В прошлой статье я рассказывала о том, как выглядит уведомление об обработке персональных данных для Роскомнадзора и что такое реестр операторов персональных данных.
Сегодняшнюю статью меня побудили написать результаты проверки, проведенной летом 2018 года в одной иркутской организации. Руководитель организации самостоятельно принял решение подать уведомление после окончания проверки. И, конечно же, проверяющие вынесли это нарушение в Предписание.
Интерес представляет то, как обосновывается отсутствие уведомления.
Почитайте сами:
Ещё для осмысления – фрагмент научно-практического постатейного комментария ФЗ № 152 «О персональных данных» от 2015 года (под редакцией зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А. А. Приезжевой).
Приведу фрагмент комментария относительно ст. 22 ФЗ № 152 «О персональных данных»:
А вот точка зрения РКН, касающаяся соответствия обработки ПДн трудовому законодательству:
Какую же в итоге позицию Роскомнадзора мы имеем?
Уведомление нужно посылать во всех случаях, не попадающих под исключения. Если деятельность попадает хотя бы под одно исключение, то она должна полностью попадать под остальные. Т.е., судя по логике РКН, Оператор должен рассмотреть свою деятельность и сравнить её поочерёдно со всеми исключениями из ч. 2 ст. 22.
Видимо, примерно так рассуждали проверяющие из Иркутска:
1) обрабатывает ПДн в соответствии с трудовым законодательством. Оператор обрабатывает ПДн в соответствии с иным законодательством (ФЗ № 402, ФЗ № 27) – всё, уведомление нужно.
Обработка ПДн работников в соответствии с ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» является обязанностью работодателя, т.е. входит в рамки трудового законодательства, но проверяющими РКН расценено как «иное». А как же быть с обработкой данных по договорам с клиентами (следующее исключение из п. 2), которая происходит в соответствии с Гражданским и Налоговым кодексом? Вопрос…
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных… . Есть ПДн субъектов, с которыми договора не заключаются (родственники работников) – нужно посылать уведомление.
3) относящихся к членам (участникам) общественного объединения или религиозной организации… – этот пункт к организации не относится? Пропускаем.
4) сделанных субъектом персональных данных общедоступными – нет таких данных? Пропускаем.
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных.
Не знаю, как рассуждали проверяющие, но очень странно, что несоответствие этому пункту не было отмечено в Предписании. Логика нарушается.
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях. Нет СКУДА или охраны? Пропускаем.
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем… У Оператора ГИС нет, это исключение пропускаем.
8) обрабатываемых без использования средств автоматизации… Используется 1С, значит используются средства автоматизации, значит под исключение не попадает.
Интересно, найдётся ли сегодня хоть одна организация, не использующая в своей деятельности компьютеры?
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности… С этим деятельность Оператора не связана, пропускаем.
Таким образом, можно сказать, что компаний, деятельность которых полностью подходит под исключения, не существует. Поэтому лучший вариант – просто подать уведомление, чем доказывать потом, что вы всё-таки попадаете под исключения.
Ещё хотелось бы написать о мнении РКН о зарплатных проектах и о том, что они не входят в рамки трудового законодательства. Как уже писала в статье про письменное согласие на обработку, в ст. 136 ТК РФ четко прописано, что «заработная плата выплачивается работнику, как правило, в месте выполнения им работы либо переводится в кредитную организацию, указанную в заявлении работника, на условиях, определенных коллективным договором или трудовым договором». Таким образом, зарплатный проект предусмотрен трудовым законодательством.