Включение в реестр операторов персональных данных станет обязательным для большинства
С 1 сентября 2022 года практически всем компаниям, предпринимателям и, в некоторых случаях, даже физическим лицам необходимо будет включиться в реестр операторов персональных данных. Кого конкретно коснутся изменения и какие для этого установлены требования закона расскажем в этой статье.
С 1 сентября 2022 года практически всем компаниям, предпринимателям и, в некоторых случаях, даже физическим лицам необходимо будет включиться в реестр операторов персональных данных. В частности, теперь уведомлять Роскомнадзор нужно будет даже при обработке данных клиентов в связи с заключением договора. Кого конкретно коснутся изменения и какие для этого установлены требования закона, расскажем в этой статье.
Согласно статье 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, который осуществляет функции по контролю и надзору за соблюдением требований законодательства Российской Федерации в области персональных данных, а также ведет специальный реестр операторов, осуществляющих обработку персональных данных.
Операторами персональных данных могут выступать:
1. государственные органы;
2. муниципальные органы;
3. юридические или физические лица, если они:
— самостоятельно или совместно с другими лицами организуют или осуществляют обработку персональных данных;
— определяют цели обработки персональных данных, состав персональных данных, действия (операции), совершаемые с персональными данными.
При этом персональными данными будет являться любая информация, относящаяся прямо или косвенно к любому физическому лицу (субъекту персональных данных), а обработкой — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
Операторами персональных данных могут выступать:
1. государственные органы;
2. муниципальные органы;
3. юридические или физические лица, если они:
— самостоятельно или совместно с другими лицами организуют или осуществляют обработку персональных данных;
— определяют цели обработки персональных данных, состав персональных данных, действия (операции), совершаемые с персональными данными.
При этом персональными данными будет являться любая информация, относящаяся прямо или косвенно к любому физическому лицу (субъекту персональных данных), а обработкой — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
Граждане (в том числе ИП, самозанятые) и организации, которые собирают, хранят и иным образом используют данные, относящиеся к любому физическому лицу, считаются операторами персональных данных. То есть если у гражданина имеется сайт с формами обратной связи или работники (гражданин действует как предприниматель), то он считается оператором персональных данных.
Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.
Сведения в реестр операторов персональных данных Роскомнадзор вносит на основании этого уведомления (ч. 4 ст. 22 Закона о персональных данных). Однако в редакции, которая действует до 01.09.2022, предусмотрен ряд исключений, когда подавать уведомление и, соответственно, включаться в реестр операторов не нужно (ч.2 ст. 22 Закона о персональных данных). Этим пользовались многие предприниматели, которые, например, обрабатывали данные своих клиентов в связи с заключением и исполнением договора.
Сведения в реестр операторов персональных данных Роскомнадзор вносит на основании этого уведомления (ч. 4 ст. 22 Закона о персональных данных). Однако в редакции, которая действует до 01.09.2022, предусмотрен ряд исключений, когда подавать уведомление и, соответственно, включаться в реестр операторов не нужно (ч.2 ст. 22 Закона о персональных данных). Этим пользовались многие предприниматели, которые, например, обрабатывали данные своих клиентов в связи с заключением и исполнением договора.
В связи с изменением законодательства больше НЕ подпадают под исключения для включения в реестр операторов персональных данных следующие случаи:
- обработка персональных данных в соответствии с трудовым законодательством (т.е. данных работников);
- в связи с заключением договора, стороной которого является субъект персональных данных, для его исполнения;
- разрешенных субъектом персональных данных для распространения;
- случаи обработки данных, состоящих только из ФИО;
- случаи обработки данных для целей пропуска на территорию оператора.
- обработка персональных данных в соответствии с трудовым законодательством (т.е. данных работников);
- в связи с заключением договора, стороной которого является субъект персональных данных, для его исполнения;
- разрешенных субъектом персональных данных для распространения;
- случаи обработки данных, состоящих только из ФИО;
- случаи обработки данных для целей пропуска на территорию оператора.
Во всех этих случаях обработки персональных данных компания или физическое лицо, которые ее осуществляют, теперь будут обязаны включаться в реестр операторов персональных данных.
Обязанность включаться в реестр по-прежнему не возникает у тех, кто осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (то есть без использования компьютера, на бумаге), лиц, которые являются операторами государственных информационных систем в области безопасности, а также лиц, обрабатывающих данные в соответствии с законодательством о транспортной безопасности (пп. 7-9 ч. 2 ст. 22 Закона о персональных данных, в будущей редакции).
Обязанность включаться в реестр по-прежнему не возникает у тех, кто осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (то есть без использования компьютера, на бумаге), лиц, которые являются операторами государственных информационных систем в области безопасности, а также лиц, обрабатывающих данные в соответствии с законодательством о транспортной безопасности (пп. 7-9 ч. 2 ст. 22 Закона о персональных данных, в будущей редакции).
Неисполнение обязанности уведомить Роскомнадзор о намерении осуществлять обработку персональных данных может повлечь наложение административного штрафа до 500 рублей - на физических лиц; до 5 000 рублей – на юридических лиц (ст. 19.7 Кодекса Российской Федерации об административных правонарушениях).
Как видно, размер штрафа в настоящий момент не является значительным и сам по себе он может не мотивировать исполнять обязанность по уведомлению. Кроме того, зачастую Роскомнадзор предварительно направляет операторам требование о включении в реестр или предоставлении пояснений об отсутствии обязанности включиться в реестр.
Однако, мы считаем, что со временем работа уполномоченного органа в этом направлении приобретёт системный характер - большинство компаний и предпринимателей будут включены в реестр операторов и должны будут иметь необходимый пакет документов в области персональных данных. В связи с этим ЦПО групп рекомендует подать уведомление для включения в реестр операторов персональных данных до получения требования Роскомнадзора, чтобы не решать этот вопрос в спешке.
Однако, мы считаем, что со временем работа уполномоченного органа в этом направлении приобретёт системный характер - большинство компаний и предпринимателей будут включены в реестр операторов и должны будут иметь необходимый пакет документов в области персональных данных. В связи с этим ЦПО групп рекомендует подать уведомление для включения в реестр операторов персональных данных до получения требования Роскомнадзора, чтобы не решать этот вопрос в спешке.
Подача сведений для включения в реестр операторов персональных данных имеет определенные нюансы.
Важно, чтобы подаваемые в Роскомнадзор сведения соответствовали фактической деятельности оператора по обработке персональных данных и внутренним локальным актам организации.
Специалисты ЦПО групп могут помочь грамотно заполнить и подать уведомление об обработке персональных данных, чтобы избежать рисков при возможной проверке.
Подпишитесь на новостную рассылку CPO Group: