Уведомлять Роскомнадзор о начале обработки персональных данных в описанной ситуации не нужно. Теперь объясним почему.
Действительно, юридическое лицо, осуществляющее обработку персональных данных, признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а просто в силу самого факта осуществления им деятельности по обработке персональных данных (в соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ)). Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).
Таким образом, организация, оформляющая продажу товара населению в кредит, является оператором и должна выполнять обязанности оператора, предусмотренные главой 4 Закона № 152-ФЗ.
Согласно ч. 1 ст. 22 Закона № 152-ФЗ оператор до начала обработки персональных данных обязан об этом своем намерении уведомить уполномоченный орган по защите прав субъектов персональных данных – Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). При этом в части 2 данной статьи приведен закрытый перечень случаев, когда направлять уведомление не нужно. В частности, уведомлять уполномоченный орган не нужно, если персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, притом, что персональные данные не распространяются, не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона № 152-ФЗ). Кстати, на этом же основании работодатель, собирающий и обрабатывающий персональные данные своих работников, не обязан уведомлять об этом Роскомнадзор.
Таким образом, обработка персональных данных покупателей – физических лиц, с которыми непосредственно у организации-продавца заключен договор (в том числе договор купли-продажи товара в кредит), может осуществляться без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных.
Отметим, что даже в тех случаях, когда оператор подпадает под исключение и не обязан уведомлять Роскомнадзор о работе с персональными данными, это не освобождает его от необходимости применения мер по защите обрабатываемых им персональных данных.
Теперь ответим на второй вопрос. За нарушение требования об уведомлении Роскомнадзора о начале обработки персональных данных граждане, должностные лица и организации могут быть привлечены к административной ответственности, предусмотренной ст. 19.7 КоАП РФ (см. постановление Двенадцатого арбитражного апелляционного суда от 05.08.2011 № 12АП-4697/11) в виде предупреждения или наложения административного штрафа:
- на граждан – в размере от 100 до 300 рублей;
- на должностных лиц – от 300 до 500 рублей;
- на юридических лиц – от 3 000 до 5 000 рублей.
