Законодательство РФ

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) - 6) утратили силу с 1 сентября 2022 года. - Федеральный закон от 14.07.2022 N 266-ФЗ;

7) включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) - 6) утратили силу с 1 сентября 2022 года. - Федеральный закон от 14.07.2022 N 266-ФЗ;

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

10.2) фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах;

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

3.1. При предоставлении сведений, предусмотренных частью 3 настоящей статьи, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

4.1. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления от оператора уведомления о прекращении обработки персональных данных исключает сведения, указанные в части 3 настоящей статьи, из реестра операторов.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных.

8. Формы уведомлений, предусмотренных частями 1, 4.1 и 7 настоящей статьи, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.


Комментарии к статье 22 152-ФЗ О персональных данных:

1. Статья 22 комментируемого Закона посвящена обязанностям операторов персональных данных, связанным с направлением уведомления об обработке персональных данных. Указанное уведомление подается оператором персональных данных до начала работы с персональными данными и предваряет такую работу. В нем выражается намерение оператора осуществлять обработку персональных данных. Порядок предоставления уведомлений также регулируется Административным регламентом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных", утв. Приказом Минкомсвязи России от 21.12.2011 N 346.

Случаи направления указанного уведомления определены по остаточному принципу: оно подается во всех случаях, кроме прямо обозначенных в ч. 2 комментируемой статьи. К наиболее распространенным случаям из перечисленных, в которых не требуется предоставление уведомления об обработке персональных данных, относятся:

1) обработка персональных данных в соответствии с трудовым законодательством. Согласно ст. 86 ТК РФ обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. Таким образом, при осуществлении работодателем обработки персональных данных своих сотрудников за пределами, установленными ст. 86 ТК РФ, на него будет распространяться обязанность по направлению уведомления об обработке персональных данных;

2) получение персональных данных оператором в связи с заключением договора, стороной которого является субъект персональных данных. В указанном случае персональные данные должны:

- не распространяться, а также не предоставляться третьим лицам без согласия субъекта персональных данных; это значит, что оператор не будет предпринимать действия, направленные на передачу данных определенному кругу лиц или на ознакомление с ними неограниченного круга лиц, в том числе размещение в средствах массовой информации, в информационно-телекоммуникационных сетях или предоставление доступа к данным иным возможным способом;

- использоваться оператором исключительно для исполнения указанного договора и заключения новых договоров с субъектом персональных данных.

Только выполнение всех перечисленных условий в совокупности дает право оператору не уведомлять управление Роскомнадзора о том, что он занимается обработкой персональных данных (см. решение Арбитражного суда Ставропольского края от 20.09.2010 по делу N А63-6610/2010). Невыполнение хотя бы одного из названных условий влечет необходимость подачи такого уведомления;

3) обработка персональных данных, относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией. Для того чтобы осуществлять такую обработку без уведомления уполномоченного органа, необходимо соблюдать следующие условия:

- обработка осуществляется для законных целей, предусмотренных их учредительными документами;

- персональные данные не распространяются или раскрываются третьим лицам без согласия в письменной форме субъектов персональных данных;

4) обработка персональных данных, обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Обработка персональных данных без использования средств автоматизации осуществляется в соответствии с Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 N 687 (о критериях разграничения автоматизированной и неавтоматизированной обработки см. п. 1 комментария к ст. 1, п. 4 комментария к ст. 3).

Кроме того, уведомление не следует подавать, если обработка производится в отношении общедоступных персональных данных, а также персональных данных:

- включающих в себя только фамилии, имена и отчества субъектов персональных данных;

- необходимых в целях однократного пропуска их субъекта на территорию оператора;

- включенных в государственные автоматизированные информационные системы и государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

- обрабатываемых в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса.

2. Требования к уведомлению об обработке персональных данных как к документу предусмотрены комментируемой статьей, а также Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утв. Приказом Роскомнадзора от 19.08.2011 N 706.

