Уведомление в Роскомнадзор с 1 сентября 2022 года

Подробно обо всех внесенных в Закон о персональных данных от 27.07.2006 № 152-ФЗ поправках мы рассказывали в статье «Персональные данные: изменения в законодательстве». Сегодня поговорим об изменениях, затронувших процесс уведомления Роскомнадзора об обработке сведений.

До поворотного момента, когда Законом от 14.07.2022 № 266-ФЗ были внесены поправки в Закон от 27.07.2006 № 152-ФЗ, уже существовала обязанность компаний и частных коммерсантов уведомлять ведомство о предстоящей обработке персональных данных. При этом законодателем предусматривались ситуации, когда уведомлять Роскомнадзор не требовалось – то есть исключения из общего правила.

Теперь же из нормативного акта вывели большинство ситуаций, когда не надо было уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные. Основное нововведение – это необходимость проинформировать ведомство и в тех случаях, когда компания или частный предприниматель собираются обрабатывать персональные данные:

• своих сотрудников;
• клиентов, когда данные о них необходимы исключительно для заключения и исполнения сделок;
• физлиц, которые разрешили их распространять;
• физлиц — только в части фамилии имени и отчества;
• физлиц — для однократного пропуска на территорию или в аналогичных целях.

Если для обработки личных сведений не используют средства автоматизации, уведомлять ведомство не нужно. Пример можно привести такой: информацию о посетителях фирмы записывают в журнал при выдаче им разовых пропусков.

Роскомнадзор указал: уведомление нужно подать также и тем, кто уже обрабатывал персональные данные в ситуациях, которые ранее считались исключением.

В Законе от 27.07.2006 № 152-ФЗ закреплено положение о том, что форму уведомлений должен установить Роскомнадзор. До этого момента действует рекомендуемая форма, содержащаяся в приложении № 1 к методическим рекомендациям, утвержденным Приказом Роскомнадзора от 30.05.2017 № 94.

На Федеральном портале проектов нормативных актов по электронному адресу https://regulation.gov.ru/ уже размещен проект приказа ведомства. Им планируется утвердить сразу три новые формы уведомлений:

• о намерении осуществлять обработку личных данных;
• корректировке ранее поданной информации;
• прекращении обработки персональных сведений.

После вступления в силу приказа Роскомнадзора, устанавливающего новую форму уведомления, компании или индивидуальные коммерсанты могут направить сообщение о внесении изменений в ранее представленные сведения для реестра операторов, осуществляющих обработку личных данных.

Оформить уведомление нужно в соответствии с требованиями Закона от 27.07.2006 № 152-ФЗ. В нем согласно частям 3, 3.1 ст. 22 должны быть указаны:

• фамилия, имя, отчество человека или название компании, адрес;
• цель обработки персональных данных. Это может быть, например, заключение трудового договора. Принятыми поправками были скорректированы требования к содержанию уведомления. Если сведения будут обрабатывать в разных целях, то для каждой из них теперь понадобится указать категорию данных и их субъектов, правовое основание обработки, перечень действий с данными и способы их обработки;
• фамилии, имена и (при наличии) отчества физлиц и наименование организаций, если у них есть доступ к персональным данным в государственных и муниципальных информационных системах или они обрабатывают данные из этих систем по договору. Это является еще одним важным нововведением, начавшим работать с 01.02.2022;
• дату начала обработки персональной данных;
• срок или условие для прекращения обработки персональных данных;
• категории персональных данных. Так, можно указать, что сведения необходимы для оформления трудовых договоров;
• категории субъектов, информация о которых обрабатывается. Это могут быть и сотрудники организации, и клиенты или покупатели;
• правовое основание для обработки персональных данных;
• перечень действий с персданными, общее описание используемых способов обработки информации: автоматизированная обработка с передачей полученных сведений по Сети или без ее использования, смешанная обработка персональных данных и прочее;
• сведения о наличии у организации криптографических средств и их названия;
• информацию о специалисте, ответственном за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и имейл;
• информацию о трансграничной передаче личных данных при их обработке. Вместе с тем внесенные поправки коснулись правил трансграничной передачи сведений. Новый порядок будет действовать с 1 марта 2023 года. Пока достаточно направить в Роскомнадзор уведомление о такой передаче. Информировать необходимо один раз для каждой страны, в которую будут передаваться данные, а не о каждой транзакции;
• сведения о нахождении информационной базы данных, включающей аккумулируемую персональную информацию;
• информацию об обеспечении безопасности персональных данных.

Уведомление должно быть подписано уполномоченным лицом.

Те, кто ранее не направлял в Роскомнадзор уведомление о намерении обрабатывать персональные данные, могут использовать наш образец, который приведен ниже. В нем в качестве примера указана только одна цель обработки персональных данных — формирование базы контрагентов. Также в образец включен дополнительный раздел, которого нет в рекомендованной ведомством форме.

Уведомление в ведомство можно направить одним из трех способов:

• в виде бумажного документа «Почтой России». Пока это можно сделать, скачав приложение № 1 к методическим рекомендациям, утвержденным Приказом Роскомнадзора от 30.05.2017 № 94, и заполнив его или зайдя на портал персональных данных ведомства. В последнем случае нужно открыть и заполнить соответствующую форму, затем нажать кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Распечатав документ, потребуется его подписать и отправить заказным письмом. Важно помнить, что уведомление направляется в территориальное управление Роскомнадзора по местонахождению организации, которое указано в ее учредительных документах и свидетельстве о постановке на налоговый учет;
• в виде электронного документа через сайт Роскомнадзора. Его можно заполнить и подать через портал персональных данных по электронному адресу https://pd.rkn.gov.ru/operators-registry/notification/. Такое уведомление необходимо подписать усиленной квалифицированной электронной подписью. В таком случае повторно подавать документ на бумаге не придется;
• онлайн через портал госуслуг. Для этого потребуется подтвержденная учетная запись на юридическое или физическое лицо, в зависимости от того, кто выступает оператором данных. Перейти к заполнению формы можно через сайт Роскомнадзора. Дублировать уведомление на бумаге в этом случае также не нужно. Однако при заполнении и отправке электронного документа через госуслуги могут возникнуть ошибка, говорящая об отсутствии регистрационных данных, и рекомендация пройти повторно аутентификацию. Такое может произойти, если для заполнения формы потребовалось много времени, и на портале произошел автоматический выход из аккаунта. Избежать ошибки можно, заполнив все поля электронного документа, после чего в новом окне еще раз открыв форму и скопировав данные из первого окна. После проделанных манипуляций и отправки уведомления ошибки не возникнет. 

Из Закона от 27.07.2006 № 152-ФЗ следует, что уведомлять Роскомнадзор нужно именно о намерении обработать персональные данные, а не об уже свершившемся факте. При этом к обработке таких сведений относят любые действия с персональными данными или их совокупность: сбор, запись, систематизацию, накопление, хранение, уточнение и так далее. Они могут производиться как вручную, так и с применением средств автоматизации. Однако при ручной обработке уведомление подавать не потребуется.

Вместе с тем предельный срок уведомления об обработке персональных данных Законом от 14.07.2022 № 266-ФЗ, внесшим поправки, не установлен. Поэтому 01.09.2022 не является крайним сроком подачи уведомления. Это прямо указано ведомством в информационной публикации от 01.09.2022 на сайте https://rkn.gov.ru.

Уведомление достаточно подать один раз. Указанные в нем сведения Роскомнадзор внесет в специальный реестр. На это ведомству отведено 30 дней с момента поступления уведомления (ч. 4 ст. 22 Закона от 27.07.2006 № 152-ФЗ).

Новое уведомление потребуется только в случае:

• изменения поданных ранее сведений. Оно направляется не позднее 15-го числа месяца, следующего за месяцем появления изменений. Данный срок установлен новой редакцией ч. 7 ст. 22 Закона от 27.07.2006 № 152-ФЗ, вступающей в силу с 1 марта 2023 года;
• прекращения обработки личной информации. Его подают в течение 10 рабочих дней с момента прекращения обработки.

Если организация прежде подавала уведомление в ведомство, то сведения о ней уже есть в реестре. Тем не менее в связи с внесенными законодателем поправками лучше проверить, не изменились ли сведения, поданные ранее. Возможно, придется добавить категории субъектов, данные которых обрабатываются. К примеру, отдельно выделить сотрудников, заказчиков, вкладчиков и так далее. При необходимости следует представить уведомление об изменениях.

Непредставление уведомления или его несвоевременное представление, то есть уже после начала обработки персональных данных, как и представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением. Ответственность за него установлена статьей 19.7 КоАП РФ в виде предупреждения или штрафа в размере:

• для должностных лиц, в том числе индивидуальных предпринимателей, согласно примечанию к ст. 2.4 КоАП РФ, — от 300 до 500 рублей;
• для юридических лиц — от 3 до 5 тыс. рублей.