Оператор персональных данных: кто это, чем занимается и как им стать

Проводите опрос клиентов, собирая телефонные номера и E-mail? Принимаете заявки на регистрацию образовательных курсов? Значит вы оператор персональных данных.

Содержание:

• Что делает оператор ПД
• Обязанности работодателей как операторов данных
• Функции ответственного за обработку ПД
• Требования к оператору со стороны законодательства
• Создание политики об обработке персональных данных
• Что сделать, чтобы не получить штраф

Не важно, представляете ли вы компанию, являетесь предпринимателем или самозанятым. Федеральный закон №152 «О персональных данных» предусматривает суровые наказания для всех операторов, которые нарушают правила.

Кто оператор, а кто нет

Понятие оператора персональных данных закреплено в 2 ст. 3 Закона № 152-ФЗ. Оператор — лицо, занимающиеся обработкой чужих персональных сведений, включая:

• школу, записывающую информацию о своих учениках;
• больницу, ведущую медицинские карты пациентов;
• интернет-магазин, обрабатывающий персональные данные (платежные карты и адреса доставки);
• компанию, оформляющую личные дела сотрудников;
• организатора конференций, собирающего данные для учета участников.

К ПД относится любая информация, позволяющая установить личность человека. Оператором может быть индивидуальный предприниматель, принимающий заказы через свой сайт, и мобильное приложение, запрашивающее местоположение или контакты.

То есть в понятие операторов включены физические и юридические лица.

В каждом из этих случаев человек или бизнес ответственен за хранение информации. Компания может назначить лицо, которое ответственно за обработку ПД и поручить ему функции оператора, заключив договор. Но тогда перед владельцем данных все равно ответственна компания-оператор.

Прочитав определение термина оператор персональных данных в законе, можно подумать, что чуть ли не любой может им считаться.

Что если делишься записью в соцсетях и упоминаешь в ней своего приятеля. От этого становишься оператором?

В таком примере роль оператора персональных данных выполняет сама социальная платформа. При регистрации на сайте пользователи дают согласие на распространение, обработку и использование своих персональных сведений. Ответственность за обработку лежит на соцсети, а не на его пользователях.

Новые правила для операторов

После первого сентября 2022 года вступили в силу изменения в законе №152-ФЗ. Вот самые важные из них, которые должен помнить оператор:

• Отвечать на запросы РКН нужно в течение десяти дней, а не тридцати, как прежде.
• Расширен перечень субъектов, обязанных зарегистрироваться как оператора персональных данных. Теперь это касается всех ИП и организаций.
• В случае утечки персональных данных, руководство организации должно сообщить об этом Роскомнадзору. В течение трех суток нужно выполнить внутреннее расследование, а через 72 часа предоставить государственному органу сведения о причинах инцидента.

Форма согласия на обработку ПД должна быть предельно ясной и недвусмысленной, чтобы каждый человек, ознакомившись с ней, без труда мог уяснить для чего, куда, как и с какой целью будут использовать его личную информацию.

Про уведомление в РКН

Перед началом работы с чужими ПД нужно зарегистрироваться как оператор в Роскомнадзоре. Это можно сделать:

• заполнив и подав онлайн-форму на официальном сайте ведомства, после чего заверить ее цифровой подписью;
• отправив на бумажном носителе уведомление в Роскомнадзор через почтовую службу.

Но в законе есть исключения, когда Роскомнадзор уведомлять об обработке ПД не нужно. Раньше таких ситуаций было больше десятка, но с первого сентября 2022 года большинство из них убрали, оставив три:

1. Данные обрабатываются вручную, без использования автоматических систем ( когда регистрационные карты клиентов хранятся в папках, база данных сотрудников ведется в бумажном журнале, а не в компьютерной программе, или когда анкеты для участия в опросе собираются и анализируются вручную).
2. ПД обрабатывают для защиты безопасности государства и общественного порядка. К ним относятся базы данных сведений Федеральной службы безопасности, Министерства внутренних дел, федеральных органов исполнительной власти, которые ответственны за обеспечение общественного порядка и безопасности.
3. Обработка проводится в целях транспортной безопасности. Проверка личности пассажиров, их регистрация на авиарейсы или железнодорожные поезда.

Но неопытному человеку будет трудно сообразить, как именно заполнить строки в форме. В ней нужно указать:

• Цели, для которых хотите обрабатывать личные данные.
• Какие шаги предприняты для соблюдения требований по защите персональных данных, включая меры по их сохранности в процессе обработки.
• Сроки или условия, при которых прекращается обработка персональных данных.

