В связи с публикациями в СМИ материалов о деятельности
Роскомнадзора в сфере защиты прав субъектов персональных данных, в том числе о практике направления организациям писем с просьбой представить уведомления об обработке конфиденциальной информации о гражданах, Федеральная служба разъясняет:
Федеральным законом № 152-ФЗ от 27.07.2006 г. «О персональных данных (далее – Закон), вступившим в силу в январе 2007 года, предусматривается, что оператор должен направить в Роскомнадзор – уполномоченный орган по защите прав субъектов персональных данных уведомление об обработке или намерении осуществлять обработку персональных данных (п. 1 ст. 22 Закона). На основании уведомлений формируется реестр операторов, обрабатывающих персональные данные.
В 2008 году службой был издан приказ, утверждающий форму уведомления и рекомендации по ее заполнению. Форма уведомления и рекомендации по его заполнению размещены на портале персональных данных (www.pd.rsoc.ru) в разделе «Реестр операторов».
В августе 2011 года рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных были скорректированы в связи с новыми требованиями Закона. Соответствующий приказ от 19.08.2011 г. № 706 размещен на портале персональных данных в разделе «Законодательство» – «Законодательство Российской Федерации» – «Акты Роскомнадзора».
Пункт 2 ст. 22 Закона устанавливает, в каких случаях оператор вправе обрабатывать персональные данные без уведомления уполномоченного органа. Например, если они обрабатываются в соответствии с трудовым законодательством; если персональные данные получены в связи с заключением гражданско-правового договора с работником или клиентом, если при этом персональные данные не распространяются и не предоставляются третьим лицам без согласия работника (или клиента) и используются работодателем исключительно для исполнения договора и т. п.
Вместе с тем, чтобы понять, нужно ли уведомлять Роскомнадзор, оператору необходимо не только внимательно изучить Закон, но и проанализировать свои учредительные документы, локальные акты, в которых закреплены направления деятельности юридического лица и цель предполагаемой обработки персональных данных. Если персональные данные работников передаются третьим лицам, например при оформлении зарплатной карты в рамках договора с кредитным учреждением, уведомление необходимо предоставлять, так как трудовые отношения выходят за рамки трудового законодательства.
Роскомнадзор обращает внимание на то, что, если организация подпадает под исключение и вправе не уведомлять Роскомнадзор, она тем не менее должна дать ответ на письмо Федеральной службы, в котором следует указать, на основании каких норм Закона организация считает, что может воздержаться от направления уведомления. При этом в любом случае организация обязана выполнять все требования по защите персональных данных.
Рассылка территориальными органами Роскомнадзора писем с просьбой о направлении операторам персональных данных уведомлений об обработке персональных данных ведется с начала 2008 года и является профилактической мерой с целью исполнения оператором требований Закона.
По состоянию на 31 октября 2011 года в реестр операторов, обрабатывающих персональные данные, включено более 221 тыс. операторов.