Вопрос
С какого момента компания обязана подать уведомление о начале обработки персональных данных сотрудников? Какие штрафные санкции применяются в случае непредставления такого Уведомления?
Ответ
Сведения о сотрудниках (личные дела) относятся к персональным данным.
Любое действие с персональными данными, в том числе, сбор данных, хранение, использование, является обработкой персональных данных.
При этом оператором персональных данных признается любое юридическое лицо, осуществляющее обработку персональных данных. Соответственно, Организация признается оператором персональных данных, поскольку осуществляет обработку персональных данных своих сотрудников.
Для операторов персональных данных предусмотрена обязанность до начала обработки персональных данных уведомить Роскомнадзор о своем намерении начать обработку персональных данных.
С 1 сентября 2022 года у всех юридических лиц, осуществляющих автоматизированным способом обработку персональных данных своих сотрудников, возникла обязанность уведомить Роскомнадзор об обработке персональных данных.
За осуществление обработки персональных данных без представления уведомления в Роскомнадзор в случаях, когда такая обязанность существует, предусмотрена административная ответственность в виде предупреждения или наложение штрафа в размере:
от трехсот до пятисот рублей на должностных лиц;
от трех тысяч до пяти тысяч рублей на Организацию.
Обоснование
Отношения, связанные с обработкой персональных данных, регулируются положениями Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ).
Статьей 3 Закона № 152-ФЗ введены следующие понятия:
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Из приведенных положений следует, что сведения о сотрудниках (личные дела) относятся к персональным данным. Любое действие с персональными данными, в том числе, сбор данных, хранение, использование, является обработкой персональных данных.
При этом оператором персональных данных признается любое юридическое лицо, осуществляющее обработку персональных данных.
Соответственно, Организация признается оператором персональных данных поскольку осуществляет обработку персональных данных своих сотрудников.
В соответствии с частью 1 статьи 22 Закона № 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Частью 2 статьи 22 Закона № 152-ФЗ установлено, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации[1];
обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Таким образом, Организация вправе осуществлять обработку персональных данных без уведомления Роскомнадзора только в том случае, если обработка персональных данных осуществляется исключительно без использования средств автоматизации.
В противном случае у Организации существует обязанность по уведомлению Роскомнадзора в связи с осуществлением обработки персональных данных своих сотрудников. При этом уведомление должно быть представлено до начала обработки персональных данных.
Обращаем Ваше внимание, что в часть 2 статьи 22 Закона № 153-ФЗ, предусматривающую случаи, когда обработка персональных данных может осуществляться без уведомления уполномоченного органа, были внесены изменения с 01.09.2022 Законом № 266-ФЗ[2], которыми были исключены пункты 1-6 следующего содержания:
«Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
обрабатываемых в соответствии с трудовым законодательством…».
Таким образом, в отношении субъектов персональных данных, таких как сотрудники организации, в отношении которых у Организации ранее не возникало обязанности по уведомлению уполномоченного органа об обработке персональных данных, с 01.09.2022 года такая обязанность возникла.
В Письме Роскомнадзора от 06.09.2022 № 08-80975 в связи с внесением изменений в часть 2 статьи 22 Закона № 152-ФЗ были даны следующие разъяснения:
«Обращаем внимание, что в связи с принятием Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон "О персональных данных» (далее — Федеральный закон), отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», с 01.09.2022 редакция ч. 2 ст. 22 Закона изменяется, а именно сокращается перечень оснований допускающих проведение обработки оператором персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.
Таким образом, в случае осуществления вами деятельности по обработке персональных данных, не подпадающей под исключения ч. 2 ст. 22 Закона, полагаем, вам надлежит направить уведомление об обработке (о намерении осуществлять обработку) персональных данных (далее - Уведомление) в территориальное управление Роскомнадзора по месту нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе.
