Согласно новой редакции ФЗ «О персональных данных» уведомление в Роскомнадзор об обработке персональных данных теперь надо подавать практически во всех случаях обработки персональных данных (перечень исключений существенно сокращен, обрабатывать без уведомления персональные в соответствии с трудовым законодательством больше нельзя).
В связи с этим у многих работодателей возник ряд вопросов, например: обязан ли работодатель подавать соответствующее уведомление в отношении обработки данных работников, если данные сотрудников необходимы работодателю для стандартных трудовых отношений, как-то: заключение трудового договора, выплата заработной платы, передача в ПФР и ФСС информации о работниках согласно действующему законодательству, наделение работников полномочиями представителя (оформление доверенности на сотрудника в интересах организации), оформление пропусков для входа на территорию работодателя и т.д.
Письмом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2022 г. № 08-75348 “О результатах рассмотрения обращения” разъясняется следующее.
Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон), персональные данные — любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).
На основании п. 3 ст. 3 Закона под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
По вопросу подачи уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее — Уведомление), сообщаем, что согласно п. 2 ст. 3 Закона оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данным.
На основании ч. 1 ст. 22 Закона обработка персональных данных должна осуществляться с уведомлением уполномоченного органа о таком намерении, за исключением случаев, предусмотренных ч. 2 ст. 22 настоящего Закона.
Согласно ч.2 ст.22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (в новой редакции), оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
• включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
• обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Таким образом, в связи с принятием Федерального закона от 14.07.2022 N 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», в случае осуществления вышеуказанных действий, не подпадающих под исключения ч. 2 ст. 22 Закона, Роскомнадзор разъясняет, что организациям надлежит направить уведомление в территориальное управление Роскомнадзора по месту нахождения юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе.