Новости
Требования к уведомлению об обработке персональных данных, представляемому в Роскомнадзор: каковы обязанности оператора персональных данных
Автор: Юрист Линии Консультаций КонсультантПлюс
Небесова М.В.
Перед началом обработки персональных данных каждая организация обязана уведомить Роскомнадзор о своей деятельности: какие данные обрабатывает и об ответственных сотрудниках за организацию обработки персональных данных (ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных").
До 1 сентября 2022 года не требовалось уведомлять Роскомнадзор о такой обработке данных, но теперь это обязательно, если данные обрабатываются неавтоматизированным способом. Организации, которые ранее не уведомляли о своей деятельности по обработке персональных данных, должны разобраться в этом вопросе, учитывая возможные штрафы за нарушения. Роскомнадзор, имея представление о типах обрабатываемых данных, и основываясь на этом, устанавливает график проверок для организаций, включая и тех, кто подавал уведомление и тех, кто не подавал.
Важно также определить, кто является оператором персональных данных и обязан ли он отчитываться перед Роскомнадзором. Все эти вопросы рассмотрим в нашей статье.
Обязательно ли регистрироваться в Роскомнадзоре в качестве оператора персональных данных?
Специальной процедуры регистрации в реестре операторов персональных данных Роскомнадзора не предусмотрено. Любая компания или индивидуальный предприниматель, которые обрабатывают персональные данные, автоматически становятся оператором персональных данных. Перед началом обработки данных оператор обязан уведомить Роскомнадзор согласно ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Информация об операторе персональных данных появляется в реестре после уведомления Роскомнадзора о начале обработки данных.
Кто является оператором персональных данных и должен подавать уведомление об обработке персональных данных в Роскомнадзор?
Персональные данные - это любая информация о человеке, по которой его можно определить (паспортные данные и номер телефона, возраст и пол, сведения об образовании и доходах, ИНН и СНИЛС). А субъекты, получающие и обрабатывающие эти данные, считаются операторами персональных данных и должны состоять на учете в реестре операторов. Для внесения в реестр необходимо направить Роскомнадзору соответствующее уведомление.
Операторы могут выполнять различные действия с этой информацией, включая сбор, хранение, использование, анализ и уничтожение.
Таким образом, в сфере бизнеса практически невозможно избежать обработки персональных данных. Даже если предпринимательская деятельность ведётся без работников, то персональные данные все равно поступают от покупателей и клиентов, при заключении сделок, продаже товаров, оказании услуг, выполнении работ.
Также Роскомнадзор отмечает, что статус оператора не зависит от включения в реестр (п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Информация Роскомнадзора Роскомнадзора "Ответы на вопросы в сфере защиты прав субъектов персональных данных").
Кто вправе не уведомлять Роскомнадзор?
Оператор может обрабатывать персональные данные без уведомления Роскомнадзора в определенных случаях, описанных в ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных":
- Использование сведений органами безопасности государства и общественного порядка
- Обработка информации в целях безопасности транспортных объектов
- Обработка данных без применения средств автоматизации, например, на бумаге
Правила подачи сведений
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" требует от операторов сообщать о работе с персональными данными до начала их обработки. Уведомление составляется в соответствии с формой, представленной в Приложении №1 к Приказу Роскомнадзора от 28.10.2022 № 180. Часть 3 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" конкретизирует перечень сведений, которые должны содержаться в уведомлении, независимо от формы его представления.
Уведомление о работе с персональными данными направляется только один раз для внесения сведений об операторе в соответствующий реестр Роскомнадзора. Если после внесения в реестр сведения изменились, например, оператор намерен обрабатывать персональные данные в других целях, то необходимо направить в Роскомнадзор уведомление об изменении сведений не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения (ч. 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"). О прекращении работы с персональными данными также нужно сообщить Роскомнадзору в течение 10 дней, используя соответствующую форму уведомления.
Формы уведомлений заполняются в соответствии с утвержденными правилами и направляются в органы Роскомнадзора по месту регистрации юридического лица или индивидуального предпринимателя (ч. 1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"). Уведомление может быть представлено в уполномоченный орган как в бумажной, так и цифровой форме (ч. 3 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных").
Если начали обработку персональных данных до 1 сентября 2022 года, когда данная обязанность еще не существовала, необходимо уведомить Роскомнадзор сейчас. Предельный срок направления такого уведомления не установлен (Письмо Роскомнадзора от 06.09.2022 N 08-80975). Однако если уведомление еще не было представлено, рекомендуется сделать это как можно скорее, чтобы избежать риска привлечения к административной ответственности по ст. 19.7 КоАП РФ.
Ответственность операторов персональных данных за неуведомление
В текущий момент отдельного штрафа за неуведомление Роскомнадзора пока нет. При этом необходимо учитывать, что если работодатель не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, его могут оштрафовать по ст. 19.7 КоАП РФ (за неподачу сведений в контролирующие госорганы).
Размер штрафа по ст. 19.7 КоАП на должностных лиц - от трехсот до пятисот рублей, на юридических лиц до 5 тыс. рублей. Неисполнение оператором обязанности по уведомлению уполномоченного органа об изменении сведений, содержащихся в ранее поданном уведомлении, может повлечь за собой такую же ответственность, как и отсутствие уведомления.
Разобраться более детально в том, кто является оператором персональных данных и как правильно подавать уведомление об обработке персональных данных в Роскомнадзор поможет справочно-правовая система КонсультантПлюс.
Если вы еще не являетесь пользователем КонсультантПлюс – получите бесплатный пробный доступ ко всем возможностям системы прямо сейчас!
Читайте также - Изменения миграционного законодательства
8 812 334-44-81
пн-пт, 09:00-19:00
Адрес:
191123, г. Санкт-Петербург, м. Чернышевская, Шпалерная, 36
Email: