Персональные данные: что это такое и кто является их оператором? Разбираемся в вопросе

Закон о защите персональных данных содержит несколько базовых определений, одним из которых является термин “оператор персональных данных”.

В этой статье мы рассмотри: кто это? какие есть права и обязанности? кто не является оператором персональных данных?

Сможем узнать о том, какая информация является личной.

Скрыть содержание

Кто это?

Оператором ПД выступает юридическое или физическое лицо, государственное или муниципальное учреждение, которое производит получение и обработку персональной информации, определяет цели и перечень действий с предоставленными данными.

Оператор может самостоятельно осуществлять манипуляции с персональной информацией, а может привлекать к работе третьих лиц – они тоже автоматически подпадают под определение “оператор”.

О политике оператора в отношении обработки персональных данный читайте здесь.

Какая информация относится к личной?

Закон исчерпывающего списка не предоставляет. Чаще всего это паспортная информация, идентификационный номер (ИНН), место проживания и регистрации, трудовой стаж, место работы, образование, состав семьи, в некоторых случаях – информация о состоянии здоровья, льготах и т. п.

По факту оператором ПД выступает любое учреждение, которое принимает от физического лица персональную информацию, как минимум ту, которая содержится в паспорте.

Интернет-ресурсы, запрашивающие информацию о подписчике, банки, работающие со сведениями налогоплательщиков и держателей карт, турагенства, принимающие документы на оформление визы, магазины, оформляющие бонусные карты, поликлиники, имеющие доступ к медкартам – все они являются операторами ПД. И список можно продолжить.

Что такое реестр таких сведений?

Реестр операторов персональных данных – это специальная база (список) Роскомнадзора, куда включаются юридические или физические лица, подпадающие под определение оператора.

Такое лицо обязано самостоятельно заявить о себе органам Роскомнадзора путем подачи уведомления в особой форме – бумажным или электронным письмом, либо на фирменном бланке организации. Подробно процедура описана в Приказе Минкомсвязи России от 21.12.2011 N 346.

Обо всех изменениях, касающихся перечня операций с ПД или целей их обработки, оператор должен уведомлять Роскомнадзор. Роскомнадзор в свою очередь осуществляет контроль за работой объектов в сфере обработки ПД и проводит их проверку.

Список госреестра является общедоступным и представлен на официальном сайте федеральной службы rkn.gov.ru.

Важно! Отказ лица вносить сведения в реестр расценивается как административное нарушение, и влечет уплату штрафа, максимальный размер которого составляет 500 тысяч рублей.

Подробнее о регистрации в Роскомнадзоре оператора ПД рассказано в этой статье.

Права и обязанности

В соответствии с Федеральным законом РФ от 27 июля 2006 г. N 152-ФЗ “О персональных данных” операторы ПД имеют ряд обязательств перед государством и лицом, чьи данные взяты в обработку. Они должны:

  1. Обеспечить безопасность обработки ПД, использовать различные методы для защиты конфиденциальной информации от неправомерных действий или случайного доступа, в том числе копирование, уничтожение, передача третьим лицам, корректировка и блокировка.
  2. Уведомить федеральный орган Роскомнадзор о начале работы с личной информацией субъектов для внесения в единый государственный реестр.
  3. При сборе ПД получить у субъекта письменное согласие на обработку данных.

    Последний пункт имеет исключения, закрепленные законодательно, когда согласия субъекта на операции с персональными данными не требуется.

  4. По требованию субъекта предоставлять данные о нем, корректировать имеющуюся информацию в случае изменения данных, уничтожать недостоверные сведения по требованию субъекта.
  5. Предоставлять в уполномоченный государственный орган (по требованию) ПД, необходимые для работы госслужбы.

Что касается прав оператора, то они довольно ограничены и заключаются в праве получать информацию об изменениях в законодательстве, касающихся сферы обработки ПД.

Что подлежит включению в базу Роскомнадзора?

Предпринимать меры по уведомлению Роскомнадзора для включения в список придется:

  • Интернет-ресурсам (соцсетям, форумам, порталам), которые проводят регистрацию пользователей с указанием ПД даже в минимальной форме (Ф.И.О. и электронный адрес).
  • Онлайн-магазинам, принимающим от покупателей информацию об обратном звонке, адресе доставки товара.
  • Сайтам, публикующим информацию о субъекте или отправляющим ее на электронный ящик, а также тем, которые уже содержат конфиденциальные данные.

    Внимание! Роскомнадзор имеет право заблокировать интернет-ресурс, нарушающий законодательство в сфере ПД.
  • Компаниям, организациям, предпринимателям, которые занимаются оперированием ПД на постоянной основе: юридические и бухгалтерские конторы, турагентства, учреждения ЖКХ, регистраторы и реестродержатели, банки и медучреждения, образовательные учреждения, компании сферы обслуживания, выдающие клубные карты.
  • Компаниям, функционирующим на основе гражданско-правовых договоров с внештатными кадрами.
  • Фирмам, использующим системы CRM.

Выступает ли им работодатель ?

Как следует из списка, представленного выше, любой работодатель, нанимающий сотрудников, потенциально может быть оператором ПД. Он получает от соискателей и сотрудников сведения, и обязан создавать систему защиты полученной информации, разрабатывать специальные меры, предотвращающие неправомерное ее использование.

Однако существует ряд исключений, согласно которым работодатель не считается оператором ПД, и может не уведомлять Роскомнадзор в процессе работы с персональными данными. В частности, это работодатели, которые собирают и хранят сведения, необходимые исключительно для составления договора о трудовых отношениях, внутренних приказов, в соответствии с трудовым законодательством.

Кто не является?

Некоторые юридические лица и учреждения могут не подпадать под определение оператора ПД:

  1. телефонные компании, которые имеют доступ к сведениям абонента и используют их исключительно для оказания услуг связи;
  2. общественные или религиозные организации, использующие сведения своих членов для реализации целей, указанных в учредительных документах;
  3. лица и учреждения, которые используют ПД, раскрытые субъектом самостоятельно и добровольно;
  4. компании с пропускными системами, оформляющие одноразовые пропуска;
  5. госсистемы ПД, созданные в сфере защиты государства и сохранения общественного порядка;
  6. организации, которые обрабатывают данные без привлечения автоматизированных систем;
  7. транспортные компании, получающие сведения для оформления проездных билетов.

Следует учесть, что Роскомнадзор может прийти с проверкой не только в компанию, внесенную в госреестр, но и в любую другую, которая в списке не значится. Следовательно, с объекта, который не подпадает под термин “оператор”, не снимается ответственность по защите конфиденциальных сведений и деятельности в соответствии с российским законодательством.

Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий