Автор: Смолева М. Е., эксперт информационно-справочной системы «Аюдар Инфо»

Законодатели продолжают уточнять требования к работе с персональными данными (ПД). Вслед за масштабными поправками, внесенными в Федеральный закон от 27.07.2006 № 152-ФЗ и начавшими действовать 1 сентября 2022 года, пополняется и подзаконная база. О каких новых требованиях важно знать учреждениям?

В силу ч. 2 ст. 22 Закона № 152-ФЗ операторам ПД надо почти всегда уведомлять Роскомнадзор об обработке личной информации граждан. Например, это следует делать при обращении с данными своих работников, собираемыми и используемыми в рамках трудового законодательства, исполнителей по гражданско-правовому договору, а также получателей услуг, с которыми тоже заключаются договоры. Соответствующие случаи-исключения утратили силу.

Иными словами, под ситуации, когда у оператора ПД возникает обязанность уведомлять уполномоченный орган, подпадают многие факты деятельности учреждения: работа с персоналом, контрагентами – физическими лицами и потребителями.

Но есть один нюанс.

Не информировать Роскомнадзор об обработке ПД можно в случаях, перечисленных в п. 7–9 ч. 2 ст. 22 Закона № 152-ФЗ. В частности, это касается случаев, когда оператор обрабатывает ПД без применения средств автоматизации, при непосредственном участии человека.

Формы уведомлений утверждены Приказом Роскомнадзора от 28.10.2022 № 180 и уже действуют. Разработаны три шаблона уведомлений:

  • о намерении осуществлять обработку ПД;

  • об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПД;

  • о прекращении обработки ПД.

Все передаваемые сведения (кроме случая прекращения обработки ПД) теперь надо указывать по каждой цели обработки. Согласно ч. 3.1 ст. 22 Закона № 152-ФЗ в отношении каждой цели в уведомлении прописываются:

  • категории персональных данных;

  • категории субъектов, ПД которых обрабатываются;

  • правовое основание обработки ПД;

  • перечень действий с ПД;

  • способы обработки ПД.

Дополнительно в уведомление нужно вносить Ф. И. О. физических лиц (наименования юридических лиц), имеющих доступ к ПД в государственных (муниципальных) информационных системах или обрабатывающих данные из этих систем по договору (п. 10.2 ч. 3 ст. 22 Закона № 152-ФЗ). В частности, такими лицами могут быть работники учреждений, имеющие доступ к информационным системам в сфере здравоохранения, социального обслуживания или дополнительного образования детей.

Как пояснил Роскомнадзор в Письме от 06.09.2022 № 08-80975, уведомление об обработке (о намерении осуществлять обработку) ПД представляется во всех случаях, не подпадающих под исключения ч. 2 ст. 22 Закона № 152-ФЗ. Если до утверждения приведенных форм оператор уже успел подать уведомление, он вправе направить соответствующее уведомление для внесения изменений.

В связи с этим насущным оказался такой вопрос: чем на практике отличается автоматизированная обработка ПД от неавтоматизированной (ведь от этого во многих случаях зависит необходимость подачи уведомления)? К примеру, если в учреждении используются учетные программы, но личные данные граждан вносятся туда работниками бухгалтерии, кадровой службы и т. д. (то есть непосредственно человеком), к какому способу обработки это относится? С одной стороны, здесь используются средства вычислительной техники, а в силу п. 4 ст. 3 Закона № 152-ФЗ это и есть признак автоматизированной обработки. С другой стороны, присутствует «ручной труд» и вмешательство человека.

Чтобы прояснить ситуацию, обратимся к нормам Положения № 687, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687. В его п. 1 и 2 сказано, что обработка ПД не может быть признана автоматизированной только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее. Обработка данных из названной системы считается неавтоматизированной, если такие действия с ПД, как использование, уточнение, распространение, уничтожение, в отношении каждого из субъектов ПД осуществляются при непосредственном участии человека.

Получается, что «ручная» обработка в том или ином виде должна производиться применительно к данным каждого конкретного гражданина. Если эта информация, содержащаяся в программе, вносится, изменяется, передается и уничтожается персонально по каждому субъекту ПД и вручную, обработка остается неавтоматизированной. А вот если используемые в учреждении программы могут сами переформатировать данные, выбирать их по установленным параметрам, нужным срезам, передавать внешним пользователям и делают все это по целому массиву ПД (без необходимости просмотра и проверки ПД по каждому гражданину), такая обработка становится автоматизированной.

Кстати, переход на электронный документооборот, подачу электронной отчетности, когда взаимодействие учреждения с вышестоящими органами происходит посредством специальных программ и информационных систем, способствует все большему смещению обработки ПД к автоматизированной.