Оператор персональных данных

Многие индивидуальные предприниматели и компании не знают, нужно ли им передавать о себе данные в Роскомнадзор и регистрироваться в качестве оператора персональных данных. Постараемся разобраться, кому это делать необходимо.

Про ОПД

К персональным данным человека относится ФИО, номер паспорта, адрес прописки и пр. Исчерпывающий список не утвержден ни одним из действующих законов. Оператор персональных данных это любое физическое лицо или государственный орган, который обрабатывает ПД в тех или иных целях.

Т.е. если сотруднику предприятия по специфике своей работы приходится запрашивать или пересылать персональные данные, его можно назвать их оператором. Это же относится и к лицам, которые имеют доступ к ПД.

Соответственно оператором можно назвать почти любого человека. К примеру, пользователь ПК ведет свой сайт в интернете и собирает информацию о подписчиках. Про банки и различные компании, которые целенаправленно собирают данные гражданина отдельный разговор. Даже если продавец в магазине предлагает покупателю приобрести фирменную бонусную карту, он также является оператором ПД.

Обязанности оператора

Граждане, которые сталкиваются с обработкой персональных данных, обязаны соблюдать связанные с этим вопросом законы. Самый главный из них – неразглашение. После того, как ПД клиента больше не нужны, оператор обязан уничтожить их из хранилища. К прочим обязанностям оператора персональных данных относятся:

1. Разъяснение. Перед тем, как человек сообщит свои данные, оператор обязан объяснить, для чего они нужны и в каких целях будут использоваться. После этого клиент в письменном виде должен дать согласие на обработку ПД. Такое правило регламентируется ФЗ № 152.
2. Политика обработки. Оператор обязан разработать документ, в котором будет подробно описана политика обработки персональных данных в компании. Документ публикуется любым удобным способом. Чаще всего его помещают на официальный сайт компании. Там с ним может ознакомиться люб ой человек.
3. Меры защиты. Главное правило для оператора ПД – неразглашение. Кроме этого лицо, отвечающее за обработку, обязано обеспечить защиту персональных данных от похищения третьими лицами. Т.е. если данные хранятся на компьютере, от оператора требуется защитить их от хакерских атак и пр. Если ПД хранятся на бумажных носителях в помещении, доступ туда должен быть только у оператора.
4. Уничтожение. После того, как ПД больше не нужны (например, клиент прекратил сотрудничество с компанией) данные должны быть уничтожены в отведенные законом сроки. Эта обязанность также лежит на операторе.

Все правила касательно обработки персональных данных закреплены Федеральным законом № 152 от 26 июля 2006 года.

Как зарегистрироваться в качестве ОПД

Перед тем, как оператор начнет обрабатывать персональные данные клиентов, он обязан обратиться в соответствующий государственный орган надзора и сообщить об этом. Однако, согласно все тому же ФЗ № 152 (ч. 2 ст. 22) от постановки на учет освобождаются:

1. Лица, которые используют для своей работы общедоступные данные, которые люди раскрыли сами. Это может быть информация, которая содержится на личных страницах в соц.сетях или на сайтах.
2. Операторы государственных информационных систем, которые используются для обеспечения общественного порядка. Их очень много (Эра-Глонасс, Усправление и пр.).
3. Частные лица и организации, которые используют персональные данные для обеспечения безопасного функционирования транспорта. К примеру, при поездке на междугороднем автобусе или поезде кассир обязан спросить человека ФИО и паспортные данные. Однако регистрироваться в качестве оператора ПД ему не нужно.
4. Освобождаются от регистрации и организации, которые обрабатывают персональные данные вручную, без каких бы то ни было средств автоматизации.

Однако, даже если организация не попадает в обязательный список регистрации операторов ПД, ей все равно придется сообщить о своей деятельности в Роскомнадзор.

Важно! После внесения поправок в действующее законодательство 01. 09. 2022 любой работодатель обязан быть зарегистрированным в реестре Роскомнадзора в качестве оператора персональных данных. Это касается как ИП, у которых есть сотрудники, так и глав больших организаций.

