Энциклопедия решений. Направление уведомления в Роскомнадзор о начале обработки персональных данных (ноябрь 2024)

Направление уведомления в Роскомнадзор о начале обработки персональных данных

Смотрите в этом материале:

- как направить уведомление;

- когда оператор может обрабатывать персональные данные без уведомления

По общему правилу, сформулированному в ч. 1 ст. 22 Закона N 152-ФЗ, до начала обработки персональных данных оператор обязан направить уведомление о намерении осуществлять такую обработку в уполномоченный орган по защите прав субъектов персональных данных - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Уведомление направляется один раз за время деятельности организации, не влечёт за собой каких-либо затрат и дополнительных обязательств. Данное уведомление является основанием для внесения сведений об операторе в реестр операторов, осуществляющих обработку персональных данных.

Уведомление оформляется на бланке оператора по форме, определённой Приложением 1 к Методическим рекомендациям по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утв. приказом Роскомнадзора от 30.05.2017 N 94 (далее - Рекомендации), и направляется в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе. Электронная форма уведомления и порядок её заполнения размещены на интернет-портале персональных данных Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/form/ (п. 3.2 Рекомендаций).

В случае изменения ранее представленных сведений, а также прекращения обработки персональных данных оператор обязан уведомить об этом территориальный орган Роскомнадзора в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных (ч. 7 ст. 22 Закона N 152-ФЗ, п.п. 4, 5 Рекомендаций). Форма Информационного письма о внесении изменений в сведения об операторе в Реестре приведена в Приложении 2 к Рекомендациям, а заявления о прекращении обработки персональных - в Приложении 3 к Рекомендациям. Электронная форма Информационного письма размещена на интернет-портале персональных данных Роскомнадзора: http://rkn.gov.ru/personal-data/forms/p333/.

Внимание

Отдельные территориальные органы Роскомнадзора рассылают всем хозяйствующим субъектам письма о необходимости направления уведомлений об обработке персональных данных. Роскомнадзор разъяснил, что подобная рассылка является профилактической мерой с целью исполнения оператором требований Закона N 152-ФЗ, а также обратил внимание, что в любом случае организация должна дать ответ на письмо Федеральной службы (см. информацию от 31.10.2011). Срок предоставления информации составляет 30 дней с даты получения такого запроса (ч. 4 ст. 20 Закона N 152-ФЗ). Невыполнение в установленный законом срок подобного требования может повлечь привлечение оператора к административной ответственности по ст. 19.7 КоАП РФ, поскольку право оператора осуществлять обработку персональных данных без уведомления территориального органа Роскомнадзора не освобождает его от исполнения запроса уполномоченного органа в порядке и сроки, предусмотренные законом (см. например, решение Советского райсуда г. Челябинска Челябинской области от 08.09.2016 по делу N 12-535/2016, постановление Хабаровского краевого суда от 08.08.2014 по делу N 4а-439/2014, постановление Заводского райсуда г. Орла от 18.02.2013).

Когда оператор может обрабатывать персональные данные без уведомления

Однако не все операторы должны уведомлять Роскомнадзор о начале обработки персональных данных. Часть 2 ст. 22 Закона N 152-ФЗ содержит перечень исключений, когда оператор может обрабатывать персональные данные без соответствующего уведомления. Причем каждое исключение является самостоятельным основанием, освобождающим оператора от направления уведомления в территориальный орган Роскомнадзора:

1. Обработка персональных данных в соответствии с трудовым законодательством

2. Обработка персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных

3. Обработка персональных данных лиц, относящихся к членам (участникам) общественного объединения или религиозной организации

4. Обработка персональных данных, сделанных субъектом персональных данных общедоступными

5. Обработка персональных данных, включающих в себя только фамилии, имена и отчества субъектов

6. Обработка персональных данных в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях

7. Обработка персональных данных, включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка

8. Обработка персональных данных без использования средств автоматизации

9. Обработка персональных данных в случаях, предусмотренных законодательством РФ о транспортной безопасности

Обработка персональных данных в соответствии с трудовым законодательством

Это исключение предусмотрено п. 1 ч. 2 ст. 22 Закона N 152-ФЗ.

