Которая оказалась наиболее важной и в бухгалтерском учете, и при рассмотрении заявок на кредит и т.п.

Но что это такое и кто все-таки имеет право обрабатывать подобные сведения, а кто нет, об этом упоминается редко, даже с неохотой.

В результате иногда сложно понять, кто является оператором персональных данных.

– это информация о человеке, которая характеризует его как определенную личность, не является обобщенной, ее нельзя применить к группе лиц. В большинстве случаев речь идет о фамилии, имени, отчестве, дате рождения, адресе, где человек зарегистрирован и проживает, семейном положении и т.п.

Понятие персональных данных введено в деловой оборот после принятия в 2006 году «О персональных данных». Там же было введено разграничение информации на ряд категорий, которые позволяют определять уровни разрешения обработки для различных ситуаций.

  1. Информация о расе и национальности, религиозных убеждениях, состояние здоровья и подробности интимной жизни гражданина.
  2. Сведения, которые позволяют помимо идентификации гражданина, еще и получить про него разные сведения, например, номер телефона, место проживания и т.п.
  3. Информация, благодаря которой один человек выделяется среди других – фамилия, имя и полная дата рождения.
  4. Общедоступные сведения, как правило, они обезличены, но иногда и те, которые обязаны быть публичными по законодательству, например, доходы представителей органов власти. Отдельной категорией идут те данные, на предоставление которых сам гражданин дал согласие, например, адрес и номер телефона в справочной службе 09.

В целом закон «О персональных данных» призван обеспечивать право каждого гражданина на неприкосновенность личной жизни и защиту в случае наличия нарушений. Исходя из выше приведенной классификации, предъявляются разнообразные требования по обеспечению сохранности сведений. Для первой категории требования жестче, чем ко всем остальным.

Кто является оператором персональных данных

Оператор персональных данных – юридическое лицо, которое в силу своей деятельности занимается информации о действующих и потенциальных клиентов и сотрудниках. Размеры организации при этом никакого значения не имеют, как и форма ее собственности.

На практике оператором является любая организация, в которой есть наемный труд. Ведь трудоустройство невозможно без заполнения анкеты с довольно подробным перечнем сведений о себе, а также подачи личных документов, причем со всех снимаются копии, информация вносится в бухгалтерские программы и т.д.

Главное требование законодательства РФ, предъявляемое к операторам, это обеспечение сохранности тех данных, которые получила организация в процессе деятельности.

Нормы, согласно которым обеспечивается охрана, установлены в упомянутом законе, также могут уточняться нормативными актами, так называемых регуляторов

Существует определенный порядок, который регламентирует случаи, когда организация получает право работать с персональными данными без уведомления в :

  • если предприятие обрабатывает только те сведения, которые нужны для трудовых отношений;
  • когда обработке подвергаются данные общедоступного характера;
  • если обрабатываются только фамилия, имя, отчество;
  • когда они используются один раз, например, для выписки пропуска;
  • если для обработки не применяется компьютерная техника.

Все остальные организации обязаны становиться на учет, в результате чего они получают уникальный регистрационный номер, под которым вносятся в специальный реестр.


В нем всегда можно уточнить, имеет ли право конкретное юридическое лицо запрашивать или хранить персональные данные.

Например, часто такие вопросы возникают в отношении кредитных организаций, операторов сотовой связи и т.п.

Поэтому принято называть «оператором обработки персональных данных» организации, которые в силу профессиональной деятельности собирают и обрабатывают не только общедоступные сведения, но и такие как серия, номер паспорта, адрес проживания и т.д.

Получение права на обработку персональных данных

Для обеспечения безопасности хранения и передачи персональных данных предусмотрена процедура аттестации и получения лицензии для организаций занимающихся сбором и хранением такой информации.

Чтобы получить лицензию предприятию приходится не только обучать сотрудников, но и приобретать технические средства защиты.

Процедура состоит из нескольких этапов, из которых можно выделить наиболее важные.

  • уведомить соответствующие органы о намерении обрабатывать данные с помощью средств (компьютеры);
  • пройти предварительное обследование имеющихся информационных систем;
  • спроектировать систему защиты с учетом инфраструктуры компьютерной техники и других средств автоматизации;
  • приобрести и внедрить средства защиты;
  • привести все помещения в соответствие требованиям по пожарной безопасности, охране, электропитанию и т.д.
  • провести повышение квалификации сотрудников в области защиты персональных данных и их аттестация.

В результате можно гарантировать наличие действующей системы защиты сведений при их и передаче через коммуникационные линии.

Стоит отметить, что все действия, описанные выше, могут быть применены только к обработке персональных данных в электронном виде, что является потенциально небезопасным для хранящейся или передаваемой информации.

Проверка деятельности операторов персональных данных

Работа всех операторов персональных данных не только регулируется законодательными актами, но еще и подвергается регулярным проверкам, как плановым, так и выборочным, например, по заявлению пострадавшего от их деятельности граждан.

Контролем над соблюдением закона о защите персональных данных должны заниматся многие надзорные и силовые ведомства, но в силу специфики работы выделяются лишь три из них (их и называют регуляторами):

  • Роскомнадзор – в его функции входит проверка соблюдения любых нормативных требований законодательства, а также проведение проверок;
  • ФСТЭК (Федеральная служба по техническому и экспортному контролю) – в ее задачи входит в первую очередь защита данных находящихся в компьютерах самой организации, так и каналов их передачи, когда они хранятся и передаются без шифрования;
  • ФСБ (Федеральная служба безопасности) – контролирует применение шифрующих средств обработки и передачи персональных информации, в том числе разработку и их распространение.

Проверить отношение конкретной организации к операторам персональных сведений можно и самостоятельно.

На сайте Роскомнадзора имеется доступ к реестру операторов, осуществляющих обработку персональных данных, он доступен по этой ссылке.

Для просмотра информации достаточно внести в соответствующее поле наименование или регистрационный номер интересующего предприятия, либо его идентификационный номер налогоплательщика (ИНН).

Так можно выяснить, законно запрашивались данные или нет. Если организации в списке нет, то возможно этим надо заняться Роскомнадзору и либо включить ее в реестр, либо запретить незаконный сбор информации о гражданах.

Проверка операторов персональных данных осуществляется либо по заявлениям граждан, либо по инициативе, например, прокуратуры, которая может обратиться в Роскомнадзор в рамках проверки деятельности организации.

За нарушения в обработке сведений граждан предусмотрена ответственность. В зависимости от степени тяжести совершенных поступков может быть административное, дисциплинарное или уголовное наказание.

В целом, прежде чем давать разрешение на обработку персональных данных в кредитной или иной организации, запрашивающей такое право, лучше сначала убедиться в том, что она зарегистрирована в качестве оператора, а значит, имеет все для их безопасного хранения.

Особенно это может относиться к небольшим предприятиям, например, предоставляющим мелкие займы.

Конечно, без предоставления такого согласия подобные организации обычно отказывают в услугах, но в этом ничего страшного нет, т.к. конкуренция достаточно высока, и всегда можно найти другой подходящий вариант.

С момента принятия в 2006 году Федерального Закона «О персональных данных», некоторые его положения и понятия до сих пор остаются неясными для сотрудников операторов. Кажущаяся неясность формулировок иногда становится предметом спекуляций для отдельных активных граждан, поставивших своей целью доказывание абсурдности или несостоятельности Закона.

Манипулируя некоторыми формулировками Закона (порой, вырванными из контекста), опираясь на принципы формальной логики (не всегда справедливой, когда речь идет о праве как науке), моделируя возможные коллизии, некоторые аналитики приходят к неожиданным и неправильным выводам.

Опасность этих выводов — в дезориентации участников информационных правоотношений, а также в том, что принятие на вооружение сомнительных утверждений сдерживает работу операторов по приведению своей деятельности в соответствие с Законом и создает условия для нарушения ими требований Закона.

Числу таких проблемных вопросов относится определение оператора персональных данных. Оператор — это государственный, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и содержание обработки персональных данных (ст. 3 ФЗ 152). Это, казалось бы, очевидное и не допускающее вольного толкования определение на практике порой вводит операторов в заблуждение. Суть этого заблуждения в следующем: «лицо, осуществляющее обработку, не всегда является оператором». Причина же заблуждения — в словосочетании «а также». В этом «а также» некоторыми и видится то самое зерно истины, которое позволит отдельным операторам избежать обязанности исполнять требования ФЗ 152. Парадоксально, но многие операторы все еще уверены в том, что они операторами не являются. Для обоснования этого утверждения приводятся следующие доводы: необходимость обработки ПДн определена федеральным законом (или «установлена вышестоящими организациями»), следовательно, цели обработки самостоятельно не определяются или не должны определяться лицом, осуществляющим обработку (в определении целей нет необходимости, либо отсутствуют полномочия).

