Консалтинг Онлайн
Защита персональных данных

Обработка персональных данных: в чем суть этой обязанности операторов ПД

Обязанность операторов по обработке персональных данных — это соблюдение множества требований: не нарушать права владельцев данных, защищать данные от утечек и неправомерного вмешательства третьих лиц, уведомлять Роскомнадзор в случае происшествий, разрабатывать локальные акты для законной работы с данными. Узнайте об этих и других обязанностях операторов ПД. 
Обработка персональных данных: в чем суть этой обязанности операторов ПД
Иллюстрация: gpointstudio/freepik

Кто такие операторы персональных данных

Операторы персональных данных (ОПД) — это все организации и компании, которые по долгу своей работы собирают информацию о физических лицах, в том числе о своих сотрудниках. 

Неправильное использование персональных данных может скомпрометировать их владельца, а оператору будет грозить не только административная, но и уголовная ответственность. 

Операторы персональных данных — это:

  • онлайн-магазины, которые продают товары;

  • сайты компаний, на которых можно заказать услуги;

  • операторы, предоставляющие телефонную и интернет-связь;

  • индивидуальные предприниматели, которые на своем сайте собирают анкетные данные пользователей;

  • налоговые органы, которые собирают информацию о налогоплательщиках;

  • государственные учреждения — больницы получают информацию о состоянии здоровья своих пациентов, школы и вузы собирают сведения об учащихся и т.д.

Под понятие персональных данных подпадает любая информация о физических лицах — от паспортных данных до кода ДНК. Организации и ИП должны распоряжаться этой информацией с осторожностью и соблюдать обязанности, указанные в законодательстве. 

Коротко об обязанностях операторов ПД

Определения «персональные данные» и «оператор» даются в законе от 27.07.2006 № 152-ФЗ «О персональных данных» (статья 3).

Обязанностям операторов ПД посвящена четвертая глава закона № 152-ФЗ. Условно обязанности операторов можно разделить на пять групп:

  1. Уведомление о начале работы с ПД. Если операторы планируют работать с персональными данными, то они должны направить уведомление в Роскомнадзор, чтобы попасть в реестр операторов ПД (ст. 22 закона № 152-ФЗ), за исключением некоторых случаев, о которых расскажем ниже.

  2. Взаимодействие с владельцами данных. Операторы собирают сведения о физлицах не скрыто, а обязаны проинформировать владельца ПД о целях сбора и как будет использована информация. Если гражданин обязан по закону передать свои персональные данные, то оператор должен объяснить, чем грозит отказ (ст. 20 закона 152-ФЗ).

  3. Защита информации. Персональные данные — это конфиденциальная информация, в отношении которой оператор должен обеспечить безопасность и исключить различного рода утечки (внутри компании или за ее пределами). Делиться данными с третьими лицами оператор может, если такие случаи указаны в законе (ч. 36 ст. 6 закона № 152-ФЗ). При этом он должен письменно уведомить владельца данных о том, что его данные передаются другой стороне, а владелец должен дать на это разрешение.

  4. Ограниченный доступ к базам данных. Оператор назначает ответственных сотрудников, которые наделяются правом работать с персональными данными физлиц. Внутри своих подразделений оператор дает должностным лицам доступ только к определенной части баз данных, чтобы сотрудники распоряжались этой информацией только в рамках своих функций (ст. 22.1 закона № 152-ФЗ).

  5. Меры безопасности. Операторы предпринимают все необходимые меры, чтобы исключить несанкционированный доступ к информации, а если это произошло — провести мероприятия по устранению нарушений и выявлению виновных лиц (ст. 19 закона № 152-ФЗ).

Операторы персональных данных обязаны соблюдать нормы закона № 152-ФЗ и взаимодействовать с Роскомнадзором, чтобы легально работать с чужими данными и не допускать в отношении себя штрафы и излишние проверки.

Обработка персональных данных

Главная обязанность операторов ПД — работать с персональными данными по закону и охранять ее от утечек и несанкционированного доступа. Суть обязанностей операторов:

  1. Соблюдать правила. Операторы должны строго следовать закону о персональных данных № 152-ФЗ. Они не могут собирать данные без согласия их владельцев, если только это не предусмотрено законом (например, для исполнения договора) (ч. 1 ст. 6, ч. 3 ст. 9 закона 152-ФЗ).

  2. Четко определять цели. Операторы обязаны заранее объяснить гражданину, зачем им нужны его данные. Например, для доставки товаров, оформления кредита или отправки рекламных предложений. 

  3. Обеспечивать безопасность. Операторы должны защищать данные от утечек, компьютерных взломов и других угроз. Для этого они используют технические и организационные меры — шифрование, доступ по паролю и регулярные проверки систем безопасности.

  4. Уважать права пользователей. Операторы должны отвечать на запросы владельцев ПД и разъяснять им, какие данные о них собирают, как их используют и кому передают. Владельцы также могут потребовать исправить ошибки или удалить информацию о себе.

  5. Минимизировать сбор данных. Операторы не должны запрашивать больше информации, чем нужно (ст. 5 закона 152-ФЗ). Например, для рекламной рассылки достаточно знать электронную почту пользователя, а паспортные данные не требуются.

За нарушение правил оператора могут оштрафовать или лишить права работать с данными, что может серьезно ударить по его репутации. Например, для юрлиц предусмотрены штрафы за работу с персональными данными лиц без их согласия: при первом нарушении — до 700 тыс. руб., при повторном — до 1,5 млн руб. (ст. 13.11 КоАП).

Консалтинг Онлайн помогает бизнесу организовать работу с персональными данными в полном соответствии с законом № 152-ФЗ. Мы предлагаем:

  • Чек-лист обязательных процедур — готовое руководство с алгоритмом работы, перечнем необходимых документов и ссылками на законодательные акты.

  • Подготовку документов для регистрации в Роскомнадзоре, ведения учета и внутреннего контроля.

  • Консультации корпоративных юристов по всем вопросам, связанным с обработкой персональных данных.

  • Готовые решения для ответа на запросы Роскомнадзора, включая подготовку писем и разъяснений.

Бонус: бесплатный чек-лист для всех новых клиентов и скидка 10% на годовое сопровождение.

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Взаимодействие с контрольным органом

Контрольный орган

Некоторые обязанности операторов персональных данных связаны с взаимодействием с Роскомнадзором — это контрольный орган, который защищает права владельцев ПД и передает информацию об операторах для включения в реестр. 

Особенности и сроки уведомления

Операторы уведомляют Роскомнадзор о начале работы с персональными данными. После проверки ведомство включает оператора в реестр в течение 30 дней с даты получения уведомления (ч. 4 ст. 22 закона № 152-ФЗ).

Если необходимо изменить сведения в уведомлении, то оператор направляет в РКН информационное письмо:

  • до 15 числа следующего месяца — для изменения сведений в реестре операторов;

  • в течение 10 рабочих дней — при прекращении работы с ПД.

Найти организацию в реестре операторов можно по наименованию, ИНН или регистрационному номеру. Информация в реестре открыта для просмотра, за исключением средств защиты персональных данных.

В какой форме можно направить уведомление

Форма уведомления приведена в приказе Роскомнадзора от 28.10.2022 № 180. Операторы вправе направить уведомление в Роскомнадзор одним из способов:

  1. На бумаге. Для этого нужно заполнить форму, распечатать и подать в местное представительство Роскомнадзора.

  2. В электронном виде. Для этого потребуется заполнить форму и подписать усиленной квалифицированной электронной подписью (УКЭП), предварительно установив плагин КриптоПро ЭЦП Browser plag-in.

  3. Через «Госуслуги». Если уведомление подается от организации, то к профилю физлица (руководителя) необходимо привязать организацию.

Уведомление содержит несколько разделов, которые необходимо заполнить: информация об операторе, цели работы с ПД, регион, используемая база данных на территории РФ и т.д. При необходимости прикрепляется машиночитаемая доверенность (МЧД) на лицо, которое действует по доверенности от имени организации.

