Сегодня буквально каждый из нас заполняет в любых учреждениях разрешение на обработку персональных данных. Эта обязанность введена 152 Законом Об обработке персональных данных (далее – ПД). И если владельцы сайтов прекрасно осведомлены об особенностях, то и обычным людям будет полезно понимать, почему им бесконечно навязывают везде и всюду заполнение этих надоевших бумажек.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. К ней относят имя, фамилию и все те данные, которые позволяют идентифицировать человека. Например, как знают владельцы сайтов, по ID в Метрике невозможно установить личность человека. А вот отсутствие политики обработки ПД или политики конфиденциальности под формой обратной связи может повлечь штраф до 75 000 руб. и выше.
За неверную обработку ПД и тем более их утечку, что случается довольно часто, КоАП предусматривает до 18 000 000 руб. штрафа – ст. 13.11. И оператор, то есть любое лицо, в том числе и физическое, которое владеет ПД, обязано пройти регистрацию в Реестре операторов персональных данных еще до начала сбора этих данных. За отсутствие регистрации штраф относительно небольшой. Для физлиц – от 100 руб. до 300 руб. Для юрлиц – от 3000 руб. до 5000 руб. – ст. 19.7 КоАП. Регистрацией занимается Роскомнадзор. Он проверяет все документы и принимает решение о внесении в реестр.
Когда не требуется предварительное уведомление Роскомнадзора
· Если речь идет о трудоустройстве. И в этом случае работодатель обязан уведомить нового работника под роспись о порядке обработки его ПД, а также получить его согласие
· Если данные нигде не распространяются и не передаются третьим лицам (договоры ГПХ и пр.)
· Религиозные организации также могут не регистрироваться в РКН
· Если человек разрешил их распространение или сам их разместил для ознакомления неопределенному кругу лиц
· Если данные включают только ФИО
· Если заполняются данные только для прохода на объект (оформление стандартного пропуска)
· Если речь идет о системах хранения данных, созданных в целях госбезопасности
· Если обработка данных осуществляется без использования средств автоматизации (например, для разового посещения библиотеки или архива)
· Если речь идет о персональных данных пассажиров в транспортной сфере.
Роскомнадзор разработал методические рекомендации для операторов, которые намереваются пройти регистрацию.
Уведомление должно включать следующие сведения:
· Правоустанавливающие данные для юрлиц или госорганов: ИНН, ОГРН, адрес, наименование филиалов, лицензии и пр. Физлицам необходимо предоставить адрес оператора, ИНН и паспорт
· Необходимо указать цели обработки ПД, категории и субъектов (лиц, чьи ПД будут собираться)
· Правовое обоснование обработки (для чего собираются)
· Вид обработки (автоматизированная или неавтоматизированная, с передачей по сети или нет)
· Описание мер защиты (хранение паролей или документов)
· Указание должностных лиц, ответственных за хранение и обработку, с указанием их ФИО, телефонов и адресов
· Сведения о месте нахождения базы данных
· Сведения о трансграничности передачи, если таковая имеется
