Консалтинг Онлайн
Защита персональных данных

Оператор персональных данных: перечень обязанностей по 152-ФЗ

Обязанности операторов персональных данных описаны в законе №152-ФЗ и направлены на соблюдение прав владельца таких данных и обеспечение принципа прозрачности для проверок со стороны контрольных органов. Узнайте, какие обязанности возложены на операторов и какие меры по их выполнению они должны принимать.

Оператор персональных данных: кто это в 152-ФЗ

Оператор персональных данных (ОПД) — это любой бизнес, юридическое лицо, государственная или муниципальная организация, которые в ходе своей деятельности собирают и обрабатывают личные данные физических лиц.

Информация об операторах содержится в реестре операторов, который ведет Роскомнадзор. Операторы — ИП и организации — обязаны уведомлять РКН о работе с личными данными субъектов (ст. 22 закона № 152-ФЗ).

В законе описаны случаи, когда операторы не должны уведомлять Роскомнадзор при обработке данных (п. 79 ст. 22 № 152-ФЗ). Например, если при обработке не применяются автоматизированные средства.

Соответственно, статус оператора персональных данных присваивается ИП или организации независимо от того, находятся они в реестре или нет. Главный критерий — получение данных от их владельцев для дальнейшей обработки. А основные обязанности можно разделить на три основные группы: не нарушать права владельцев данных, соблюдать принцип прозрачности, выполнять требования № 152-ФЗ.

Обязанности оператора персональных данных

Субъект (владелец) персональных данных самостоятельно принимает решение о передаче сведений о себе оператору и дает добровольное согласие на работу с ними (ч. 1 ст. 9 закона № 152-ФЗ). А при необходимости — вправе отозвать такое согласие. Отсюда следует обязанность оператора ОПД — собирать информацию законно и только в соответствии со своими целями.

Оператор ПД может сам определять меры, направленные на выполнение своих законных обязанностей. Но на практике большинство операторов придерживаются перечня обязанностей, которые для них определяет ст. 18.1 № 152-ФЗ.

Соблюдение обязанностей оператора

В ст. 18.1 закона № 152-ФЗ перечислены мероприятия, которые должен проводить оператор для обеспечения безопасности личных данных их владельцев:

  • Юридические лица назначают сотрудника, уполномоченного на работу с данными, осуществление внутреннего аудита, работу с запросами владельцев данных, ознакомление сотрудников организации с правилами работы с ПД. 

  • Юридические лица разрабатывают политику обработки ПД и внутренние регламенты, определяющие границы их обязанностей (цели, субъекты, сроки хранения, порядок уничтожения данных после достижения цели и т. д.).

  • Оценивают негативные последствия, которые могут наступить для владельцев данных, если нарушается законодательство.

  • Проводят внутренние проверки на соблюдение локальных регламентов и норм закона.

По запросу контрольных органов операторы обязаны документально подтвердить, что соблюдают принятые меры. 

Защита и безопасность данных

Операторы ПД обязаны соблюдать меры по обеспечению безопасности полученных личных данных от их владельцев. Об этих мерах говорится в ст. 19 закона № 152-ФЗ:

  • Защищать персональные данные от несанкционированной утечки, неправомерного доступа к ним третьих лиц, незаконного использования и т. д.

  • Определять факторы риска, ослабляющие безопасность данных.

  • Обеспечивать надлежащую работу внутренних информационных систем, в которые вносятся данные для обработки.

  • Предварительно оценивать технические и организационные мероприятия, которые планируется проводить для защиты ПД.

  • Восстанавливать данные, которые исчезли или изменились после совершения с ними незаконных действий со стороны третьих лиц.

Органы контроля в области защиты и безопасности персональных данных — ФСБ и ФСТЭК, которые наделяются полномочиями в зависимости от уровня и важности этих данных.  

Соблюдение прав владельцев данных

Субъект ПД вправе делиться личными данными добровольно и давать согласие на их обработку. Отсюда можно назвать обязанности операторов:

  • Собирать личную информацию граждан в соответствии с законом. 

  • Не запрашивать данные, которые не соответствуют целям сбора (ст. 5 закона № 152-ФЗ). Например, при приеме на работу компания не может запрашивать от соискателя информацию о том, к какой религии или политической партии он принадлежит. Это уже будут избыточные сведения, которые не соотносятся с приемом на работу.  

