Онлайн консультации юриста Вадима Колосова

Юридические услуги
©   ®   (P)   IT

(495) 9 8 9 2 2 4 6
e-mail

UK flag
En

»

Роскомнадзор: уведомление об обработке персональных данных с сентября 2022 года (изменения в Закон о персональных данных касаются всех)

Как следует из проекта Федерального закона №101234-8, депутаты крайне встревожены незащищенностью персональных данных в интернете и их утечке на иностранные сервера. "Принятие законопроекта позволит повысить уровень защищенности персональных данных граждан Российской Федерации, обеспечивая конституционное право на неприкосновенность частной жизни".

Проект становится Федеральным законом от 14.07.2022 №266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", согласно которому с сентября 2022 года фактически все онлайн бизнесы обязаны уведомлять Роскомнадзор об обработке персональных данных.

Обратите внимание, что это не касается случаев, когда необходимо получать согласие на обработку персональных данных. Если собираются персональные данные пользователей сайта для оказания им услуг (и эти данные необходимы), например, то получать согласие на обработку персональных данных по-прежнему не требуется в силу пункта 5 части 1 статьи 6 Федерального закона №152-ФЗ "О персональных данных".

Разберемся в деталях последних изменений в Закон о персональных данных.

Автоматизированная обработка персональных данных

Уведомлять Роскомнадзор об обработке персональных данных не требуется, если не используется автоматизированная обработка персональных данных. Сразу можно не понять, что такое автоматизированная обработка персональных данных.

Если упрощать, то неавтоматизированная обработка персональных данных имеет место тогда, когда в ней участвует человек. Если человек применяет различные программы, фильтрации, поиск по базе данных – это всё равно неавтоматизированная обработка персональных данных.

В Постановлении Правительства РФ от 15.09.2008 №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" определяется:

1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Как представляется, при правильном оформлении документов и бизнес-процессов заполнение человеком онлайн формы (регистрация на сайте, например) не означает еще, что осуществляется автоматизированная обработка, а вот использование данных или внесение изменений в персональные данные без участия сотрудника организации (в терминологии закона – оператора персональных данных) – будет считаться автоматизированной обработкой персональных данных.

То есть первичное получение персональных данных может быть автоматизировано (без участия сотрудника). Этот подход логичен, т.к. направление или предоставление персональных данных человеком может быть и не санкционировано организацией (получение персональных данных в имейл сообщении, например).

Кто должен уведомления Роскомнадзор об обработке персональных данных

Если ваша организация обрабатывает персональные данные в автоматизированном порядке, но ранее подпадала под одну из исключенных категорий:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, -

Теперь, с сентября 2022 года, необходимо уведомить Роскомнадзор по старой форме или дождавшись новой формы.

В статье 22 федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" (в ред. от 14.07.2022) оставили только следующие категории операторов персональных данных, которые могут не уведомлять Роскомнадзор:

7) включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

И хотя закон не предусматривает сроки уведомления, а Роскомнадзор (РКН) как бы намекает в своей новости об изменениях в закон о персональных данных, что можно и не уведомлять, на такие намеки нельзя полагаться:

Предельный срок уведомления Роскомнадзора об обработке персональных данных не определен. Таким образом, 1 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных.

Можно не уследить, когда позиция РКН изменится.

Штраф за неуведомление Роскомнадзора о том, что компания обрабатывает персональные данные накладывается по общей норме о непредоставлении госорганам информации – статье 19.7 КоАП РФ и составляет:

для граждан от 100 до 300 рублей; должностных лиц - от 300 до 500 рублей; юридических лиц - от 3 000 до 5 000 рублей.