оператору какого-либо документа, подтверждающего подачу уведомления и факт внесения в реестр соответствующих сведений. В то же время любое заинтересованное лицо может по собственной инициативе получить выписку из реестра. Для этого в Роскомнадзор (его территориальный орган по месту регистрации оператора в налоговом органе) необходимо направить заявление. Его форма определенна в Приложении 4 к Рекомендациям (п. п. 6.1, 6.2 Рекомендаций).

Более подробную дополнительную информацию по данной теме см. также в Путеводителе по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных {КонсультантПлюс} .

 

Не нашли ответа на свой вопрос?

Задайте его менеджеру

Задать вопрос