Организация не обязана направлять уведомление в Роскомнадзор в следующих случаях:
1) обрабатываются персональные данные работников в соответствии с трудовым законодательством;
2) персональные данные обрабатываются оператором в связи с заключением договора, если персональные данные используются оператором исключительно для исполнения указанного договора, а также не распространяются и не передаются третьим лицам без согласия субъектов персональных данных;
3) персональные данные относятся к членам религиозной организации или общественного объединения при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия субъектов персональных данных;
4) обрабатываются общедоступные персональные данные при условии соблюдения оператором условий, определенных в ст. 10.1 152-ФЗ;
5) персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;
6) персональные данные необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор;
7) персональные данные включены в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем;
8) персональные данные обрабатываемых без использования средств автоматизации.
Таким образом, если отношения по обработке персональных данных в вашей организации выходят за рамки тех действий, которые в законе определены в качестве исключений, то организации необходимо направить уведомление в Роскомнадзор.
В частности, при обработке персональных данных с использованием средств автоматизации вы обязаны направить уведомление в Роскомнадзор. На практике это повседневные ситуации в любой организации. Например, если у вашей организации есть сайт с формами для заполнения, данные с которых обрабатываются на компьютерах, то обязанность подачи уведомления распространяется и на вас.
Уведомление подается в соответствующее территориальное управление Роскомнадзора. Для организаций, зарегистрированных в Свердловской области, территориальным управлением является Управление Роскомнадзора по Уральскому федеральному округу.
Порядок подачи уведомления
Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.
Соответственно можно сформировать уведомление в бумажном виде. В этом случае надо заполнить форму, распечатать и отправить уведомление в территориальный орган.
В электронном виде уведомление формируется с использованием усиленной электронной подписи. Необходимо заполнить электронную форму на сайте Роскомнадзора и подписать ее электронной подписью. В этом случае подача в бумажном виде не потребуется.
В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. На сайте Роскомнадзора размещены методические рекомендации по заполнению уведомления (Приказ Роскомнадзора от 30.05.2017 № 94), а также приведены примеры заполнения уведомления.
Ответственность
Организации, которые обрабатывают персональные данные и не подпадают под исключение, установленное в ст. 22 152-ФЗ, при неподаче уведомления в Роскомнадзор рискуют получить административный штраф. Для юридических лиц он составляет до 5000 рублей (ст. 19.7 КоАП РФ).
Риск проверки
Есть мнение, что после уведомления организация попадет в поле зрения Роскомнадзора, соответственно, возрастет вероятность проверки со стороны контролирующего органа. Это заблуждение.
С 1 июля 2021 года при планировании и проведении проверок Роскомнадзором применяет риск-ориентированный подход, то есть осуществляется оценка категорий риска. Организациям присваивается категория риска, от которой зависит частота проверок Роскомнадзора.
Отнесение деятельности оператора к определенной категории риска основывается на соотнесении группы тяжести и группы вероятности несоблюдения обязательных требований законодательства. Например, при низкой категории риска плановые проверки не проводятся вообще.
Не стоит забывать о внеплановых проверках, которые могут быть инициированы по частным жалобам. Например, на вас может быть подана жалоба в связи с неправомерной рекламной рассылкой (без получения у субъекта соответствующего согласия).
Дата публикации: 28.01.2022.
Автор статьи: А. С. Селитраров, юрист АНО "Третий сектор"