Часть 3 комментируемой статьи содержит перечень сведений, которые в обязательном порядке включаются в уведомление:

- наименование (фамилия, имя, отчество), адрес оператора.

Если оператором является юридическое лицо, указываются его полное наименование с указанием организационно-правовой формы и сокращенное наименование, адрес (юридический и почтовый, а также контактные данные), ИНН. Если такая организация имеет филиалы или представительства, указываются их наименования и адреса. При этом указываются адреса (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных, и уточняется, осуществляется ли обработка персональных данных только юридическим лицом (формирование центральной информационной системы), только филиалами (представительствами), либо и юридическим лицом и филиалами (представительствами).

Если оператором является физическое лицо, указываются его фамилия, имя, отчество, адрес (места нахождения, почтовый адрес, контактные данные), данные документа, удостоверяющего личность; ИНН.

Если же оператором является государственный или муниципальный орган, указываются его полное и сокращенное наименование, наименование территориальных органов, адрес (место нахождения, почтовый адрес, контактные данные), ИНН;

- цель обработки персональных данных. Данная цель должна соответствовать компетенции оператора. Поэтому под ней понимаются как цели, указанные в учредительных документах оператора, так и цели фактически осуществляемой оператором деятельности по обработке персональных данных;

- категории персональных данных (персональные данные, биометрические персональные данные, специальные категории персональных данных (расовая принадлежность, национальная принадлежность, состояние здоровья и др.));

- категории субъектов, персональные данные которых обрабатываются; также указываются виды отношений с указанными субъектами (например, физические лица - абоненты, состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом);

- правовое основание обработки персональных данных. Обработка персональных данных может осуществляться на основании федерального закона, постановления Правительства РФ, иного нормативно-правового акта, закрепляющего основание и порядок обработки персональных данных. В данном случае должны быть указаны конкретные статьи таких документов. При наличии лицензии на осуществление деятельности указываются номер, дата выдачи и наименование лицензии на осуществляемый вид деятельности, а также лицензионные условия, закрепляющие запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных (неавтоматизированная обработка персональных данных; исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой и смешанная обработка персональных данных);

- описание мер, предусмотренных ст. ст. 18.1 и 19 комментируемого Закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств (в частности, должны быть указаны класс информационной системы персональных данных; организационные и технические меры, применяемые для защиты персональных данных; сведения об использовании шифровальных (криптографических) средств);

- фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

- дата начала обработки персональных данных (это должна быть конкретная дата начала любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными);

- срок или условие прекращения обработки персональных данных (он может быть определен как конкретная дата или основание (условие), наступление которого повлечет прекращение обработки персональных данных);

- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки (при наличии трансграничной передачи указывается перечень иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных);

- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Уведомление может быть направлено в виде документа на бумажном носителе или в форме электронного документа на бланке оператора и подписывается уполномоченным лицом. Образец формы уведомления об обработке (о намерении осуществлять обработку) персональных данных также утвержден Приказом Роскомнадзора от 19.08.2011 N 706. Ранее комментируемая статья содержала требование о том, что уведомление, направленное в электронной форме, должно быть подписано электронной цифровой подписью. Актуальная редакция такого требования не содержит. Такое уведомление может быть направлено через портал персональных данных Уполномоченного органа по защите прав субъектов персональных данных путем заполнения специальной формы. После заполнения формы уведомления о намерении осуществлять обработку персональных данных и отправки ее в информационную систему Уполномоченного органа по защите прав субъектов персональных данных ее необходимо распечатать, подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.

3. Уполномоченный орган по защите прав субъектов персональных данных ведет реестр операторов персональных данных, порядок ведения такого реестра установлен Административным регламентом, утв. Приказом Минкомсвязи России от 21.12.2011 N 346. Данный реестр является общедоступным, и доступ к нему возможен через официальный сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. По состоянию на 28.03.2013 в реестре содержатся данные о 271657 операторах персональных данных. Срок размещения общедоступных сведений, содержащихся в реестре, на официальном сайте Роскомнадзора составляет три дня с даты подписания приказа о внесении сведений об операторе в реестр. Исключение составляют сведения о средствах обеспечения безопасности персональных данных при их обработке, которые не являются общедоступными.

