Все это — онлайн, с заботой о вас и по отличным ценам.
22 закона, оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов
Здравствуйте!
Вопрос по 152-ФЗ "О персональных данных".
Организация зарегистрирована в реестре РКН как оператор персональных данных. В целях обработки указано "оформление трудовых отношений, ведение кадрового и бухгалтерского учета". Данные сотрудников обрабатываются в 1С - тут понятно, обработка автоматизированная, поэтому нужна регистрация в РКН. Эта же организация принимает посетителей (туристов), проводит с ними инструктажи, записывает их ФИО и телефоны, но вся эта информация обрабатывается только вручную и только на бумаге, без использования средств автоматизации.
Согласно п. 8 ч. 2 ст. 22 закона, оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.
Вопрос: можно ли не уведомлять РКН о том, что обрабатываются данные туристов, т.к. для них не используются средства автоматизации, и оставить в реестре только обработку данных сотрудников? Или всё же придётся уведомить РКН об обработке данных туристов, несмотря на отсутствие средств автоматизации? Допустимо ли такое разделение - сотрудники отдельно, с уведомлением РКН, а туристы - отдельно, без уведомления?
Уважаемый Сергей, здравствуйте!
В соответствии со статьей 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» ,
оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора в случае,
8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
www.consultant.ru/document/cons_doc_LAW_61801/d996966e22e1320c9de1ab82d9f6be12c3d9d765/
Если обработка персональных данных туристов производится исключительно вручную, на бумажных носителях, и их данные не хранятся и не обрабатываются с применением информационных систем (компьютеров, облачных сервисов, серверов и т.п.), уведомление Роскомнадзора о такой обработке не требуется.
Вместе с тем, Ваша организация уже зарегистрирована в реестре операторов персональных данных как осуществляющая автоматизированную обработку данных сотрудников. В этом случае Вы обязаны поддерживать сведения, указанные в реестре, в актуальном состоянии.
Если в деятельности организации появляются новые категории субъектов персональных данных (например, туристы), и их данные обрабатываются только вручную, вносить изменения в уведомление не требуется, при условии, что автоматизированная обработка по этим категориям не осуществляется.
Разделение обработки персональных данных сотрудников (с автоматизацией) и туристов (исключительно вручную) допустимо, при условии строгого соблюдения раздельности процессов и отсутствия автоматизированной обработки данных туристов.
В случае изменения порядка обработки (например, перевод данных туристов в электронный вид), Вы обязаны уведомить Роскомнадзор об изменениях не позднее 15 числа месяца, следующего за месяцем внесения изменений (Закон № 152-ФЗ).
С уважением, Д.А.Разина