НТВП "Кедр - Консультант"

912-333

Услуги

Нужно ли организации, имеющей на своем сайте форму обратной связи с посетителями, направлять уведомление в Роскомнадзор об обработке персональных данных?

Распечатать

У ООО есть сайт с обратной связью, где запрашивается телефон или емэйл.

Вопрос

Нужно ли при таких условиях направлять уведомление в Роскомнадзор об обработке персональных данных?

 

Ответ юриста

Под действие Закона о защите персональных данных подпадают все владельцы сайтов, на которых есть формы заказа либо обратной связи, анкеты, формы подписки и регистрации, личные кабинеты.

Сегодня все компании собирают персональные данные, будь то данные клиентов или сотрудников. Скорее всего, вы являетесь оператором персональных данных, если получаете информацию о текущих или потенциальных клиентах в любом сочетании двух типов данных:

- фамилия, имя, отчество;

- адрес: почтовый адрес или адрес доставки, адрес прописки, места проживания;

- электронная почта;

- телефон, мобильный либо стационарный;

- дата или место рождения;

- место работы;

- национальность;

- гражданство;

- ссылки на соцсети;

- профессия;

- образование;

- уровень доходов;

- семейное положение;

- наличие детей.

Статья: Кому выпишут штраф за нарушение Закона о персональных данных? ("Расчет", 2017, N 7-8; "Практическая бухгалтерия", 2017, N 8) {КонсультантПлюс}

Порядок представления уведомлений об обработке персональных данных регулируется:

- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон);

- Методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94; далее - Рекомендации).

Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных {КонсультантПлюс}

До начала обработки персональных данных оператор обязан представить в уполномоченный орган уведомление о намерении осуществлять такую обработку (ч. 1 ст. 22 Закона).

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона). Такой информацией являются фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных (п. 2.5 Рекомендаций).

Обработкой персональных данных признаются любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации. К таким действиям относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 Закона).

Условия обработки персональных данных предусмотрены в ст. 6 Закона.

Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных {КонсультантПлюс}

Не требуется представление уведомления

Без уведомления уполномоченного органа может производиться обработка следующих персональных данных (ч. 2 ст. 22 Закона):

1) обрабатываемых в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона).

На практике это основание является одним из самых распространенных исключений, позволяющим не подавать уведомление. Однако работодателям следует учитывать, что под него подпадают не все персональные данные работников, а только те, обработка которых осуществляется в соответствии с трудовым законодательством. На практике встречаются случаи обработки персональных данных работников в объемах (категориях) и целях, не предусмотренных трудовым законодательством, например обработки сведений об имущественном положении, о судимости (за исключением случаев, указанных в ст. ст. 65, 349.1 ТК РФ). Названное исключение не распространяется на персональные данные уволенных сотрудников (кроме случаев, предусмотренных трудовым законодательством, например ст. 64.1 ТК РФ); членов семей сотрудников, их детей (персональные данные которых могут иметься у работодателя, например, в связи с уплатой алиментов или предоставлением налоговых вычетов по НДФЛ). В указанных случаях операторы обязаны подавать уведомление, если отсутствуют иные основания для обработки персональных данных без его подачи (например, обработка персональных данных без использования средств автоматизации);

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных. Это условие применяется, если персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона).

Указанное основание также является одним из распространенных случаев, при котором уведомление об обработке персональных данных не представляется. Следует иметь в виду, что для обработки персональных данных без представления уведомления по этому основанию должны одновременно соблюдаться все перечисленные условия:

- персональные данные не должны распространяться;

- они не должны предоставляться третьим лицам без согласия субъекта персональных данных;

- персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных.

Иное использование персональных данных влечет за собой необходимость представить в уполномоченный орган уведомление;

3) относящихся к членам (участникам) общественного объединения или религиозной организации, которые обрабатываются таким объединением (религиозной организацией), действующим в соответствии с законодательством РФ, в целях, предусмотренных учредительными документами. Это условие применяется, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Закона);

4) сделанных субъектом персональных данных общедоступными (п. 4 ч. 2 ст. 22 Закона);

5) включающих только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 22 Закона);

6) необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или аналогичных целей (п. 6 ч. 2 ст. 22 Закона);

7) включенных в информационные системы персональных данных, имеющих в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 Закона);

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных (п. 8 ч. 2 ст. 22 Закона).