Согласно ч. 4 комментируемой статьи уполномоченный орган в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, содержащиеся в уведомлении, а также сведения о дате направления указанного уведомления в реестр операторов. Пункт 16 Административного регламента, утв. Приказом Минкомсвязи России от 21.12.2011 N 346, определяет общий срок внесения сведений об операторе в реестр 15 дней с момента регистрации уведомления.

Рассмотрение уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также внесение сведений в реестр операторов осуществляются для оператора бесплатно (ч. 5 комментируемой статьи). Пункт 30 Административного регламента также предусматривает, что плата за предоставление данной государственной услуги не взимается.

В целях соответственного ведения уполномоченный орган по защите прав субъектов персональных данных в лице сотрудника территориального органа Роскомнадзора вправе требовать от оператора уточнения предоставленных сведений в случае предоставления неполных или недостоверных сведений до их внесения в реестр операторов (это право закреплено в ч. 6 комментируемой статьи). В этих целях сотрудник территориального органа Роскомнадзора направляет оператору письмо с уведомлением о его вручении, содержащее запрос с указанием перечня недостающих сведений для внесения в реестр. После подписания письма и присвоения ему регистрационного номера файл со сканированным письмом вносится в информационную систему Роскомнадзора в срок не позднее дня, следующего за днем его регистрации. Оператор обязан сообщить в территориальный орган Роскомнадзора по его запросу уточненные сведения, необходимые для осуществления деятельности указанного органа, в течение 30 дней с даты получения такого запроса. После получения от оператора уточненных сведений сотрудник Роскомнадзора (территориального органа Роскомнадзора), ответственный за работу в области персональных данных, вносит уточненные сведения в информационную систему Роскомнадзора в целях последующего внесения сведений об операторе в реестр. Если в течение 30 дней с даты получения запроса оператор не представил уточненные сведения, то по истечении указанного срока уведомление с неполными или недостоверными сведениями возвращается оператору без внесения сведений о нем в реестр.

Порядок изменения сведений об операторе в реестре операторов персональных данных, а также исключения из него сведений об операторе также регламентируется упомянутым нами Административным регламентом. Часть 7 комментируемой статьи закрепляет обязанность оператора персональных данных в целях обеспечения указанной деятельности направлять уведомление в Роскомнадзор при изменении сведений, содержащихся в уведомлении об обработке персональных данных, для изменения сведений, содержащихся в реестре, а также о прекращении обработки персональных данных, для исключения сведений об операторе из реестра. Данная обязанность должна быть реализована им в течение десяти рабочих дней. Сведения об изменении сведений об операторе в реестре направляются им в Роскомнадзор в форме информационного письма. Электронная форма информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных, содержится на портале персональных услуг. Исключение сведений осуществляется на основании заявления об исключении сведений об операторе из реестра.

4. Очень часто нарушение требований комментируемой статьи является основанием выдачи операторам персональных данных предписаний об устранении нарушений требований комментируемого Закона территориальными органами Роскомнадзора, выявленных в ходе проводимых проверок.

Пример: ЗАО "СевКавТИСИЗ", являясь оператором по обработке персональных данных, осуществило обработку персональных данных лица, не состоящего на момент обработки данных в трудовых отношениях с обществом, без указания на обработку специальной категории персональных данных - состояния здоровья - в уведомлении, представленном уполномоченному органу. Предписанием Управления Роскомнадзора по Краснодарскому краю ЗАО "СевКавТИСИЗ" было обязано устранить данное нарушение ч. 2 ст. 22 комментируемого Закона. Несогласие заявителя с указанным предписанием послужило основанием для обращения в арбитражный суд, требования заявителя удовлетворены не были (см. решение Арбитражного суда Краснодарского края от 10.12.2010 по делу N А32-12882/2010).