  • Не смешивать базы данных с разными категориями персональных данных (ст. 5 закона № 152-ФЗ). Например, нельзя объединять базу сотрудников компании с базой клиентов по маркетингу.

  • Предоставлять владельцу данных информацию по его запросу: зачем нужны его личные данные, кто собирает (информация об операторе), кто ответственный сотрудник и т.д. (ч. 7 ст. 14 закона № 152-ФЗ).

  • Разъяснять лицу, какие последствия могут возникнуть, если он откажется от предоставления персональных данных в случаях, когда это необходимо по закону (ч. 2 ст. 18 закона № 152-ФЗ). Обычно компании разрабатывают стандартные разъяснения, которые используют должностные лица, чтобы не нарушить права субъектов ПД.

  • Операторы могут получать данные не только от самих владельцев, но и из других источников, указанных в законодательстве. В последнем случае оператор обязан надлежащим образом уведомить владельца (ч. 3 ст. 18 закона № 152-ФЗ). Оператор на свое усмотрение решает, в какой форме уведомить субъекта ПД.

  • Обрабатывать персональные данные с согласия их владельца в случаях, установленных законом (ч. 1 ст. 6, ч. 3 ст. 9 закона № 152-ФЗ). Некоторые действия с ПД выполняются только с согласия гражданина, например, информация о его здоровье или национальности (п. 1 ч. 2 ст. 10 закона №152-ФЗ).

Владелец данных может отозвать согласие на обработку. Если у оператора есть правовые основания, он может не останавливать работу с данными. При отсутствии таких оснований ОПД обязан в течение 30 дней прекратить обработку данных. 

Есть случаи, когда оператор обязан остановить работу с ПД немедленно, не придерживаясь тридцатидневного срока. Например, когда пользователь отказывается от рекламных писем на электронную почту (ст. 15 закона № 152-ФЗ).

Владелец данных вправе запросить у оператора информацию, касающуюся обработки. Оператор должен дать ответ в течение 10 рабочих дней. Время ответа можно продлить максимум на пять дней, если об этом письменно уведомить субъекта ПД. Для ответа оператор должен использовать тот же канал связи, который использовался при направлении запроса. Или оператор отвечает в той форме, которую указал гражданин в своем обращении (ч. 3 ст. 14 закона № 152-ФЗ).

Только начинаете работать с персональными данными и не знаете, как вести учет и какие оформлять локальные документы? Специалисты Консалтинг Онлайн подготовили для вас чек-лист процедур, которые обязательно нужно соблюдать согласно закону от 27.07.2006 № 152-ФЗ. Используйте эту инструкцию в своем бизнесе и работайте с персональными данными правильно. Что содержится в чек-листе:

  • подробный алгоритм работы с персональными данными;

  • список внутренних документов, которые нужны компаниям для работы с ПД;

  • ссылки на нормативно-правовые акты;

Инструкция поможет вам правильно организовать работу с персональными данными и не опасаться штрафов.

Забрать инструкцию

Регистрация ИП в Роскомнадзоре и подготовка документов по ФЗ №152

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Полномочия ответственных

Работать с персональными данными вправе те сотрудники, которых официально назначает оператор. Они проводят комплекс мер, направленных на организацию и надлежащие действия с личными данными субъектов (ст. 22.1 закона № 152-ФЗ). 

Какими полномочиями наделяются должностные лица:

  • проводят внутренний аудит по выявлению нарушений в области законодательства о ПД;

  • работают с обращениями субъектов данных и их представителей;

  • разъясняют сотрудникам порядок работы с личными данными граждан и меры по защите этой информации.

Ответственные лица, которые работают с данными в организации, делятся на группы с учетом их зон ответственности. Это делается для того, чтобы должностные лица имели доступ только к части персональных данных, которая касается исключительно их функций.

  • Должностное лицо назначается приказом и получает инструкцию, в которой описаны его полномочия, обязанности и меры наказания.

  • По КоАП штрафы предусмотрены не только для организаций, но и для должностных лиц. Например, если ответственный не предоставит субъекту ПД информацию об обработке данных по его запросу, то за это ему грозит штраф — 8–12 тыс. рублей (ч. 4 ст. 13.11 КоАП).

Уведомление уполномоченных органов и контроль

Права граждан по защите персональных данных защищает Роскомнадзор. Часть обязанностей операторов ПД связано с взаимодействием с этим уполномоченным органом (ст. 22 закона № 152-ФЗ).

