Должно ли федеральное бюджетное учреждение высшего образования подавать уведомление в Роскомнадзор о начале обработки персональных данных, если ранее такое уведомление не подавало?
Пунктом 2 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) предусмотрено, что оператором персональных данных (далее также - оператор) является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав подлежащих обработке персональных данных и действия (операции), совершаемые с персональными данными. Исходя из определения, в качестве оператора будет выступать любое лицо, которое приняло решение осуществлять обработку персональных данных в своих интересах и имеет правовую и/или фактическую возможность определять цели и существенные условия такой обработки.
Частью 1 ст. 22 Закона N 152-ФЗ на оператора возложена обязанность направить уведомление о намерении осуществлять обработку персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Перечень случаев, когда оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора, предусмотрен ч. 2 ст. 22 Закона N 152-ФЗ. С 1 сентября 2022 г. оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных только в следующих случаях:
- если обрабатываются персональные данные, включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- персональные данные обрабатываются в соответствии с законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
- если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.
Формулировка последнего из приведенных оснований, по нашему мнению, позволяет не уведомлять Роскомнадзор о начале обработки персональных данных только в том случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации, т.е. абсолютно все персональные данные им обрабатываются таким способом. Само по себе то обстоятельство, что оператор обрабатывает без использования средств автоматизации лишь какой-то определенный объем персональных данных, на наш взгляд, не освобождает его от обязанности направить уведомление в Роскомнадзор.
Все остальные операторы, не подпадающие под исключения, перечисленные в ч. 2 ст. 22 Закона N 152-ФЗ, обязаны подать уведомления в Роскомнадзор вне зависимости от вида деятельности и организационно-правовой формы.
Таким образом, образовательная организация, которая в силу закона является оператором персональных данных, должна подать уведомление в Роскомнадзор.
Согласно ч. 3 ст. 22 Закона N 152-ФЗ уведомление, предусмотренное ч. 1 той же статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление направляется однократно и является основанием для внесения сведений об операторе в реестр операторов, осуществляющих обработку персональных данных (смотрите чч. 3, 4 ст. 22 Закона N 152-ФЗ).
Формы уведомлений устанавливаются Роскомнадзором. В настоящее время формы уведомлений еще не утверждены (смотрите проект приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, о внесении изменений в ранее представленные сведения, о прекращении обработки персональных данных" (подготовлен Роскомнадзором 19.08.2022)).
Роскомнадзор рекомендует пока воспользоваться действующей формой уведомления, определенной Приложением 1 к Методическим рекомендациям по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30 мая 2017 г. N 94 (далее - Рекомендации). Электронная форма уведомления и порядок ее заполнения размещены на интернет-портале персональных данных Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/form/ (п. 3.2 Рекомендаций).
Оператору предоставлена возможность сформировать уведомление в электронной форме и направить в его в территориальный орган Роскомнадзора одним из следующих способов:
1) сформировать уведомление и направить в бумажном виде;
2) сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи;
3) сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.
В последующем, когда новые формы уведомлений будут утверждены, оператор сможет направить уведомление о внесении изменений в ранее представленные сведения в Реестр операторов, осуществляющих обработку персональных данных, т.к. содержательная часть уведомлений будет изменена (смотрите письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2022 г. N 08-75348).
Отметим также, что предельный срок уведомления Роскомнадзора об обработке персональных данных не определен. Таким образом, 1 сентября не является крайним сроком подачи уведомления об обработке персональных данных (смотрите информацию Роскомнадзора от 31 августа 2022 г. "Электронные формы заявлений").
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Казакова Елена
Ответ прошел контроль качества
24 октября 2022 г.
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.