Уведомление об обработке персональных данных

В соответствии с частью 1 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор (в том числе органы государственной власти и местного самоуправления Воронежской области, подведомственные им государственные и муниципальные организации) до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за исключением следующих случаев (приведены в части 2 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»):

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все иные случаи предусматривают обязательное уведомление Роскомнадзора.

Обработка персональных данных, осуществляемая в органах государственной власти и местного самоуправления, полностью не подпадает под перечисленные исключения поскольку органы государственной власти и местного самоуправления, например, рассматривают обращения граждан, которые содержат персональные данные. Поэтому всем операторам надо внимательно проанализировать цели, в соответствии с которыми они осуществляют обработку персональных данных.

В случае если уведомление об обработке персональных данных требуется, то тогда в нем указываются все цели обработки персональных данных оператором, в том числе и подпадающие под исключающие случаи.

Требования к форме и содержанию уведомления определены в части 3 статьи 22 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», а также детализированы в приказе Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

Уведомление заполняется в виде документа на бумажном носителе или в форме электронного документа, подписывается руководителем оператора и направляется в территориальный орган Роскомнадзора (Управление Роскомнадзора по Воронежской области).

Рекомендуется заполнять уведомление на сайте Роскомнадзора по адресу: https://pd.rkn.gov.ru/operators-registry/notification/, после чего заполненную форму распечатать, подписать и направить в территориальный орган Роскомнадзора.

При заполнении в уведомлении сведений об информационных системах необходимо брать во внимание только те информационные системы, оператором (в соответствии с частью 2 статьи 13 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы) которых является соответствующий оператор.

В соответствии с требованиями части 4 статьи 22 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» территориальный орган Роскомнадзора в 30-дневный срок с даты поступления уведомления вносит сведения об операторе в реестр операторов. В случае предоставления неполных или недостоверных сведений Роскомнадзор вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных, являются общедоступными и с ними может ознакомиться любой желающий.

В случае изменения сведений, содержащихся в реестре (например, смена лица, ответственного за организацию обработки персональных данных), а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом территориальный орган Роскомнадзора в течение 10 рабочих дней.

Форма информационного письма о внесении изменений в сведения об операторе в реестре и форма заявления о прекращении оператором обработки персональных данных, а также рекомендации по их заполнению утверждены упомянутым выше приказом Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

Поскольку состав сведений, включаемых в уведомление с момента вступления в силу Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» несколько раз менялся (в 2011, 2014 годах) поэтому операторы, направившие уведомление в Роскомнадзор до указанных изменений, обязаны также направить информационное письмо о внесении изменений в сведения об операторе в реестре.

Рекомендуется обязанности по подготовке требуемых уведомлений Роскомнадзора, а также по контролю актуальности сведений, содержащихся в реестре, возложить на лицо, ответственное за организацию обработки персональных данных и закрепить их в должностном регламенте (должностных обязанностях) или должностной инструкции ответственного за организацию обработки персональных данных.

Непредставление уведомления об обработке персональных данных или его несвоевременное представление либо представление уведомления, содержащего неполные или недостоверные сведения, образует состав административного правонарушения, предусмотренного статьей 19.7 Кодекса об административных правонарушениях Российской Федерации.