Предоставление сведений в Роскомнадзор в связи с обработкой персональных данных
Ответы на самые интересные вопросы на нашем телеграм-канале knk_audit
Должна ли Организация сдавать какие-либо сведения об обработке персональных данных в Роскомнадзор на постоянной основе?
Телеграм-канал https://t.me/knk_audit Бухучет, налоги, нововведения, прослеживаемость, иностранные компании, сложные случаи |
С 01.09.2022 сократился перечень оснований, допускающих обработку персональных данных без предоставления уведомлений в Роскомнадзор. Теперь операторы должны уведомлять Роскомнадзор о начале и осуществлении любой обработки персональных данных за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации.
Впоследствии уведомления в Роскомнадзор предоставляются в случае изменений сведений, указанных в части 3 статьи 22 Закона № 152-ФЗ, а также в случае прекращения обработки персональных данных.
Также, Организация с 01.09.2022 года при установлении факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента обязана уведомить Роскомнадзор:
- в течение 24 часов – о произошедшем инциденте, о предполагаемых причинах и вреде нанесенном правам субъектов персональных данных, а также о принятых мерах по устранению последствий инцидента и сведения о лице, взаимодействующим с Роскомнадзором;
- в течение 72 часов – о результатах внутреннего расследования вываленного инцидента и о лицах, действия которых стали причиной выявленного инцидента.
Обоснование:
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (часть 1 статьи 3 Закона № 152-ФЗ).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (часть 2 статьи 3 Закона № 152-ФЗ).
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (часть 3 статьи 3 Закона № 152-ФЗ).
В соответствии с частью 1 статьи 22 Закона № 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
На основании части 2 статьи 22 Закона № 152-ФЗ оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
- включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (пункт 7);
- в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (пункт 8);
- обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Согласно части 3 статьи 22 Закона № 152-ФЗ уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:
- наименование (фамилия, имя, отчество), адрес оператора (пункт 1);
- цель обработки персональных данных (пункт 2);
- описание мер, предусмотренных статьями 18.1 и 19 Закона № 125-ФЗ, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств (пункт 7);
- фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты (пункт 7.1);
- дата начала обработки персональных данных (пункт 8);
- срок или условие прекращения обработки персональных данных (пункт 9);
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки (пункт 10);
- сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации (пункт 10.1);
- фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах (пункт 10.2);
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации (пункт 11).
На основании части 3.1 статьи 22 Закона № 152-ФЗ при предоставлении сведений, предусмотренных частью 3 статьи 22 Закона № 152-ФЗ, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.
Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 статьи 22 Закона № 152-ФЗ, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными (часть 4 Закона № 152-ФЗ).
Согласно части 4.1 статьи 22 Закона № 152-ФЗ уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления от оператора уведомления о прекращении обработки персональных данных исключает сведения, указанные в части 3 статьи 22 Закона № 152-ФЗ, из реестра операторов.
В соответствии с частью 7 статьи 22 Закона № 152-ФЗ
в случае изменения сведений, указанных в части 3 статьи 22 Закона № 152-ФЗ, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
Из изложенного следует, что оператором персональных данных в Роскомнадзор подается:
- Уведомление о намерении осуществлять обработку персональных данных до начала обработки персональных данных, за исключением случаев части 2 статьи 22 Закона № 152-ФЗ (часть 1 статьи 22 Закона № 152-ФЗ);
- Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных в случае изменений сведений, указанных в части 3 статьи 22 Закона № 152-ФЗ, в течение 10 рабочих дней с даты возникновения таких изменений (часть 7 статьи 22 Закона № 152-ФЗ);
- Уведомление о прекращении обработки персональных данных в случае прекращения обработки персональных данных, в течение 10 рабочих дней с даты прекращения обработки персональных данных (часть 4.1, 7 статьи 22 Закона № 152-ФЗ).
С 26.12.2022 года формы уведомлений, предусмотренных частями 1, 4.1 и 7 статьи 22 Закона № 152-ФЗ утверждены Приказом № 180[1] (часть 8 статьи 22 Закона № 152-ФЗ).
Законом № 266-ФЗ[2] с 01.09.2022 года были внесены изменения в Закон № 152-ФЗ.
В частности, претерпела изменения часть 2 статьи 22 Закона № 152-ФЗ. Из части 2 часть 2 статьи 22 Закона № 152-ФЗ исключены пункты 1-6:
« Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях…».
Таким образом, в отношении вышеперечисленных случаев с 01.09.2022 года Оператор персональных данных обязан уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных и о прекращении обработки персональных данных.
Коллегия Налоговых Консультантов, номер ОДИН в реестре аудиторов ОЗО, оказывает весь комплекс аудиторских, консультационных и юридических услуг +7915-329-02-05 |
В Письме Роскомнадзора от 06.09.2022 № 08-80975 был сделан следующий вывод:
«…Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон), персональные данные - любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).
На основании п. 3 ст. 3 Закона под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В соответствии с ч. 1 ст. 22 Закона оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Обращаем внимание, что в связи с принятием Федерального закона от 14.07.2022 N 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" (далее - Федеральный закон), отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности", с 01.09.2022 редакция ч. 2 ст. 22 Закона изменяется, а именно сокращается перечень оснований допускающих проведение обработки оператором персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.
Таким образом, в случае осуществления вами деятельности по обработке персональных данных, не подпадающей под исключения ч. 2 ст. 22 Закона, полагаем, вам надлежит направить уведомление об обработке (о намерении осуществлять обработку) персональных данных (далее - Уведомление) в территориальное управление Роскомнадзора по месту нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе.
