Уведомление Роскомнадзора об обработке персональных данных и включение в реестр операторов, осуществляющих обработку персональных данных

 

14 августа 2023 г.

 

У каждого человека есть персональные данные (далее – «ПД»), которые позволяют его идентифицировать среди других людей. Доступ к ним получают различные лица: работодатели, контрагенты, государственные органы и другие. Большинство из них до начала любых действий с персональными данными обязаны уведомить контрольный орган (Роскомнадзор) о планируемой обработке персональных данных.

С 1 сентября 2022 года круг лиц, которые обязаны подавать такое уведомление, был существенно расширен. В статье подробно рассмотрим, в каких случаях компании обязаны подавать уведомление об обработке ПД, порядок его направления и ответственность за нарушение правил подачи.

Кто и в каких случаях обязан подавать уведомление об обработке ПД?

Согласно части 1 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Закон о персональных данных», «ФЗ № 152-ФЗ») до начала обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.

При прочтении данной нормы появляется вопрос: кто такой оператор персональных данных? Определение данного термина дано в статье 3 ФЗ № 152-ФЗ. Операторами персональных данных являются государственные и муниципальные органы, юридические и физические лица, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

В свою очередь обработкой признаются любое действие или совокупность действий с персональными данными, как-то: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение и другие.

Подчеркнем, что никаких специальных изъятий для индивидуальных предпринимателей закон не устанавливает. Не подавать уведомление возможно, только если индивидуальный предприниматель не осуществляет обработку данных: у него нет работников, и обработку персональных данных клиентов он не ведет. Аналогичные правила применяются и к самозанятым. У самозанятого нет наемных работников, однако если при осуществлении деятельности ему становятся доступны персональные данные клиентов – физических лиц, уведомление подать необходимо.

Кроме того, по мнению Роскомнадзора, требования закона о подаче уведомления распространяются и на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации[1].

Закон о персональных данных разрешает оператору поручить обработку персональных данных третьему лицу, например, в случае передачи на аутсорсинг ведение кадрового или бухгалтерского учета. Однако это также не освобождает Оператора от обязанности подавать уведомление об обработке.

Таким образом, по общему правилу любое юридическое лицо или индивидуальный предприниматель, планирующее осуществлять какие-либо действия с персональными данными физических лиц, обязано подать уведомление о намерении осуществлять обработку персональных данных до ее начала.

Когда подавать уведомление о начале обработки персональных данных не требуется?

Частью 2 статьи 22 Закона о персональных данных предусмотрены случаи, когда уведомлять Роскомнадзор об обработке персональных данных не требуется. Уведомление не требуется, если обработка осуществляется:

  • в государственных информационных системах, созданных для защиты безопасности государства и общественного порядка;
  • в целях обеспечения функционирования транспортного комплекса, защиты от актов незаконного вмешательства в случаях, предусмотренных законодательством о транспортной безопасности;
  • без использования средств автоматизации.

Случаи, когда обработка персональных данных может быть признана неавтоматизированной, сформулированы Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687 (далее по тексту – «Постановление № 687»). Так, в соответствии с пунктами 1 и 2 Постановления № 687:

  • неавтоматизированной обработкой являются действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека.
  • обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Проще говоря, если использование, уточнение, распространение и уничтожение персональных данных осуществляется без использования электронно-вычислительной техники, такая обработка является неавтоматизированной.

В остальных случаях уведомление о намерении обрабатывать персональные данные физических лиц подавать необходимо. Приведем пример из судебной практики. В одном из дел общество обратилось в арбитражный суд с заявлением о признании недействительным предписания Роскомнадзора в части необходимости предоставления уведомления об обработке персональных данных и ссылалось, что не является оператором персональных данных. Суд указал: правовое значение для квалификации деятельности лица в качестве оператора имеет факт осуществления им видов деятельности, при которых оно может обрабатывать персональные данные. При рассмотрении дела был исследован локальный акт Общества, согласно которого персональные данные обрабатываются им в информационных системах «1С-КАМИН: Зарплата», «1С:Бухгалтерия». Используемые информационные системы, не подпадают под исключения, предусмотренные статьей 22 Закона № 152-ФЗ. В удовлетворении заявления отказал[2].

