22.09.2022

ссылка на статью: бухвести.рф/154821

В связи с изменениями в законодательстве о персональных данных, вступающими в силу 01.09.2022, все ли без исключения организации, осуществляющие прием на работу, обязаны направить до 01.09.2022 уведомление в Роскомнадзор о намерении осуществлять обработку персональных данных?

Рассмотрев вопрос, мы пришли к следующему выводу:
С 1 сентября 2022 г. работодатели обязаны уведомлять Роскомнадзор о своем намерении осуществлять обработку персональных данных.

Обоснование вывода:
Пунктом 2 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) предусмотрено, что оператором персональных данных (далее также - оператор) является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав подлежащих обработке персональных данных и действия (операции), совершаемые с персональными данными. Исходя из определения, в качестве оператора будет выступать любое лицо, которое приняло решение осуществлять обработку персональных данных в своих интересах и имеет правовую и/или фактическую возможность определять цели и существенные условия такой обработки.
Частью 1 ст. 22 Закона N 152-ФЗ на оператора возложена обязанность направить уведомление о намерении осуществлять обработку персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Уведомление направляется однократно и является основанием для внесения сведений об операторе в реестр операторов, осуществляющих обработку персональных данных (смотрите чч. 3, 4 ст. 22 Закона N 152-ФЗ).
Перечень случаев, когда оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора, предусмотрен ч. 2 ст. 22 Закона N 152-ФЗ. С 1 сентября 2022 г. вступает в силу Федеральный закон от 14 июля 2022 г. N 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности" (далее - Закон N 266-ФЗ), которым упомянутый перечень сокращен. Согласно ч. 2 ст. 22 Закона N 152-ФЗ Закона N 152-ФЗ в редакции, вступающей в силу с 01.09.2022, оператор будет вправе осуществлять без уведомления Роскомнадзора обработку персональных данных только в следующих случаях:
- если обрабатываются персональные данные, включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- персональные данные обрабатываются в соответствии с законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
- если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.
Формулировка последнего из приведенных оснований, как нам представляется, должна пониматься как позволяющая не уведомлять Роскомнадзор об обработке персональных данных только в том случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации, т.е. абсолютно все персональные данные им обрабатываются таким способом. Само по себе то обстоятельство, что оператор обрабатывает без использования средств автоматизации лишь какой-то определенный объем персональных данных, на наш взгляд, не освобождает его от обязанности направить уведомление в Роскомнадзор (ср. нынешнюю и будущую формулировки п. 8 ч. 2 ст. 22 Закона N 152-ФЗ).
В случаях, не перечисленных в ч. 2 ст. 22 Закона N 152-ФЗ, операторы будут обязаны подать уведомления в Роскомнадзор вне зависимости от вида деятельности. В том числе обязаны сделать это все работодатели, поскольку они обрабатывают персональные данные своих сотрудников.
Отдельно отметим, что ни действующая, ни будущая редакция Закона N 152-ФЗ не обязывают операторов персональных данных проходить какую-либо регистрацию в Роскомнадзоре для того, чтобы иметь возможность направлять в этот орган уведомления об обработке персональных данных. Согласно ч. 3 ст. 22 Закона N 152-ФЗ уведомление, предусмотренное ч. 1 той же статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Как указано в письме Роскомнадзора от 19.08.2022 N 08-75348, электронная форма уведомления об обработке персональных данных и порядок ее заполнения размещены на Портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru/). При этом на интернет-странице https://pd.rkn.gov.ru/operators-registry/notification/updateform/ оператору предоставлена возможность сформировать уведомление в электронной форме и направить в его в территориальный орган Роскомнадзора одним из следующих способов:
1) сформировать уведомление и направить в бумажном виде;
2) сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи;
3) сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.
Формы уведомлений устанавливаются Роскомнадзором.
Поскольку изменения, внесенные Законом N 266-ФЗ в ст. 22 Закона N 152-ФЗ, затрагивают содержательную часть уведомлений, полагаем, Роскомнадзор своим приказом должен скорректировать имеющиеся формы уведомлений (смотрите Проект Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, о внесении изменений в ранее представленные сведения, о прекращении обработки персональных данных" (подготовлен Роскомнадзором 19.08.2022)). До этого времени уполномоченный орган рекомендует направлять уведомление по форме, установленной в соответствии с приложением N 1 к Методическим рекомендациям по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденным приказом Роскомнадзора от 30.05.2017 N 94 (далее - Рекомендации) в виде документа на бумажном носителе или в форме электронного документа, а в последующем оператор вправе направить соответствующее информационное письмо для внесения изменений в сведения об операторе в реестре в территориальный орган Роскомнадзора по месту регистрации в качестве юридического лица (смотрите письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2022 г. N 08-75348).
Электронная форма уведомления и порядок её заполнения размещены на интернет-портале персональных данных Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/form/ (п. 3.2 Рекомендаций).
Относительно сроков направления в Роскомнадзор уведомления о начале обработки персональных данных для тех операторов, которые ранее не обязаны были направлять такое уведомление, официальные разъяснения на сегодняшний день отсутствуют.
В случае изменения ранее представленных сведений, а также прекращения обработки персональных данных оператор обязан уведомить об этом территориальный орган Роскомнадзора в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных (ч. 7 ст. 22 Закона N 152-ФЗ, пп. 4, 5 Рекомендаций). Форма информационного письма о внесении изменений в сведения об операторе в Реестре приведена в Приложении 2 к Рекомендациям, а форма заявления о прекращении обработки персональных данных - в Приложении 3 к Рекомендациям. Электронная форма информационного письма размещена на интернет-портале персональных данных Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/updateform/.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Казакова Елена

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Александров Алексей

30 августа 2022 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.