Непредставление в уполномоченный орган уведомления об обработке персональных данных, либо его несвоевременное представление (предоставление после начала обработки персональных данных), либо представление уведомления, содержащего неполные или недостоверные сведения, влечет административную ответственность по ст. 19.7 КоАП РФ. Ответственность по данной статье может наступить в виде предупреждения или наложения административного штрафа.

Пример: постановлением мирового судьи ТСЖ "Надежность" было привлечено к административной ответственности, предусмотренной ст. 19.7 КоАП РФ, ему было назначено наказание в виде административного штрафа 3000 руб., поскольку ТСЖ в установленный срок не представило в Управление Роскомнадзора по Хабаровскому краю уведомление об обработке персональных данных, нарушив ч. 4 ст. 20, ч. 1 ст. 22 комментируемого Закона (см. решение Центрального районного суда г. Комсомольска-на-Амуре Хабаровского края от 05.10.2010).

"Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (постатейный)
Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С.
Год издания: 2013

Популярные статьи и материалы
N 400-ФЗ от 28.12.2013

ФЗ о страховых пенсиях

N 69-ФЗ от 21.12.1994

ФЗ о пожарной безопасности

N 40-ФЗ от 25.04.2002

ФЗ об ОСАГО

N 273-ФЗ от 29.12.2012

ФЗ об образовании

N 79-ФЗ от 27.07.2004

ФЗ о государственной гражданской службе

N 275-ФЗ от 29.12.2012

ФЗ о государственном оборонном заказе

N2300-1 от 07.02.1992 ЗППП

О защите прав потребителей

N 273-ФЗ от 25.12.2008

ФЗ о противодействии коррупции

N 38-ФЗ от 13.03.2006

ФЗ о рекламе

N 7-ФЗ от 10.01.2002

ФЗ об охране окружающей среды

N 3-ФЗ от 07.02.2011

ФЗ о полиции

N 402-ФЗ от 06.12.2011

ФЗ о бухгалтерском учете

N 135-ФЗ от 26.07.2006

ФЗ о защите конкуренции

N 99-ФЗ от 04.05.2011

ФЗ о лицензировании отдельных видов деятельности

N 223-ФЗ от 18.07.2011

ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц

N 2202-1 от 17.01.1992

ФЗ о прокуратуре

N 127-ФЗ 26.10.2002

ФЗ о несостоятельности (банкротстве)

N 152-ФЗ от 27.07.2006

ФЗ о персональных данных

N 44-ФЗ от 05.04.2013

ФЗ о госзакупках

N 229-ФЗ от 02.10.2007

ФЗ об исполнительном производстве

N 53-ФЗ от 28.03.1998

ФЗ о воинской службе

N 395-1 от 02.12.1990

ФЗ о банках и банковской деятельности

ст. 333 ГК РФ

Уменьшение неустойки

ст. 317.1 ГК РФ

Проценты по денежному обязательству

ст. 395 ГК РФ

Ответственность за неисполнение денежного обязательства

ст 20.25 КоАП РФ

Уклонение от исполнения административного наказания

ст. 81 ТК РФ

Расторжение трудового договора по инициативе работодателя

ст. 78 БК РФ

Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам

ст. 12.8 КоАП РФ

Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения

ст. 161 БК РФ

Особенности правового положения казенных учреждений

ст. 77 ТК РФ

Общие основания прекращения трудового договора

ст. 144 УПК РФ

Порядок рассмотрения сообщения о преступлении

ст. 125 УПК РФ

Судебный порядок рассмотрения жалоб

ст. 24 УПК РФ

Основания отказа в возбуждении уголовного дела или прекращения уголовного дела

ст. 126 АПК РФ

Документы, прилагаемые к исковому заявлению

ст. 49 АПК РФ

Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение

ст. 125 АПК РФ

Форма и содержание искового заявления