Не все организации и индивидуальные предприниматели понимают, относятся ли они к операторам персональных данных (ПДн) и есть ли у них необходимость передавать сведения о себе в Роскомнадзор.

В этой статье мы разберём, кто же является оператором, как зарегистрироваться в Роскомнадзоре, кто не должен вноситься в реестр операторов, какие обязанности возложены на операторов ПДн.

Кто такой «оператор персональных данных»?

В соответствии со статьёй 3 Федерального закона № 152 «О персональных данных» под оператором понимается лицо с любым юридическим статусом, которое самостоятельно либо вместе с другими лицами организует и/или осуществляет обработку ПДн, определяет их состав, цели обработки и действия, производимые с ПДн.

То есть оператором ПДн является каждый, кто запрашивает и использует эти данные. Кроме того, все, кто имеет доступ и производит обработку информации, по которой возможна идентификация гражданина, фактически работают с ПДн и ответственны за нарушение закона об их защите.

Оператор может выполнять обработку ПДн как самостоятельно, так и с привлечением третьих лиц по договору поручения. В нём нужно прописать необходимость обеспечения безопасности и конфиденциальности сведений граждан, которые обрабатываются. При этом только оператор несёт ответственность перед субъектом, даже за действия третьих лиц.

Какая информация считается персональной?

Закон не предоставляет исчерпывающего ответа. Нередко персональными данными является паспортная информация, место жительства или регистрации, трудовой стаж, идентификационный номер, полученное образование. Также – состав семьи, состояние здоровья, льготы.

Фактически оператором ПД является любое учреждение, взявшее на себя ответственность принимать персональную информацию от физических лиц. Сюда относятся сайты, требующие прохождение идентификации для посетителей, банковские учреждения, туристические агентства, магазины, занимающиеся оформлением дисконтных карт для покупателей. Также операторами считаются поликлиники, обладающие доступом к медицинским картам пациентов.

Реестр операторов Роскомнадзора

Реестр операторов персональных данных – список, составленный Роскомнадзором. В каталоге присутствуют юридические и физические лица, попадающие под соответствующую категорию.

В соответствии с законом ФЗ-152 оператор ПДн обязан уведомить уполномоченный орган надзора о начале работы с ПДн. Однако не каждая организация должна быть внесена в реестр операторов ПДн, который ведёт Роскомнадзор.

К таким операторам относятся:

работодатели, осуществляющие сбор и хранение информации в соответствии с трудовым законодательством;

общественные объединения или религиозные организации, использующие личную информацию о своих членах (участниках) для достижения целей согласно учредительным документам;

компании стационарной или сотовой телефонной связи в случае получения данных только с целью предоставления услуг связи по договору, заключенному субъектом, а также при отсутствии распространения и предоставления этих данных третьим лицам без согласия субъекта ПДн;

организации и физические лица, которые используют общедоступные данные, раскрытые самими субъектами ПДн;

организации с действующей системой пропусков, когда паспортные данные предоставляются субъектом для однократного пропуска на территорию организации;

государственные автоматизированные информсистемы, а также государственные системы ПДн, целью создания которых является защита безопасности государства и общественного порядка;

организации и граждане, не использующие средства автоматизации для обработки данных. Информация при этом должна обрабатываться в соответствии с Постановлением правительства № 687 от 15 сентября 2008 года;

организации, которые осуществляют запрос сведений для обеспечения безопасности в транспортной отрасли.

Все остальные организации должны пройти регистрацию в реестре Роскомнадзора, которая осуществляется путём направления уведомления об обработке ПДн по определенной форме.

Важно отметить, что Роскомнадзор имеет право посетить любую организацию с проверкой независимо от того, внесена она в реестр операторов или нет.

Внимание! Отказ внесения сведений в реестр – административное нарушение, влекущее уплату штрафа. Максимальный размер штрафа составляет 500 000 рублей.

Обязанности оператора ПДн

В соответствии с Федеральным законом, принятым 27 июля 2006 года N 125-ФЗ «О персональных данных», все операторы обладают обязательствами перед российским государством и лицами, чья информация взята в обработку.