Обратим также внимание, что в связи с принятием Федерального закона от 14.07.2022 N 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» с 1-го сентября 2022 года перечень оснований, когда уведомление не требовалось был существенно сокращен: с девяти до трех. В частности, ранее можно было не уведомлять Роскомнадзор, если данные обрабатывались в соответствии с трудовым законодательством, заключенным договором и не распространялись или осуществлялась обработка только ФИО. Таким операторам ПД необходимо подать уведмоление в контрольный орган. При этом, по мнению Роскомнадзора, Федеральным законом предельный срок уведомления не определен, в связи с чем 01.09.2022 не может рассматриваться как контрольная дата обязательного предоставления уведомления в Роскомнадзор[3].

Содержание уведомления об обработке персональных данных

Порядок подачи уведомления об обработке регламентирован частями 3 и 3.1 статьи 22 Закона о персональных данных. Кроме того, приказом Роскомнадзора от 30.05.2017 № 94 утверждены Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (далее по тексту – «Методические рекомендации № 94»).

Уведомление рекомендуется направлять в территориальный орган Роскомнадзора по месту регистрации Оператора в налоговом органе (пункт 3.1.13 Методических рекомендаций № 94).

Форма уведомления утверждена приказом Роскомнадзора от 28.10.2022 № 180 (далее по тексту – «Приказ № 180»)[4]. Уведомление должно содержать следующие сведения:

1. Наименование (фамилия, имя, отчество), адрес оператора. Для юридических лиц указывается полное и сокращенное наименование, организационно-правовая форма, наименование филиалов (представительств), адрес ИНН, ОГРН, для физических лиц – ФИО, паспортные данные, адрес, ИНН.

2. Цель обработки персональных данных. Цели формулируются исходя из анализа правовых актов, регламентирующих деятельность оператора и учредительных документов, фактически осуществляемой оператором деятельности, конкретных бизнес-процессов оператора. Например, ведение кадрового и бухгалтерского учета, соблюдение налогового, пенсионного законодательства, продвижение на рынке товаров, работ, услуг и т.п. Перечень возможных целей предлагается на сайте Роскомнадзора при заполнении формы уведомления.

Для каждой цели обработки персональных данных должны быть указаны свои категории персональных данных, категории субъектов персональных данных, правовое основание обработки, перечень действий и способы обработки персональных данных (часть 3.1 статьи 22 ФЗ № 152-ФЗ).

К указанию целей в уведомлении необходимо подходить со всей внимательностью. ФЗ № 152-ФЗ устанавливает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки (часть 5 статьи 5 ФЗ № 152-ФЗ). Обработка персональных данных несовместимая с указанными целями несет за собой риск привлечения к административной ответственности по части 1 статьи 13.11. КоАП РФ, штраф на должностных лиц до 20 000 рублей, на юридических лиц до 100 000 рублей.

3. Категории персональных данных. Закон о персональных данных выделяет несколько категорий:

  • общие (ФИО, адрес, телефон, место и дата рождения, сведения об образовании, семейном положении, о трудовой деятельности, заработной плате и т.п.);
  • специальные (сведения, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни);
  • биометрические (сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность: фото- и видеоизображение человека, данные голоса и др.);

В уведомлении необходимо максимально подробно указать весь объем обрабатываемых персональных данных.

4. Категории субъектов, персональные данные которых обрабатываются. Роскомнадзор рекомендует указывать категории субъектов персональных данных (физических лиц) и виды отношений оператора с этими субъектами, например, работники, физические лица-клиенты (абонент, пассажир, заемщик, вкладчик, страхователь и др.

5. Правовое основание обработки персональных данных. Правовым основанием обработки персональных данных являются нормативные акты, в соответствии с которыми Оператор осуществляет обработку. В качестве таковых могут быть указаны:

  • федеральные законы и иные нормативные правовые акты, регулирующие деятельность оператора персональных данных;
  • номер и наименование лицензии на осуществляемый вид деятельности (для лицензируемых видов деятельности);
  • согласие субъекта персональных данных на обработку;
  • договоры, заключаемые между оператором персональных данных и субъектом персональных данных.

Рекомендуется указать весь перечень нормативных правовых актов, которые закрепляют основания и порядок обработки оператором персональных данных и соответствуют полномочиям оператора. Не является правовым основанием Закон об обработке персональных данных.

6. Перечень действий с персональными данными. Перечень действий приведен в статье 3 Закона о персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных и иные.

