Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разбираемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.
Кто такие операторы персональных данных и чем они занимаются
Большинство знает, что к персональным данным (ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения допустимо включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ:
Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Получается, что достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.
Согласно действующему законодательству, оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:
- самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
- определяет цели работы с личной информацией, ее состав, действия (операции) с ней.
То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым идентифицируют гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.
Давайте представим, кто относится к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!
Обязанности оператора при обработке персональных данных
Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Закон № 152-ФЗ закрепляет, что регистрация в Роскомнадзоре как оператор персональных данных налагает на оператора обязанности:
- разъяснять субъекту ПД, какие данные и для чего собирают, получать его предварительное согласие на обработку личной информации, на ее распространение. Такое согласие запрашивают в письменной форме: человеку предлагают подписать специальную бумагу, где уточняется, что сбор информации и ее распространение производится по правилам закона № 152-ФЗ, и она соответствующим образом хранится, используется, а позже — уничтожается. Хотя чаще всего согласие «прячется» в самом конце подписываемого соглашения и выглядит как галочка, рядом с которой надо поставить свою подпись, существует и специальная форма такого согласия;
- разработать и публично представлять политику в отношении обработки ПД. Обнародовать такой документ допустимо любым удобным для компании способом, но чаще всего это делается с помощью интернета — на странице организации просто публикуют политику без сокращений. Если у организации есть сайт, на котором происходит сбор ПД, публикация на сайте обязательна, независимо от иных способов обнародования;
- обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения. Речь идет о технических и организационных мерах — установление паролей и специальных программ, гарантирующих сохранность информации, оперативное устранение последствий хакерских атак, иные мероприятия по обеспечению безопасности;
- уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели. В соответствии со ст. 21 закона № 152-ФЗ, уничтожается информация только после обращения лица, чьи данные обрабатывались с нарушениями, либо его представителя. Запрос обязательно подается в письменной форме, и отреагировать на него оператору необходимо в сроки, прописанные в законе. Рекомендованный образец такого обращения доступен на сайте Роскомнадзора;
- блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя). Это не значит, что оператор полностью удаляет имеющуюся информацию, но он не вправе ею пользоваться.
Регистрация в Роскомнадзоре в качестве оператора персональных данных
Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются (ч. 2 ст. 22 ФЗ № 152):
- организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
- системы со статусом государственных автоматизированных информсистем, государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
- организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников;
- организации, которые работают с ПД без использования средств автоматизации.
С учетом таких формулировок немногие организации не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.
Вот как стать оператором персональных данных: необходимо подать уведомление на регистрацию. Процедура регистрации заключается в подаче уведомления по определенной форме. Ознакомьтесь с ней через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 № 346. Роскомнадзор планирует изменить действующий бланк уведомления.
Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:
- полное и сокращенное наименование компании с указанием организационно-правовой формы, юридический и почтовый адреса, ИНН;
- цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
- категории ПД, которые будут обрабатываться;
- субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, работник, заемщик, абонент, вкладчик, страхователь;
- основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
- описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
- сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
- информация о шифровальных (криптографических) средствах;
- дата начала, условия и сроки прекращения обработки ПД;
- сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
- сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 № 1119.
Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.
После отправки уведомления можно проверить в реестре операторов персональных данных Роскомнадзора по ИНН свою организацию или ИП.
Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме.
Все оказываемые в этом случае услуги Роскомнадзором бесплатны.
Что изменилось с 1 сентября 2022
01.09.2022 вступили в силу изменения в области работы с ПД. Среди них:
- срок ответа на запросы Роскомнадзора для лиц, входящих в реестр операторов ПДН, сократили с 30 до 10 дней;
- уведомление о работе с ПД обязаны направлять практически все организации и ИП. Исключение — обработка без использования средств автоматизации. Например, если для входа на предприятие необходимо оформить пропуск через компьютерную программу, требуется уведомление. А если Ф.И.О. посетителя ручкой вносят в журнал учета, уведомлять не нужно;
- в уведомлении об обработке ПД необходимо указать категорию данных и их субъектов; правовое основание обработки; перечень действий с данными и способы их обработки;
- локальные нормативные акты в организации должны содержать: категории и перечни обрабатываемых данных, категории субъектов данных, способы и сроки обработки, хранения данных, порядок их уничтожения;
- при компрометации ПД необходимо уведомить Роскомнадзор в течение 24 часов после происшествия. В течение 72 часов необходимо провести внутреннее расследование и отчет о результатах направить в Роскомнадзор;
- согласие на ПД должно быть предметным и однозначным.
Ответственность за отказ регистрироваться в реестре
Перед тем как попасть в реестр операторов персональных данных Роскомнадзора, обратите внимание на санкции за нарушения порядка работы с ПД. Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. В соответствии с Федеральным законом от 07.02.2017 № 13-ФЗ, который начал действовать с 01.07.2017, в статье 13.11 КоАП РФ предусмотрены несколько составов правонарушений, за которые операторы персональных данных несут ответственность. В зависимости от правонарушения, штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.
Отказ регистрироваться в реестре расценивают как непредоставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней, должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.