С 01.09.2022 вступают в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных», которые обяжут всех операторов отправлять данные в Роскомнадзор. Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Закона).
Не нужно становится на учёт в Роскомнадзор и уведомлять об обработке персональных данных, обрабатываемых в соответствии с трудовым законодательством и полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Срок рассмотрения уведомления исчисляется со дня его регистрации в Роскомнадзоре (ТО Роскомнадзора). Сведения об операторе вносятся в реестр не позднее 30 дней с даты регистрации уведомления.
С 01 сентября 2022 г. операторы персональных данных при обработке персональных данных должны будут уведомить территориальный орган Роскомнадзора в общем порядке до начала обработки:
- категории персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.
При этом в уведомлении нужно будет указывать:
Ф. И. О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.
Форма уведомления утвержде6на приказом Роскомнадзора от 30.05.2017 № 94 (ред. от 30.10.2018) «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
Порядок заполнения уведомления описывается в Рекомендациях. Хотя они носят рекомендательный (необязательный) характер, чтобы избежать возникновения конфликтных ситуаций с уполномоченным органом, следует учитывать содержащиеся в них разъяснения.
Уведомление рекомендуется оформлять на бланке оператора (п. 3.1.13 Рекомендаций). Оно может быть составлено и направлено в уполномоченный орган как на бумажном носителе, так и в электронной форме (ч. 3 ст. 22 Закона, п. 3.2 Рекомендаций). Об особенностях заполнения и представления уведомления в электронной форме см. в разделе о представлении уведомления в уполномоченный орган.
В уведомлении указываются следующие сведения
1. Наименование (Ф.И.О.), адрес оператора.
2. Правовое основание обработки персональных данных.
В этой графе рекомендуется указать весь перечень нормативных правовых актов, которые закрепляют основания и порядок обработки оператором персональных данных и соответствуют его полномочиям. Не рекомендуется указывать в качестве правового основания ч. 1 ст. 6 Закона № 152-ФЗ.
3. Цель обработки персональных данных.
Согласно п. 3.1.2 Рекомендаций в этой графе следует указать цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.
4. Категории персональных данных.
К ним могут быть отнесены (п. п. 2.5 - 2.7 Рекомендаций):
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных): фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация;
- специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни). Случаи, когда допускается обработка специальных категорий персональных данных, установлены ч. 2, ч. 2.1 ст. 10 Закона;
- биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных). К ним относятся физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, голос и др.), а также иные физиологические или биологические характеристики человека, в том числе его изображения (фотография и видеозапись) (Письма Минцифры России от 17.07.2020 № ОП-П24-070-19433, Роскомнадзора от 10.02.2020 № 08АП-6782). Биометрические персональные данные могут обрабатываться оператором только при наличии письменного согласия субъекта персональных данных (за исключением случаев, установленных в ч. 2 ст. 11 Закона) (ч. 1 ст. 11 Закона).
Категории субъектов, персональные данные которых обрабатываются.
Согласно п. 3.1.4 Рекомендаций в этой графе указываются категории субъектов и виды отношений с ними (физическими лицами), например:
- работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором);
- физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором).
Перечень действий с персональными данными, общее описание используемых оператором способов их обработки.
В этой графе указываются действия оператора и описания используемых способов обработки персональных данных (п. 3.1.6 Рекомендаций):
- неавтоматизированная обработка персональных данных;
- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
- смешанная обработка персональных данных.
Описание мер, предусмотренных ст. ст. 18.1 и 19 Закона.
В этой графе оператор приводит (п. 3.1.7 Рекомендаций) описание мер, предусмотренных ст. ст. 18.1 и 19 Закона, предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
Дата начала обработки персональных данных.
В этой графе рекомендуется указывать конкретную дату (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными (как правило, это дата начала осуществления оператором деятельности, закрепленной в уставных документах) (п. 3.1.9 Рекомендаций).
Срок или условие прекращения обработки персональных данных.
Сведения о наличии или отсутствии трансграничной передачи персональных данных.
Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ.
Сведения об обеспечении безопасности персональных данных.
Способы передачи уведомления и внесение сведений в реестр
Роскомнадзор объявил о приостановке очных форматов взаимодействия из-за угрозы распространения коронавируса. Для организации взаимодействия рекомендуется обращаться в Роскомнадзор:
- в электронной форме через электронную почту (rsoc_in@rkn.gov.ru);
- официальный сайт (www.rkn.gov.ru);
- портал госуслуг (www.gosuslugi.ru);
- портал операторов связи, расположенный на сайте Роскомнадзора;
- в письменной форме через Почту России.
