Энциклопедия решений. Направление уведомления в Роскомнадзор о начале обработки персональных данных (май 2025)

Направление уведомления в Роскомнадзор о начале обработки персональных данных

Смотрите в этом материале:

- как направить уведомление;

- когда оператор может обрабатывать персональные данные без уведомления:

1) обработка Пдн, включенных в ГИС;

2) обработка Пдн без использования средств автоматизации;

3) обработка ПДН в целях транспортной безопасности

Как направить уведомление?

По общему правилу, сформулированному в ч. 1 ст. 22 Закона N 152-ФЗ, до начала обработки персональных данных оператор обязан направить уведомление о намерении осуществлять такую обработку в уполномоченный орган по защите прав субъектов персональных данных - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Уведомление направляется один раз за время деятельности организации, не влечёт за собой каких-либо затрат и дополнительных обязательств. Данное уведомление является основанием для внесения сведений об операторе в реестр операторов, осуществляющих обработку персональных данных.

Состав сведений, которые должны содержаться в уведомлении, приведен в ч. 3 ст. 22 Закона N 152-ФЗ. Так в уведомлении должны быть указаны:

- наименование (фамилия, имя, отчество), адрес оператора;

- цель обработки персональных данных. При этом для каждой цели обработки указываются категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных (ч. 3.1 ст. 22 Закона N 152-ФЗ);

- описание мер, предусмотренных ст. 18.1 и 19 Закона N 152-ФЗ, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

- фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

- дата начала обработки персональных данных;

- срок или условие прекращения обработки персональных данных;

- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

- сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;

- фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах;

- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Уведомление оформляется на бланке оператора по форме, определённой Приложением 1 к приказу Роскомнадзора от 28.10.2022 N 180 (далее - Приказ N 180), и направляется в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе.

В случае изменения ранее представленных сведений оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить об этом Роскомнадзор (ч. 7 ст. 22 Закона N 152-ФЗ). В случае, если обработка персональных данных прекращается, срок такого уведомления составляет 10 рабочих дней (ч. 7 ст. 22 Закона N 152-ФЗ). Форма уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных приведена в Приложении N 2 к Приказу N 180, а уведомления о прекращении обработки персональных - в Приложении N 3 к этому приказу.

Внимание

Три и более несоответствия между сведениями, которые размещены на сайте оператора, и сведениями, которые оператор ранее включил в уведомление о своем намерении начать обработку персональных данных, могут стать основанием для проведения Роскомнадзором внеплановой проверки (приказ Минцифры России от 15.11.2021 N 1187, п. 1 ч. 1 ст. 57 Федерального закона от 31.07.2020 N 248-ФЗ).

Уведомление может быть подано как на бумажном носителе, так и в электронном виде с использованием усиленной квалифицированной электронной подписи либо с использованием средств аутентификации ЕСИА (см. письма Роскомнадзора от 19.08.2022 N 08-75348, от 31.08.2022).

Внимание

Отдельные территориальные органы Роскомнадзора рассылают хозяйствующим субъектам письма о необходимости направления уведомлений об обработке персональных данных. Роскомнадзор разъяснил, что подобная рассылка является профилактической мерой с целью исполнения оператором требований Закона N 152-ФЗ, а также обратил внимание, что в любом случае организация должна дать ответ на письмо Федеральной службы (см. разъяснение от 31.10.2011). Срок предоставления информации составляет 10 дней с даты получения такого запроса (ч. 4 ст. 20 Закона N 152-ФЗ). Невыполнение в установленный законом срок подобного требования может повлечь привлечение оператора к административной ответственности по ст. 19.7 КоАП РФ, поскольку право оператора осуществлять обработку персональных данных без уведомления территориального органа Роскомнадзора не освобождает его от исполнения запроса уполномоченного органа в порядке и сроки, предусмотренные законом (см. например, решение Советского райсуда г. Челябинска Челябинской области от 08.09.2016 по делу N 12-535/2016, постановления Хабаровского краевого суда от 08.08.2014 по делу N 4а-439/2014, Заводского райсуда г. Орла от 18.02.2013).

Когда оператор может обрабатывать персональные данные без уведомления?

Часть 2 ст. 22 Закона N 152-ФЗ содержит перечень исключений, когда оператор может обрабатывать персональные данные без соответствующего уведомления Роскомнадзора. С 1 сентября 2022 г. число таких исключений сведено к минимуму.

