Вопрос: С 1 сентября 2022 года статья 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" будет действовать в новой редакции, а именно - с учетом изменений, внесенных Федеральным законом от 14 июля 2022 г. N 266-ФЗ.
Согласно этой редакции уведомление в Роскомнадзор об обработке персональных данных теперь надо подавать практически во всех случаях обработки персональных данных (перечень исключений существенно сокращен, обрабатывать без уведомления персональные в соответствии с трудовым законодательством больше нельзя).
В связи с чем прошу пояснить, обязан ли работодатель подавать соответствующее уведомление в отношении обработки данных работников, если данные сотрудников необходимы работодателю для стандартных трудовых отношений, как-то: заключение трудового договора, выплата заработной платы, передача в ПФР и ФСС информации о работниках согласно действующему законодательству, наделение работников полномочиями представителя (оформление доверенности на сотрудника в интересах организации), оформление пропусков для входа на территорию работодателя и т.д.?
Ответ: Роскомнадзор рассмотрел Ваше обращение от 15.08.2022 N 02-11-32221 и сообщает следующее.
Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон), персональные данные - любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).
На основании п. 3 ст. 3 Закона под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
По вопросу подачи уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее - Уведомление), сообщаем, что согласно п. 2 ст. 3 Закона оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данным.
На основании ч. 1 ст. 22 Закона обработка персональных данных должна осуществляться с уведомлением уполномоченного органа о таком намерении, за исключением случаев, предусмотренных ч. 2 ст. 22 настоящего Закона.
Таким образом, в связи с принятием Федерального закона от 14.07.2022 N 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", в случае осуществления указанной деятельности в Вашем обращении, не подпадающей под исключения ч. 2 ст. 22 Закона, полагаем, организации надлежит направить Уведомление в территориальное управление Роскомнадзора по месту нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе.
Обращаем Ваше внимание, что оператор вправе в настоящий момент направить Уведомление по форме, установленной в соответствии с приложением N 1 к Методическим рекомендациям по уведомлению уполномоченного органа о начале деятельности по обработке персональных данных и внесении изменений в ранее представленные сведения, утвержденных приказом Роскомнадзора от 30.05.2017 N 94, в виде документа на бумажном носителе или в форме электронного документа.
Электронная форма Уведомления и порядок ее заполнения размещены на Портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru/).
На интернет-странице https://pd.rkn.gov.ru/operators-registry/notification/updateform/ оператору предоставлена возможность сформировать Уведомление в электронной форме и направить в его в территориальный орган Роскомнадзора одним из следующих способов:
1. сформировать Уведомление и направить в бумажном виде;
2. сформировать Уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи;
3. сформировать Уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.
В последующем, после издания Роскомнадзором приказа об утверждении форм уведомлений и информационных писем в соответствии с изменениями в Законе, оператор вправе направить соответствующее Информационное письмо для внесения изменений в сведения об операторе в Реестре в территориальный орган Роскомнадзора по месту регистрации в качестве юридического лица.
Начальник Управления по защите
прав субъектов персональных данных Ю.Е. Контемиров