Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», вступивший в силу 01.09.2022, внес целый ряд изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон «О персональных данных»), в частности, установил утратившими силу п. п. 1-6 ч. 2 ст. 22 Закона «О персональных данных».
В результате, с 01.09.2022 оператор не вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.
В соответствии с п. 2 ст. 3 Закона «О персональных данных» оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Проще говоря, любой работодатель (в том числе индивидуальный предприниматель, осуществляющий обработку персональных данных своих работников или клиентов-физлиц), является оператором.
Соответственно, уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий самостоятельно функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных. Таким уполномоченным органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), которая также ведет реестр операторов, осуществляющих обработку персональных данных (ст. 23 Закона «О персональных данных», п. 1 «Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций», утв. Постановлением Правительства РФ от 16.03.2009 № 228).
Таким образом, с 01.09.2022 любой работодатель обязан до начала обработки персональных данных (п. 1 ст. 22 Закона «О персональных данных») уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.
Форма уведомления о намерении осуществлять обработку персональных данных утверждена Приказом Роскомнадзора от 28.10.2022 № 180.
Указанное уведомление направляется в виде документа на бумажном носителе или в форме электронного документа, подписывается уполномоченным лицом, и должно содержать сведения, определенные в п. 3 ст. 22 Закона «О персональных данных».
Обращаем внимание, что целей обработки персональных данных может быть несколько, и для каждой цели оператор указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных (п. 3.1 ст. 22 Закона «О персональных данных»).
Если сведения, содержавшиеся в ранее поданном уведомлении, изменились, нужно уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения, обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных (п. 7 ст. 22 Закона «О персональных данных»). Данные уведомления необходимо составлять по формам, также утвержденных Приказом Роскомнадзора от 28.10.2022 № 180.
Если оператор намерен осуществлять трансграничную передачу персональных данных, то до начала такой деятельности также обязан направить в Роскомнадзор соответствующее уведомление. Такое уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных (п. 3 ст. 12 Закона «О персональных данных»). Форма уведомления о намерении осуществлять трансграничную передачу персональных данных нормативно не определена, оператор может разработать ее самостоятельно.
Непредставление в Роскомнадзор уведомления об обработке персональных данных, его несвоевременное представление (т.е. уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ в виде предупреждения или штрафа в размере:
-
для граждан - от 100 до 300 руб.;
-
для должностных лиц (такими лицами являются руководители и иные работники организаций, выполняющие организационно-распорядительные или административно-хозяйственные функции) и индивидуальных предпринимателей - от 300 до 500 руб.;
-
для юридических лиц - от 3000 до 5000 руб.