7. Описание используемых оператором ПД способов обработки персональных данных. Законодательство выделяет следующие способы обработки персональных данных:

  • неавтоматизированная обработка персональных данных;
  • исключительно автоматизированная обработка персональных данных;
  • смешанная обработка персональных данных.

При автоматизированной обработке персональных данных либо смешанной обработке Роскомнадзор рекомендует указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети оператора ПД (информация доступна лишь для строго определенных сотрудников) или с использованием сети Интернет или без передачи полученной информации.

8. Описание организационных и технических мер, принимаемых оператором ПД для защиты персональных данных. Меры защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных предусмотрены статьями 18.1 и 19 ФЗ № 152-ФЗ, как-то:

  • назначение ответственного лица за организацию обработки персональных данных;
  • издание Политики обработки персональных данных;
  • проведение аудита;
  • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных и т.п.

Однако они не являются исчерпывающим, оператор ПД самостоятельно определяет состав и перечень необходимых и достаточных для защиты мер. При использовании оператором ПД шифровальных (криптографических) средств представляются сведения о наименовании и классе средств криптографической защиты информации (СКЗИ) (пункт 3.1.7 Методических рекомендаций № 94).

ФИО физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты. Такое лицо оператор ПД обязан назначить в соответствии с пунктом 1 части 1 статьи 18.1 ФЗ № 152-ФЗ.

9. Дата начала обработки персональных данных. Рекомендуется указать фактическую дату начала действий с персональными данными, как правило, это дата начала осуществления оператором ПД деятельности, закрепленной в уставных документах.

10. Срок или условие прекращения обработки персональных данных. Роскомнадзор рекомендует указывать конкретную дату или условие, наступление которого повлечет прекращение обработки персональных данных. Например, ликвидация юридического лица или прекращение деятельности индивидуальным предпринимателем.

11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки. Трансграничная передача – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. В случае планирования такой передачи необходимо будет указать перечень иностранных государств, на территорию которых будет осуществляться трансграничная передача.

Отметим, что указание в уведомлении на осуществление трансграничной передачи не отменяет обязанности оператора ПД подать в Роскомнадзор отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных (часть 3 статьи 12 ФЗ № 152-ФЗ).

12. Сведения о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации. Потребуется указать наименование стран размещения базы данных (Россия или иностранные государства), конкретные адреса местонахождения базы данных.

13. Сведения об обеспечении безопасности персональных данных в информационных системах. Перечень принимаемых мер по защите персональных данных в информационных системах необходимо указывать в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Выбор средств защиты осуществляется Оператором в соответствии с нормативно-правовыми актами ФСБ и ФСТЭК.

Как подать уведомление об обработке персональных данных?

Уведомление может быть направлено:

1. В виде документа на бумажном носителе и подписано уполномоченным лицом. Бланк можно взять из Приказа № 180 или заполнить форму, размещенную на сайте Роскомнадзора, распечатать и отправить в контрольный орган.

2. В форме электронного документа с использованием усиленной квалифицированной электронной подписью. Для этого также потребуется заполнить форму на сайте Роскомназора и подписать ее усиленной квалифицированной электронной подписью.

3. В форме электронного документа c через Портал госуслуг. Для направления уведомления данным способом потребуется пройти аутентификацию на Портале государственных услуг, заполнить и направить размещенную форму. При направлении уведомления в электронном виде последующее направление его в бумажном виде не требуется.

Включение в Реестр операторов персональных данных

Срок рассмотрения Роскомнадзором уведомления – 30 дней с даты его поступления. Рассмотрение уведомления госпошлиной не облагается.

При отсутствии неточностей или неполноты сведений Роскомнадзор вносит информацию в Реестр операторов персональных данных (далее также – «Реестр ОПД»). Он размещается на Портале персональных данных Роскомнадзора. Сведения, содержащиеся в Реестре ОПД, являются общедоступными, за исключением сведений о средствах обеспечения безопасности персональных данных.

Никаких документов, подтверждающих включение в Реестр операторов ПД, Роскомнадзор не выдает. Однако любое заинтересованное лицо вправе обратиться в контрольный орган с заявлением о предоставлении выписки из Реестра. Заявление рекомендуется составлять по форме, определенной в Методических рекомендациях № 94. В нем должны быть указаны сведения о заявителе: наименование, ИНН, ОГРН, адрес местонахождения и почтовый и/или электронный адрес, а также сведения о запрашиваемом операторе: наименование, ИНН (ОГРН) и (или) регистрационный номер записи в реестре. Выписка направляется в течение 5 рабочих дней с даты регистрации заявления. Если в заявлении нет необходимых сведений, заявителю направляется письмо, в котором указывается причина отказа в предоставлении выписки.

В случае, если оператор предоставил неполные или недостоверные сведения, данные в Реестр операторов персональных данных не вносятся. В адрес оператора ПД направляется письмо, содержащее перечень недостатков и предложение их предоставить. Если в течение 30 дней со дня получения запроса оператор ПД не представил уточненные сведения, уведомление возвращается оператору ПД без внесения сведений в Реестр.

Обязанности оператора персональных данных после подачи уведомления

В случае изменения сведений, содержащихся в поданном уведомлении, оператор персональных данных обязан сообщить об этом в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения (часть 7 статьи 22 Закона о персональных данных).

Форма уведомления об изменении сведений приведена в Приказе № 180. Оно должно содержать данные об операторе ПД, регистрационный номер записи в реестре операторов, дату изменения сведений, а также сведения, подлежащие изменению. Оно может быть представлено такими же способами, как и первоначальное уведомление.

В случае прекращения обработки персональных данных оператор обязан уведомить Роскомнадзор в течение 10 рабочих дней (часть 7 статьи 22 Закона о персональных данных).

Согласно пункту 5.1 Методических рекомендаций № 94 оператор считается прекратившим обработку персональных данных при наступлении следующих условий:

  • ликвидация оператора;
  • прекращение деятельности оператора ПД в результате его реорганизации;
  • аннулирование лицензий на осуществление лицензируемой деятельности оператора ПД, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
  • вступившее в законную силу решение суда о прекращении Оператором обработки персональных данных;
  • наступление для оператора ПД срока или условия прекращения обработки персональных данных, указанных им в уведомлении.

Форма уведомления о прекращении обработки персональных данных также приведена в Приказе № 180. В уведомлении указываются данные оператора персональных данных, регистрационный номер записи в Реестре операторов ПД, основание и дата прекращения обработки персональных данных.

После рассмотрения заявления в Реестр ОПД вносятся сведения о прекращении Оператором обработки персональных данных.

Обжалование решений, действий (бездействий) Роскомнадзора

Если контрольный орган отказал оператору в приеме уведомления, внесении сведений о нем в Реестр операторов персональных данных, либо если данные сведения не были внесены в установленный срок, соответствующее решение либо действия (бездействие) можно обжаловать в арбитражном суде в порядке, предусмотренном главой 24 АПК РФ.

Срок на обжалование – в течение 3 (трех) месяцев со дня, когда лицу стало известно о нарушении их прав и законных интересов. Он может быть восстановлен судом при наличии уважительных причин.

Для того, чтобы суд удовлетворил заявление потребуется доказать следующие обстоятельства в совокупности: несоответствие оспариваемого решения, действия (бездействия) закону или иному правовому акту; нарушение прав и законных интересов заявителя в сфере предпринимательской и иной экономической деятельности или незаконное возложение на него каких-либо обязанностей, создание иных препятствий для осуществления предпринимательской и иной экономической деятельности.

На практике, как правило, оспаривают требования контрольного органа о предоставлении уведомления об обработке персональных данных. Так, в одном из дел Общество обратилось в арбитражный суд с заявлением о признании недействительным ненормативного правового акта – письменного документа Роскомнадзора «Об обязанности уведомления об обработке (о намерении осуществлять обработку) персональных данных». Указанное письмо было направлено контрольным органом в связи с выявлением признаков деятельности, предполагающей обработку Обществом персональных данных. Общество ссылалось, что оно обрабатывает персональные данные исключительно из перечня части 2 статьи 22 Закона № 152-ФЗ, что дает ему право не уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных. Суд указал, что в оспариваемом письме помимо указания на необходимость представления уведомления об обработке персональных данных также было указано на необходимость представить соответствующие сведения о наличии у заявителя оснований, позволяющих осуществлять деятельность по обработке персональных данных без уведомления. В удовлетворении заявления отказал[5].

