Персональные данные: что это такое и кто является их оператором? Разбираемся в вопросе
Закон о защите персональных данных содержит несколько базовых определений, одним из которых является термин “оператор персональных данных”.
В этой статье мы рассмотри: кто это? какие есть права и обязанности? кто не является оператором персональных данных?
Сможем узнать о том, какая информация является личной.
Скрыть содержание
- Кто это?
- Что такое реестр таких сведений?
- Права и обязанности
- Что подлежит включению в базу Роскомнадзора?
- Выступает ли им работодатель ?
- Кто не является?
Кто это?
Оператором ПД выступает юридическое или физическое лицо, государственное или муниципальное учреждение, которое производит получение и обработку персональной информации, определяет цели и перечень действий с предоставленными данными.
Оператор может самостоятельно осуществлять манипуляции с персональной информацией, а может привлекать к работе третьих лиц – они тоже автоматически подпадают под определение “оператор”.
О политике оператора в отношении обработки персональных данный читайте здесь.
Какая информация относится к личной?
Закон исчерпывающего списка не предоставляет. Чаще всего это паспортная информация, идентификационный номер (ИНН), место проживания и регистрации, трудовой стаж, место работы, образование, состав семьи, в некоторых случаях – информация о состоянии здоровья, льготах и т. п.
По факту оператором ПД выступает любое учреждение, которое принимает от физического лица персональную информацию, как минимум ту, которая содержится в паспорте.
Интернет-ресурсы, запрашивающие информацию о подписчике, банки, работающие со сведениями налогоплательщиков и держателей карт, турагенства, принимающие документы на оформление визы, магазины, оформляющие бонусные карты, поликлиники, имеющие доступ к медкартам – все они являются операторами ПД. И список можно продолжить.
Что такое реестр таких сведений?
Реестр операторов персональных данных – это специальная база (список) Роскомнадзора, куда включаются юридические или физические лица, подпадающие под определение оператора.
Такое лицо обязано самостоятельно заявить о себе органам Роскомнадзора путем подачи уведомления в особой форме – бумажным или электронным письмом, либо на фирменном бланке организации. Подробно процедура описана в Приказе Минкомсвязи России от 21.12.2011 N 346.
Обо всех изменениях, касающихся перечня операций с ПД или целей их обработки, оператор должен уведомлять Роскомнадзор. Роскомнадзор в свою очередь осуществляет контроль за работой объектов в сфере обработки ПД и проводит их проверку.
Список госреестра является общедоступным и представлен на официальном сайте федеральной службы rkn.gov.ru.
Важно! Отказ лица вносить сведения в реестр расценивается как административное нарушение, и влечет уплату штрафа, максимальный размер которого составляет 500 тысяч рублей.Подробнее о регистрации в Роскомнадзоре оператора ПД рассказано в этой статье.
Права и обязанности
В соответствии с Федеральным законом РФ от 27 июля 2006 г. N 152-ФЗ “О персональных данных” операторы ПД имеют ряд обязательств перед государством и лицом, чьи данные взяты в обработку. Они должны:
- Обеспечить безопасность обработки ПД, использовать различные методы для защиты конфиденциальной информации от неправомерных действий или случайного доступа, в том числе копирование, уничтожение, передача третьим лицам, корректировка и блокировка.
- Уведомить федеральный орган Роскомнадзор о начале работы с личной информацией субъектов для внесения в единый государственный реестр.
- При сборе ПД получить у субъекта письменное согласие на обработку данных.
Последний пункт имеет исключения, закрепленные законодательно, когда согласия субъекта на операции с персональными данными не требуется.
- По требованию субъекта предоставлять данные о нем, корректировать имеющуюся информацию в случае изменения данных, уничтожать недостоверные сведения по требованию субъекта.
- Предоставлять в уполномоченный государственный орган (по требованию) ПД, необходимые для работы госслужбы.
Что касается прав оператора, то они довольно ограничены и заключаются в праве получать информацию об изменениях в законодательстве, касающихся сферы обработки ПД.
Что подлежит включению в базу Роскомнадзора?
Предпринимать меры по уведомлению Роскомнадзора для включения в список придется:
- Интернет-ресурсам (соцсетям, форумам, порталам), которые проводят регистрацию пользователей с указанием ПД даже в минимальной форме (Ф.И.О. и электронный адрес).
- Онлайн-магазинам, принимающим от покупателей информацию об обратном звонке, адресе доставки товара.
- Сайтам, публикующим информацию о субъекте или отправляющим ее на электронный ящик, а также тем, которые уже содержат конфиденциальные данные.
Внимание! Роскомнадзор имеет право заблокировать интернет-ресурс, нарушающий законодательство в сфере ПД.- Компаниям, организациям, предпринимателям, которые занимаются оперированием ПД на постоянной основе: юридические и бухгалтерские конторы, турагентства, учреждения ЖКХ, регистраторы и реестродержатели, банки и медучреждения, образовательные учреждения, компании сферы обслуживания, выдающие клубные карты.
- Компаниям, функционирующим на основе гражданско-правовых договоров с внештатными кадрами.
- Фирмам, использующим системы CRM.
Выступает ли им работодатель ?
Как следует из списка, представленного выше, любой работодатель, нанимающий сотрудников, потенциально может быть оператором ПД. Он получает от соискателей и сотрудников сведения, и обязан создавать систему защиты полученной информации, разрабатывать специальные меры, предотвращающие неправомерное ее использование.
Однако существует ряд исключений, согласно которым работодатель не считается оператором ПД, и может не уведомлять Роскомнадзор в процессе работы с персональными данными. В частности, это работодатели, которые собирают и хранят сведения, необходимые исключительно для составления договора о трудовых отношениях, внутренних приказов, в соответствии с трудовым законодательством.
Кто не является?
Некоторые юридические лица и учреждения могут не подпадать под определение оператора ПД:
- телефонные компании, которые имеют доступ к сведениям абонента и используют их исключительно для оказания услуг связи;
- общественные или религиозные организации, использующие сведения своих членов для реализации целей, указанных в учредительных документах;
- лица и учреждения, которые используют ПД, раскрытые субъектом самостоятельно и добровольно;
- компании с пропускными системами, оформляющие одноразовые пропуска;
- госсистемы ПД, созданные в сфере защиты государства и сохранения общественного порядка;
- организации, которые обрабатывают данные без привлечения автоматизированных систем;
- транспортные компании, получающие сведения для оформления проездных билетов.
Следует учесть, что Роскомнадзор может прийти с проверкой не только в компанию, внесенную в госреестр, но и в любую другую, которая в списке не значится. Следовательно, с объекта, который не подпадает под термин “оператор”, не снимается ответственность по защите конфиденциальных сведений и деятельности в соответствии с российским законодательством.