Организация создана давно, сейчас планирует направить уведомление в Роскомнадзор, ранее не направляла. Вопрос 1.Если компания укажет текущую дату, Роскомнадзор может назначить проверку? Вопрос 2. Если компания укажет более раннюю дату, может ли Роскомнадзор привлечь к ответственности за несвоевременное уведомление об обработке персональных данных?

Главное

Организация-работодатель, которая обрабатывает персональные данные своих работников, обязана уведомлять об этом Роскомнадзор 01.09.2022 года (ч. 1 ст. 22 Закона о персональных данных).

Непредставление в уполномоченный орган уведомления об обработке персональных данных, его несвоевременное представление (т.е. уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ. Данная статья предусматривает ответственность за непредставление или несвоевременное представление в государственный орган сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. Ответственность по данной статье наступает также в случае предоставления сведений в неполном объеме или в искаженном виде.

Неуведомление (непредставление или несвоевременное представление) Роскомнадзора влечет за собой административную ответственность по ст. 19.7 КоАП РФ в виде предупреждения или наложения административного штрафа.

Таким образом, полагаем, что организация в уведомлении указывает текущую дату, в свою очередь Роскомнадзор может вынести предупреждение за несвоевременную подачу уведомления, либо назначить административный штраф. Также сообщаем, что Роскомнадзор проводит проверки в определенных случаях, подробнее в “Обратите внимание”.

Обоснование

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, и ведет реестр операторов, осуществляющих обработку персональных данных (ст. 23 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), п. 1 Положения, утв. Постановлением Правительства РФ от 16.03.2009 N 228).

Оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона N 152-ФЗ).

При этом персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработкой - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. п. 1, 3 ст. 3 Закона N 152-ФЗ).

Соответственно, организация, собирая, записывая, систематизируя, накапливая, храня, уточняя (обновляя, изменяя), извлекая, используя, передавая (распространяя, предоставляя, обеспечивая доступ), обезличивая, блокируя, удаляя или уничтожая данные, относящиеся к любому физическому лицу, будет являться оператором.

Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ (ч. 1 ст. 22 Закона N 152-ФЗ).

Работодатели являются операторами персональных данных и обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников. Сформировать и направить уведомление можно на сайте Роскомнадзора (ст. 22 Закона N 152-ФЗ).
Для работы с персональными данными работников утвердите положение о защите персональных данных и политику обработки персональных данных.
В положении о защите персональных данных работников установите порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов. Утвердите положение приказом руководителя и ознакомьте с ним работников под роспись (ст. 88 ТК РФ, п. 15 Положения об обработке персональных данных).

Так, оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных (ч. 2 ст. 22 Закона N 152-ФЗ):
•    включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
•    в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
•    обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Уведомление, предусмотренное ч. 1 ст. 22 Закона N 152-ФЗ, направляется в виде документа на бумажном носителе или в форме электронного документа, подписывается уполномоченным лицом и должно содержать утвержденный перечень сведений (ч. 3 ст. 22 Закона N 152-ФЗ).

Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит соответствующие сведения, указанные в уведомлении, а также сведения о дате направления указанного уведомления в реестр операторов (ч. 4 ст. 22 Закона N 152-ФЗ).
В течение 30 дней с даты поступления от оператора уведомления о прекращении обработки персональных данных Роскомнадзор исключает сведения, указанные в ч. 3 ст. 22 Закона N 152-ФЗ, из реестра операторов (ч. 4.1 ст. 22 Закона N 152-ФЗ).
Таким образом, если организация-работодатель обрабатывает персональные данные своих работников, то она обязана уведомить об этом Роскомнадзор.

Организация обязана уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (п. 1 ст. 22 Закона N 152-ФЗ).

Сформировать и направить уведомление можно на сайте Роскомнадзора (ст. 22 Закона N 152-ФЗ) – https://pd.rkn.gov.ru/operators-registry/notification/form/

Хотя штраф за сам факт неуведомления Роскомнадзора незначителен для организации, иные суммы штрафов предусмотрены за нарушение порядка обработки данных.

Так, за обработку данных без согласия субъекта перс. данных штраф составляет –для малых и микропредприятий - от 20 000 до 75 000 руб., для других организаций - от 30 000 до 150 000 руб., для должностного лица - от 20 000 до 40 000 руб. (ч. 2, 3 ст. 4.1.2, ст. 13.11 КоАП РФ).

За невыполнение обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, вас могут привлечь к административной ответственности. Например, максимальный штраф для организации:

• за невыполнение в установленные сроки требования субъекта персональных данных (его представителя) либо Роскомнадзора об уточнении персональных данных в случае, когда они являются неполными, устаревшими, неточными, составляет 90 тыс. руб., за повторное правонарушение - 500 тыс. руб. (ч. 5, 5.1 ст. 13.11 КоАП РФ);
• за невыполнение при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обязанности обеспечить, в частности, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, составляет 6 млн руб., за повторное правонарушение - 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП РФ).

Если действия физлица, обрабатывающего перс данные содержат признаки преступления, то его могут привлечь к уголовной ответственности.

Риски

За непредставление или несвоевременное представление уведомления предусмотрена административная ответственность: предупреждение или штраф для должностных лиц - от 300 до 500 руб.; для юридических лиц - от 3 000 до 5 000 руб. (ст. 19.7 КоАП РФ).

Также к административной ответственности при взаимодействии с Роскомнадзором - уполномоченным органом по защите прав субъектов персональных данных вас могут привлечь, если вы, в частности:
•    не представите информацию, запрошенную им в порядке ч. 3 ст. 23 Закона о персональных данных (ст. 19.7 КоАП РФ);
•    не выполните в срок законное предписание Роскомнадзора об устранении нарушений (ч. 1 ст. 19.5 КоАП РФ);
•    будете препятствовать проведению проверки либо уклоняться от нее (ч. 1 ст. 19.4.1 КоАП РФ);
•    не выполните требование Роскомнадзора об уточнении, блокировании или уничтожении персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ).

Обратите внимание

Основаниями для проведения внеплановых контрольных (надзорных) мероприятий Роскомнадзором, кроме мероприятий без взаимодействия, являются следующие (ч. 1 ст. 66 Закона N 248-ФЗ, п. 39 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденного Постановлением Правительства РФ от 29.06.2021 N 1046 (далее - Положение)):
1)    у Роскомнадзора есть сведения о причинении вреда (ущерба) или об угрозе его причинения охраняемым законом ценностям (п. 1 ч. 1 ст. 57 Закона N 248-ФЗ);
2)    Президент РФ или Правительство РФ поручили проверить конкретных контролируемых лиц (п. 3 ч. 1 ст. 57 Закона N 248-ФЗ);
3)    прокурор потребовал провести мероприятие в рамках надзора за исполнением законов, соблюдением прав и свобод человека и гражданина по материалам и обращениям, поступившим в органы прокуратуры (п. 4 ч. 1 ст. 57 Закона N 248-ФЗ);
4)    истек срок исполнения выданного вам предписания Роскомнадзора об устранении нарушения обязательных требований, если на основании имеющихся у него данных Роскомнадзор не может сделать вывод об исполнении решения (п. 5 ч. 1 ст. 57 Закона N 248-ФЗ).