Вопрос:
24.05.2019

если государственное учреждение не является операторм персональных данных но вынуждена принимать и обрабатывать персональные данные, может ли она нанять стороннюю организацию которая зарегестрированна как оператор персональных данных Или есть еще какие-то возможности не регистрироваться как операторб но осуществлять прием и обработку данных

Ответ:
24.05.2019

Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных").

 

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона N 152-ФЗ). Такой информацией являются фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных (п. 2.5 Рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утв. Приказом Роскомнадзора от 30.05.2017 N 94).

 

Обработкой персональных данных признаются любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации. К таким действиям относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 Закона N 152-ФЗ).

 

Таким образом, государственное учреждение будет являться оператором по обработке персональных данных не в силу государственной регистрации, а по факту начала обработки персональных данных.

 

До начала обработки персональных данных оператор обязан представить в уполномоченный орган уведомление о намерении осуществлять такую обработку (сч. 1 ст. 22 Закона N 152-ФЗ).

Не требуется представление уведомления обрабатываемых в соответствии с трудовым законодательством (п. 1 ч. 1 ст. 22 Закона N 152-ФЗ).

На практике это основание является одним из самых распространенных исключений, позволяющим не подавать уведомление. Однако работодателям следует учитывать, что под него подпадают не все персональные данные работников, а только те, обработка которых осуществляется в соответствии с трудовым законодательством. На практике встречаются случаи обработки персональных данных работников в объемах (категориях) и целях, не предусмотренных трудовым законодательством, например обработки сведений об имущественном положении, о судимости (за исключением случаев, указанных в ст. ст. 65, 349.1 ТК РФ). Названное исключение не распространяется на персональные данные уволенных работников, членов семей работников, их детей (персональные данные которых могут иметься у работодателя, например, в связи с уплатой алиментов или предоставлением налоговых вычетов по НДФЛ). В указанных случаях операторы обязаны подавать уведомление, если отсутствуют иные основания для обработки персональных данных без его подачи (например, обработка персональных данных без использования средств автоматизации).

Уведомление об обработке (о намерении осуществлять обработку) персональных данных целесообразно составить по форме, приведенной в Приложении N 1 к Рекомендациям по уведомлению уполномоченного органа о начале обработки персональных данных (п. 1.4.1 Рекомендаций).

Порядок заполнения уведомления описывается в Рекомендациях. Хотя они носят рекомендательный (необязательный) характер, чтобы избежать возникновения конфликтных ситуаций с уполномоченным органом, следует учитывать содержащиеся в них разъяснения.

 

Непредставление в уполномоченный орган уведомления об обработке персональных данных, его несвоевременное представление (т.е. уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7  КоАП РФ. Данная статья предусматривает ответственность за непредставление или несвоевременное представление в государственный орган сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. Ответственность по данной статье наступает также в случае предоставления сведений в неполном объеме или в искаженном виде.

Ответственность установлена в виде предупреждения или штрафа в размере:

- для граждан - от 100 до 300 руб.;

- для должностных лиц  - от 300 до 500 руб. При этом согласно примечанию к ст. 2.4 КоАП РФ такими лицами являются руководители и иные работники организаций, выполняющие организационно-распорядительные или административно-хозяйственные функции;

- для юридических лиц - от 3000 до 5000 руб.

 

Таким образом, государственное учреждение обязано подать указанное выше уведомление об обработке персональных данных, даже если это учреждение обрабатывает данные только своих работников. Обрабатываются ли при этом персональные данные каких-либо еще лиц (клиентов, заказчиков и т.п.) не имеет значения.

Оператор вправе поручить обработку персональных данных иному лицу на основании заключенного с ним договора (в то числе государственного или муниципального контракта) либо путем принятия соответствующего акта (если оператор - государственный или муниципальный орган). Для этого необходимо согласие субъекта персональных данных, если иное не установлено законодательством (ч. 3 ст. 6 Закона N 152-ФЗ). Однако поручение обработки персональных данных иному лицу не освобождает оператора от обязанности подавать уведомление в уполномоченный орган, поскольку, как прямо установлено в ч. 1 ст. 22 Закона, уведомление об обработке персональных данных должно подаваться именно им.

 

Практика последних лет показывает, что если организация не подает уведомление, ссылаясь на обработку ПД только работников и только в связи с исполнением трудового договора, контролирующие органы настоятельно рекомендуют такое уведомление представить, предупреждая что в случае отказа на организацию может быть наложен штраф.

 

Законное обоснование:

  1. Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных {КонсультантПлюс}

 

  1. Статья: Как организовать работу с персональными данными сотрудников (Кононенко А.В.) ("Главная книга", 2018, N 23) {КонсультантПлюс}

Скачать pdf
Анна Марченко Эксперт Линии консультаций
Регламент линии консультаций