Обязана ли организация-работодатель, обрабатывая персональные данные работников, пройти регистрацию в реестре Роскомнадзора?
Организация-работодатель, которая обрабатывает персональные данные своих работников в соответствии с трудовым законодательством, не обязана проходить регистрацию в реестре Роскомнадзора.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, и ведет реестр операторов, осуществляющих обработку персональных данных (ст. 23 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), п. 1 Положения, утв. Постановлением Правительства РФ от 16.03.2009 N 228).
Оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона N 152-ФЗ).
При этом персональными данными будет являться любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработкой - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. п. 1, 3 ст. 3 Закона N 152-ФЗ).
Соответственно, организация, собирая, записывая, систематизируя, накапливая, храня, уточняя (обновляя, изменяя), извлекая, используя, передавая (распространяя, предоставляя, обеспечивая доступ), обезличивая, блокируя, удаляя или уничтожая данные, относящиеся к любому физическому лицу, будет являться оператором.
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ (ч. 1 ст. 22 Закона N 152-ФЗ).
Сведения в реестр операторов Роскомнадзор вносит на основании указанного уведомления (ч. 4 ст. 22 Закона N 152-ФЗ). Таким образом, регистрация в реестре Роскомнадзора напрямую зависит от обязанности по подаче уведомления о намерении оператора осуществлять обработку персональных данных.
Обратите внимание! За непредставление или несвоевременное представление уведомления предусмотрена административная ответственность: предупреждение или штраф для должностных лиц - от 300 до 500 руб.; для юридических лиц - от 3 000 до 5 000 руб. (ст. 19.7 КоАП РФ).
Вместе с тем оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, в частности, в соответствии с трудовым законодательством (ч. 2 ст. 22 Закона N 152-ФЗ).
Таким образом, если организация-работодатель обрабатывает персональные данные своих работников в соответствии с трудовым законодательством, то у нее отсутствует обязанность по уведомлению Роскомнадзора и, соответственно, она не подлежит включению в реестр операторов Роскомнадзора.
Подготовлено на основе материала
Ю.М. Костюченко
Первый Дом Консалтинга "Что делать Консалт"