Для регистрации человеку необходимо подать заявление в Роскомнадзор. Его образец можно скачать на сайте контролирующего органа или на Госуслугах. Есть он и в Приказе Минкомсвязи России от 21.12.2011 № 346.

Важно! Подать заявление можно как в бумажном, так и в электронном виде. В первом случае человек после заполнения бланка лично относит его в территориальный орган Роскомнадзора или отправляет его по почте. Во втором – документ оформляется непосредственно на сайте контролирующего органа.

В заявлении необходимо указать следующие данные:

• название компании (как полное, так и сокращенное);
• организационно-правовую форму компании;
• почтовый адрес;
• юридический адрес;
• цель обработки персональных данных;
• какие именно категории персональных данных планирует обрабатывать компания;
• ПД каких категорий граждан будут обрабатываться (пассажиров, работников и т.д.);
• законодательная база на основе которой организация считает возможным обработку персональных данных своими сотрудниками;
• полные сведения о сотрудниках, которые будут заниматься обработкой ПД;
• информацию о том, какие меры защиты ПД будут использованы в компании;
• планируемая дата начала обработки ПД;
• сведения о том, где будут храниться ПД.

Рассмотрение вопроса о регистрации может занять до 30 суток. Если заявление было подано в электронном формате, организации все равно придется направить в территориальный орган Роскомнадзора его бумажную копию. В процессе регистрации сотрудники контролирующего органа вправе потребовать у организации документы для уточнения тех или иных сведений.

Если в процессе работы у организации меняются цели или способы обработки персональных данных, ее руководство в 10-дневный срок обязано уведомить об этом Роскомнадзор. При этом в адрес контролирующего органа направляется письмо. Его форму можно посмотреть на сайте Роскомнадзора.

Основные изменения после 1 сентября 2022 года

В сентябре 2022 года в закон об обработке персональных данных был внесен ряд изменений. Основные из них:

1. Изменился срок ответа на запросы Роскомнадзора (его сократили с 30 до 10 суток);
2. Расширился список тех, к4то обязан регистрироваться в качестве оператора персональных данных. Теперь эту процедуру должны проходить практически все ИП и организации. Исключение – те компании, которые не используют средств автоматизации. К примеру. Если человеку для того, чтобы попасть на территорию предприятия необходимо получить пропуск, оформленный через специальную компьютерную программу, организации необходимо зарегистрироваться в качестве оператора. А если охранник вручную вносит его данные в журнал учета посетителей, регистрация не нужна.
3. В заявление на регистрацию теперь необходимо вносить данные о категории ПД, законодательной базе, на основе которой организация будет заниматься обработкой ПД и подробный перечень действий с ПД, способы их обработки и защиты.
4. Если в компании произошла утечка ПД в течение 24 часов ее руководство должно сообщить об этом в Роскомнадзор. 3 дня дается на проведение внутреннего расследования. Через 72 часа организация должна сообщить Роскомнадзору причину происшествия.
5. Бланк согласия на обработку ПД должен выглядеть понятно и однозначно. Т.е. прочитав его человек сразу должен понять, куда будут внесены его данные, где они буду храниться, как будут защищены и зачем с него требуют их предоставить.

Что будет если не зарегистрироваться в реестре

Ответственность за отказ регистрироваться в реестре наступает согласно ст. 19.7 КоАП РФ. Нарушителям в статусе должностного лица грозит штраф от 300 до 500 рублей, а юридическим лицам – от 3 до 5 тыс. рублей.

В случае, если оператор нарушил условия обработки персональных данных, он будет нести ответственность согласно ст. 13.11 КоАП РФ. Это штраф. Для юридических лиц он варьируется от 15 до 75 тыс. руб. Для ИП – от 5 до 20 тыс. руб. Здесь все зависит от тяжести преступления, а также от того, как именно оно повлияло на репутацию клиентов.