Необходимо отметить, что Федеральным законом предельный срок уведомления Роскомнадзора об обработке персональных данных не определен, в связи с чем 01.09.2022 не может рассматриваться как контрольная дата обязательного предоставления уведомления в Роскомнадзор.
Для внесения сведений об операторе в реестр операторов, осуществляющих обработку персональных данных, оператору необходимо направить в территориальный орган Роскомнадзора по месту регистрации в качестве юридического лица Уведомление по форме, установленной в соответствии с приложением N 1 к Методическим рекомендациям по уведомлению уполномоченного органа о начале деятельности по обработке персональных данных и внесении изменений в ранее представленные сведения, утвержденных приказом Роскомнадзора от 30.05.2017 N 94, в виде документа на бумажном носителе или в форме электронного документа.
Электронные формы Уведомления, и порядок его заполнения размещены на Портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru/).
На интернет-странице https://pd.rkn.gov.ru/operators-registry/notification/form/?form оператору предоставлена возможность сформировать Уведомление в электронной форме.
Направить сформированный документ в территориальный орган Роскомнадзора оператор вправе одним из следующих способов:
1. сформировать Уведомление и направить в бумажном виде;
2. сформировать Уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи;
3. сформировать Уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.
В последующем, после издания Роскомнадзором приказа об утверждении форм уведомлений и информационных писем в соответствии с изменениями в Законе, оператор вправе направить соответствующее уведомление для внесения изменений в сведения об операторе в Реестре в территориальный орган Роскомнадзора по месту регистрации в качестве юридического лица.
Обращаем внимание, что оператору с местом регистрации в качестве юридического лица на территории г. Москвы при заполнении Уведомления на Портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru/) необходимо в поле "Наименование ТО Роскомнадзора" выбрать Управление Роскомнадзора по Центральному федеральному округу.
Необходимо отметить, что при подаче Уведомления, указание оператором даты начала обработки персональных данных, не совпадающей с датой государственной регистрации оператора, а также началом осуществления любого действия, совершаемого с персональными данными, не будет противоречить Закону…».
В информационных источниках имеется следующее разъяснение заместителя Федеральной службы по труду и занятости Шкловец И. И.:
«…- Обязанность уведомления уполномоченного органа оператором персональных данных о намерении осуществлять их обработку установлена ст. 22 Закона N 152-ФЗ "О персональных данных". Там же было предусмотрено, что не требуется уведомлять Роскомнадзор о начале обработки персональных данных в случае их обработки в соответствии с трудовым законодательством.
С 1 сентября 2022 г. такая норма Закона о персональных данных утратила силу, в связи с чем теперь все работодатели обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников.
Представляется, что организациям, обрабатывающим персональные данные, не включенным в реестр операторов персональных данных, можно было направить уведомление об обработке персональных данных до 1 сентября 2022 г.
При этом уведомление о начале обработки не требуется вообще, если оператор обрабатывает персональные данные исключительно без использования средств автоматизации, то есть работает с персональными данными без средств вычислительной техники.
Если организация уже числится в реестре операторов персональных данных, то в случае изменения ранее представленных сведений оператор в течение 10 рабочих дней с момента возникновения таких изменений должен направить в Роскомнадзор информационное письмо. В связи с поправками в Закон о персональных данных таким письмом нужно оповестить об изменении цели обработки персональных данных…».
Организация включена в Реестр операторов с 2016 года. С учетом выше перечисленного полагаем, что Организацией с 01.09.2022 года в связи с сокращением оснований, допускающим обработку персональных данных без уведомления Роскомнадзора, было предоставлено в Роскомнадзор Информационное письмо о внесении изменений в сведения об операторе в реестре операторов.
Такое Письмо может быть представлено через Портал персональных данных Роскомнадзора[3] или на бумажном носителе по форме, утвержденной Приказом № 94.[4]
Учитывая разъяснения Роскомнадзора, с вступлением в силу новых форм уведомлений Организация вправе направить соответствующее уведомление о внесении изменений в ранее представленные сведения в Реестр операторов, осуществляющих обработку персональных данных.
В дальнейшем Организация должна предоставлять в Роскомнадзор:
- Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных в случае изменений сведений, указанных в части 3 статьи 22 Закона № 152-ФЗ, в течение 10 рабочих дней с даты возникновения таких изменений;
- Уведомление о прекращении обработки персональных данных в случае прекращения обработки персональных данных, в течение 10 рабочих дней с даты прекращения обработки персональных данных.
Также с 01.09.2022 года в Закон № 152-ФЗ введена часть 3.1 статьи 21 Закона № 152-ФЗ. Согласно части 3.1 статьи 21 Закона № 152-ФЗ в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Таким образом, Организация с 01.09.2022 года при установлении факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента обязана уведомить Роскомнадзор:
- в течение 24 часов – о произошедшем инциденте, о предполагаемых причинах и вреде нанесенном правам субъектов персональных данных, а также о принятых мерах по устранению последствий инцидента и сведения о лице, взаимодействующим с Роскомнадзором;
- в течение 72 часов – о результатах внутреннего расследования вываленного инцидента и о лицах, действия которых стали причиной выявленного инцидента.
Коллегия Налоговых Консультантов – номер ОДИН в реестре аудиторов ОЗО. Сопровождаем выездные и камеральные налоговые проверки. Оказываем помощь в решении досудебных и арбитражных споров с налоговой, минимизируем ущерб от деятельности налоговых органов. ab@knka.ru +7915-329-02-05 |
Коллегия Налоговых Консультантов, 22 декабря 2022 года
[1] Приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».
[2] Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».
[3] https://pd.rkn.gov.ru/operators-registry/notification/.
[4] Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
Ответы на самые интересные вопросы на нашем телеграм-канале knk_audit
Назад в раздел