Попробуем разобраться с этой проблемой, суть которой заключается в вопросе: определение цели обработки ПДн — признак или обязанность оператора?

Итак, существует мнение, что оператор — это только и исключительно тот, кто одновременно отвечает следующим двум критериям:
Это лицо должно само либо организовывать, либо фактически осуществлять обработку ПДн (или же — и то, и другое одновременно);
Это лицо должно само определять цели и содержание обработки ПДн.

Таки образом, требование об определении цели обработки ПДн рассматривается в качестве основного признака оператора.

В ходе подготовки настоящей статьи филологами был проведен лингвистический анализ рассматриваемого определения. Результаты анализа приведены ниже.

Определение цели не может быть основной функцией, так как эта функция названа в ряду однородных членов предложения и замыкает его. Более того, этот однородный член предложения присоединяется союзом «а также», который имеет присоединительное значение, например: Я наслаждался мирно своим трудом, успехом, славой, также трудами и успехами друзей" (П). — см. Валгина Н.С., Розенталь Д.Э., Фомина М.Н. Современный русский язык. Учебник.: М., Логос, 2006.

Об этом же значении пишет и Русская грамматика (М, 1980,т. II):

§ 2079. Присоединительные отношения основываются на соединительных: второй член ряда имеет добавочный характер; он часто выделяется в отдельную синтагму; порядок членов ряда строго обязателен. Присоединительные отношения (с оттенками добавления или усиления) выражаются составными союзами и сочетаниями союза с конкретизатором: а также и, да еще, и притом (притом): В коляске сидела пожилая барыня, да еще молодая девушка (Тын.); Сводки доставлены в полном порядке и притом в срок (газ.).

Примечание. Союзы а также, как... так и обладают способностью выражать градационные и присоединительные отношения, но часто используются в более широком значении — соединительном или сопоставительном: Этот Вьюн необыкновенно почтителен, и ласков, одинаково умильно смотрит как на своих, так и на чужих, но кредитом не пользуется (Чех.); Завод достиг высоких показателей как по количеству, так и по качеству выпускаемой продукции (газ.); Воспитанники музыкального училища часто выступают с концертами в школах, дворцах культуры, а также в цехах предприятий (газ.).

А вот союзы «и (или)», указанные вместе означают, что члены однородного ряда, соединяемые ими, могут как сосуществовать вместе («организующее и осуществляющее обработку»), так и быть выбраны (один из ряда: «организующее или осуществляющее обработку»).

Приведенный лингвистический анализ показывает неосновательность утверждения о том, что определение цели обработки ПДн является непременным признаком оператора. В тоже время указанный анализ является не единственным доказательством порочности этого утверждения.

Из содержания различного рода публикаций и, исходя из складывающейся правоприменительной практики, можно сделать вывод и об отношении органа, уполномоченного по защите прав субъектов ПДн (далее — Роскомнадзор) к рассматриваемой проблеме. Роскомнадзор считает, что оператор — это тот, кто, прежде всего, совершает какие-либо операции с ПДн. Одновременно, в силу самого факта обработки у «обработчика» возникает и обязанность определения целей такой обработки. Т.е. по сути, определение цели обработки является скорее следствием обработки, или необходимости в таковой, неотъемлемой составляющей обработки, первейшей обязанностью, проистекающей из обработки ПДн, а не «основным признаком оператора».

Справедливость изложенного мнения подтверждается и системным анализом норм ФЗ № 152. Начать следует со статьи 1 Закона, в которой определена сфера его действия. Названная статья гласит, что закон регулирует отношения, связанные с обработкой ПДн, осуществляемой различными органами, юридическими и физическими лицами. Понятие обработки дано в п.3 ст.3 ФЗ 152. Это действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение персональных данных. Из изложенного следует, что, если конкретное лицо осуществляет какие-либо из перечисленных действий, то оно априори становится участником общественных отношений, являющихся предметом регулирования ФЗ № 152 (если только не подпадает под исключения, предусмотренные ч.2 ст.1 Закона). Как же следует именовать это лицо в терминах ФЗ «О персональных данных»? Выбор невелик. Это лицо следует именовать оператором.

