Предоставление сведений в Роскомнадзор в связи с обработкой персональных данных

Телеграм-канал https://t.me/knk_audit Бухучет, налоги, нововведения, прослеживаемость, иностранные компании, сложные случаи

С 01.09.2022 сократился перечень оснований, допускающих обработку персональных данных без предоставления уведомлений в Роскомнадзор. Теперь операторы должны уведомлять Роскомнадзор о начале и осуществлении любой обработки персональных данных  за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации.

Впоследствии уведомления в Роскомнадзор предоставляются в случае изменений сведений, указанных в части 3 статьи 22 Закона № 152-ФЗ, а также в случае прекращения обработки персональных данных.

Также, Организация с 01.09.2022 года при установлении факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента обязана уведомить Роскомнадзор:

- в течение 24 часов – о произошедшем инциденте,  о предполагаемых причинах и вреде нанесенном правам субъектов персональных данных,  а также о принятых мерах по устранению последствий инцидента и сведения о лице, взаимодействующим с Роскомнадзором;

- в течение 72 часов – о результатах внутреннего расследования вываленного инцидента и о лицах, действия которых стали причиной выявленного инцидента.

 

Обоснование:

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (часть 1 статьи 3 Закона № 152-ФЗ).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (часть 2 статьи 3 Закона № 152-ФЗ).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (часть 3 статьи 3 Закона № 152-ФЗ).

В соответствии с частью 1 статьи 22 Закона № 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

На основании части 2 статьи 22 Закона № 152-ФЗ оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

- включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (пункт 7);

- в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (пункт 8);

- обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Согласно части 3 статьи 22 Закона № 152-ФЗ уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

-  наименование (фамилия, имя, отчество), адрес оператора (пункт 1);

- цель обработки персональных данных (пункт 2);

- описание мер, предусмотренных статьями 18.1 и 19 Закона № 125-ФЗ, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств (пункт 7);

- фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты (пункт 7.1);

- дата начала обработки персональных данных (пункт 8);

- срок или условие прекращения обработки персональных данных (пункт 9);

- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки (пункт 10);

- сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации (пункт 10.1);

- фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах (пункт 10.2);

- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации (пункт 11).

На основании части 3.1 статьи 22 Закона № 152-ФЗ при предоставлении сведений, предусмотренных частью 3 статьи 22 Закона № 152-ФЗ, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.

Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 статьи 22 Закона № 152-ФЗ, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными (часть 4 Закона № 152-ФЗ).

Согласно части 4.1 статьи 22 Закона № 152-ФЗ уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления от оператора уведомления о прекращении обработки персональных данных исключает сведения, указанные в части 3 статьи 22 Закона № 152-ФЗ, из реестра операторов.

В соответствии с частью 7 статьи 22 Закона № 152-ФЗ в случае изменения сведений, указанных в части 3 статьи 22 Закона № 152-ФЗ, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Из изложенного следует, что оператором персональных данных в Роскомнадзор подается:

-  Уведомление о намерении осуществлять обработку персональных данных до начала обработки персональных данных, за исключением случаев части 2 статьи 22 Закона № 152-ФЗ (часть 1 статьи 22 Закона № 152-ФЗ);

- Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных в случае изменений сведений, указанных в части 3 статьи 22 Закона № 152-ФЗ, в течение 10 рабочих дней с даты возникновения таких изменений (часть 7 статьи 22 Закона № 152-ФЗ);

- Уведомление о прекращении обработки персональных данных в случае прекращения обработки персональных данных, в течение 10 рабочих дней с даты прекращения обработки персональных данных (часть 4.1, 7 статьи 22 Закона № 152-ФЗ).

С 26.12.2022 года формы уведомлений, предусмотренных частями 1, 4.1 и 7 статьи 22 Закона № 152-ФЗ утверждены Приказом № 180[1] (часть 8 статьи 22 Закона № 152-ФЗ).

Законом № 266-ФЗ[2] с 01.09.2022 года были внесены изменения в Закон № 152-ФЗ.

В частности, претерпела изменения часть 2 статьи  22 Закона № 152-ФЗ. Из части 2 часть 2 статьи  22 Закона № 152-ФЗ исключены пункты 1-6:

« Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях…».

Таким образом, в отношении вышеперечисленных случаев с 01.09.2022 года Оператор персональных данных обязан уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных и о прекращении обработки персональных данных.

Коллегия Налоговых Консультантов, номер ОДИН в реестре аудиторов ОЗО, оказывает  весь комплекс аудиторских, консультационных и юридических услуг +7915-329-02-05

 

 

 

 

 

 

 

В Письме Роскомнадзора от 06.09.2022 № 08-80975 был сделан следующий вывод:

«…Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон), персональные данные - любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).

На основании п. 3 ст. 3 Закона под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В соответствии с ч. 1 ст. 22 Закона оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Обращаем внимание, что в связи с принятием Федерального закона от 14.07.2022 N 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" (далее - Федеральный закон), отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности", с 01.09.2022 редакция ч. 2 ст. 22 Закона изменяется, а именно сокращается перечень оснований допускающих проведение обработки оператором персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.

Таким образом, в случае осуществления вами деятельности по обработке персональных данных, не подпадающей под исключения ч. 2 ст. 22 Закона, полагаем, вам надлежит направить уведомление об обработке (о намерении осуществлять обработку) персональных данных (далее - Уведомление) в территориальное управление Роскомнадзора по месту нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе.

