Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее - ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ :

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных - это государственный или муниципальный орган, юридическое или физическое лицо, которое:

• самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
• определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работает с ПД и несет ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД - повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

• проводить разъяснительную работу с субъектом ПД, а также получать его предварительное согласие на обработку личной информации;
• публично представлять политику в отношении обработки ПД;
• обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения;
• уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели;
• блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя).

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются организации и частные лица, которые имеют дело с информацией, которая:

• собирается и хранится в соответствии с трудовым законодательством;
• получена исключительно для оказания услуг связи по заключенному договору, она не распространяется и не предоставляется третьим лицам без согласия субъекта ПД;
• относится к членам (участникам) общественного объединения или религиозной организации для достижения целей, предусмотренных их учредительными документами;
• сделана субъектом ПД общедоступной;
• включает в себя только фамилии, имена и отчества субъектов ПД;
• необходима для оформления однократного пропуска на территорию организации;
• включена в системы со статусом государственных автоматизированных информсистем, а также в государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатывается без использования средств автоматизации (компьютера);
• обрабатывается для обеспечения безопасного функционирования транспортного комплекса.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. То есть работодатели, компании, оказывающие услуги связи, религиозные организации, лица, получающие ПД только для исполнения договоров, и многие другие уведомлять о сборе и обработке ПД не должны. Те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

• полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
• цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
• категории ПД, которые будут обрабатываться;
• субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
• основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
• описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
• сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
• информация о шифровальных (криптографических) средствах;
• дата начала, а также условия и сроки прекращения обработки ПД;
• сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
• сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатные.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 до 75 тысяч рублей, а для ИП - от 5 до 20 тысяч рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим - от 3000 до 5000 рублей.

В каких случаях нужно уведомить Роскомнадзор об обработке персональных данных? Ответ - в статье.

Вопрос: Обязаны ли мы по законодательству зарегистрироваться в реестре операторов персональных данных Роскомнадзора?в п. 2 ст. 22 Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» говорится что,2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных.мы не обязаны регистрироваться в реестре?

Ответ: Регистрироваться в реестре операторов персональных данных Роскомнадзора не требуется, так как процедуры прохождения регистрации нет. Оператор до начала обработки персональных данных обязан направить уведомление в Роскомнадзор (п. 1 ст. 22 закона № 152-ФЗ). Роскомнадзор на основании уведомлений ведет реестр операторов.

При этом из указанной нормы права имеются исключения, перечисленные подробно в п. 2 ст. 22 закона № 152-ФЗ.

Обоснование

Хранение персональных данных в России. Какие особенности есть для сведений о работниках

Если компания обрабатывает персональные данные не только работников и контрагентов - физических лиц. То есть фактически любая компания обязана уведомить чиновников об обработке персональных данных.

По общему правилу работодатель обязан направить в Роскомнадзор уведомление о начале обработки персональных данных (ч. 1 ст. 22 Закона № 152-ФЗ). Многие компании до сих пор этого не сделали. Они обосновывают это так: работодатель обрабатывает персональные данные только своих работников. Поэтому компания подпадает под исключение, которое установлено в п. 1 ч. 2 ст. 22 Закона № 152-ФЗ. Согласно этой норме работодатель вправе обрабатывать персональные данные в соответствии с трудовым законодательством без уведомления Роскомнадзора.

Но в большинстве случаев позиция о том, что уведомление не требуется, ошибочная. Ведь работодатель обрабатывает данные не только работников, но и других субъектов. Например, представителей контрагентов при получении доверенностей или работников других компаний, входящих в одну группу с работодателем. В таких случаях рекомендуется направить уведомление в Роскомнадзор.

По какой форме нужно уведомить Роскомнадзор?

Включите в уведомление сведения о персональных данных работников (п. 7 Временных рекомендаций по заполнению формы уведомления, утв. Роскомнадзором 30.12.2014). Исключения, установленные в ч. 2 ст. 22 Закона № 152-ФЗ, в данном случае неприменимы.

