Новости и аналитика Правовые консультации Трудовое право C 1 сентября 2022 года статья 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" будет действовать в новой редакции. В каких случаях и по какой форме работодатель должен подавать уведомление в Роскомнадзор при обработке персональных данных? Относится ли это к персональным данным, обрабатываемым в электронном виде с использованием криптографических средств, и к персональным данным сотрудников, обрабатываемым в соответствии с ТК РФ?

C 1 сентября 2022 года статья 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" будет действовать в новой редакции. В каких случаях и по какой форме работодатель должен подавать уведомление в Роскомнадзор при обработке персональных данных? Относится ли это к персональным данным, обрабатываемым в электронном виде с использованием криптографических средств, и к персональным данным сотрудников, обрабатываемым в соответствии с ТК РФ?

Рассмотрев вопрос, мы пришли к следующему выводу:
С 1 сентября 2022 г. работодателю необходимо будет подавать уведомление об обработке персональных данных в Роскомнадзор по форме, утвержденной Роскомнадзором, в том числе в отношении персональных данных сотрудников и персональных данных, обрабатываемых в электронном виде с использованием криптографических средств.

Обоснование вывода:
Пунктом 2 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) предусмотрено, что оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав подлежащих обработке персональных данных и действия (операции), совершаемые с персональными данными. Исходя из этого определения, в качестве оператора будет выступать любое лицо, которое приняло решение осуществлять обработку персональных данных в своих интересах и имеет правовую и/или фактическую возможность определять цели и существенные условия такой обработки. Таким образом, работодатель также является оператором персональных данных, обрабатывающим персональные данные своих сотрудников.
Частью 1 ст. 22 Закона N 152-ФЗ на оператора возложена обязанность направить уведомление о намерении осуществлять такую обработку в уполномоченный орган по защите прав субъектов персональных данных - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Уведомление направляется один раз за время деятельности организации. Данное уведомление является основанием для внесения сведений об операторе в реестр операторов, осуществляющих обработку персональных данных.
С 1 сентября 2022 г. вступает в силу Федеральный закон от 14 июля 2022 г. N 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности", который сокращает количество исключений. С даты вступления этого Закона в силу оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных только в следующих случаях (ч. 2 ст. 22 Закона N 152-ФЗ в новой редакции):
- если обрабатываются персональные данные, включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
- персональные данные обрабатываются в соответствии с законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Все остальные операторы, в том числе работодатели, будут обязаны подавать уведомления в Роскомнадзор. Каких-либо исключений относительно персональных данных, обрабатываемых в электронном виде с использованием криптографических средств, либо персональных данных сотрудников, обрабатываемых в соответствии с ТК РФ, изменения не предусматривают. Данные случаи также подпадают под случаи обработки персональных данных, обязывающих оператора направить уведомление в Роскомнадзор. Аналогичные разъяснения даны в письме Роскомнадзора от 19.08.2022 N 08-75348. В этом письме также сообщается, что электронная форма Уведомления и порядок ее заполнения размещены на Портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru/).

Рекомендуем также ознакомиться с материалами:
- Изменения в законодательстве о персональных данных с 1 сентября 2022 г. (обзор Федерального закона от 14 июля 2022 г. N 266-ФЗ);
- Памятка для операторов персональных данных в связи с изменениями в законодательстве с 1 сентября 2022 г. (подготовлено экспертами компании ГАРАНТ);
- приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 г. N 94 "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения";
- Вопрос: Направление уведомления в Роскомнадзор о начале обработки персональных данных (ответ службы Правового консалтинга ГАРАНТ, март 2022 г.).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Казакова Елена

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Ерин Павел

24 августа 2022 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.