Контактная информация территориальных органов уполномоченного органа приведена на сайте Роскомнадзора http://rkn.gov.ru и на портале персональных данных http://pd.rkn.gov.ru
В соответствии с ч. 3 ст. 22 Закона оператор вправе составить и направить в уполномоченный орган уведомление в форме электронного документа, подписанного уполномоченным лицом. Для этого может быть использован официальный сайт Роскомнадзора (www.rkn.gov.ru), а именно портал персональных данных (www.pd.rkn.gov.ru) (п. п. 2.2, 2.3 Рекомендаций).
Согласно п. 3.2 Рекомендаций электронная форма уведомления и порядок ее заполнения размещены на указанном портале персональных данных.
В течение 30 дней с даты поступления уведомления уполномоченный орган вносит содержащиеся в нем сведения (а также сведения о дате направления уведомления) в реестр операторов, осуществляющих обработку персональных данных (ч. 4 ст. 22 Закона).
Информация о внесении сведений об операторе в реестр размещается на официальном сайте и портале персональных данных (п. 3.5 Рекомендаций).
Сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора. Ни Законом, ни Рекомендациями не предусмотрена обязательная выдача оператору какого-либо документа, подтверждающего подачу уведомления и факт внесения в реестр соответствующих сведений. В то же время любое заинтересованное лицо может по собственной инициативе получить выписку из реестра. Для этого в Роскомнадзор (его территориальный орган по месту регистрации оператора в налоговом органе) необходимо направить заявление. Его форма определенна в Приложении 4 к Рекомендациям (п. п. 6.1, 6.2 Рекомендаций).
Что ещё можно до 01.09.2022 и потом станет нельзя без уведомления
Согласно ч. 1 ст. 22 Закона № 152-ФЗ до начала обработки персональных данных оператор должен уведомить о своем намерении Роскомнадзор. Часть 2 этой же статьи предусматривает ряд случаев, когда уведомлять необязательно. С 1 сентября 2022 года этот список исключений станет меньше, из него уберут случаи обработки персональных данных:
- обрабатываемых в соответствии с трудовым законодательством;
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующим общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
- разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 Закона № 152-ФЗ;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем.
Кто по-прежнему после 01.09.2022 не должен подавать уведомление о включении в реестр?
Обязанность включаться в реестр по-прежнему не возникает у тех, кто осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (то есть без использования компьютера, на только лишь бумаге), лиц, которые являются операторами государственных информационных систем в области безопасности, а также лиц, обрабатывающих данные в соответствии с законодательством о транспортной безопасности (пп. 7-9 ч. 2 ст. 22 Закона в будущей редакции).
Т.е. если вы будете у себя, например, в салоне или в магазине будете вести записи исключительно в тетрадке или блокноте на бумаге и никуда их не передавать и не вводить персональные данные в компьютер, то у вас не возникнет обязанности уведомлять Роскомнадзор и включаться в реестр операторов персональных данных
Ответственность
Неисполнение обязанности уведомить Роскомнадзор о намерении осуществлять обработку персональных данных может повлечь наложение административного штрафа от 100 до 300 руб. - на физических лиц; на должностных лиц от 300 до 500 руб.; от 3 до 5 тыс. руб. – на юридических лиц (ст. 19.7 КоАП РФ ), также Роскомнадзор может просто вынести предупреждение оператору.
Пока размер штрафа не является значительным и сам по себе он может не мотивировать исполнять обязанность по уведомлению. Кроме того, зачастую Роскомнадзор предварительно направляет операторам требование о включении в реестр или предоставлении пояснений об отсутствии обязанности включиться в реестр.
Тем не менее, судя по тренду изменений в законодательство РФ в области защиты персональных данных, ответственность будет увеличиваться. Пока для операторов всё еще будет имеется время для привыкания работы с персональными данными.
Особенно это актуально для тех, кто обрабатывает большое количество данных о людях (сотни, тысячи, десятки тысяч и т.д.). В этом случае нужно иметь в виду, что оператор должен задуматься о системах криптозащиты и безопасности, чего нельзя сделать без соответствующих специалистов, обучения и без нового оборудования и/или организационных мероприятий (изменение документооборота, внедрение новых систем автоматизации и управления и т.п.)