Изучим, в отношении кого установлена обязанность по направлению информации об обработке персональных данных, порядок заполнения и направления уведомления, а также какая ответственность установлена за нарушение требования законодательства о направлении указанного документа.
Кто подает уведомление об обработке персональных данных
Персональными данными является любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу — субъекту персональных данных (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
Уведомление должен подавать каждый оператор обработки персональных данных. Операторами, в свою очередь, признаются любые лица, которые (п. 2 ст. 3, ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
• осуществляют обработку данных третьих лиц;
• определяют цели и состав персональных данных, которые будут обрабатываться;
• совершают действия и операции с персданными в процессе их обработки.
Так, операторами могут быть:
• государственный или муниципальный орган;
• юридическое лицо;
• физическое лицо.
Указанные субъекты могут производить обработку данных как самостоятельно, так и совместно с другими лицами.
В свою очередь, обработка персональных данных подразумевает осуществление таких действий, как (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ):
• сбор,
• запись,
• систематизацию,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• извлечение,
• использование,
• передачу (распространение, предоставление, доступ),
• обезличивание,
• блокирование,
• удаление,
• уничтожение персональных данных.
При этом перечисленные действия могут быть произведены как с использованием средств автоматизации, так и без них.
Нужно уточнить, что обработка без средств автоматизации производится, когда использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека (п. 1 Постановление Правительства РФ от 15.09.2008 № 687).
Роскомнадзор ведет специальный реестр операторов обработки персональных данных. Данные в него вносятся на основании уведомлений, которые последние направляют контролеру. При этом, если лицо не было внесено в реестр в качестве оператора, но производит обработку данных, уведомление ему направить тем не менее нужно (вопрос 2 информации Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных»).
Кроме этого, обязанность направлять уведомление распространяется и на иностранные компании, которые обрабатывают данные граждан нашей страны (вопрос 5 информации Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных»).
Но законодатели определили и ряд случаев, когда направление уведомления не требуется. Так, не нужно уведомлять контролера, если (ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
• лицо обрабатывает данные, включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• деятельность по обработке персональных данных осуществляется исключительно без использования средств автоматизации;
• данные обрабатываются во исполнение требований законодательства РФ о транспортной безопасности и с целью обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Обязан ли ИП подавать уведомление
В отношении предпринимателей закон не делает исключений. Если ИП производит действия по обработке данных, он обязан направить соответствующее уведомление.
Самозанятый в случае обработки данных третьих лиц также обязан направлять уведомление.
Форма уведомления
Уведомление может быть составлено как на бумажном носителе, так и в форме электронного документа (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Форма документа утверждена Приказом Роскомнадзора от 28.10.2022 № 180 (приложение № 1).
Как заполнить
В уведомлении в обязательном порядке должны быть указаны следующие сведения (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
• фамилия, имя, отчество и адрес оператора;
• цель обработки данных;
• описание мер для выполнения оператором обязанностей, предусмотренных законодательством, а также для обеспечения безопасности персданных при их обработке. В том числе должны быть указаны сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
Оператор определяет меры, которые он будет принимать для защиты персональных данных. При этом он должен руководствоваться нормативно-правовыми актами, которые были приняты во исполнение требований ч. 4 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ (Приказ ФСТЭК России от 18.02.2013 № 21, Приказ ФСБ России от 10.07.2014 № 378, Постановление Правительства РФ от 21.03.2012 № 211).
Если обработка происходит без использования специальных технических средств, оператор должен предпринимать меры для их защиты, установленные пп. 13 — 15 Постановления Правительства РФ от 15.09.2008 № 687.
• Ф.И.О. физлица или наименование юрлица, ответственных за организацию обработки персданных, и номера их контактных телефонов, почтовые адреса и имейлы;
• дата начала обработки персданных;
• срок прекращения обработки персданных. Также могут быть описаны условия, при наступлении которых обработка будет прекращена;
• сведения о наличии или об отсутствии трансграничной передачи персданных в процессе их обработки;
• сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ;
• Ф.И.О. физлица или наименование юрлица, имеющих доступ и (или) осуществляющих на основании договора обработку персданных, содержащихся в государственных и муниципальных информационных системах;
• сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными правительством (Постановление Правительства РФ от 01.11.2012 № 1119).
В течение 30 дней с момента получения документа Роскомнадзор внесет данные об операторе в реестр (ч. 4 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
Ошибки в уведомлении
Чаще всего при заполнении бланка уведомления допускаются следующие ошибки:
• некорректное заполнение полей документа;
• указание неполной или недостоверной информации;
• после изменения сведений, внесенных ранее в уведомление, не направляется новое уведомление.
Кроме этого, необходимо указать все цели, руководствуясь которыми лицо будет осуществлять обработку данных. Для каждой из них при этом необходимо указать (ч. 3.1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
• категории персональных данных;
• категории субъектов, данные которых будут обработаны;
• правовое основание обработки данных;
• перечень действий, осуществляемых со сведениями о субъектах;
• способы обработки персональных данных.
На сайте Роскомнадзора размещена информация о наиболее распространенных ошибках, которые допускают операторы при составлении уведомления, и рекомендации по их исправлению.
Если лицо направило неполные или недостоверные сведения, Роскомнадзор вправе требовать уточнения данной информации от оператора.