1. Обработка персональных данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.

2. Обработка персональных данных без использования средств автоматизации.

3. Обработка персональных данных в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

1. Обработка персональных данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 Закона N 152-ФЗ)

Государственные информационные системы - это федеральные информационные системы и региональные информационные системы, созданные на основании федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов (п. 1 ч. 1 ст. 13 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", далее - Закон N 149-ФЗ). Назначением государственных информсистем является реализация полномочий государственных органов и обеспечение обмена информацией между этими органами, а также в иных установленных федеральными законами целях (ч. 1 ст. 14 Закона N 149-ФЗ). Из положений ч. 9 ст. 14 Закона 149-ФЗ следует, что информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами. Информация, содержащаяся в государственных информационных системах, является официальной. Государственные органы, определенные в соответствии с нормативным правовым актом, регламентирующим функционирование государственной информационной системы, обязаны обеспечить достоверность и актуальность информации, содержащейся в данной информационной системе.

Иными словами, государственная информационная система предназначена для реализации полномочий государственных органов, осуществления информационного обмена между этими органами, а также для достижения иных целей, определенных федеральными законами. Примерами таких информационных систем являются, в частности, единая информационная система в сфере закупок (ст. 4 Федерального закона от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд"); государственная информационная система о государственных и муниципальных платежах (ст. 21.3 Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг"); государственная информационная система жилищно-коммунального хозяйства (Федеральный закон от 21.07.2014 N 209-ФЗ); единая централизованная цифровая платформа в социальной сфере (гл. 2.2 Федерального закона от 17.07.1999 N 178-ФЗ "О государственной социальной помощи"); единая информационная система управления кадровым составом государственной гражданской службы РФ (постановление Правительства РФ от 03.03.2017 N 256) и др.

2. Обработка персональных данных без использования средств автоматизации (п. 8 ч. 2 ст. 22 Закона N 152-ФЗ)

Закон N 152-ФЗ не раскрывает понятие неавтоматизированной обработки персональных данных. Критерии, при которых обработка персональных данных признается (либо не признается) неавтоматизированной, сформулированы в п.п. 1 и 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение). Так, согласно п. 1 Положения обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из нее, считается неавтоматизированной, если такие операции с персональными данными, как использование, уточнение, распространение, уничтожение (в отношении каждого из субъектов персональных данных), осуществляются при непосредственном участии человека (см. определение Владимирского облсуда от 20.01.2015 по делу N 33-139/2015). Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее (п. 2 Положения).

Заметим, на практике толкование приведенных норм вызывают затруднения, поскольку они не позволяют провести четкую грань между автоматизированной и неавтоматизированной обработкой персональных данных. Пункт 4 ст. 3 Закона N 152-ФЗ определяет автоматизированную обработку персональных данных как осуществляемую с помощью средств вычислительной техники. Согласно ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования" под средствами вычислительной техники понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. То есть в понятие "средства вычислительной техники" инкорпорированы компьютерные системы, автоматизированные системы обработки информации, системы программного обеспечения и т. п. элементы. В п. "с" ст. 2 Конвенции Совета Европы N 108 "О защите частных лиц в отношении автоматизированной обработки данных личного характера" (Страсбург, 28.01.1981)*(1) указано, что "автоматизированная обработка" включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение. Соответственно, если подобные действия в отношении конфиденциальной информации, содержащей персональные данные, совершаются в автоматическом режиме (например, программа после подачи специалистом определенной команды без участия человека обращается к своей базе данных, хранящих соответствующие персональные данные субъектов, систематизирует их и выдает по установленному алгоритму результат), то такая обработка персональных данных будет считаться автоматизированной, даже если изначально персональные данные субъектов вводятся в информационную систему и впоследствии выгружаются из нее вручную человеком.

Полагаем, что с 1 сентября 2022 г. обработку можно осуществлять без уведомления Роскомнадзора только тогда, когда оператор осуществляет обработку персональных данных исключительно в ручном режиме, без использования средств автоматизации вообще. Сочетание неавтоматизированной и автоматизированной обработки персональных данных (так называемой смешанной) под данное исключение не подпадает.

