Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона). Такой информацией являются фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных (п. 2.5 Рекомендаций).
Обработкой персональных данных признаются любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации. К таким действиям относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 Закона).
Условия обработки персональных данных предусмотрены в ст. 6 Закона.
Представлять уведомление об обработке персональных данных должен оператор (ч. 1 ст. 22 Закона).
Операторами признаются государственные и муниципальные органы, а также юридические и физические лица, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними (п. 2 ст. 3 Закона).
Не требуется представление уведомления
Без уведомления уполномоченного органа может производиться обработка следующих персональных данных (ч. 2 ст. 22 Закона):
1) обрабатываемых в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона).
На практике это основание является одним из самых распространенных исключений, позволяющим не подавать уведомление. Однако работодателям следует учитывать, что под него подпадают не все персональные данные работников, а только те, обработка которых осуществляется в соответствии с трудовым законодательством. На практике встречаются случаи обработки персональных данных работников в объемах (категориях) и целях, не предусмотренных трудовым законодательством, например обработки сведений об имущественном положении, о судимости (за исключением случаев, указанных в ст. ст. 65, 349.1 ТК РФ). Названное исключение не распространяется на персональные данные уволенных сотрудников (кроме случаев, предусмотренных трудовым законодательством, например ст. 64.1 ТК РФ); членов семей сотрудников, их детей (персональные данные которых могут иметься у работодателя, например, в связи с уплатой алиментов или предоставлением налоговых вычетов по НДФЛ). В указанных случаях операторы обязаны подавать уведомление, если отсутствуют иные основания для обработки персональных данных без его подачи (например, обработка персональных данных без использования средств автоматизации);
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных. Это условие применяется, если персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона).
Указанное основание также является одним из распространенных случаев, при котором уведомление об обработке персональных данных не представляется. Следует иметь в виду, что для обработки персональных данных без представления уведомления по этому основанию должны одновременно соблюдаться все перечисленные условия:
-персональные данные не должны распространяться;
-они не должны предоставляться третьим лицам без согласия субъекта персональных данных;
-персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных.
Иное использование персональных данных влечет за собой необходимость представить в уполномоченный орган уведомление;
3) относящихся к членам (участникам) общественного объединения или религиозной организации, которые обрабатываются таким объединением (религиозной организацией), действующим в соответствии с законодательством РФ, в целях, предусмотренных учредительными документами. Это условие применяется, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Закона);
4) сделанных субъектом персональных данных общедоступными (п. 4 ч. 2 ст. 22 Закона);
5) включающих только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 22 Закона);
6) необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или аналогичных целей (п. 6 ч. 2 ст. 22 Закона);
7) включенных в информационные системы персональных данных, имеющих в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 Закона);
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных (п. 8 ч. 2 ст. 22 Закона).
Обработка персональных данных без использования средств автоматизации является еще одним из распространенных оснований, при которых она может осуществляться без представления уведомления. Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (далее - Положение). При соблюдении требований Положения подача уведомления согласно п. 8 ч. 2 ст. 22 Закона не требуется.
Если средства автоматизации (вычислительная техника, компьютеры) при обработке персональных данных не используются, уведомление об обработке персональных данных подаваться не должно (при соблюдении особенностей организации обработки данных, установленных в разд. II Положения). Однако при нынешней распространенности электронно-вычислительной техники она часто задействована в обработке персональных данных. Критерии, при которых такая обработка признается (либо не признается) неавтоматизированной, сформулированы в п. п. 1 и 2 Положения. Согласно п. 1 Положения считается неавтоматизированной обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из нее, если такие операции с персональными данными, как использование, уточнение, распространение, уничтожение (в отношении каждого из субъектов персональных данных), осуществляются при непосредственном участии человека. Кроме того, обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее (п. 2 Положения).
Необходимо отметить, что приведенные в п. 1 Положения критерии недостаточно конкретны для разграничения на практике случаев, в которых подача уведомления для обработки персональных данных с применением вычислительной техники требуется и не требуется. В связи с этим при возникновении сложностей с определением того, нужно ли подавать уведомление при различных вариантах использования вычислительной техники в процессе обработки персональных данных, следует уточнять этот вопрос в уполномоченном органе. С контактной информацией уполномоченного органа и его территориальных подразделений можно ознакомиться на портале персональных данных http://pd.rkn.gov.ru - специальном сайте уполномоченного органа по защите прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, для обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п. 9 ч. 2 ст. 22 Закона).
Орган, в который подается уведомление
Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор (абз. 2 п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 N 228).
Уведомление рекомендуется направлять в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе (абз. 2 п. 3.1.13 Рекомендаций).
Контактная информация территориальных органов (включая адреса их сайтов) приведена на сайте www.rkn.gov.ru. На сайтах территориальных органов может быть размещена информация о конкретном адресе, по которому следует направлять уведомление.
1.4. Последствия обработки персональных данных без подачи уведомления, а также в случаях его несвоевременной подачи либо подачи уведомления, содержащего неполные или недостоверные сведения
Непредставление в уполномоченный орган уведомления об обработке персональных данных, его несвоевременное представление (т.е. уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ. Данная статья предусматривает ответственность за непредставление или несвоевременное представление в государственный орган сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. Ответственность по данной статье наступает также в случае предоставления сведений в неполном объеме или в искаженном виде.
Ответственность установлена в виде предупреждения или штрафа в размере:
-для граждан - от 100 до 300 руб.;
-для должностных лиц (в том числе индивидуальных предпринимателей - примечание к ст. 2.4 КоАП РФ) - от 300 до 500 руб. При этом согласно примечанию к ст. 2.4 КоАП РФ такими лицами являются руководители и иные работники организаций, выполняющие организационно-распорядительные или административно-хозяйственные функции;
-для юридических лиц - от 3000 до 5000 руб.
Таким образом, так как характер персональных данных представляемых для участия в тендере, на конкурсе выходит за рамки п. 5) включающих только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 22 Закона) и включает также данные связанные с образованием, т.е. дипломы, квалификацией, то есть сертификаты, допуски и другие документы, связанные с прохождением курсов повышения квалификации, то соответственно УВЕДОМЛЕНИЕ РОСКОМНАДЗОРА ЯВЛЯЕТСЯ ОБЯЗАТЕЛЬНЫМ и непредставление в уполномоченный орган уведомления об обработке персональных данных, его несвоевременное представление (т.е. уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