Вопрос: Нужно ли подавать уведомление о начале обработки персональных данных и как это сделать? (ответ службы Правового консалтинга ГАРАНТ, сентябрь 2022 г.)

Есть информация, что работодателям необходимо предоставлять сведения о персональных данных в Роскомнадзор.

Нужно ли подавать уведомление о начале обработки персональных данных и как это сделать?

Рассмотрев вопрос, мы пришли к следующему выводу:

Организации необходимо уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.

Обоснование вывода:

Пунктом 2 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) предусмотрено, что оператором персональных данных (далее также - оператор) является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав подлежащих обработке персональных данных и действия (операции), совершаемые с персональными данными. Исходя из определения, в качестве оператора будет выступать любое лицо, которое приняло решение осуществлять обработку персональных данных в своих интересах и имеет правовую и/или фактическую возможность определять цели и существенные условия такой обработки.

Частью 1 ст. 22 Закона N 152-ФЗ на оператора возложена обязанность направить уведомление о намерении осуществлять обработку персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Перечень случаев, когда оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора, предусмотрен ч. 2 ст. 22 Закона N 152-ФЗ. С 1 сентября 2022 г. вступил в силу Федеральный закон от 14 июля 2022 г. N 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности" (далее - Закон N 266-ФЗ), которым упомянутый перечень сокращен. С 1 сентября 2022 г. оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных только в следующих случаях:

- если обрабатываются персональные данные, включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

- персональные данные обрабатываются в соответствии с законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

- если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.

Формулировка последнего из приведенных оснований, по нашему мнению, позволяет не уведомлять Роскомнадзор о начале обработки персональных данных только в том случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации, т.е. абсолютно все персональные данные им обрабатываются таким способом. Само по себе то обстоятельство, что оператор обрабатывает без использования средств автоматизации лишь какой-то определенный объем персональных данных, на наш взгляд, не освобождает его от обязанности направить уведомление в Роскомнадзор.

Все остальные операторы, не подпадающие под исключения, перечисленные в ч. 2 ст. 22 Закона N 152-ФЗ, обязаны подать уведомления в Роскомнадзор вне зависимости от вида деятельности. В том числе обязаны сделать это все работодатели, поскольку они обрабатывают персональные данные своих сотрудников.

Согласно ч. 3 ст. 22 Закона N 152-ФЗ уведомление, предусмотренное ч. 1 той же статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление направляется однократно и является основанием для внесения сведений об операторе в реестр операторов, осуществляющих обработку персональных данных (смотрите ч.ч. 3, 4 ст. 22 Закона N 152-ФЗ). При этом Закон N 152-ФЗ не обязывает операторов персональных данных проходить какую-либо регистрацию в Роскомнадзоре для того, чтобы иметь возможность направлять в этот орган уведомления об обработке персональных данных.

Формы уведомлений устанавливаются Роскомнадзором. Как указано в письме Роскомнадзора от 19.08.2022 N 08-75348, электронная форма уведомления и порядок её заполнения размещены на интернет-портале персональных данных Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/form/ (п. 3.2 Рекомендаций). Оператору предоставлена возможность сформировать уведомление в электронной форме и направить в его в территориальный орган Роскомнадзора одним из следующих способов:

1) сформировать уведомление и направить в бумажном виде;

2) сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи;

3) сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.

Поскольку изменения, внесенные Законом N 266-ФЗ в ст. 22 Закона N 152-ФЗ, затрагивают содержательную часть уведомлений, полагаем, Роскомнадзор своим приказом должен скорректировать имеющиеся формы уведомлений (смотрите Проект Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, о внесении изменений в ранее представленные сведения, о прекращении обработки персональных данных" (подготовлен Роскомнадзором 19.08.2022)). До этого времени уполномоченный орган рекомендует направлять уведомление по форме, установленной в соответствии с приложением N 1 к Методическим рекомендациям по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденным приказом Роскомнадзора от 30.05.2017 N 94 (далее - Рекомендации), в виде документа на бумажном носителе или в форме электронного документа, а в последующем оператор вправе направить соответствующее информационное письмо для внесения изменений в сведения об операторе в реестре в территориальный орган Роскомнадзора по месту регистрации в качестве юридического лица (смотрите письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2022 г. N 08-75348).

Обратим внимание на сроки подачи уведомления: в своем письме от 31 августа 2022 г. Роскомнадзор разъяснил, что предельный срок уведомления об обработке ПД не определен, поэтому 1 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных. Мы же, со своей стороны, учитывая риск привлечения оператора, обрабатывающего ПД без уведомления Роскомнадзора, к административной ответственности по ст. 19.7 КоАП РФ, полагаем целесообразным направить уведомление в кратчайшие сроки.

В случае изменения ранее представленных сведений, а также прекращения обработки персональных данных оператор обязан уведомить об этом территориальный орган Роскомнадзора в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных (ч. 7 ст. 22 Закона N 152-ФЗ, пп. 4, 5 Рекомендаций). Форма информационного письма о внесении изменений в сведения об операторе в Реестре приведена в Приложении 2 к Рекомендациям, а форма заявления о прекращении обработки персональных данных - в Приложении 3 к Рекомендациям. Электронная форма информационного письма размещена на интернет-портале персональных данных Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/updateform/.

Ответ подготовил:

Эксперт службы Правового консалтинга ГАРАНТ

Казакова Елена

Контроль качества ответа:

Рецензент службы Правового консалтинга ГАРАНТ

Александров Алексей

13 сентября 2022 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. Для получения подробной информации об услуге обратитесь к обслуживающему Вас менеджеру.