3. Обработка персональных данных в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п. 9 ч. 2 ст. 22 Закона N 152-ФЗ)

Как следует из ч. 1 ст. 4 Федерального закона от 09.02.2007 N 16-ФЗ "О транспортной безопасности" (далее - Закон N 16-ФЗ), на субъектов транспортной инфраструктуры возлагается обязанность по обеспечению транспортной безопасности объектов транспортной инфраструктуры и транспортных средств, если иное не установлено законодательством Российской Федерации. Для этих целей уполномоченным Правительством РФ федеральным органом исполнительной власти создается, эксплуатируется и развивается единая государственная информационная система обеспечения транспортной безопасности, являющаяся собственностью Российской Федерации (ч. 1 ст. 11 Закона N 16-ФЗ), которая состоит в том числе из автоматизированных централизованных баз персональных данных о пассажирах и персонале транспортных средств. Такие базы формируются в том числе при осуществлении перевозок автомобильным транспортом по заказу, в международном сообщении и в междугородном сообщении между населенными пунктами, расположенными на территориях разных субъектов РФ, за исключением перевозок между городом федерального значения Москвой и Московской областью, между городом федерального значения Санкт-Петербургом и Ленинградской областью, а также между городом федерального значения Севастополем и Республикой Крым (п. 4 ч. 2 ст. 11 Закона N 16-ФЗ).

Автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств формируются на основании информации, предоставленной субъектами транспортной инфраструктуры, перевозчиками, юридическими лицами, индивидуальными предпринимателями, уполномоченными субъектами транспортной инфраструктуры или перевозчиками на бронирование и (или) оформление проездных документов (билетов) и передачу персональных данных о пассажирах в автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств от имени субъектов транспортной инфраструктуры или перевозчиков (п. 1 ч. 3 ст. 11 Закона N 16-ФЗ). Частью 5 ст. 11 Закона N 16-ФЗ предусмотрено, что при оформлении проездных документов (билетов) и формировании персонала (экипажей) транспортных средств передаче в автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств подлежат следующие данные: фамилия, имя, отчество, дата рождения, вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (билет), пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный), дата поездки; пол; гражданство.

Конституционный Суд РФ подчеркнул, что по смыслу ст. 2 и 11 Закона N 16-ФЗ, создание автоматизированных централизованных баз персональных данных о пассажирах направлено на устойчивое и безопасное функционирование транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства; автоматизированные централизованные базы данных о пассажирах содержат информацию ограниченного доступа; порядок формирования, ведения и предоставления содержащихся в них данных устанавливается Правительством РФ, а потому данные законоположения, рассматриваемые во взаимосвязи с другими положениями Закона N 16-ФЗ, не могут рассматриваться как нарушающие конституционные права граждан на неприкосновенность частной жизни, ограничивающие свободу передвижения, а также сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (определение Конституционного Суда РФ от 25.12.2008 N 903-О-О).

Таким образом, на субъектов транспортной инфраструктуры и перевозчиков, а также уполномоченных ими лиц, законом о транспортной безопасности возложена обязанность по передаче персональных данных пассажиров и членов экипажей в автоматизированные централизованные базы данных. При этом под субъектами транспортной инфраструктуры понимаются юридические и физические лица, являющиеся собственниками объектов транспортной инфраструктуры и транспортных средств или использующие их на ином законном основании (п. 9 ст. 1 Закона N 16-ФЗ).

Перечень объектов транспортной инфраструктуры приведен в п. 5 ст. 1 Закона N 16-ФЗ. Следовательно, на титульного владельца такого объекта возложена обязанность по представлению информации в автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств. Неисполнение данной обязанности, равно как представление недостоверных сведений, образует состав административного правонарушения, предусмотренного ст. 19.7.9 КоАП РФ (см. постановления Одиннадцатого ААС от 31.03.2017 N 11АП-2363/17, Пятнадцатого ААС от 25.10.2016 N 15АП-15556/16, Шестнадцатого ААС от 18.04.2016 N 16АП-343/16).

Следовательно, обработка персональных данных граждан в целях, определенных транспортным законодательством РФ, осуществляется во исполнение императивных предписаний правовых норм, а потому необходимость по уведомлению Роскомнадзора исключается.

-------------------------------------------

*(1) Российская Федерация ратифицировала настоящую Конвенцию Федеральным законом от 19.12.2005 N 160-ФЗ.

Тема

Оператор персональных данных

См. также

Реестр операторов, осуществляющих обработку персональных данных

Формы документов

Пример заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных

Пример заполнения уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных

Пример заполнения уведомления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных

Практические ситуации

Построить список