Если вы озадачены и не уверены, с чего начать, обратите внимание на опыт других операторов. Сайт содержит реестр операторов, данные из которого открыты для общего доступа. Посмотрите как другие компании оформляют свои уведомления, и повторите, адаптируя под свои нужды.

Регистрация может растянуться до месяца. Если заявление оформлено в цифровом виде, все равно понадобиться отправить бумажное заявление в местное представительство Роскомнадзора. В ходе регистрационного процесса инспекторы надзорного ведомства могут запросить дополнительные бумаги от компании для выяснения конкретных деталей.

Если поменялись методы, цели обработки персональных данных, руководство компании должно предупредить РКН в течение десяти дней со дня произошедших изменений. Для этого следует отправить уведомление. Образец такого документа можно найти на официальном сайте Роскомнадзора.

Обязанности оператора

Он обязан соблюдать следующие принципы в работе с персональными данными:

• Обрабатывать данные только для тех целей, которые были установлены при заключении договора. Если компания запрашивает адрес Email для создания учетной записи, использовать этот адрес для рекламных рассылок без разрешения владельца недопустимо.
• Удалять или скрывать личные данные, как только достигнута первоначальная цель их сбора.
• Спрашивать владельца перед тем как передать его ПД третьей стороне.
• Прекращать обработку в случае отзыва согласия пользователем в течение 10 дней.
• Защищать персональные сведения от случайного или умышленного уничтожения, несанкционированного распространения и прочих противоправных действий.
• Разрабатывать и размещать на своем веб-ресурсе политику в отношении обработки и конфиденциальности персональных данных.

Нельзя без согласия брать данные из социальных сетей, включая телефонные номера для коммерческих предложений.

Оператор имеет право передать права на обработку персональных данных третьему лицу. Необходимо только заключить контракт, который будет: 

• четко определять обязанности обработчика;
• включать перечень ПД, которые он будет обрабатывать.

Как оператора могут наказать

Оператор данных может быть привлечен к административной, уголовной и гражданской ответственности за нарушения. Штрафы составляют от 100 рублей до нескольких миллионов, в зависимости от тяжести проступка.

Штрафы для юридических лиц варьируются от 15-75 тыс. руб, а для индивидуальных предпринимателей – от 5 до 20 тыс. рублей.

Особенно строго наказывается хранение и передача персональных данных россиян в базах данных, расположенных за пределами страны. За это для юрлиц предусмотрен штраф в размере от 1 до 8 миллионов рублей, а при повторном нарушении – 16 миллионов.

РКН выявляет нарушение во время самостоятельной проверки или получив жалобу от владельцев ПД.

Человек получил рассылку, на которую не оформлял подписку, или ему начали звонить менеджеры онлайн-магазина, несмотря на отсутствие согласия на рекламные звонки. Пострадавший может потребовать удаления персональных данных из базы, подать жалобу в Роскомнадзор и запросить возмещения ущерба через суд.

Что сделать, чтобы не получить штраф

Избежать штрафов от РКН непросто. Сначала придется разобраться с нюансами законодательства, которые усложняют работу с персональными данными. Необходимо быть готовым к регулярным инспекциям со стороны Роскомнадзора.

Предупреждение о проверке поступает за три дня, время для подготовки мало. Если найдут нарушения, могут сразу наложить штраф или дать время на исправление.

По этой причине многие компании предпочитают переложить ответственность за обработку данных на сторонних разработчиков, таких как облачные сервисы, которые берут на себя сбор, хранение и обработку данных, ограждая заказчика от рисков. Существуют сервисы, специализирующиеся на таких услугах, к ним относится QForm. Такой сервис:

• Зарегистрирован в реестре Роскомнадзора.
• Имеет документы по политике обработки персональных данных и иные необходимые акты.
• Корректно внедряет ссылки на согласие с политикой обработки персональных данных в веб-формах.
• Хранит ПД граждан РФ в дата-центрах, расположенных в пределах страны.

Последний пункт приобрел особую важность из-за недавних изменений в законодательстве. Ранее некоторые компании не уделяли достаточно внимания местоположению серверов. Сейчас пользоваться иностранными базами данных запрещено.

Читать по теме:

1. Никаких поблажек нарушителям: что ждет операторов персональных данных после изменений в законе 152-ФЗ
2. Виды персональных данных: зачем кому-то знать ваше имя, вес и номер телефона?
3. 7 нарушений при работе с персональными данными. Что исправить, чтобы не платить штраф?
4. Ключевые изменения в законе о персональных данных 152-ФЗ с 1 сентября 2022 года
5. Вы оператор персональных данных — как избежать неприятностей?
6. От сбора до защиты: все функции оператора персональных данных