Обработка персональных данных без использования средств автоматизации является еще одним из распространенных оснований, при которых она может осуществляться без представления уведомления. Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (далее - Положение). При соблюдении требований Положения подача уведомления согласно п. 8 ч. 2 ст. 22 Закона не требуется.

Если средства автоматизации (вычислительная техника, компьютеры) при обработке персональных данных не используются, уведомление об обработке персональных данных подаваться не должно (при соблюдении особенностей организации обработки данных, установленных в разд. II Положения). Однако при нынешней распространенности электронно-вычислительной техники она часто задействована в обработке персональных данных. Критерии, при которых такая обработка признается (либо не признается) неавтоматизированной, сформулированы в п. п. 1 и 2 Положения. Согласно п. 1 Положения считается неавтоматизированной обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из нее, если такие операции с персональными данными, как использование, уточнение, распространение, уничтожение (в отношении каждого из субъектов персональных данных), осуществляются при непосредственном участии человека. Кроме того, обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее (п. 2 Положения).

Необходимо отметить, что приведенные в п. 1 Положения критерии недостаточно конкретны для разграничения на практике случаев, в которых подача уведомления для обработки персональных данных с применением вычислительной техники требуется и не требуется. В связи с этим при возникновении сложностей с определением того, нужно ли подавать уведомление при различных вариантах использования вычислительной техники в процессе обработки персональных данных, следует уточнять этот вопрос в уполномоченном органе. С контактной информацией уполномоченного органа и его территориальных подразделений можно ознакомиться на портале персональных данных http://pd.rkn.gov.ru - специальном сайте уполномоченного органа по защите прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, для обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п. 9 ч. 2 ст. 22 Закона).

Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных {КонсультантПлюс}

Лица, которые должны представлять уведомление

Представлять уведомление об обработке персональных данных должен оператор (ч. 1 ст. 22 Закона).

Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Закона).

Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных {КонсультантПлюс}

Орган, в который подается уведомление

Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор (абз. 2 п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 N 228).

Уведомление рекомендуется направлять в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе (абз. 2 п. 3.1.13 Рекомендаций).

Контактная информация территориальных органов (включая адреса их сайтов) приведена на сайте www.rkn.gov.ru. На сайтах территориальных органов может быть размещена информация о конкретном адресе, по которому следует направлять уведомление.

Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных {КонсультантПлюс}

Последствия обработки персональных данных без подачи уведомления, а также в случаях его несвоевременной подачи либо подачи уведомления, содержащего неполные или недостоверные сведения

Непредставление в уполномоченный орган уведомления об обработке персональных данных, его несвоевременное представление (т.е. уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ. Данная статья предусматривает ответственность за непредставление или несвоевременное представление в государственный орган сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. Ответственность по данной статье наступает также в случае предоставления сведений в неполном объеме или в искаженном виде.

Ответственность установлена в виде предупреждения или штрафа в размере:

- для граждан - от 100 до 300 руб.;

- для должностных лиц (в том числе индивидуальных предпринимателей - примечание к ст. 2.4 КоАП РФ) - от 300 до 500 руб. При этом согласно примечанию к ст. 2.4 КоАП РФ такими лицами являются руководители и иные работники организаций, выполняющие организационно-распорядительные или административно-хозяйственные функции;

- для юридических лиц - от 3000 до 5000 руб.

Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных {КонсультантПлюс}

        Таким образом, владельцы сайтов, на которых есть формы заказа либо обратной связи, анкеты, формы подписки и регистрации, личные кабинеты подпадают под действия Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", должны подать уведомление об обработке персональных данных в территориальный орган Роскомнадзора.

Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных {КонсультантПлюс}

 

Разъяснение дано в рамках услуг «ЛИНИИ КОНСУЛЬТАЦИЙ» консультантом по правовым вопросам ООО НТВП «Кедр-Консультант» Макшаковым Игорем Борисовичем, сентябрь 2017 г.

При подготовке ответа использована СПС КонсультантПлюс.

Данное разъяснение не является официальным и не влечет правовых последствий, предоставлено в соответствии с Регламентом ЛИНИИ КОНСУЛЬТАЦИЙ (www.ntvpkedr.ru).

?>