Положениями законодательства о персональных данных предписана обязанность оператора уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (статья 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Важно, что такое уведомление необходимо сделать до момента начала обработки. На основе уведомления сведения об операторе включаются Роскомнадзором в особый реестр операторов, осуществляющих обработку персональных данных.
Информация реестра является общедоступной, ее можно найти на официальном сайте Роскомнадзора (https://pd.rkn.gov.ru/ operators-registry/operators-list/). Для проверки оператора на предмет его включения в реестр достаточно знать его ИНН либо можно вести поиск по наименованию организации. По состоянию на 22.10.2021 в указанном реестре содержатся сведения о 431 881 операторе персональных данных.
Правило об уведомлении Роскомнадзора сформулировано в качестве общего и применимо к подавляющему большинству операторов персональных данных. Аналогичные уведомления требуются в случае необходимости внесения изменений в ранее поданные операторами сведения, а также при прекращении обработки персональных данных. Перечень случаев, при которых оператор вправе вести обработку без подачи уведомления, имеет закрытый характер и определен нормативно; если оператор ведет обработку персональных данных за пределами случаев из перечня, уведомление требуется. Речь идет, в частности, об обработке персональных данных в соответствии с трудовым законодательством, например, в связи с заключением договора, стороной которого является субъект персональных данных (если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения/заключения указанного договора); персональных данных, включающих в себя только фамилии, имена и отчества субъектов персональных данных. Иные случае определены в ч. 2 ст. 22 Федерального закона «О персональных данных».
Операторам, которым требуется подать уведомление о начале обработки персональных данных, важно иметь в виду, что такое уведомление может быть подано как в бумажном виде, так и в электронном — через УКЭП либо средства аутентификации ЕСИА. Содержание такого уведомления также строго фиксируется и включает в себя такие сведения, как:
- наименование и адрес оператора — для НКО это полное и сокращенное наименование с указанием организационно- правовой формы, адрес, ИНН, ОГРН;
- цель обработки персональных данных — Роскомнадзор рекомендует соотносить цели обработки с деятельностью, при которой такая обработка производится;
- категории персональных данных — рекомендуется указывать все категории, которые обрабатывает оператор;
- категории субъектов, персональные данных которых обрабатываются, — рекомендуется также указать виды отношений, в которых с оператором состоит каждая категория субъектов (например, «работники, состоящие в трудовых отношениях с юридическим лицом»);
- правовое основание обработки персональных данных — рекомендуется указывать весь перечень нормативных актов, которые закрепляют основания и порядок обработки операторов персональных данных;
- перечень действий с персональными данными и общее описание используемых способов обработки — автоматизированная, неавтоматизированная или смешанная обработка персональных данных.
- описание мер, принимаемых опера- тором для обеспечения безопасности данных и выполнения требований закона — более детально эти меры указаны в ст. 18.1, 19 ФЗ № 152;
- сведения о лице, ответственном за организацию обработки персональных данных, в том числе, номера контактных теле- фонов, почтовые адреса и адреса электронной почты;
- дата начала обработки персональных данных — как правило, это дата начала осуществления оператором деятельности, указанной в уставных документах;
- срок или условие прекращения обработки персональных данных — рекомендуется указывать конкретную дату (число, месяц, год) или условие, наступление которого повлечет прекращение обработки персональных данных;
- сведения о наличии/отсутствии трансграничной передачи персональных данных в процессе их обработки — пред- полагается указание перечня иностранных государств, куда осуществляется трансграничная передача персональных данных;
- сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ — наименования стран и конкретные адреса размещения баз;
- сведения об обеспечении без- опасности персональных данных в соответствии с требованиями Правительства РФ.
Более подробно с рекомендациями Роскомнадзора по уведомлению о начале обработки персональных данных можно ознакомиться в Приказе ведомства от 30.05.2007 № 94. В приложении к этому приказу содержится рекомендованная форма уведомления об обработке персональных данных (о намерении осуществлять обработку). Следует иметь в виду, что уклонение от исполнения обязанности уведомить Роскомнадзор о начале обработки персональных данных образует состав административного правонарушения, предусмотренный ст. 19.7 КоАП РФ. Размер штрафа при привлечении к ответственности за данное правонарушение варьиру ется для юридических лиц от 3000 до 5000 рублей.
Материал подготовлен в рамках проекта «Трансформация работы некоммерческих организаций в эпоху цифровизации: возможности и угрозы» Симонова Снежана