Итак, некое лицо осуществляет (либо намеревается осуществлять) обработку ПДн. Согласно ст.5 ФЗ 152 обработка ПДн должна осуществляться в соответствии с определенными Законом принципами. Анализ содержания принципов приводит к выводу о том, что фундаментальной основой обработки ПДн является определение целей обработки. Даже не вникая в суть каждого принципа, а просто при беглом прочтении ст.5 в каждом пункте статьи мы видим термин «цель» («законности целей», «соответствие целям», «достаточность для целей» и т.д.). Такая концентрация внимания применена законодателем не случайно. От лица, осуществляющего обработку ПДн, Законом требуется уведомление о целях обработки субъектов ПДн органа, уполномоченного по защите прав субъектов ПДн. Закон стремится сделать деятельность, связанную с обработкой ПДн, прозрачной и понятной как для человека — носителя защищаемых Законом конституционных прав и свобод, так и для государственных органов, обеспечивающих реализацию механизмов защиты прав человека как субъекта ПДн. Красной нитью проведена в Законе идея о недопустимости «бесцельной» обработки ПДн (обработки ПДн «просто так», «для своих неопределенных нужд», для «общего развития», «для себя» и т.д.).

Согласно второму принципу, продекларированному в ст.5 Закона, если лицо имеет намерение обрабатывать ПДн, цели такой обработки должны быть заранее (до начала обработки) определены и заявлены. Обратная логическая цепь рассуждений приводит к выводу о том, что осуществление каких-либо действий с ПДн в отсутствие определенной цели обработки является нарушением принципов обработки, и, следовательно, нарушением Закона, предпосылкой к нарушению конституционных прав и свобод человека и гражданина.

Толкование нормы, изложенной в п.2. ст.3 ФЗ 152 в том контексте, что определение цели является не обязанностью оператора, а идентифицирующим его в этом качестве неотъемлемым признаком, неизбежно влечет за собой следующий парадоксальный вывод. Из сферы действия закона выпадают такие органы, как Пенсионный фонд РФ, Фонд обязательного медицинского страхования, Федеральная налоговая служба, Федеральная миграционная служба и многие другие государственные структуры, чьи обязанности напрямую определены и детализированы федеральным законодательством, в том числе и в контексте совершения операций с ПДн. Рассматриваемая предпосылка также приводит к заключению о том, что и операторы связи не являются операторами ПДн, поскольку цель сбора ПДн абонентов предусмотрена в Законе «О связи» и подзаконных нормативно-правовых актах — т.е. определена государством, а не конкретным лицом, предоставляющим услуги связи. То же относится и к кредитным учреждениям, страхов ым и другим организациям, которые осуществляют сбор и другие действия с ПДн в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, т.е. в целях прямо предусмотренных Законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем», а не самими этими организациями. Список можно продолжать бесконечно, абсолютизируя всего лишь одну норму закона и доходя до абсурда в попытках примерить буквальное ее толкование на реальные общественные отношения.

В ст.18 ФЗ № 152 установлены обязанности оператора при сборе ПДн. К их числу относится, в первую очередь, обязанность оператора предоставить субъекту ПДн по его просьбе информацию (ст.14 ФЗ 152), в т.ч., о целях обработки его ПДн. При установлении этой обязанности Закон не делает исключения для операторов, обрабатывающих ПДн на основании каких-либо федеральных законов.

Таким образом, с учетом изложенного выше, становится понятным, что в контексте Закона определение цели обработки ПДн в действительности является скорее обязанностью лица, осуществляющего обработку ПДн, нежели одним из признаков, обладание которым делает это лицо оператором.

Что же такое «определение» цели? Уяснение смысла слова «определение» имеет важное значение для уяснения содержания нормы права, без чего является невозможным правоприменение этой нормы. Поскольку в самом Законе законодатель не счел необходимым раскрыть понятие «определение цели», обратимся к одному из признанных в теории права способов толкования — лексическому (языковому) толкованию.

Согласно толковому словарю русского языка под редакцией проф. Д.Н.Ушакова, определить значит
С точностью выяснить, привести в известность;
Дать научную, логическую характеристику, формулировку какого-нибудь понятия, раскрыть его содержание;
Постановить, вынести решение о чем-нибудь;
Послужить причиной для развития, образования чего-нибудь, предопределить, обусловить;
Назначить, указать.

Следовательно, под определением цели обработки ПДн можно понимать ее выяснение, выбор, вычленение из множества возможных целей, ее постановку или назначение в качестве таковой, указание на эту конкретную цель (цели) в качестве причины для обработки ПДн.