Также нередко пытаются оспорить решение контрольного органа об отказе в исключении из Реестра операторов ПД. Так, общество обратилось в арбитражный суд с заявлением о признании незаконным бездействия Роскомнадзора, выразившегося в неисключении хозяйственного общества из Реестра операторов ПД, и взыскании судебной неустойки в размере 1000 рублей за каждый день неисполнения решения суда. В ходе рассмотрения дела судом не было выявлено ни одного из оснований, предусмотренных Методическими рекомендациями № 94, когда оператор ПД считается прекратившим обработку персональных данных. Также было установлено, что на интернет-страницах хозяйственного общества реализована возможность осуществить онлайн запись на прием, предполагающая сбор персональных данных в объеме: имя, номер телефона, адрес электронной почты. В удовлетворении заявлении отказал[6].

Анализ судебной практики показывает, что большинство подобных споров завершаются не в пользу операторов.

Ответственность за непредставление уведомления об обработке персональных данных

Ответственность за непредставление уведомления об обработке персональных данных влечет за собой ответственность по статье 19.7 КоАП РФ «Непредставление сведений (информации)». Штраф на должностных лиц – от 300 до 500 рублей, на юридических лиц – от 3 000 до 5 000 рублей. Ответственность по данной статье может наступить также в случае предоставления сведений в неполном объеме или в искаженном виде.

Проиллюстрируем на примерах из судебной практики. В одном из дел хозяйственное общество не представило на запрос Роскомнадзора уведомление об обработке персональных данных либо информационное письмо с указанием оснований, в соответствии с которыми оно вправе осуществлять обработку персональных данных без уведомления контрольного органа. Постановлением мирового судьи хозяйственно общество было признано виновным в совершении административного правонарушения по статье 19.7 КоАП РФ с наложением штрафа в размере 3 000 рублей. Попытки оспорить данное решение в вышестоящих судах не увенчались успехом. Суды указали, что Общество имело возможность для соблюдения данного требования закона, но не приняло все зависящие от него меры по его соблюдению. Доказательств невозможности своевременно исполнить запрос уполномоченного органа хозяйственным обществом не представлено[7].

По данной норме привлекают к ответственности и за невыполнение иных обязанностей при взаимодействии с Роскомнадзором, например, в случае неуведомления контрольного органа об изменении сведений. Так, в другом деле Роскомнадзором в Учреждение было направлено письмо о предоставлении уведомления о внесении изменений в сведения в Реестре операторов ПД. Однако в установленный 30-дневный срок запрашиваемая информация предоставлена не была. Учреждение было привлечено к административной ответственности по статье 19.7 КоАП РФ, наложен штраф 3000 рублей. Попытка обжаловать решение по мотиву того, что бездействие не повлекло никаких последствий и не нарушило охраняемых законом прав и свобод других лиц, не дало результатов[8].

Подводя итоги, скажем, что подача уведомления в Роскомнадзор и включение в Реестр Операторов увеличивает риск контрольных мероприятий и влечет за собой необходимость разработки и выполнения мер по защите обрабатываемых персональных данных. Однако в случае игнорирования требований закона об уведомлении контрольного органа, лицо, фактически осуществляющее действия с персональными данными, рискует быть привлеченным к административной ответственности не только по статье 19.7 КоАП РФ, но за нарушение правил обработки персональных данных по статье 13.11 КоАП РФ, где размер штрафов достигает 6 миллионов рублей.

_____________________

 

[1] Информация Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных».

[2] Постановление Первого арбитражного апелляционного суда от 30.03.2022 № 01АП-1041/2022 по делу № А79-6634/2021.

[3] Письмо Роскомнадзора от 06.09.2022 № 08-80975 «О рассмотрении письма».

[4] Приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».

[5] Определение Верховного Суда РФ от 11.10.2021 № 303-ЭС21-18542 по делу № А51-16912/2020.

[6] Постановление Арбитражного суда Поволжского округа от 04.03.2022 № Ф06-14499/2022 по делу № А57-13625/2021.

[7] Постановление Первого кассационного суда общей юрисдикции от 14.03.2022 № 16-1309/2022.

[8] Решение Чегемского районного суда Кабардино-Балкарской Республики от 10.02.2016 по делу № 12-13/2016.

 

14 августа 2023 г.

Наша почта
info@brace-lf.com

Вы можете направить нам запрос на e-mail с подробным описанием вопроса.

Наш телефон
+ 7 (499) 755-56-50

Связаться с нами по телефону.

Клиенты и партнеры

65.png
68.png
69.png
73.png
75.png
fitera.jpg
imko.png
logo.png
Logo_RED_RGB_Rus.png
logo_SK_2.png