Согласно ч. 1 ст. 5 ТК РФ трудовое законодательство состоит из ТК РФ, иных федеральных законов и законов субъектов РФ, содержащих нормы трудового права. Случаи обработки персональных данных, предусмотренные трудовым законодательством, поименованы в п. 1 ст. 86 ТК РФ, к ним относятся: обработка персональных данных работника в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Так, например, обязанность работодателя по передаче персональных данных работников соответствующим военным комиссариатам для целей ведения воинского учета, Пенсионному фонду РФ для целей ведения индивидуального (персонифицированного) учета прямо предусмотрена действующим законодательством (пп. 3 п. 2 ст. 12 Федерального закона от 16.08.1999 N 165-ФЗ "Об основах обязательного социального страхования", п. 7 ст. 8 Федерального закона от 28.03.1998 N 53-ФЗ "О воинской обязанности и военной службе", п. 32 Положения о воинском учете, утв. постановлением Правительства РФ от 27.11.2006 N 719). Следовательно, такая обработка персональных данных не приводит к возникновению у работодателя обязанности по уведомлению Роскомнадзора об обработке персональных данных.

Обработка персональных данных соискателей на занятие вакантных должностей сама по себе также не влечет за собой необходимость уведомлять Роскомнадзор. В ТК РФ прямо установлена обязанность лица, поступающего на работу, еще до заключения трудового договора представить работодателю документы, содержащие персональные данные (ст. 65 ТК РФ). В отдельных случаях также до принятия решения о заключении трудового договора работодателю необходимо располагать определенной информацией о состоянии здоровья кандидата (ст.ст. 69, 213, 266, 328, 330.3, 324, 348.3 ТК РФ, определение Верховного Суда РФ от 14.11.2007 N 83-Г07-7). Из ст. 64 ТК РФ следует право работодателя при решении вопроса о возможности заключения трудового договора с конкретным лицом опираться на информацию о его деловых качествах (см.: п. 10 постановления Пленума Верховного Суда РФ от 17.03.2004 N 2). Таким образом, получение работодателем информации, необходимой для оценки деловых качеств кандидата (например об образовании, опыте работы), не приводит к возникновению обязанности по уведомлению Роскомнадзора. Если же работодатель получает от соискателей больший объем информации, чем это необходимо в соответствии с трудовым законодательством, то обработка избыточной информации о соискателе под действие п. 1 ч. 2 ст. 22 Закона N 152-ФЗ не подпадает. Более того, в силу ч. 4 ст. 21 Закона N 152-ФЗ после принятия решения о приеме на работу или об отказе в заключении трудового договора с соискателем работодатель обязан уничтожить полученные от него персональные данные, которые не требуются ему для иных целей (см. п. 5 разъяснений Роскомнадзора от 14.12.2012).

Не предусмотрена трудовым законодательством также передача персональных данных работников в банк при реализации зарплатных проектов. В частности, ее нельзя отнести к обработке, направленной на обеспечение соблюдения законов и иных нормативных правовых актов, поскольку законом установлена лишь обязанность работодателя выплачивать в полном размере причитающуюся работникам заработную плату (ч. 2 ст. 22 ТК РФ) в месте выполнения им работы либо перечисляется на указанный работником счет в банке на условиях, определенных коллективным договором или трудовым договором (ч. 3 ст. 136 ТК РФ). Посредничество работодателя в получении работниками "зарплатных" карт носит гражданско-правовой характер. Поэтому для обработки организацией персональных данных работников в виде их передачи в банк для оформления "зарплатных" карт необходимо уведомление Роскомнадзора.

Передача персональных данных работников сторонней организации для оформления пропусков, визиток тоже не отвечает целям, указанным в п. 1 ст. 86 ТК РФ, соответственно при осуществлении такой обработки работодатель обязан уведомить Роскомнадзор

Таким образом, в каждом конкретном случае оператор должен соотносить цели обработки персональных данных работников с требованиями трудового законодательства, и если эти цели выходят за эти рамки, то направление уведомления в территориальных орган Роскомнадзора обязательно.

Обработка персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных

Исключение предусмотрено п. 2 ч. 2 ст. 22 Закона N 152-ФЗ. Такая обработка возможна без уведомления территориального органа Роскомнадзора при соблюдении следующих условий:

- персональные данные не распространяются и не предоставляются третьим лицам, то есть оператор не делает эту информацию доступной неопределенному или определенному кругу лиц;

- персональные данные предоставляются третьим лицам, но исключительно в целях заключения или исполнения заключенного договора и при наличии на это согласия субъекта. Если оператор передает персональные данные контрагента в иных целях, то направление уведомления обязательно;

- под данное исключение не подпадают договоры, в которых субъект персональных данных выступает не стороной, а выгодоприобретателем или поручителем.