Необходимо отметить, что Федеральным законом предельный срок уведомления Роскомнадзора об обработке персональных данных не определен, в связи с чем 01.09.2022 не может рассматриваться как контрольная дата обязательного предоставления уведомления в Роскомнадзор.

Для внесения сведений об операторе в реестр операторов, осуществляющих обработку персональных данных, оператору необходимо направить в территориальный орган Роскомнадзора по месту регистрации в качестве юридического лица Уведомление по форме, установленной в соответствии с приложением N 1 к Методическим рекомендациям по уведомлению уполномоченного органа о начале деятельности по обработке персональных данных и внесении изменений в ранее представленные сведения, утвержденных приказом Роскомнадзора от 30.05.2017 N 94, в виде документа на бумажном носителе или в форме электронного документа.

Электронные формы Уведомления, и порядок его заполнения размещены на Портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru/).

На интернет-странице https://pd.rkn.gov.ru/operators-registry/notification/form/?form оператору предоставлена возможность сформировать Уведомление в электронной форме.

Направить сформированный документ в территориальный орган Роскомнадзора оператор вправе одним из следующих способов:

1. сформировать Уведомление и направить в бумажном виде;

2. сформировать Уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи;

3. сформировать Уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.

В последующем, после издания Роскомнадзором приказа об утверждении форм уведомлений и информационных писем в соответствии с изменениями в Законе, оператор вправе направить соответствующее уведомление для внесения изменений в сведения об операторе в Реестре в территориальный орган Роскомнадзора по месту регистрации в качестве юридического лица.

Обращаем внимание, что оператору с местом регистрации в качестве юридического лица на территории г. Москвы при заполнении Уведомления на Портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru/) необходимо в поле "Наименование ТО Роскомнадзора" выбрать Управление Роскомнадзора по Центральному федеральному округу.

Необходимо отметить, что при подаче Уведомления, указание оператором даты начала обработки персональных данных, не совпадающей с датой государственной регистрации оператора, а также началом осуществления любого действия, совершаемого с персональными данными, не будет противоречить Закону…».

В информационных источниках имеется следующее разъяснение заместителя Федеральной службы по труду и занятости Шкловец И. И.:

«…- Обязанность уведомления уполномоченного органа оператором персональных данных о намерении осуществлять их обработку установлена ст. 22 Закона N 152-ФЗ "О персональных данных". Там же было предусмотрено, что не требуется уведомлять Роскомнадзор о начале обработки персональных данных в случае их обработки в соответствии с трудовым законодательством.

С 1 сентября 2022 г. такая норма Закона о персональных данных утратила силу, в связи с чем теперь все работодатели обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников.

Представляется, что организациям, обрабатывающим персональные данные, не включенным в реестр операторов персональных данных, можно было направить уведомление об обработке персональных данных до 1 сентября 2022 г.

При этом уведомление о начале обработки не требуется вообще, если оператор обрабатывает персональные данные исключительно без использования средств автоматизации, то есть работает с персональными данными без средств вычислительной техники.

Если организация уже числится в реестре операторов персональных данных, то в случае изменения ранее представленных сведений оператор в течение 10 рабочих дней с момента возникновения таких изменений должен направить в Роскомнадзор информационное письмо. В связи с поправками в Закон о персональных данных таким письмом нужно оповестить об изменении цели обработки персональных данных…».

Организация включена в Реестр операторов с 2016 года. С учетом выше перечисленного полагаем, что Организацией с 01.09.2022 года в связи с сокращением оснований, допускающим обработку персональных данных без уведомления Роскомнадзора, было предоставлено в Роскомнадзор Информационное письмо о внесении изменений в сведения об операторе в реестре операторов.

Такое Письмо может быть представлено через Портал персональных данных Роскомнадзора[3] или на бумажном носителе по форме, утвержденной Приказом № 94.[4]

Учитывая разъяснения Роскомнадзора, с вступлением в силу новых форм уведомлений Организация вправе направить соответствующее уведомление о внесении изменений в ранее представленные сведения в Реестр операторов, осуществляющих обработку персональных данных.

В дальнейшем Организация должна предоставлять в Роскомнадзор:

- Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных в случае изменений сведений, указанных в части 3 статьи 22 Закона № 152-ФЗ, в течение 10 рабочих дней с даты возникновения таких изменений;

- Уведомление о прекращении обработки персональных данных в случае прекращения обработки персональных данных, в течение 10 рабочих дней с даты прекращения обработки персональных данных.

Также с 01.09.2022 года в Закон № 152-ФЗ введена часть 3.1 статьи 21 Закона № 152-ФЗ. Согласно части 3.1 статьи 21 Закона № 152-ФЗ в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Таким образом, Организация с 01.09.2022 года при установлении факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента обязана уведомить Роскомнадзор:

- в течение 24 часов – о произошедшем инциденте,  о предполагаемых причинах и вреде нанесенном правам субъектов персональных данных,  а также о принятых мерах по устранению последствий инцидента и сведения о лице, взаимодействующим с Роскомнадзором;

- в течение 72 часов – о результатах внутреннего расследования вываленного инцидента и о лицах, действия которых  стали причиной выявленного инцидента.

Коллегия Налоговых Консультантов – номер ОДИН в реестре аудиторов ОЗО.  Сопровождаем выездные и камеральные налоговые проверки. Оказываем помощь в решении досудебных и арбитражных споров с налоговой,  минимизируем ущерб от деятельности налоговых органов. ab@knka.ru  +7915-329-02-05

Коллегия Налоговых Консультантов, 22 декабря 2022 года