Вопрос: Обязана ли организация-работодатель, обрабатывая персональные данные работников, пройти регистрацию в реестре Роскомнадзора?
Ответ: У организации-работодателя, обрабатывающего персональные данные своих работников в соответствии с трудовым законодательством, отсутствует обязанность по уведомлению Роскомнадзора о своем намерении осуществлять обработку персональных данных, и, соответственно, она не подлежит включению в реестр операторов.
Обоснование: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, и ведет реестр операторов, осуществляющих обработку персональных данных (ст. 23 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 N 228).
Оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом персональными данными будет являться любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработкой - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Закона N 152-ФЗ).
Соответственно, организация, собирая, записывая, систематизируя, накапливая, храня, уточняя (обновляя, изменяя), извлекая, используя, передавая (распространяя, предоставляя, обеспечивая доступ), обезличивая, блокируя, удаляя или уничтожая данные, относящиеся к любому физическому лицу, будет являться оператором.
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ (ч. 1 ст. 22 Закона N 152-ФЗ).
Сведения в реестр операторов Роскомнадзор вносит на основании указанного уведомления (ч. 4 ст. 22 Закона N 152-ФЗ). Таким образом, регистрация в реестре Роскомнадзора напрямую зависит от обязанности по подаче уведомления о намерении оператора осуществлять обработку персональных данных.
Обратите внимание!
За непредставление или несвоевременное представление уведомления предусмотрена административная ответственность: предупреждение или штраф для должностных лиц - от 300 до 500 руб.; для юридических лиц - от 3 000 до 5 000 руб. (ст. 19.7 Кодекса РФ об административных нарушениях).
Вместе с тем оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, в частности, в соответствии с трудовым законодательством (ч. 2 ст. 22 Закона N 152-ФЗ).
Таким образом, если организация-работодатель обрабатывает персональные данные своих работников в соответствии с трудовым законодательством, то у нее отсутствует обязанность по уведомлению Роскомнадзора и, соответственно, она не подлежит включению в реестр операторов Роскомнадзора.
Подготовлено на основе материала
Ю.М. Костюченко
Первый Дом Консалтинга "Что делать Консалт"
Региональный информационный центр
17.09.2018