При этом не имеет значения, каким способом в данном случае осуществляется обработка персональных данных физического лица - без использования средств автоматизации или с использованием информационных систем, например, дистанционно (см. постановление Четвертого ААС от 07.02.2018 N 04АП-127/18, решение АС Иркутской области от 21.11.2017 по делу N А19-17054/2017).

Обработка персональных данных лиц, относящихся к членам (участникам) общественного объединения или религиозной организации

Без уведомления территориального органа Роскомнадзора допускается обработка персональных данных лиц, относящихся к членам (участникам) общественного объединения (ст. 5 Федерального закона от 19.05.1995 N 82-ФЗ "Об общественных объединениях") или религиозной организации (ст. 8 Федерального закона от 26.09.1997 N 125-ФЗ "О свободе совести и о религиозных объединениях"), и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных (п. 3 ч. 2 ст. 22 Закона N 152-ФЗ).

Обратим внимание, что данное правило распространяется только на обработку персональных данных исключительно членов (участников) данных организаций. В случае, когда этими операторами обрабатываются персональные данные сторонних физических лиц (например, прихожан и др.), то направление уведомления в территориальный орган Роскомнадзора необходимо, если, конечно, такая обработка не подпадает под другие исключения, установленные ч. 2 ст. 22 Закона N 152-ФЗ (см. постановление Фрунзенского райсуда г. Владивостока Приморского края от 10.05.2018 по делу N 5-821/2018).

Обработка персональных данных, сделанных субъектом персональных данных общедоступными

Это исключение предусмотрено п. 4 ч. 2 ст. 22 Закона N 152-ФЗ.

Частью 1 ст. 7 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон N 149-ФЗ) к общедоступной информации отнесены общеизвестные сведения и иная информация, доступ к которой не ограничен. Соответственно, такая информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации (ч. 2 ст. 7 Закона N 149-ФЗ). Информация, размещаемая ее обладателями в сети "Интернет" в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией (ч. 4 ст. 7 Закона N 149-ФЗ).

Согласно ч. 1 ст. 8 Закона N 152-ФЗ в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов (см. решение АС г. Москвы от 28.11.2014 по делу N А40-124409/2014).

Так, в силу п. 1 ст. 6 Федерального закона от 08.08.2001 N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" сведения, которые содержатся в ЕГРИП, являются открытыми и общедоступными. Целью сбора персональных данных индивидуальных предпринимателей на этапе их государственной регистрации является придание открытости и общедоступности тех персональных данных индивидуальных предпринимателей, которые подлежат обязательной публикации, а также тех персональных данных, которые содержатся в выписке из ЕГРИП, предоставляемой любому лицу (ст. 6 Закона N 129-ФЗ). Следовательно, обработка персональных данных из ЕГРИП, полученных на законной и справедливой основе, подпадает под исключение, установленное п. 4 ч. 2 ст. 22 Закона N 152-ФЗ (см. решение АС г. Москвы от 27.02.2018 по делу N А40-119965/2017).

По смыслу приведенных норм обработка персональных данных без уведомления Роскомнадзора допускается в том случае, если обрабатываемые персональные данные доступны неопределенному кругу лиц и эти данные предоставлены непосредственно самим субъектом. Персональные данные, сделанные общедоступными субъектом персональных данных, могут содержаться только в общедоступных источниках информации. Однако размещение персональных данных в таких источниках, не делает их автоматически общедоступными. В частности, Верховный суд РФ поддержал выводы нижестоящих судов, указав, что персональные данные, содержащиеся в социальных сетях ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру, не являются общедоступными (см. определение от 29.01.2018 N 305-КГ17-21291).

Обработка персональных данных, включающих в себя только фамилии, имена и отчества субъектов

Обработка персональных данных, включающих в себя только фамилии, имена и отчества субъектов, также исключает обязанность оператора направлять уведомление в Роскомнадзор о начале обработки персональных данных (п. 5 ч. 2 ст. 22 Закона N 152-ФЗ).

Безусловно, фамилия, имя, отчество наряду со многими другими способами используются для идентификации отдельного человека среди других. Согласно ст. 19 ГК РФ лицо приобретает права и обязанности под своим именем, включая фамилию, имя, отчество, то есть фамилия, имя, отчество неотделимы от его носителя. Однако сами по себе эти сведения, если они неуникальны, персональными данными в терминологии Закона N 152-ФЗ не считаются, т.к. идентификаторами является та информация, которая прямо или косвенно относится к лицу с таким именем, отчеством и фамилией (паспортные данные, имущественное положение, биометрия и др.). Если гражданин желает сохранить эти данные в тайне, закон дозволяет ему использовать псевдоним. Соответственно и обеспечивать безопасность этих данных, по общему правилу, не требуется. Защите подлежат те персональные данные, которые каким-то образом могут характеризовать человека и его частную жизнь.

По своей природе фамилия, имя и отчество гражданина - это составной ключ, идентификатор, основанный на комбинациях трёх параметров, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать (см. обзор обращений граждан в Управление Роскомнадзора по Республике Карелия за II квартал 2012 года). Таким образом, если фамилия, имя и отчество гражданина неуникальны, то эти сведения не являются персональными данными лица, поскольку в отсутствие дополнительной информации они не позволяют его однозначно идентифицировать. Схожий вывод содержится в решении Миасского горсуда Челябинской области от 11.06.2019 по делу N 2-923/2019.

Обработка персональных данных в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях

Без уведомления Роскомнадзора может осуществляться обработка персональных данных в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях (п. 6 ч. 2 ст. 22 Закона N 152-ФЗ). В данном случае речь идет о допуске на территорию организации сторонних лиц либо своих работников к отдельным структурным подразделениям на основании разовых пропусков. Что подразумевается под иными аналогичными целями Закон N 152-ФЗ не раскрывает. Возможно к ним может относиться выдача не только одноразовых, но и временных пропусков выдаваемых, например, для прикомандированных лиц, работников обслуживающих организаций и т.п. При этом организация пропускного режима в организации должна быть легализована оператором, что предполагает издание соответствующего локального акта, инструкции, положения и т.п. документов, регламентирующих пропуск на территорию организации.

Обработка персональных данных, включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка

Исключение предусмотрено п. 7 ч. 2 ст. 22 Закона N 152-ФЗ.

Государственные информационные системы - это федеральные информационные системы и региональные информационные системы, созданные на основании федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов (п. 1 ч. 1 ст. 13 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", далее - Закон N 149-ФЗ). Назначением государственных информсистем является реализация полномочий государственных органов и обеспечение обмена информацией между этими органами, а также в иных установленных федеральными законами целях (ч. 1 ст. 14 Закона N 149-ФЗ). Из положений ч. 9 ст. 14 Закона 149-ФЗ следует, что информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами. Информация, содержащаяся в государственных информационных системах, является официальной. Государственные органы, определенные в соответствии с нормативным правовым актом, регламентирующим функционирование государственной информационной системы, обязаны обеспечить достоверность и актуальность информации, содержащейся в данной информационной системе.

Иными словами, государственная информационная система предназначена для реализации полномочий государственных органов, осуществления информационного обмена между этими органами, а также для достижения иных целей, определенных федеральными законами. Примерами таких информационных систем являются, в частности, единая информационная система в сфере закупок (ст. 4 Федерального закона от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд"); единая государственная автоматизированная информационная система учета древесины и сделок с ней (ст. 50.6 Лесного кодекса РФ); государственная информационная система о государственных и муниципальных платежах (ст. 21.3 Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг"); государственная информационная система жилищно-коммунального хозяйства (Федеральный закон от 21.07.2014); единая государственная информационная система социального обеспечения (гл. 2.1. Федерального закона от 17 июля 1999 г. N 178-ФЗ "О государственной социальной помощи"); единая информационная система управления кадровым составом государственной гражданской службы РФ (постановление Правительства РФ от 03.03.2017 N 256) и др.

Обработка персональных данных без использования средств автоматизации

Не требуется уведомление об обработке персональных данных без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных (п. 8 ч. 2 ст. 22 Закона N 152-ФЗ).

Закон N 152-ФЗ не раскрывает понятие неавтоматизированной обработки персональных данных. Критерии, при которых обработка персональных данных признается (либо не признается) неавтоматизированной, сформулированы в п.п. 1 и 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение). Так, согласно п. 1 Положения обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из нее, считается неавтоматизированной, если такие операции с персональными данными, как использование, уточнение, распространение, уничтожение (в отношении каждого из субъектов персональных данных), осуществляются при непосредственном участии человека (см. определение Владимирского облсуда от 20.01.2015 по делу N 33-139/2015). Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее (п. 2 Положения).

