Спецвыпуск 🧑🏻‍⚖️ Важные изменения в законах для бизнеса в 2024 году Смотреть
30 июля 2021

Уведомление оператора обработки персональных данных

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» установлены, среди прочих, следующие понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
По общему правилу, обработка персональных данных допускается с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона о персональных данных).
П.1 ст.22 Федерального закона «О персональных данных» установлено, что оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
Согласно п.2 ст.22 ФЗ №152- ФЗ оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) сделанных субъектом персональных данных общедоступными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. Последствия неисполнения требований Закона «О персональных данных»: Если случаи обработки работодателем персональных подпадают под исключения, предусмотренные частью 2 ст. 22 Закона № 152-ФЗ, необходимо учесть, что на сегодняшний день в судебной практике не сформировалось единого мнения по вопросу о том, обязан ли работодатель в такой ситуации отвечать на требование Роскомнадзора о направлении уведомления.Согласно ч. 4 ст. 20 Закона № 152-ФЗ оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса. Ссылаясь на данную норму, некоторые суды приходят к выводу о наличии в действиях работодателя, полностью проигнорировавшего запрос Роскомнадзора, состава административного правонарушения, предусмотренного ст. 19.7 КоАП РФ, даже в том случае, если работодатель не обязан был направлять в Роскомнадзор уведомление об обработке персональных данных (постановление Калужского областного суда от 27.09.2012, решение Центрального районного суда г. Тюмени Тюменской области от 23.06.2014 № 12-325/2014, решение Фрунзенского районного суда г. Владивостока от 18.04.2013 № 12-304/2013, решение Волгодонского районного суда Ростовской области от 23.09.2014 № 12-268/14, решение Октябрьского районного суда г. Мурманска по делу № 12-21/2011, решение Крымского районного суда Краснодарского края от 02.09.2015 № 12-110/2015).Существует, однако, в судебной практике и такой подход, согласно которому в таком случае работодатель не обязан направлять какой-либо ответ в Роскомнадзор (решение Амурского городского суда Хабаровского края от 19.08.2013 № 12-73/2013, решение Таганрогского городского суда Ростовской области от 20.03.2015 № 12-114/2015, решение Центрального районного суда г. Сочи от 02.03.2012 № 12-40/2012).Тем не менее, наиболее безопасным для работодателя в такой ситуации представляется направление Роскомнадзору ответа с указанием на то, что оператор в данном случае имеет право на обработку персональных данных без уведомления данного органа со ссылкой на соответствующие основания, предусмотренные законом. Направление оператором такой информации рассматривается судами как надлежащий ответ на запрос Роскомнадзора (постановление Семикаракорского районного суда Ростовской области от 17.02.2015 № 12-4/2015, решение Майкопского городского суда Республики Адыгея от 01.11.2012 № 12-237/2012).В настоящий момент позиция регулятора (Роскомнадзор) такова — уведомление в Роскомнадзор необходимо подавать всем организациям, так как, во всех организациях ведется как минимум кадровый учет, в рамках которого, как правило, идет сбор данных не только о работнике, но и о его ближайших родственниках.Однако, при этом следует учитывать, что оператор персональных данных, подавший уведомление в Роскомнадзор, становится обязанным постоянно совершать определённые действия, в частности:1) постоянно актуализировать поданные сведения. Эта обязанность предусмотрена ч.7. ст. 22 Закона. Если оператор, осуществляющий обработку персональных данных, не подаст уведомление об изменении сведений (изменение адреса оператора, изменение категорий ПД, которые обрабатываются, смена ответственного за обработку ПД и его контактов и т.д.), то может быть привлечен к административной ответственности;2) органы Роскомнадзора осуществляют планирование проверок операторов, осуществляющих обработку персональных данных, с использованием ведомственной единой информационной системы – ЕИС. Все операторы, подавшие уведомления уже находятся в ней, в связи с чем, вероятность попадания в план проверок многократно возрастает. Организации, проверяемые Роскомнадзором по другим направлениям (услуги связи, РЭС, СМИ, вещание) автоматически проверяются на предмет соблюдения законодательства в сфере персональных данных, если уведомили Роскомнадзор об обработке.При этом, в Законе «О персональных данных» отсутствует обязанность для оператора каким-либо образом сообщать регулятору о наличии у оператора освобождения по направлению уведомления.

В вашем бизнесе уже возникла проблема по теме статьи? Есть срочный вопрос?

Обращайтесь за экспресс-консультацией по почте info@probusiness.news или телефону +7 (977) 893-37-69. А если готовы подождать ответа, то спрашивайте в комментариях ниже

Кто такой недобросовестный поставщик

Напишите нам

, чтобы оставлять комментарии.
Зарегистрируйтесь в 2 клика и сэкономьте 2 часа в неделю
Новости на нашем портале пишут аудиторы и консультанты, а не журналисты. Подпишитесь на нужные темы и получайте профи-дайджесты «без воды».