Направление уведомлений

Оператор ПД обязан отчитаться в РКН о своем намерении работать с персональными данными. В некоторых случаях оператор может не уведомлять контрольный орган (ч. 2 ст. 22 закона № 152-ФЗ):

  • ПД включены в государственные инфосистемы, обеспечивающие защиту в области госбезопасности и общественного порядка;

  • обработка данных выполняется в неавтоматизированной форме;

  • обработка данных выполняется с целью обеспечения безопасности в области транспортного комплекса.

Роскомнадзор включает информацию об операторе в реестр после получения уведомления, направленного в бумажной или электронной форме. Кроме этого, оператор обязан сообщить в РКН, если сведения в уведомлении изменились (ч. 7 ст. 22 закона № 152-ФЗ). Информировать следует в сроки:

  • если необходимо скорректировать сведения в реестре операторов — до 15 числа следующего месяца;

  • если необходимо отчитаться о прекращении работы с ПД — в течение 10 рабочих дней.

Взаимодействие с РКН

При получении запроса от Роскомнадзора оператор должен ответить в течение 10 рабочих дней (ч. 4 ст. 20 закона № 152-ФЗ). Этот срок можно продлить до пяти дней, если у оператора есть на это основания.

Если у оператора произошел инцидент с утечкой персональных данных, то сроки уведомления РКН значительно короче (ч. 3.1 ст. 21 закона № 152-ФЗ):

  • в течение 24 часов — о несанкционированном доступе и распространении данных;

  • в течение 72 часов — о причинах возникновения инцидента и установленных виновниках происшествия.

В этом случае для передачи уведомлений в РКН используется три канала связи: через «Госуслуги», ИС ГосСОПКА (при компьютерных атаках), НКЦКИ (о несанкционированном доступе и распространении) (ч. 12. ст. 19 закона № 152-ФЗ). 

Ответственность за нарушение обязанностей

За несоблюдение обязанностей операторы ПД могут нести ответственность как по административным, так и по уголовным статьям. 

Штрафы за нарушения в области работы с персональными данными для операторов — ИП, юрлиц, должностных лиц — описаны в ст. 13.11 КоАП. За повторное нарушение применяются более строгие штрафы.

Например, штраф для юридического лица за обработку личных данных без согласия владельца на первый раз составит от 300 до 700 тыс. рублей. Если нарушение совершено снова, то штраф выше — до 1,5 млн рублей.

Если оператор в процессе обработки ПД нарушил права гражданина, то обязан возместить ему моральный вред независимо от компенсации имущества или возмещения убытков этого гражданина (ст. 24 закона № 152-ФЗ).

Выводы

  1. Операторы обязаны обрабатывать персональные данные только с согласия граждан и строго в установленных целях. Необходимо исключить сбор избыточной информации, а также своевременно информировать владельцев данных об их правах.

  2. Взаимодействие с владельцами данных и Роскомнадзором должно быть четким и своевременным. Операторы обязаны предоставлять информацию о целях обработки данных и о любых изменениях в своей деятельности, связанных с использованием персональной информации.

  3. Для эффективного выполнения обязанностей операторы должны внедрять четкие внутренние документы: политику обработки персональных данных, инструкции для сотрудников и локальные регламенты для предотвращения утечек.

  4. Главный приоритет оператора — защита данных от несанкционированного доступа и утечек. Сюда входит оценка рисков, использование современных технологий защиты и восстановление данных при инцидентах.

  5. Несоблюдение правил работы с персональными данными влечет за собой штрафы и репутационные потери. Поэтому важно не только соблюдать закон, но и постоянно обучать сотрудников и проводить внутренние проверки.

Знание своих обязанностей поможет операторам персональных данных минимизировать риски, наладить взаимодействие с клиентами и регуляторами, а также избежать серьезных последствий, связанных с нарушениями.

На сайте сервиса Роском Онлайн вы можете получить консультацию по вопросам работы с персональными данными и заказать бесплатный аудит вашей компании на наличие нарушений. Это поможет вам избежать штрафов и вести учет правильно, как этого требует закон № 152-ФЗ «О персональных данных». Поручите квалифицированным специалистам подготовку документов вашей компании под ключ и взаимодействие с контрольными органами.

Читайте также:

Регистрация ИП в Роскомнадзоре и подготовка документов по ФЗ №152

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KVdrq

Начать дискуссию