С 1 сентября 2022 года расширен перечень организаций и ИП, которые должны уведомлять Роскомнадзор о своем намерении обрабатывать персональные данные физических лиц. В их число вошли, в частности работодатели. С 30 мая 2025 года существенно вырастут штрафы за нарушения при обработке персональных данных, включая штраф за неуведомление Роскомнадзора. Чтобы избежать наказания, следует проинформировать Роскомнадзор в ближайшее время.
До начала обработки персональных данных оператор персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять такую обработку (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ).
Часть 2 ст. 22 Закона № 152-ФЗ устанавливает перечень случаев, когда обработка персональных данных возможна без предварительного уведомления Роскомнадзора. Это допустимо, если:
· данные включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 Закона № 152-ФЗ);
· оператор обрабатывает данные вручную без использования средств автоматизации (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ);
· данные обрабатываются в случаях, предусмотренных законодательством о транспортной безопасности.
Во всех остальных случаях уведомление Роскомнадзора является обязательным. Это касается также и случаев обработки персональных данных работников и соискателей.
Напомним о том, что уведомление подается один раз и не содержит сведений о данных конкретных лиц. После подачи уведомления Роскомнадзор включает организацию или ИП в реестр операторов, осуществляющих обработку персональных данных (далее – Реестр), что и является конечной целью подачи уведомления.
Форма уведомления о намерении осуществлять обработку персональных данных утверждена приказом Роскомнадзора от 28.10.2022 № 180 (Приложение № 1).
Перечень сведений, которые необходимо указать в уведомлении, закреплен в ч. 3 ст. 22 Закона № 152-ФЗ и включает в себя:
· наименование (Ф. И. О.), адрес оператора (работодателя);
· цель обработки персональных данных;
· описание мер, предусмотренных ст. 18.1, 19 Закона № 152-ФЗ, в т. ч. сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
· Ф. И. О. физического лица или наименование юридического лица, ответственного за организацию обработки персональных данных, и номера контактных телефонов, почтовые адреса и адреса электронной почты;
· дату начала обработки персональных данных;
· срок или условие прекращения обработки персональных данных;
· сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
· сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;
· Ф. И. О. физического лица или наименование юридического лица, имеющего доступ и (или) осуществляющего на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах;
· сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством России.
Подавая уведомление, оператор для каждой цели обработки персональных данных должен указать в нем также (ч. 3.1 ст. 22 Закона № 152-ФЗ):
· категории персональных данных;
· категории субъектов, персональные данные которых обрабатываются;
· правовое основание обработки персональных данных;
· перечень действий с персональными данными;
· способы обработки персональных данных.
Прежде чем заполнять уведомление, организациям и ИП целесообразно проверить, не были ли они включены в Реестр операторов, осуществляющих обработку персональных данных, ранее. Сделать это можно на сайте Роскомнадзора.
В зависимости от результата поиска следует поступить следующим образом:
· если организация (ИП) в Реестр не включена и уведомление в Роскомнадзор не посылалось, то необходимо подать уведомление;
· если организация (ИП) включена в Реестр, но содержащиеся там сведения изменились (например, произошла смена наименования организации, изменилась цель обработки персональных данных и т. д.), необходимо подать в Роскомнадзор уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных. Сделать это нужно до 15-го числа месяца, следующего за месяцем, в котором произошли изменения (ч. 7 ст. 22 Закона № 152-ФЗ, письмо Роскомнадзора от 24.05.2024 № 45697-10/77);
· если организации или ИП уже направляла уведомление в Роскомнадзор о своем намерении осуществлять обработку персональных данных (по старой форме, утв. приказом Роскомнадзора от 30.05.2017 № 94, или по новой форме, утв. приказом Роскомнадзора от 28.10.2022 № 180), данные есть в Реестре и они актуальны, то подавать уведомление не нужно.
Обратите внимание!
Дата включения оператора персональных данных в Реестр Роскомнадзора может не совпадать с датой включения организации-оператора в ЕГРЮЛ при создании или с датой регистрации ИП-оператора в качестве индивидуального предпринимателя в ЕГРИП. Это не является нарушением.
Сформировать и подать уведомление можно следующими способами:
· заполнить на бумаге и отправить в Роскомнадзор;
· подать через личный кабинет на портале Госуслуг;
· подать через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи;
· сформировать уведомление через сервис фирмы "1С" 152DOC.
Обратите внимание!
До 1 сентября 2022 года можно было не подавать уведомление в Роскомнадзор в большем числе случаев. В частности, работодатели, которые обрабатывали только данные своих сотрудников, могли не подавать уведомление.
Для тех категорий, у кого обязанность обрабатывать персональные данные появилась только с 1 сентября 2022 года, Закон № 152-ФЗ не установил переходных положений. При этом Роскомнадзор разъяснял, что 1 сентября 2022 года не является последним днем для подачи уведомления об обработке персональных данных (письмо Роскомнадзора от 06.09.2022 № 08-08975). Поэтому считаем целесообразным подать такое уведомление после 1 сентября, если оно ранее не подавалось. Законодательство не содержит каких-либо ограничений по срокам, поэтому сделать это можно было как до, так и после 1 сентября 2022 года, а также до или после 30 мая 2025 года.
В течение 30 дней с даты поступления уведомления Роскомнадзор обязан внести указанные в нем сведения в Реестр (ч. 4 ст. 22 Закона № 152-ФЗ).
Оператор (работодатель) должен внимательно следить за правильностью сведений, вносимых в уведомление для отправки в Роскомнадзор. В случае обнаружения ошибок надзорный орган вправе потребовать уточнения сведений до их внесения в Реестр (ч. 6 ст. 22 Закона № 152-ФЗ).
При прекращении обработки персональных данных оператор также обязан уведомить об этом Роскомнадзор. Подать такое уведомление необходимо в течение 10 рабочих дней с даты прекращения обработки персональных данных (ч. 7 ст. 22 Закона № 152-ФЗ).
Основаниями для прекращения обработки персональных данных могут быть:
· ликвидация организации или прекращение деятельности ИП;
· прекращение деятельности организации в результате ее реорганизации;
· аннулирование лицензии на осуществление лицензируемой деятельности оператора персональных данных, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
· наступление срока или условия прекращения обработки персональных данных (указанных в ранее поданном уведомлении);
· решение суда о прекращении оператором персональных данных деятельности по обработке персональных данных.
Форма уведомления о прекращении обработки персональных данных приведена в Приложении № 3 к приказу Роскомнадзора от 28.10.2022 № 180.
Сформировать и подать уведомление можно следующими способами:
· заполнить на бумаге и отправить в Роскомнадзор;
· подать через личный кабинет на портале Госуслуг;
· подать через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи;
В течение 30 дней со дня получения уведомления Роскомнадзор исключит информацию об операторе персональных данных из своего Реестра (ч. 4.1 ст. 22 Закона № 152-ФЗ).
Обработка персональных данных без представления в Роскомнадзор соответствующего уведомления может стать основанием для привлечения оператора персональных данных к административной ответственности на основании ст. 19.7 КоАП РФ (для нарушений, совершенных до 30 мая 2025 года) или по ч. 10 ст. 13.11 КоАП РФ (для нарушений, совершенных после 30 мая 2025 года).
Подробнее о мерах ответственности за нарушение требований законодательства о защите персональных данных читайте здесь.
Нашли ошибку на сайте? Сообщите нам! Выделите текст с ошибкой и нажмите Ctrl+Enter