Заметим, на практике толкование приведенных норм вызывают затруднения, поскольку они не позволяют провести четкую грань между автоматизированной и неавтоматизированной обработкой персональных данных. Пункт 4 ст. 3 Закона N 152-ФЗ определяет автоматизированную обработку персональных данных как осуществляемую с помощью средств вычислительной техники. Согласно ГОСТу Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования" под средствами вычислительной техники понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. То есть в понятие "средства вычислительной техники" инкорпорированы компьютерные системы, автоматизированные системы обработки информации, системы программного обеспечения и т. п. элементы. В п. "с" ст. 2 Конвенции Совета Европы N 108 "О защите частных лиц в отношении автоматизированной обработки данных личного характера" (Страсбург, 28.01.1981)*(1) указано, что "автоматизированная обработка" включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение. Соответственно, если подобные действия в отношении конфиденциальной информации, содержащей персональные данные, совершаются в автоматическом режиме (например, программа после подачи специалистом определенной команды без участия человека обращается к своей базе данных, хранящих соответствующие персональные данные субъектов, систематизирует их и выдает по установленному алгоритму результат), то такая обработка персональных данных будет считаться автоматизированной, даже если изначально персональные данные субъектов вводятся в информационную систему и впоследствии выгружаются из нее вручную человеком.

Обработка персональных данных в случаях, предусмотренных законодательством РФ о транспортной безопасности

Под исключение подпадает также обработка персональных данных в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п. 9 ч. 2 ст. 22 Закона N 152-ФЗ).

Как следует из ч. 1 ст. 4 Федерального закона от 09.02.2007 N 16-ФЗ "О транспортной безопасности" (далее - Закон N 16-ФЗ), на субъектов транспортной инфраструктуры возлагается обязанность по обеспечению транспортной безопасности объектов транспортной инфраструктуры и транспортных средств, если иное не установлено законодательством Российской Федерации. Для этих целей уполномоченным Правительством РФ федеральным органом исполнительной власти создается единая государственная информационная система обеспечения транспортной безопасности, являющаяся собственностью Российской Федерации (ч. 1 ст. 11 Закона N 16-ФЗ), которая состоит в том числе из автоматизированных централизованных баз персональных данных о пассажирах и персонале транспортных средств. Такие базы формируются в том числе при осуществлении перевозок автомобильным транспортом по заказу, в международном сообщении и в междугородном сообщении между населенными пунктами, расположенными на территориях разных субъектов РФ, за исключением перевозок между городом федерального значения Москвой и Московской областью, между городом федерального значения Санкт-Петербургом и Ленинградской областью, а также между городом федерального значения Севастополем и Республикой Крым (п. 4 ч. 2 ст. 11 Закона N 16-ФЗ).

Автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств формируются на основании информации, предоставленной субъектами транспортной инфраструктуры и перевозчиками (п. 1 ч. 3 ст. 11 Закона N 16-ФЗ). Частью 5 ст. 11 Закона N 16-ФЗ предусмотрено, что при оформлении проездных документов (билетов) и формировании персонала (экипажей) транспортных средств передаче в автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств подлежат следующие данные: фамилия, имя, отчество, дата рождения, вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (билет), пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный), дата поездки; пол; гражданство.

Таким образом, на субъектов транспортной инфраструктуры и перевозчиков законом о транспортной безопасности возложена обязанность по передаче персональных данных пассажиров и членов экипажей в автоматизированные централизованные базы данных. При этом под субъектами транспортной инфраструктуры понимаются юридические и физические лица, являющиеся собственниками объектов транспортной инфраструктуры и транспортных средств или использующие их на ином законном основании (п. 9 ст. 1 Закона N 16-ФЗ).

Перечень объектов транспортной инфраструктуры приведен в п. 5 ст. 1 Закона N 16-ФЗ. Следовательно, на титульного владельца такого объекта возложена обязанность по представлению информации в автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств. Неисполнение данной обязанности, равно как представление недостоверных сведений, образует состав административного правонарушения, предусмотренного ст. 19.7.9 КоАП РФ (см. постановления Одиннадцатого ААС от 31.03.2017 N 11АП-2363/17, Пятнадцатого ААС от 25.10.2016 N 15АП-15556/16, Шестнадцатого ААС от 18.04.2016 N 16АП-343/16).

Таким образом, обработка персональных данных граждан в целях, определенных транспортным законодательством РФ, осуществляется во исполнение императивных предписаний правовых норм, а потому обязанность по уведомлению Роскомнадзора исключается.

------------------------------

*(1) Российская Федерация ратифицировала настоящую Конвенцию Федеральным законом от 19.12.2005 N 160-ФЗ с заявлением.

Тема

Оператор персональных данных

См. также

Реестр операторов, осуществляющих обработку персональных данных

Формы документов

Пример заполнения Уведомления об обработке (о намерении осуществлять обработку) персональных данных

Пример заполнения Информационного письма о внесении изменений в сведения об операторе в реестре операторов

Пример заполнения Заявления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных