Твоё мнение
Главная - Новости - Ответственность без компромиссов: основные требования к оператору персональных данных в 2024 году

Ответственность без компромиссов: основные требования к оператору персональных данных в 2024 году

Утечки персональных данных граждан в России происходят часто. Только за 2023-й год в руки злоумышленников попало более 300 миллионов записей с личными сведениями россиян.

Из-за этого требования к оператору персональных данных выросли, как и штрафы, которые он может получить в случае их невыполнения.

Содержание:

Рассмотрим, как правильно обрабатывать персональную информацию, и что делать, чтобы у Роскомнадзора не нашлось претензий.

Оператор и его основные обязанности

Оператор — тот, кто занимается обработкой персональных данных (ФИО, телефонных номеров и других личных сведений людей). Если вы размещаете заявки на сбор ПД на сайте, ведете базу данных клиентов в CRM-системе или собираете резюме, то точно являетесь оператором. Не уверены — посоветуйтесь с юристом.

По закону № 152-ФЗ «О персональных данных», обрабатывать ПД значит собирать их, записывать, хранить, уничтожать, систематизировать. Список неполный, но это основное.

Требования к оператору персональных данных можно условно поделить на несколько групп:

  • быть открытым для проверок со стороны государственных органов;
  • организовать безопасное обращение с ПД, использовать необходимые инструменты для защиты информации;
  • соблюдать права людей, чьи персональные сведения обрабатываются.

Если оператор игнорирует обязанности, его привлекут к административной, уголовной и гражданской ответственности. Это штрафы по статьям 13.11 или 19.7 КоАП РФ.

Оператор ПД может:

  • обрабатывать чужие личные данные в соответствии с целями;
  • требовать только достоверную информацию;
  • запрашивать у человека те личные данные, которые нужны для выполнения договора или предоставления услуг.

Необходимые документы

Оператор обязан разработать эти документы:

  • политику по работе с персональными данными;
  • положение об обработке и обеспечении безопасности ПД.

Положение об обработке — внутренний документ, с которым знакомят сотрудников компании, публиковать его в открытый доступ не нужно. В нем указывают почти все тоже самое, что и в политике.

Политика обработки ПД должна находиться на сайте. В ней оператор указывает:

  • цели, ради которых обрабатываются данные;
  • какие категории ПД и какие конкретно сведения обрабатываются;
  • как ПД  уничтожаются, когда цели достигнуты;
  • информацию о сроках хранения;
  • права владельцев данных, в том числе право на доступ к ПД, на их исправление и удаление;
  • меры безопасности, принимаемые для защиты ПД;
  • контактную информацию, которая необходима по вопросам, связанным с обработкой данных.

Про внутренние документы в законе ФЗ-152 нет ничего. Но в трудовом кодексе есть пункт, по которому работодатель обязан разработать специальное положение об обработке и сделать так, чтобы работники знали о нем.

Правильно сделать эти документы трудно. В основном компаниям и гражданам приходится обращаться за помощью к юристам и специалистам в области информационной безопасности.

Чтобы не получить штраф, документы должны быть правильно составлены. Рекомендации по содержанию есть на сайте Роскомнадзора.

Оператор знакомит сотрудников, работающих с ПД, с нормативными требованиями и локальными актами по их обработке. Назначает ответственного за обработку сведений. Этот человек:

  • проверяет, соблюдаются ли все правила по обработке ПД;
  • отвечает на запросы людей по поводу их личных данных;
  • доводит до работников необходимые требования.

Часто в утечках данных виноваты не вредоносные программы или проблемы с инфраструктурой, а работники компании. Они могут передать ПД случайно при общении с конкурентами или коллегами из-за собственной халатности.

Чтобы предотвратить такие случаи, оператору и требуется обучить сотрудников правильной работе с персональными данными.

Как оператору работать с персональными данными

Главное соблюдать основные принципы закона №152-ФЗ «О персональных данных», в том числе:

  • Собирать данные только для выполнения поставленных целей обработки. Нельзя спрашивать у соискателя на вакансию сведения о беременности или вероисповедании.
  • Не смешивать в кучу разные базы данных с различными целями обработки. Их требуется хранить отдельно. Фирме нельзя хранить вместе сведения о клиентах и о своих работниках.
  • Использовать только точные и свежие сведения. Если что-то изменилось, необходимо обновить информацию или удалить старую.
  • Определить срок хранения. Обычно это время, требуемое для выполнения целей обработки. Нельзя хранить ПД больше положенного срока. Как только задача выполнена, данные нужно удалить, если нет причин хранить их.

Компании, которые обрабатывают биометрические данные (допустим используют фотографии лиц для оформления пропусков и абонементов), должны передавать ПД в ЕБС (единую биометрическую систему) и уведомить об этом владельцев.

Cookie-файлы тоже относятся к персональным данным и требуют регулирования — об этом сообщил Роскомнадзор.

Особых требований к согласию на обработку таких файлов нет. Достаточно разместить на сайте дисклеймер, информирующий посетителей об использовании cookies. Дисклеймер находится в футере сайта или оформляется в виде баннера.

Регистрация в Роскомнадзоре

Одно из важнейших требований к оператору — зарегистрироваться в Роскомнадзоре.

Это ведомство контролирует всех, кто обрабатывает персональные данные: компании, организации, граждан и индивидуальных предпринимателей. Именно ему оператор обязан отправить уведомление о намерении работать с чужими ПД. Для этого заполняют форму, которая есть на сайте надзорного органа. Документ отправляют в бумажном виде почтой или через «Госуслуги».

После получения уведомления РКН вносит человека или компанию в Реестр операторов. Информация из этого реестра доступна для просмотра любому (кроме сведений о средствах защиты данных).

Если информация изменилась, оператор обязан отправить в Роскомнадзор информационное письмо.

Оператору могут отказать в регистрации, если он предоставит ложные или недостоверные сведения об обработке или если деятельность оператора может нарушить права владельцев ПД.

Уведомление РКН об утечках

Компания или человек, работающий с личными данными людей, должен соблюдать меры по их защите. Сервисы, на которых хранятся ПД, необходимо оснастить средствами защиты, это может быть антивирусная программа или электронный замок.

  • Если данные обрабатываются неправильно, надо их блокировать, пока не выясняется, все ли сделано по правилам. Если кто-то другой занимается обработкой, компания должна позаботиться, чтобы тот тоже их заблокировал.
  • При обнаружении ошибок в данных оператору необходимо исправить их за семь рабочих дней с момента выявления.
  • Если человек заберет свое согласие на обработку данных, оператору нужно перестать их обрабатывать в течение тридцати дней. Если человек попросит прекратить обработку его данных, то это должно быть сделано за 10 дней, если только закон или договор не говорит, что обработку можно продолжать без его согласия.
  • Отвечать на запросы РКН. На это оператору дается десять рабочих дней. Если произошла утечка данных, оператор обязан сообщить об этом в РКН не позднее 24 часов. В течение 72 часов следует передать ведомству информацию о результатах расследования происшествия.

Наконец, если цель, ради которой собирали данные, достигнута, их нужно уничтожить в течение 30 дней, кроме случаев, когда обработку можно продолжать по закону или договору.

За утечку данных Роскомнадзор раньше штрафовал компании на суммы до полумиллиона рублей. С 2023 года штраф составляет в размере 1-3% от годовой выручки организации. Если оператор самостоятельно компенсирует вред, то штраф уменьшат.

Трансграничная передача

Оператору нужно быть внимательнее при трансграничной передаче данных, то есть когда он отправляет личную информацию за границу. Вот что потребуется сделать:

  • Спросить разрешения владельца, чьи данные отправляются, прежде чем их передавать.
  • Выбрать страну, куда отправляют данные. Она должна быть в специальном списке, сформированном Роскомнадзором. Там указано, каким странам разрешено передавать персональные данные по мнению надзорного органа.
  • Отправить уведомление в РКН при намерении передавать персональные данные в зарубежное государство.
  • Заполнить форму уведомления можно на сайте РКН, перейдя на страницу «Трансграничная передача» > «Уведомление об осуществлении трансграничной передачи ПД».

Если принимающая сторона не хочет предоставлять какую-либо информацию, лучше разорвать с ней отношения. Такому лицу РКН вполне может ограничить передачу персональных данных.

Кому оператор может переложить обработку данных

Оператору точно понадобиться помощь юристов и программистов, чтобы все было сделано в соответствии с законом. Но даже если все документы подготовлены профессиональными юристами, это не значит, что все сделано в соответствии с законом и к вам не придерется РКН. Некоторые юристы используют готовые шаблоны, немного меняют под цели клиентов и отдают. Клиент смотрит — документ слишком длинный, перечитывать не хочется, да и хочется доверять юристам, они же знают как лучше.

У оператора ПД есть право переложить обработку на стороннего обработчика, заключив с ним договор. Сторонним оператором выступает любое лицо или компания, подписавшая договор. Им может быть облачный сервис, который собирает и хранит данные. Среди таких операторов можно выделить QForm — с его помощью создают формы обратной связи, квизы и видеовиджеты. Это зарегистрированный в РКН оператор персональных данных. Соответственно оператору не придется разрабатывать специальную документацию, отправлять уведомление в ведомство, проходить проверки.

Сервис с большим опытом разработки форм связи, поэтому знает все правильно и безопасно хранить и передавать данные. Он возьмет на себя рутину, сэкономит деньги на программистах и юристах.

Я не хочу регистрироваться в реестре операторов ПД, что делать?

По закону нельзя обрабатывать персональные данные, не уведомив об этом Роскомнадзор. Но выход все-таки есть. Можно выбрать оператора, который уже есть в реестре ведомства. Приведем пример: выберем для сайта не просто официально зарегистрированного оператора, а одновременно и сервис для форм обратной связи. Один из популярных и удобных сервисов для сайтов QForm внесен в реестр операторов ПД:

Это зарегистрированный российский оператор, который избавит владельцев сайтов и разработчиков веб-студий от трудностей регистрации и последующих проверок РКН. С его помощью можно без труда создать формы обратной связи на сайте, и они будут соответствовать закону. Тот, кто пользуется сервисом, абсолютно легально перекладывает ответственность за сбор, обработку и хранение данных на Qform.

Как оператор он выполняет обработку персональных данных в соответствии с законом №152-ФЗ. Они защищены: информация не попадет к посторонним лицам. Так Qform закрывает сразу несколько задач и облегчает жизнь тем, кто не хочет тратить силы на общение с Роскомнадзором.

Читать по теме:

  1. Никаких поблажек нарушителям: что ждет операторов персональных данных после изменений в законе 152-ФЗ
  2. Виды персональных данных: зачем кому-то знать ваше имя, вес и номер телефона?
  3. 7 нарушений при работе с персональными данными. Что исправить, чтобы не платить штраф?
  4. Вы оператор персональных данных — как избежать неприятностей?
  5. Оператор персональных данных: кто это, чем занимается и как им стать

Всего комментариев: 0

Оставить отзыв

Имя:
Заголовок:
E-mail:
(не публикуется)
Рейтинг:
Комментарий:
Нажимая "Добавить комментарий" Вы соглашаетесь с правилами и политикой конфиденциальности.
Внимание! Отзывы на сайте размещаются анонимно и могут содержать недостоверную информацию. Администрация сайта не несет ответственности за их содержание и не проверяет их на предмет соответствия действительности.
Популярные
компании
Стоматология НоваДент
Медицинский центр Криоклиник
Медицинский центр Кинезис
Фитнес-клуб Citrus Fitness
Психиатрическая клиника IsraClinic
Медицинский центр ООО «Балтийская жемчужина»
MEDEL
Агентство суррогатного материнства Анна
Центр наркологической помощи Нарколог24
Вита-Дент
Психолог Андрей Филиппов
Стоматология ОренСтом
ТвоеМнение
Твоё мнение
© Твое мнение
Все права защищены

Автосалоны

Страхование

Компании

Работодатели

Персоны

Туроператоры

Юристы

Добавить компанию

Об ответственности

Конфиденциальность

Авторизация

Поиск

Контакты

Статьи