Необходимо отметить, что Федеральным законом предельный срок уведомления Роскомнадзора об обработке персональных данных не определен, в связи с чем 01.09.2022 не может рассматриваться как контрольная дата обязательного предоставления уведомления в Роскомнадзор.
Для внесения сведений об операторе в реестр операторов, осуществляющих обработку персональных данных, оператору необходимо направить в территориальный орган Роскомнадзора по месту регистрации в качестве юридического лица Уведомление по форме, установленной в соответствии с приложением N 1 к Методическим рекомендациям по уведомлению уполномоченного органа о начале деятельности по обработке персональных данных и внесении изменений в ранее представленные сведения, утвержденных приказом Роскомнадзора от 30.05.2017 № 94, в виде документа на бумажном носителе или в форме электронного документа.
Электронные формы Уведомления, и порядок его заполнения размещены на Портале персональных данных Роскомнадзора.
На интернет-странице оператору предоставлена возможность сформировать Уведомление в электронной форме.
Направить сформированный документ в территориальный орган Роскомнадзора оператор вправе одним из следующих способов:
сформировать Уведомление и направить в бумажном виде;
сформировать Уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи;
сформировать Уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.
В последующем, после издания Роскомнадзором приказа об утверждении форм уведомлений и информационных писем в соответствии с изменениями в Законе, оператор вправе направить соответствующее уведомление для внесения изменений в сведения об операторе в Реестре в территориальный орган Роскомнадзора по месту регистрации в качестве юридического лица.
Обращаем внимание, что оператору с местом регистрации в качестве юридического лица на территории г. Москвы при заполнении Уведомления на Портале персональных данных Роскомнадзора необходимо в поле «Наименование ТО Роскомнадзора» выбрать Управление Роскомнадзора по Центральному федеральному округу.
Необходимо отметить, что при подаче Уведомления, указание оператором даты начала обработки персональных данных, не совпадающей с датой государственной регистрации оператора, а также началом осуществления любого действия, совершаемого с персональными данными, не будет противоречить Закону».
Статьей 19.7 КоАП предусмотрено, что непредставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), государственный финансовый контроль, организацию, уполномоченную в соответствии с федеральными законами на осуществление государственного надзора (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) муниципальный контроль, муниципальный финансовый контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), государственный финансовый контроль, организацию, уполномоченную в соответствии с федеральными законами на осуществление государственного надзора (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) муниципальный контроль, муниципальный финансовый контроль, таких сведений (информации) в неполном объеме или в искаженном виде[3], влечет предупреждение или наложение административного штрафа:
на граждан в размере от ста до трехсот рублей;
на должностных лиц в размере от трехсот до пятисот рублей;
на юридических лиц в размере от трех тысяч до пяти тысяч рублей.
Соответственно, за осуществление обработки персональных данных без представления уведомления в Роскомнадзор в случаях, когда такая обязанность существует, предусмотрена административная ответственность в виде предупреждения или наложения штрафа в размере:
от трехсот до пятисот рублей на должностных лиц;
от трех тысяч до пяти тысяч рублей на Организацию.
Коллегия Налоговых Консультантов (2 февраля 2024 года)
тг-канал https://t.me/knk_audit
[1] Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники (пункт 4 статьи 3 Закона № 152-ФЗ)
[2] Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».
[3] за исключением случаев, предусмотренных статьей 6.16, частью 2 статьи 6.31, частями 1, 2 и 4 статьи 8.28.1, статьей 8.32.1, частью 1 статьи 8.49, частью 5 статьи 14.5, частью 4 статьи 14.28, частью 1 статьи 14.46.2, статьями 19.7.1, 19.7.2, 19.7.2-1, 19.7.3, 19.7.5, 19.7.5-1, 19.7.7, 19.7.8, 19.7.9, 19.7.12, 19.7.13, 19.7.14, 19.7.15, 19.8, 19.8.3, частями 2, 7, 8 и 9 статьи 19.34 КоАП РФ.
Начать дискуссию