От сбора до защиты: все функции оператора персональных данных
К персональным данным относится почти любая информация о человеке: телефонные номера, ФИО, адреса. Любой, кто собирает, передает или хранит их, это оператор. Чтобы обрабатывать данные правильно, нужно знать все о своих обязанностях и функциях. В противном случае грозит большой штраф от Роскомнадзора.
Содержание:
Что делает оператор ПД
Все обязанности и функции оператора персональных данных прописаны в законе №152-ФЗ «О персональных данных». Правила по обработке ПД указывают в соглашении, которое заключается между владельцем и оператором. Владельцу персональных данных нужно внимательно ознакомиться со всеми пунктами при подписании такого соглашения.
Оператору следует знать о нормативных актах, которые регулируют работу с персональными данными. В число обязанностей оператора входит:
- Разработка политики обработки ПД: создание документов внутри компании, которые гарантируют защиту ПД.
- Сбор и обработка данных (но только в том объеме, которое требуется для достижения заранее определенных законных целей обработки).
- Получение согласия. Оператор не может обрабатывать ПД, не спросив разрешения у их владельцев.
- Защита данных. Защитить информацию от противозаконного доступа и других незаконных действий.
- Оповещение при утечках. Незамедлительно уведомлять компетентные органы (Роскомнадзор) при утечке ПД.
- Ограничение времени хранения. Хранить ПД можно только до достижения целей, для которых они были собраны. После этого оператор обязан удалить персональные данные.
- Обучение сотрудников. Сотрудники, участвующие в обработке ПД, должны пройти инструктаж для ознакомления с правилами работы с персональными данными.
- Соблюдение прав владельцев данных. Владельцы имеют право уточнять у оператора как обрабатываются их ПД, где хранятся, для каких целей собираются. Оператор должен реагировать на их запросы.
Плюс к этому оператор обязан взаимодействовать с контролирующими органами. Предоставлять им информацию, своевременно реагируя на их запросы и требования.
Обязанности работодателей как операторов данных
Работодатели при работе с данными своих сотрудников должны учитывать:
- Конфиденциальность. Персональные сведения работника должны оставаться нераскрытыми перед третьими сторонами без его письменного согласия. Раскрывать личную информацию без согласия можно лишь в исключительных случаях. К ним относится передача информации в государственные инстанции.
- Внутренняя передача. Распространять персональные данные специалиста внутри организации разрешено в рамках утвержденного внутреннего документа, который сотрудник предварительно изучает и подписывает.
- Ограниченный доступ к ПД. Лишь уполномоченные лица могут заниматься обработкой ПД, причем только тех сведений, что актуальны для их служебных полномочий и задач.
- Здоровье сотрудника. Вопросы медицинского характера работника можно рассматривать только если это имеет прямое отношение к выполнению его профессиональных обязанностей.
Функции ответственного за обработку ПД
Операторы обязаны обеспечить безопасность личных данных. Для этого в компании выбирают сотрудника, отвечающего за организацию обработки ПД. В его задачи входит:
- соблюдение правил и принципов обработки ПД.
- знакомство других сотрудников, которые участвуют в обработке, с законом «О персональных данных» и внутренними актами организации по вопросам обработки.
- обработка обращений и запросов владельцев ПД.
- информирование руководителя компании об утечках персональных данных.
Требования к оператору со стороны законодательства
Многие организации забывают про согласие на обработку данных, хотя это ключевая обязанность оператора. По закону просить согласие должны любые обработчики ПД, включая образовательные, медицинские учреждения, онлайн-магазины.
Согласие должно быть оформлено в виде письменного или электронного документа. Нельзя запросить его по телефону, по SMS или через мессенджер.
Оператор имеет полное право делегировать обработку ПД другой организации с согласия владельца ПД, но только если это не противоречит законам.
От оператора требуется:
- Зарегистрироваться в Роскомнадзоре в качестве оператора, предупредить ведомство о начале обработки.
- Гарантировать, что трансграничная передача личных сведений выполняется только в те страны, которые могут обеспечить их нормальную защиту.
- Хранить данные на территории РФ, используя российские сервера.
- Предоставлять информацию владельцу касательно его ПД, если он сделал соответствующий запрос.
Оператор должен использовать программные и технические решения чтобы защитить ПД от незаконного или случайного доступа, порчи или копирования. Постоянно контролировать, соответствует ли обработка персональных данных требованиям закона.
Создание политики об обработке персональных данных
Разработка политики обработки персональных данных — одна из функций оператора. Политика публикуется на сайте компании для общего доступа. В этом документе содержится вся основная информация, затрагивающая обработку ПД.
По статистике РКН выписывает штрафы именно по причине отсутствия политики, поэтому публиковать ее нужно всем.
Под формами обратной связи, в которых пользователи оставляют персональные данные, добавьте небольшое предупреждение. Сделайте поле для галочки и подпись «Даю согласие на обработку своих персональных данных».
Что делать в случае утечки данных
В случае утечки, от обработчика требуется немедленно оповестить об этом РКН в течение первых 24 часов с момента происшествия. Для этого нужно заполнить форму, указать причину и меры, которые были предприняты для устранения последствий.
Сделать это можно, отправив соответствующее сообщение на сайте РКН в разделе «Инциденты». После этого необходимо провести внутреннее расследование и сообщить о результатах в РКН.
Об уведомлении в РКН
Чтобы встать на учет в РКН, нужно заполнить форму на официальном сайте ведомства. Если все будет хорошо, Роскомнадзор зачислит оператора в реестр в течение 30 дней с момента отправки уведомления.
В уведомлении указывают:
- Юридический и фактический адрес оператора.
- Полное наименование или ФИО ответственного лица.
- Правовые основания для сбора и обработки информации.
- Типы ПД, которые будут собираться.
- Категории лиц, чьи персональные данные обрабатываются.
- Контактная информация: телефон, E-mail.
- Дата начала обработки данных, сроки и условия ее завершения.
- Сведения о мерах по защите информации и их соответствии государственным требованиям безопасности данных.
Это только часть сведений, которые нужно предоставить. Поэтому на практике далеко не все компании справляются с регистрацией в РКН, и многим приходится привлекать юриста.
Как работать с данными
Роскомнадзор дает такие рекомендации обработчикам:
- Собирайте только строго необходимые персональные данные для проведения своих бизнес-операций, включая обслуживание клиентов и продажу продукции.
- Разделите хранение данных по категориям (клиенты, соискатели, сотрудники).
- Размещайте идентификационные данные клиентов (ФИО, E-mail, телефонный номер, адрес) и сведения о взаимодействии с ними (оказанные услуги, переписки, покупки) в разных базах данных.
- Не копите персональные данные просто так, если компании они не нужны. Сразу удаляйте ПД, как только цели сбора достигнуты.
- Введите в вашей организации отдельную должность по защите личных данных и предоставьте этому сотруднику полномочия, необходимые для выполнения задач.
- Оперативно сообщайте РКН о любых инцидентах, которые могут привести к распространению конфиденциальной информации.
Как оператору не беспокоиться о штрафах
У оператора есть не только обязательства, но и права. Одно из них — возможность делегировать обработку данных стороннему исполнителю (обработчику), с которым заключается договор.
Ответственность за законность обработки данных в полном объеме перекладывается на выбранного обработчика. Существуют облачные сервисы, которые берут на себя функции оператора персональных данных.
Примером может служить QForm. Эта платформа уже включена в официальный реестр РКН, поэтому становится на учет не потребуется, не говоря уже о прохождении различных проверок со стороны ведомства. Сервис хранит персональные данные на территории России, поэтому проблем с трансграничной передачей не возникнет. С его помощью можно создавать формы обратной связи, квизы и видеовиджеты.
Читать по теме:
- Никаких поблажек нарушителям: что ждет операторов персональных данных после изменений в законе 152-ФЗ
- Виды персональных данных: зачем кому-то знать ваше имя, вес и номер телефона?
- 7 нарушений при работе с персональными данными. Что исправить, чтобы не платить штраф?
- Ключевые изменения в законе о персональных данных 152-ФЗ с 1 сентября 2022 года
- Вы оператор персональных данных — как избежать неприятностей?
- Оператор персональных данных: кто это, чем занимается и как им стать
Всего комментариев: 0
Оставить отзыв