Контекстный анализ содержания ФЗ 152, выявление его смысловых связей с другими источниками права позволяет сделать вывод о том, что для отдельных операторов ПДн и(или) относительно отдельных категорий субъектов ПДн цели обработки ПДн могут быть фактически предопределены или даже прямо указаны в законах либо подзаконных актах (Трудовой кодекс, например, конкретно указывает работодателям на цели обработки ПДн работников). Цель обработки тех или иных ПДн другими операторами проистекает из их обязанностей, возникших из договорных обязательств. В отдельных случаях цели обработки ПДн могут одновременно быть обусловлены и содержанием коммерческой деятельности оператора, и предписаниями закона (операторы связи в целях осуществления собственной уставной деятельности, направленной на извлечении прибыли, обрабатывают ПДн в целях оказания услуг связи и во исполнение Закона «О связи»).

Таким образом, первичной задачей лица, осуществляющего обработку ПДн, является именно вербализация целей обработки ПДн, уяснение для себя самого чем именно обусловлена конкретно для него обработка ПДн физических лиц. Формулирование ответа на этот вопрос фактически и будет являться определением цели обработки ПДн.

В разрезе проблемы, рассматриваемой в настоящей статье, представляется интересным мнение Правительства РФ, выраженное по поводу поправок в ФЗ 152. 5 мая 2010 года был в первом чтении принят законопроект, внесенный на рассмотрении в Государственную думу ее депутатом В.М.Резником. В числе прочего, данным законопроектом предложена новая формулировка понятия «оператора», а именно:

«оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющие обработку персональных данных, а также определяющие цели, содержание и порядок обработки персональных данных». Как видим, из ныне действующей формулировки исключено слово «организующие». В своем официальном отзыве на данный законопроект Правительство РФ указывает, что «такое изменение не может быть поддержано, поскольку лица, осуществляющие обработку персональных данных, но не определяющие цели и содержание обработки, не смогут считаться операторами». Из приведенного замечания Правительства РФ следует, что на сегодняшний день (когда редакция закона еще не изменена) по мнению Правительства РФ оператором является любое лицо, осуществляющее обработку ПДн вне зависимости от наличия или отсутствия факта определения им целей такой обработки.

Итак, проведенный в настоящей статье анализ позволяет сделать несколько выводов.
Определение цели обработки ПДн — это обязанность оператора, а не обязательный идентифицирующий признак оператора.
Определение цели обработки ПДн — это процесс осмысления, уяснения, конкретизации и вербализации цели обработки ПДн оператором, в том числе и в случаях, когда такие цели предопределены и (или) проистекают из положений закона или полномочий, возложенных на оператора.

Работа с персональными данными накладывает на оператора ряд обязанностей. Рассмотрим несколько наиболее существенных из них.

Уведомить Роскомнадзор о начале обработки персональных данных (). Такое уведомление необходимо направить в ведомство до начала обработки данных, указав в нем:

  • наименование (ФИО), адрес оператора;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
  • меры защиты персональных данных;
  • ФИО физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  • дату начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • данные о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • информацию о месте нахождения базы данных информации, содержащей персональные данные россиян;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ (речь, в частности, идет об персональных данных в зависимости от угроз безопасности, персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, а также о и технологиям хранения таких данных вне информационных систем персональных данных).

При этом есть ситуации, когда уведомлять Роскомнадзор об обработке персональных данных не нужно. Это, например, обработка работодателем данных работников, получение оператором данных клиента при заключении с ним договора (если эта информация не предоставляется третьим лицам без согласия на то субъекта и используется исключительно для исполнения указанного договора), обработка общедоступных персональных данных, оформление лицу однократного пропуска на территорию оператора, использование только ФИО субъекта и др. ().

Обеспечить конфиденциальность персональных данных. Это значит, что распространять их без согласия на то субъекта нельзя (). Данная обязанность лиц, получивших доступ к персональным данным, является одной из основных. В частности, при передаче персональных данных работников работодатель обязан:

  • не сообщать персональные данные работника третьей стороне без его письменного согласия (за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в других предусмотренных законом случаях – например, при передаче данных в ФСС, ПФР, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ и др.);
  • предупредить лиц, получающих персональные данные работника, что эта информация может быть использована лишь в целях, для которых она сообщена – более того, работодатель даже может требовать от таких лиц подтверждения того, что это правило соблюдено;
  • осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись;
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, причем они должны иметь право получать лишь те данные работника, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • ограничивать информацию, передаваемую представителям работников, лишь теми данными работника, которые необходимы для выполнения указанными представителями их функций ().

