praktik@gonzharov.ru
ПРАКТИКУМ ЮРИДИЧЕСКОЙ
БЕЗОПАСНОСТИ БИЗНЕСА
С 1 сентября 2022 года вступили в силу изменения в Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных». В данном случае нас интересуют изменения в статье 22 данного закона.
С 1 сентября 2022 года в части 2 статьи 22 исключены пункты с 1 по 6 и изменены пункты 7, 8.
Пункт 7 изложен в следующей редакции: «включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка».
Пункт 8 изложен в следующей редакции: «в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации».
Напомню, что статья 22 Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» предусматривает обязанность Оператора до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, часть 2 этой статьи предусматривает случаи отсутствия такой обязанности.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В данном случае нас интересует пункт 8 части 2 статьи 22 этого закона. Он определяет условие, при наличии которого имеет место освобождение от обязанности уведомить уполномоченный орган по защите прав субъектов персональных данных, а именно когда Оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.
В сети появились статьи, которые утверждают, что теперь обязанность по уведомлению Роскомнадзора возникает у большинства Операторов и побуждают их «бежать» и подавать уведомление в Роскомнадзор.
В данных статьях указывается, что, если Оператор использует компьютер или иную электронно-вычислительную технику, то значит он использует средства автоматизации.
В законе определение термину «средства автоматизации» отсутствует. Следуя буквальному толкованию данного термина, следует вывод, что речь идёт о средстве, которое работает автоматически, т.е. без участия человека. Сам по себе компьютер является средством автоматизации? Ответ — нет. Компьютер — это техническое устройство, а не средство автоматизации.
Примером обработки персональных данных с использованием средств автоматизации является взаимодействие Оператора с физическими лицами, когда заказы формируются физическими лицами самостоятельно, без участия сотрудника Оператора, т.е. обычные заказы товаров и услуг через интернет.
Сейчас, как и до 1 сентября 2022 года, действует Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
В соответствии с данным Постановлением: «1.Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. 2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее».
Уведомление
Роскомнадзора