Основными правилами являются:

Обеспечение безопасности обработки. Использование различных способов для защиты конфиденциальных данных от случайного доступа или неправомерных действий. В том числе – защита от уничтожения, копирования, редактирования, блокировки и передачи третьим лицам;

Уведомление Роскомнадзора перед началом работы с личной информации, предназначенной для внесения в государственный реестр;

Получение письменного разрешения у субъекта, задействованного при сборе персональной информации, на обработку таких сведений. Данный пункт обладает несколькими исключениями, когда получение согласия не обязательно;

Предоставление, редактирование и уничтожение недостоверных персональных данных по требованию субъекта;

Передача уполномоченным государственным органом ПД, необходимых для работы государственной службы.

В какой бы отрасли не работала организация, какой бы большой или маленький штат её работников, а также объём обрабатываемых данных не был, она обязана разработать Политику обработки ПДн и другие внутренние документы, устанавливающие порядок выполнения всех действий с ПДн. От компаний, ведущих свой бизнес онлайн, требуется размещать основную документацию на сайте. Если у организации нет сайта, необходимая информация размещается на стенде так, чтобы она могла быть доступна для ознакомления всем клиентам и посетителям организации.

Если организация не обеспечивает неограниченный доступ к Политике обработки ПДн, ей грозит штраф в размере от 3 до 30 тысяч рублей и включение в реестр нарушителей, что не может положительно сказаться на репутации.

Права самого оператора достаточно ограничены. Они позволяют получать информацию о законодательных изменениях, затрагивающих область обработки ПД.

Что должно включаться в базу Роскомнадзора?

Интернет-ресурсы (форумы, социальные сети, сайты), функциональные возможности которых предполагают внесение даже минимального количества персональной информации (адрес e-mail и ФИО);

Интернет-магазины, занимающиеся приемом от посетителей адресов доставки товаров или запросов на совершение обратных звонков;

Сайты, публикующие информацию о субъектах или передающие такие сведения на электронные адреса;

Компании, занимающиеся обработкой персональных данных на постоянной основе – туристические агентства, медицинские учреждения, банковские организации, школы;

Фирмы, пользующиеся системой CRM.

Проверки Роскомнадзора

Роскомнадзор регулярно осуществляет проверки организаций на предмет выполнения требований закона ФЗ-152. Прежде всего, его сотрудники изучают следующие моменты:

наличие и соблюдение внутренней документации, определяющей отношения оператора и субъекта ПДн между собой;

наличие согласия субъектов ПДн в письменной форме при необходимости;

уведомление о начале обработки, направленное в Роскомнадзор в установленный срок;

определенные оператором цели и продолжительность хранения данных;

какие меры защиты применяются и как налажена система ограничения доступа;

сервера для систематизации и хранения информации.

Является ли работодатель оператором?

Любой работодатель, нанимающий на работу сотрудников, считается потенциальным оператором персональных данных. Он получает от сотрудников и соискателей сведения, поэтому обязан создать защитную систему для недопущения распространения конфиденциальной информации. Но существует несколько исключений, когда работодатель не является оператором ПД.

Например – работодатели, собирающие и хранящие сведения, предназначенные сугубо для оформления договора о трудовых отношениях или внутренних приказов.

Кто не является оператором персональных данных?

Некоторые учреждения и юридические лица не попадают под категорию операторов ПД:

Телефонные компании, обладающие доступом к информации абонентов и пользующиеся ею только для предоставления телекоммуникационных услуг;

Религиозные и общественные организации, пользующиеся сведениями своих участников для реализации целей, намеченных в учредительских документах;

Лица, пользующиеся персональными данными, добровольно раскрытыми субъектами;

Компании, обладающие пропускными системами и оформляющие одноразовые пропуска для посетителей;

Государственные системы, созданные для соблюдения общественного порядка и защиты государства;

Организации, обрабатывающие персональные данные без использования компьютерных или автоматизированных систем;

Транспортные перевозчики, получающие сведения для оформления билетов на проезд.

Требуется учитывать, что представители Роскомнадзора способны прийти в любую компанию, внесенную в государственный реестр, а также в организацию, не значащуюся в списке. Таким образом, с объекта, соответствующего термину «оператор», не снимается ответственность по соблюдению неразглашения конфиденциальной информации.

Ответственность оператора за нарушения

За нарушение законодательства в области персональных данных оператору грозят разные виды ответственности:

замечание, выговор или увольнение работника, позволившего разглашение конфиденциальных сведений;

взыскание суммы ущерба с сотрудника, нарушившего требования законодательства;

в случае гражданского иска возмещение морального вреда субъекту ПДн;

наложение административного штрафа в размере от 15 тысяч до 18 миллионов рублей;

иные виды ответственности, включая уголовную в случае серьёзных последствий для субъекта ПДн.