Запросы РКН

На запросы Роскомнадзора оператор должен ответить в течение 10 рабочих дней (ч. 4 ст. 20 закона № 152-ФЗ). Этот срок можно продлить на пять дней, если у оператора есть на это мотивированные причины, и он письменно поставил РКН в известность.

Если в организации произошел несанкционированный доступ к персональным данным, то об инциденте следует сообщить в Роскомнадзор в отведенные сроки (ч. 3.1 ст. 21 закона № 152-ФЗ):

  • в течение 24 часов — о том, что произошло, и какие меры предприняты;

  • через 72 часа — о том, что удалось выяснить в ходе внутреннего расследования (причины, виновные лица).

Об инцидентах оператор ПД информирует РКН через «Госуслуги» или информационную систему ГосСОПКА (ч. 12 ст. 19 закона № 152-ФЗ). При совершении компьютерных атак оператор обязан сообщить в ФСБ (приказы Роскомнадзора от 14.11.2022 № 187 и ФСБ от 13.02.2023 № 77).

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Когда не требуется уведомление РКН

Некоторые операторы могут работать с персональными данными, не уведомляя Роскомнадзор (ч. 2 ст. 22 закона № 152-ФЗ):

  • информация о которых включена в государственные информационные системы, обеспечивающие общественный порядок и государственную безопасность;

  • при сборе, хранении и обработке ПД не используют автоматизированные средства;

  • обрабатывают персональные данные с целью обеспечения безопасности транспортного комплекса и защиты общественных интересов.

В остальных случаях оператор должен уведомить Роскомнадзор о работе с персональными данными. 

Основные документы

Чтобы работать с персональными данными по закону, оператору нужно подготовить несколько основных документов (локальных актов) (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ):

  1. Политика обработки персональных данных. Это главный документ, в котором прописаны правила работы с персональными данными. В нем указывается: какие данные собираются, для каких целей, как они защищаются, как пользователи могут узнать о своих правах. Политика должна быть доступна для всех, например, опубликована на сайте компании.

  2. Согласие на обработку данных. Это письменное или электронное разрешение от человека, чьи данные вы собираете. В согласии указывается: какие именно данные будут обработаны, зачем они нужны, кто их будет использовать.

  3. Приказ о назначении ответственного лица. Оператор должен назначить сотрудника, который будет отвечать за организацию работы с персональными данными. Для этого издается специальный приказ.

  4. Локальные акты для сотрудников. Это внутренние документы, которые регулируют, как сотрудники компании должны работать с персональными данными. Например, инструкция по защите данных, правила доступа к информации.

  5. Реестр операций с данными. В этом внутреннем документе фиксируются все действия с персональными данными: сбор, передача, хранение, удаление. Это помогает упорядочить работу с ПД в организации и в случае проверки показать, что все делалось правильно.

Заключение

Работа с персональными данными — это показатель серьезного отношения компании к своим клиентам и партнерам. Чтобы избежать штрафов и проблем с законом, оператору важно подготовить все необходимые документы и строго соблюдать правила обработки данных.

  1. Разработайте и утвердите Политику обработки данных.

  2. Всегда запрашивайте согласие на обработку данных.

  3. Назначьте ответственного за защиту данных.

  4. Обеспечьте безопасность информации, используя внутренние инструкции и ограниченный доступ к ПД.

  5. Регулярно проверяйте, все ли процедуры соответствуют требованиям закона.

Эти простые рекомендации защитят вас от рисков и проверок со стороны контрольных органов. 

Консалтинг Онлайн — это поддержка бизнеса в области работы с персональными данными. Мы решаем все задачи по подготовке документов, консультированию и взаимодействию с Роскомнадзором:

  • Чек-лист обязательных процедур: список шагов для соблюдения закона № 152-ФЗ, включая перечень локальных актов и инструкции для сотрудников.

  • Документы под ключ для регистрации как оператора персональных данных и организации внутренних процессов.

  • Экспертные консультации: юристы помогут разобраться в сложных ситуациях и правильно ответить на запросы Роскомнадзора.

Начните с бесплатной консультации на сайте и скачайте чек-лист для правильной работы с персональными данными.

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8K5e54

Комментарии

1