Если ранее поданные сведения изменились, оператор обязан не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, направить контролеру соответствующее уведомление. Такое же уведомление можно направить и в случае, если при первичном заполнении были допущены ошибки или неточности (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ, приложение № 2 к Приказу Роскомнадзора от 28.10.2022 № 180).
Не стоит забывать, что при прекращении обработки данных также необходимо направить уведомление контролирующему органу. Сделать это нужно в течение 10 рабочих дней с момента прекращения такой деятельности (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ, приложение № 3 к Приказу Роскомнадзора от 28.10.2022 № 180).
Как проверить
Если оператор при подаче уведомления допустил ошибку и контролер это обнаружил, данные о лице не будут внесены в реестр операторов. Проверить состояние направленного документа можно с помощью сервиса на сайте ведомства. Важно, что в случае невнесения данных в реестр по причине обнаруженных ошибок обязанность оператора по направлению уведомления не будет считаться исполненной. Поэтому нужно отслеживать этот момент, чтобы избежать привлечения к ответственности. Если вы обнаружите, что уведомление не было принято к рассмотрению, нужно направить новое уведомление по той же форме, что и первый раз.
Если ошибки не были обнаружены и данные лица были внесены в реестр, проверить наличие ошибок в сведениях, поданных оператором, можно также на сайте Роскомнадзора. Для этого нужно открыть реестр и проверить, какие данные были внесены в него.
Как подать
Бумажный документ можно предоставить при личном визите или направить его почтой. Скачать форму можно на портале Роскомнадзора (письмо Роскомнадзора от 06.09.2022 № 08-80975).
Если же документ подается в электронном виде, подать его можно, используя сайт Роскомнадзора. При этом необходимо будет пройти процедуру аутентификации, например через портал «Госуслуги». Также электронный документ можно направить, подписав усиленной квалифицированной электронной подписью.
Куда подать
Уведомление должно быть направлено в территориальное отделение Роскомнадзора, за которым закреплен адрес регистрации оператора.
Срок подачи уведомления
Сообщить о своем намерении обрабатывать данные третьих лиц необходимо до начала осуществления такой деятельности (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
Штрафы
Совсем недавно вступили в силу положения Федерального закона от 30.11.2024 № 420-ФЗ, который ввел новые составы правонарушений в области персональных данных.
Так, теперь операторам, не направившим контролеру информацию о начале обработки сведений касательно третьих лиц, будет грозить административный штраф в размере (ч. 10 ст. 13.11 КоАП РФ):
• от 5 до 10 тыс. рублей — для физических лиц;
• от 30 до 50 тыс. рублей — для должностных лиц;
• от 100 до 300 тыс. рублей — для организаций.
При этом предприниматели будет уплачивать штраф в размере, установленном для юридического лица (прим. 1 к ст. 13.11 КоАП РФ).
Под должностным лицом подразумевается гражданский или муниципальный служащий, а также сотрудник некоммерческой компании (прим. 2 к ст. 13.11 КоАП РФ).
Важно учитывать, что 50-процентная скидка при уплате штрафа в течение 20 дней после назначения наказания в данном случае не применяется (ч. 1.3-3 ст. 32.2 КоАП РФ).
Кроме того, может наступить и уголовная ответственность, если лицо получило данные незаконно и использует в нарушение требований законодательства.
Предусмотрены следующие альтернативные наказания за совершение указанного преступления (ч. 1 ст. 272.1 УК РФ):
• штраф до 300 тыс. рублей или в размере заработной платы или иного дохода осужденного за период до 1 года;
• принудительные работы на срок до 4 лет;
• лишение свободы на срок до 4 лет.
Деяние в отношении некоторых категорий сведений, а именно данных несовершеннолетних, специальных категорий персональной информации, а также биометрии, выделены в отдельный состав. Наказание за их незаконное использование строже (ч. 2 ст. 272.1 УК РФ):
• штраф до 700 тыс. рублей или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового;
• принудительные работы на срок до 5 лет;
• лишение свободы на срок до 5 лет.
Если указанные выше преступления были совершены:
• из корыстной заинтересованности;
• с причинением крупного ущерба;
• группой лиц по предварительному сговору;
• с использованием своего служебного положения,
наказание будет следующим (ч. 3 ст. 272.1 УК РФ):
• штраф до 1 млн рублей или в размере заработной платы или иного дохода осужденного за период до 3 лет, сопряженный с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового;
• принудительные работы на срок до 5 лет со штрафом в размере до 1 млн рублей или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового;
• лишение свободы на срок до 6 лет со штрафом в размере до 1 млн рублей или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.
Еще одним квалифицирующим составом является совершение указанных выше преступных действий, которые сопровождаются при этом трансграничной передачей данных. В этом случае предусмотрено наказание в виде лишения свободы на срок до 8 лет со штрафом до 2 млн рублей или в размере заработной платы или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового (ч. 4 ст. 272.1 УК РФ).
Нужно пояснить, что под трансграничным перемещением понимается совершение действий по ввозу на территорию РФ или вывозу машиночитаемого носителя информации (в том числе магнитного и электронного), на котором записана и хранится информация с персональными данными (прим. 2 к ст. 272.1 УК РФ).
Ответственность по статье 272.1 уголовного законодательства не наступит, если персональные данные получены физическим лицом и используются исключительно для семейных нужд (прим. 1 к ст. 272.1 УК РФ).
