Разъяснение Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31.10.2011 "Рассылка территориальными органами Роскомнадзора писем с просьбой о направлении организациями уведомлений об обработке персональных данных - профилактическая мера с целью исполнения операторами закона "О персональных данных"

В связи с публикациями в СМИ материалов о деятельности Роскомнадзора в сфере защиты прав субъектов персональных данных, в том числе о практике направления организациям писем с просьбой представить уведомления об обработке конфиденциальной информации о гражданах, Федеральная служба разъясняет:

Федеральным законом N 152-ФЗ от 27.07.2006 "О персональных данных (далее - Закон), вступившим в силу в январе 2007 года, предусматривается, что оператор должен направить в Роскомнадзор - уполномоченный орган по защите прав субъектов персональных данных - уведомление об обработке или намерении осуществлять обработку персональные данные (п. 1 ст. 22 Закона). На основании уведомлений формируется реестр операторов, обрабатывающих персональные данные.

В 2008 году Службой был издан приказ, утверждающий форму уведомления и рекомендации по ее заполнению. Форма Уведомления и рекомендации по его заполнению размещены на Портале персональных данных (www.pd.rsoc.ru) в разделе "Реестр операторов".

В августе 2011 года рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных были скорректированы в связи с новыми требованиями Закона. Соответствующий приказ от 19.08.2011 N 706 размещен на Портале персональных данных в разделе "Законодательство" - "Законодательство Российской Федерации" - "Акты Роскомнадзора".

Пункт 2 ст. 22 Закона устанавливает, в каких случаях оператор вправе обрабатывать персональные данные без уведомления Уполномоченного органа. Например, если они обрабатываются в соответствии с трудовым законодательством; если персональные данные получены в связи с заключением гражданско-правового договора с работником или клиентом, если при этом персональные данные не распространяются и не предоставляются третьим лицам без согласия работника (или клиента) и используются работодателем исключительно для исполнения договора и т.п.

Вместе с тем, чтобы понять, нужно ли уведомлять Роскомнадзор, оператору необходимо не только внимательно изучить Закон, но и проанализировать свои учредительные документы, локальные акты, в которых закреплены направления деятельности юридического лица и цель предполагаемой обработки персональных данных. Например, если персональные данные работников передаются третьим лицам, например, при оформлении зарплатной карты в рамках договора с кредитным учреждением, уведомление необходимо предоставлять, так как трудовые отношения выходят за рамки трудового законодательства.

Роскомнадзор обращает внимание на то, что если организация подпадает под исключение и вправе не уведомлять Роскомнадзор, она, тем не менее, должна дать ответ на письмо Федеральной службы, в котором следует указать, на основании каких норм Закона организация считает, что может воздержаться от направления уведомления. При этом, в любом случае, организация обязана выполнять все требования по защите персональных данных.

Рассылка территориальными органами Роскомнадзора писем с просьбой о направлении операторам персональных данных уведомлений об обработке персональных данных ведется с начала 2008 года и является профилактической мерой с целью исполнения оператором требований Закона.

По состоянию на 31 октября 2011 года, в реестр операторов, обрабатывающих персональные данные, включено более 221 тыс. операторов.