Роскомнадзор поднял штрафы за обработку персональных данных без уведомления.

К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)(п. 1 ст. 3 ФЗ № 152-ФЗ). ФЗ № 152 регулирует отношения, связанные с обработкой персональных данных, осуществляемой операторами персональных данных, с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. Требования ФЗ № 152 распространяются на все государственные и муниципальные учреждения, коммерческие организации, а также на физических лиц, обрабатывающих в своих информационных системах персональные данные.

Для того чтобы избежать ответственность за нарушение норм, регулирующих обработку и защиту персональных данных, необходимо разработать:

1) Политику юридического лица о персональных данных;

2) Подать уведомление в Роскомнадзор о постановке в качестве оператора, осуществляющего обработку персональных данных;

3) Получать согласие на обработку персональных данных.

Для начала обработки персональных данных оператор обязан предоставить в уполномоченный орган уведомление о намерении осуществлять такую обработку. Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Закона). Оператор так же вправе поручить обработку персональных данных иному лицу на основании заключенного с ним договора (в то числе государственного или муниципального контракта) либо путем принятия соответствующего акта (если оператор - государственный или муниципальный орган). Для этого необходимо согласие субъекта персональных данных, если иное не установлено законодательством (ч. 3 ст. 6 Закона). Однако поручение обработки персональных данных иному лицу не освобождает оператора от обязанности подавать уведомление в уполномоченный орган, поскольку, как прямо установлено в ч. 1 ст. 22 Закона, уведомление об обработке персональных данных должно подаваться именно им.

Данное уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор. Уведомление должно быть направлено в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту нахождения оператора (п. п. 2 и 4.1 Рекомендаций, п. 23 Регламента).

Без уведомления уполномоченного органа может производиться обработка следующих персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона). На практике данное основание является одним из самых распространенных исключений, позволяющим не подавать уведомление. Однако следует учитывать, что помимо персональных данных работников (полученных в рамках ст.65 ТК РФ), обработка которых не требует уведомления, у них могут находиться персональные данные превышающий данный перечень в т.ч. членов семей сотрудников, их детей - например, в связи с уплатой алиментов или предоставлением налоговых вычетов по НДФЛ, оформление зарплатных карт и перечисление на них денежных средств, страхование ДМС. Обработка этих персональных данных не признается осуществляемой в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных. Данное условие применяется, если персональные данные не распространяются и не предоставляются третьим лицам без согласия этого субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона).

3) относящихся к членам (участникам) общественного объединения или религиозной организации, которые обрабатываются данным объединением (религиозной организацией), действующим в соответствии с законодательством РФ, в целях, предусмотренных учредительными документами.

4) сделанных субъектом персональных данных общедоступными (п. 4 ч. 2 ст. 22 Закона);

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 22 Закона);

6) необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или аналогичных целей (п. 6 ч. 2 ст. 22 Закона). Данное условие применяется, если данные не фиксируются в информационной системе;

7) включенных в информационные системы персональных данных, имеющих в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 Закона);

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных (п. 8 ч. 2 ст. 22 Закона).

Иное использование персональных данных влечет за собой необходимость представить в уполномоченный орган уведомление.

Если юридическое или физическое лицо не желает вставать в уполномоченный орган в качестве оператора и ссылается на исключения согласно которым может производить обработку персональных данных без уведомления, данные лица стоят в первой очереди на проверку Роскомнадзора. Если в результате проверки, Роскомнадзор найдет нарушения, то накладывается штраф в размере: