В адрес приходов все чаще поступают запросы Роскомнадзора о предоставлении сведений об обработке персональных данных. Юрисконсульт Юридической службы Московской Патриархии О.М. Трайнин разъясняет, нужно ли религиозным организациям Русской Православной Церкви предоставлять такие сведения (ответ опубликован в журнале «Приход», № 3 за 2017 год).
Направление юридическими лицами ― операторами персональных данных уведомлений в органы Роскомнадзора о своем намерении осуществлять обработку персональных данных предусмотрено ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Приложением № 2 Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденного Приказом Минкомсвязи России от 21.12.2011 № 346, установлена форма такого уведомления.
Приведем основные понятия, введенные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (ст. 3):
1) персональные данные ― любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор ― государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных ― любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
На поставленный вопрос сообщаем следующее.
В обоснование своих запросов органы Роскомнадзора ссылаются на требования ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Однако в соответствии с этим законом оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 указанной статьи.
Согласно ч. 2 указанной статьи оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, относящихся к членам (участникам) религиозной организации и обрабатываемых соответствующей религиозной организацией, действующей в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных ее учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных (п. 3). Данное положение является реализацией п. 5 ч. 2 ст. 10 закона «О персональных данных», в соответствии с которым указанные персональные данные отнесены к специальной категории персональных данных, подлежащих обработке исключительно религиозными организациями.
Таким образом, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (ст. 22) предусмотрено отсутствие обязанности оператора таких персональных данных представлять в уполномоченный орган по защите прав субъектов персональных данных уведомление.
Также отсутствие такой обязанности у религиозной организации ― оператора специальной категории персональных данных в соответствии с п. 5 ч. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» подтверждено ч. 4 ст. 25 данного закона.
Отметим, что законом «О персональных данных» не предусмотрено предоставление информационного письма с указанием законных оснований, в соответствии с которыми оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа. Административным регламентом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденным Приказом Минкомсвязи России от 21.12.2011 № 346, форма такого информационного письма не установлена.
Указанным Административным регламентом утверждена форма информационного письма (приложение № 3), являющегося документом для рассмотрения вопроса о внесении изменений в сведения об операторе в реестре (п. 23 Административного регламента), которое не может быть использовано в целях представления информации, запрашиваемой территориальным органом Роскомнадзора.
Следует также отметить, что согласно ч. 2.1 Федерального закона «О персональных данных» операторы, которые осуществляли обработку персональных данных до 1 июля 2011 г., обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в п.п. 5, 7.1, 10 и 11 ч. 3 ст. 22 указанного Федерального закона, не позднее 1 января 2013 года. Однако во взаимодействии со ст. 22 и ч. 4 ст. 25 указанного Федерального закона данная обязанность не распространяется на религиозные организации, являющиеся субъектами обработки специальных категорий персональных данных, предусмотренных в соответствии с п. 5 ч. 2 ст. 10 указанного Федерального закона, поскольку данные, указанные в п.п. 5, 7.1, 10 и 11 ч. 3 ст. 22 этого Федерального закона содержатся в предусмотренном ч. 1 ст. 22 указанного Федерального закона уведомлении, обязанность представления которого полностью или частично у религиозных организаций в случаях, предусмотренных ч. 2 ст. 22 указанного Федерального закона, отсутствует.
Таким образом, требования Роскомнадзора являются незаконными.
В случае привлечения религиозных организаций епархии к административной ответственности за непредставление запрашиваемых сведений соответствующие основания привлечения (протоколы, решения и т.д.) должны быть обжалованы в судебном порядке.
Также нужно иметь в виду, что Административным регламентом исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. Приказом Минкомсвязи России от 14.11.2011 № 312) предусмотрен досудебный порядок обжалования действий должностных лиц (п.п. 105-105.3):
- территориального органа Роскомнадзора ― руководителю территориального органа;
- Роскомнадзора или руководителя территориального органа Роскомнадзора ― руководителю Роскомнадзора;
- руководителя Роскомнадзора ― Министру связи и массовых коммуникаций Российской Федерации.
По вопросу обжалования необходимо обращаться в Юридическую службу Московской Патриархии.
Патриархия.ru