С 01 сентября 2022 года статья 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее –ФЗ №152-ФЗ) с 01.09.22 г. применяется в новой редакции

Из нее исключили некоторые случаи, когда при обработке персональных данных не надо было включаться в реестр операторов по обработке ПД.

Напомним, что операторами признаются государственные и муниципальные органы, а также любые юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними.

Из закона исключили случаи «неуведомления», если речь идет об обработке ПД:

1) обрабатываемых в соответствии с трудовым законодательством (напомню, что согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области);

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 ФЗ №152-ФЗ;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.

То есть с 01.09.2022 года это право «неуведомления» Роскомнадзора в указанных выше случаях обработки убрали из закона. Соответственно надо «ставиться на учет» в качестве оператора по обработке ПД в Роскомнадзор, если ваша обработка ПД не подходит под случаи, когда можно не уведомлять (смотрите***).

Что с 01.09.2022 г.

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных, за исключением случаев, указанных ниже (***).

***Теперь оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных только в следующих случаях:

— при обработке ПД включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

— в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

— обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

То есть, обязанность включаться в реестр по-прежнему не возникает у тех, кто осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (то есть без использования компьютера,  только лишь бумаге), лиц, которые являются операторами государственных информационных систем в области безопасности, а также лиц, обрабатывающих данные в соответствии с законодательством о транспортной безопасности.

Соответственно, если вы будете вести у себя, например, в салоне красоты, записи клиентов (с указанием Ф.И.О. и т.д.) исключительно в тетрадке или блокноте (на бумаге) и никуда их не передавать и не вводить персональные данные клиентов  в компьютер, то у вас не возникнет обязанности уведомлять Роскомнадзор и включаться в реестр операторов персональных данных. То же самое касается, например, выписки пропуска по Ф.И.О. для прохода на какую-то территорию, если данные не заносятся в компьютер.

Уведомление рекомендуется направлять в территориальный орган Роскомнадзора — управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе.

С целью правильного оформления уведомления следует ознакомиться с Приказом Роскомнадзора от 30.05.2017 N 94 (ред. от 30.10.2018) «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

Требования к уведомлению с 01.09.2022 года

Уведомление, направляется в виде документа на бумажном носителе (рекомендуется оформлять на бланке оператора ) или в форме электронного документа и подписывается уполномоченным лицом.

Уведомление должно содержать следующие сведения:

-наименование (фамилия, имя, отчество), адрес оператора;

— цель обработки персональных данных;

— описание мер, предусмотренных статьями 18.1 и 19 ФЗ №152-ФЗ, в том числе, сведения о наличии шифровальных (криптографических) средств и наименования этих средств (предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств);

— фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

— дата начала обработки персональных данных;

— срок или условие прекращения обработки персональных данных;

— сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

— сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;

— фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах;

— сведения об обеспечении безопасности персональных данных в соответствии с требованиями* к защите персональных данных, установленными Правительством РФ.

* Постановление Правительства РФ от 01.11.2012 N 1119  «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

При предоставлении указанных сведений, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.

К категориям персональных данных относятся:

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных): фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация;

— специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни);

— биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных). К ним относятся физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, голос и др.), а также иные физиологические или биологические характеристики человека, в том числе его изображения (фотография и видеозапись) (Письма Минцифры России от 17.07.2020 № ОП-П24-070-19433, Роскомнадзора от 10.02.2020 № 08АП-6782).

Категории субъектов, персональные данные которых обрабатываются, например:

— работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором);

— физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором).

Перечень действий с персональными данными, общее описание используемых оператором способов их обработки, например:

— неавтоматизированная обработка персональных данных;

— исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

— смешанная обработка персональных данных.

В случае изменения указанных сведений, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Формы уведомлений (об обработке, изменении, прекращении) можно увидеть по ссылке: https://pd.rkn.gov.ru/operators-registry/notification/form/ и в Приказе Роскомнадзора от 30.05.2017 N 94 (ред. от 30.10.2018) «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

Административная ответственность за неуведомление Роскомнадзора

Неисполнение обязанности уведомить Роскомнадзор о намерении осуществлять обработку персональных данных может повлечь наложение административного штрафа от 100 до 300 руб. — на физических лиц; на должностных лиц от 300 до 500 руб.; от 3 до 5 тыс. руб. – на юридических лиц (ст. 19.7 КоАП РФ), также Роскомнадзор может ограничиться вынесением предупреждения оператору.

Пока, как мы видим, размер штрафа не является значительным, но судя по тренду изменений законодательства РФ в области защиты персональных данных, ответственность может ужесточаться. В связи с этим, всем операторам рекомендуется обеспечить правильное юридическое оформление и техническое оснащение процесса обработки персональных данных, который они осуществляют. Это нельзя сделать без соответствующих специалистов, обучения, оборудования (систем криптозащиты и безопасности), и без проведения соответствующих организационных мероприятий (изменение документооборота, разработка Политики обработки ПД, назначение ответственного за обработку ПД, внедрение новых систем автоматизации и т.п.), но это сделать все равно придется, если оператор заботится о соблюдении требований закона при осуществлении своей деятельности.