📣 Кто должен регистрироваться как оператор персональных данных в Роскомнадзоре
2022 год принес существенные изменения в порядок работы с персональными данными физлиц. Основное изменение – расширение списка тех, кто признается операторами персональных данных и, следовательно, получает связанные с этим обязанности. В первую очередь – информирование Роскомнадзора (РКН) о начале обработки данных, об изменениях в этом процессе и о прекращении такой обработки.
В этом посте расскажем, кто по состоянию на вторую половину 2022 года является оператором персональных данных по действующему законодательству.
Оператором персональных данных с 01.09.2022 признается государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (п. 2 ст. 3 Закона о персональных данных от 27.07.2006 № 152-ФЗ в редакции изменений от 14.07.2022, далее - Закон о персданных).
В соответствии с новыми нормами, организация (ИП) является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает (например, в рамках своей деятельности).
Роскомнадзор ведет реестр операторов персональных данных. Сведения вносятся в реестр и исключаются из него на основании уведомлений, подаваемых операторами (ч. 4, 4.1 ст. 22, п. 3 ч. 5 ст. 23 Закона о перданных, п. п. 1, 5.2.4 Положения о Роскомнадзоре).
Проверить, включены ли вы в этот реестр, можно на Портале персональных данных, который ведет Роскомнадзор: http://pd.rkn.gov.ru/
Если вы не включены в реестр Роскомнадзора, вы не перестаете быть оператором персональных данных и не освобождаетесь от связанных с этим статусом обязанностей.
Разобраться с тем, кто не является обязанным взаимодействовать с РКН, проще, если посмотреть на исключения.
В соответствии с ч. 2 ст. 22 Закона о персданных, не нужно уведомлять РКН в случаях обработки данных:
📎 включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
📎 если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (имеем в виду, что обработка данных с помощью, например, бухгалтерского ПО – это тоже со средствами автоматизации);
📎 в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Во всех остальных случаях, не подпадающих под эти исключения, обязательно уведомление РКН.
О том, в каких случаях надо подавать уведомления и каким образом это делать, мы расскажем в следующих постах по этой теме.