Принимать меры для обеспечения безопасности персональных данных (). Для этого организации следует назначить лицо, ответственное за организацию обработки персональных данных (). Такое лицо обязано осуществлять внутренний контроль за соблюдением оператором и его работниками требований к защите персональных данных, доводить до сведения работников положения , локальных актов по вопросам обработки персональных данных, а также организовывать прием и обработку обращений и запросов субъектов персональных данных. Кроме того, в этих же целях следует применять технические меры по обеспечению безопасности обработки, а также издать документы, определяющие политику компании в отношении обработки персональных данных, и др.

При этом политику обработки персональных данных организация должна сделать публичной (). Наиболее оптимальным способом является размещение документа на сайте оператора. Но в том случае, когда это невозможно, достаточно установить "кармашек" с политикой на бумажном носителе в любом доступном для посетителей организации месте. Исключение составляют операторы, собирающие персональные данные непосредственно через Интернет, – им необходимо опубликовать политику именно на сайте и обеспечить возможность доступа к указанному документу. На официальном сайте Роскомнадзора можно ознакомиться с рекомендациями по составлению политики в отношении обработки персональных данных .

Не стоит путать политику, распространяющуюся в основном на третьих лиц (контрагентов, клиентов и др.), с Положением о защите, хранении, обработке и передаче персональных данных работников – этот документ в отличие от политики является локальным нормативным актом, поэтому делать его публичным не нужно, а вот ознакомить с ним под роспись работников следует обязательно ().

МАТЕРИАЛЫ ПО ТЕМЕ

О том, с какими проблемами может столкнуться оператор при соблюдении требований о локализации персональных данных и как их наиболее эффективно их решить, читайте в нашем материале " ".

Соблюдать требования по локализации персональных данных россиян. С 1 сентября 2015 года все операторы при сборе персональных данных обязаны обеспечить их обработку с использованием баз данных, находящихся в России (). Так называемая локализация персональных данных поначалу вызвала большой резонанс среди специалистов и операторов – требования закона были сформулированы таким образом, что у экспертов возникло немало . Среди них отсутствие ясности, на какие именно персональные данные будет распространяться данное требование, каких операторов это затронет, допускается ли обработка персональных данных одновременно на российском и иностранном сервере, как определить гражданство субъекта и т. д. На большую часть этих вопросов Роскомнадзор ответил еще до вступления новых требований закона в силу. Так, например, ведомство предоставило операторам право самостоятельно решать вопрос определения гражданства лица, чьи данные обрабатываются, либо применять требование о локализации к персональным данным всех субъектов. Кроме того, Роскомнадзор уточнил, что в том случае, когда при сборе персональные данные были записаны в российскую базу данных, в дальнейшем они могут обрабатываться и в электронной базе, находящейся за пределами страны.

И в политике обработки персональных данных, и в Положении о защите, хранении, обработке и передаче персональных данных работников следует прописать, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России, а также указать место нахождения такой базы данных.

Своевременно прекратить обработку персональных данных. Если цель обработки персональных данных достигнута или субъект отозвал свое согласие на их обработку, оператор должен прекратить обработку этих данных и удалить их в 30-дневный срок, если иной срок не определен в соглашении ().

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ :

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

  • работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;
  • компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
  • общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
  • организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
  • любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;
  • системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
  • граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687 ;
  • организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

  • полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
  • цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
  • категории ПД, которые будут обрабатываться;
  • субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
  • основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
  • описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
  • сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
  • информация о шифровальных (криптографических) средствах;
  • дата начала, а также условия и сроки прекращения обработки ПД;
  • сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
  • сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям сайт доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

На сайте Консультанта

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Збагойно: 152-ФЗ — в «Деле»

Персональные данные — это любые данные о человеке, по которым его можно определить. Например:

  • электронная почта;
  • телефон,
  • имя и фамилия;
  • дата рождения;
  • адрес;
  • ссылка на сайт.

Ник без других данных не считается персональными данными, по нему нельзя определить человека.

С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Данные из социальных сетей

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями Вконтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными Вконтакте можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы Вконтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

  • обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.

    • Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

  • обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
  • использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

Проверка Роскомнадзора

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

Реестр операторов персональных данных на сайте Роскомнадзора

В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:

Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

  • устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
  • карт лояльности;
  • рекламных рассылок;
  • оказания услуг;
  • регистрации на сайтах;
  • звонков потенциальным клиентам.

Штрафы за нарушение закона о персональных данных в КоАП РФ на сайте Консультанта

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.