Роскомнадзор внесет информацию из уведомления в реестр операторов в течение 30 дней с даты получения документа. Платить деньги за это не нужно (ч. 4 , ч. 5 ст. 22 Закона № 152-ФЗ).

Работодатели, которые не уведомили Роскомнадзор, рискуют получить письмо от чиновников. В ответ на него работодатели будут обязаны направить уведомление или обосновать причины его ненаправления. В последнем случае увеличивается риск проверки Роскомнадзором соответствия действительности такого рода обоснования. Так, согласно ежегодному отчету за 2014 год Роскомнадзор направил операторам более 58 тыс. таких писем (

С момента принятия в 2006 году Федерального Закона «О персональных данных», некоторые его положения и понятия до сих пор остаются неясными для сотрудников операторов. Кажущаяся неясность формулировок иногда становится предметом спекуляций для отдельных активных граждан, поставивших своей целью доказывание абсурдности или несостоятельности Закона.

Манипулируя некоторыми формулировками Закона (порой, вырванными из контекста), опираясь на принципы формальной логики (не всегда справедливой, когда речь идет о праве как науке), моделируя возможные коллизии, некоторые аналитики приходят к неожиданным и неправильным выводам.

Опасность этих выводов — в дезориентации участников информационных правоотношений, а также в том, что принятие на вооружение сомнительных утверждений сдерживает работу операторов по приведению своей деятельности в соответствие с Законом и создает условия для нарушения ими требований Закона.

Числу таких проблемных вопросов относится определение оператора персональных данных. Оператор — это государственный, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и содержание обработки персональных данных (ст. 3 ФЗ 152). Это, казалось бы, очевидное и не допускающее вольного толкования определение на практике порой вводит операторов в заблуждение. Суть этого заблуждения в следующем: «лицо, осуществляющее обработку, не всегда является оператором». Причина же заблуждения — в словосочетании «а также». В этом «а также» некоторыми и видится то самое зерно истины, которое позволит отдельным операторам избежать обязанности исполнять требования ФЗ 152. Парадоксально, но многие операторы все еще уверены в том, что они операторами не являются. Для обоснования этого утверждения приводятся следующие доводы: необходимость обработки ПДн определена федеральным законом (или «установлена вышестоящими организациями»), следовательно, цели обработки самостоятельно не определяются или не должны определяться лицом, осуществляющим обработку (в определении целей нет необходимости, либо отсутствуют полномочия).

Попробуем разобраться с этой проблемой, суть которой заключается в вопросе: определение цели обработки ПДн — признак или обязанность оператора?

Итак, существует мнение, что оператор — это только и исключительно тот, кто одновременно отвечает следующим двум критериям:
Это лицо должно само либо организовывать, либо фактически осуществлять обработку ПДн (или же — и то, и другое одновременно);
Это лицо должно само определять цели и содержание обработки ПДн.

Таки образом, требование об определении цели обработки ПДн рассматривается в качестве основного признака оператора.

В ходе подготовки настоящей статьи филологами был проведен лингвистический анализ рассматриваемого определения. Результаты анализа приведены ниже.

Определение цели не может быть основной функцией, так как эта функция названа в ряду однородных членов предложения и замыкает его. Более того, этот однородный член предложения присоединяется союзом «а также», который имеет присоединительное значение, например: Я наслаждался мирно своим трудом, успехом, славой, также трудами и успехами друзей" (П). — см. Валгина Н.С., Розенталь Д.Э., Фомина М.Н. Современный русский язык. Учебник.: М., Логос, 2006.

Об этом же значении пишет и Русская грамматика (М, 1980,т. II):

§ 2079. Присоединительные отношения основываются на соединительных: второй член ряда имеет добавочный характер; он часто выделяется в отдельную синтагму; порядок членов ряда строго обязателен. Присоединительные отношения (с оттенками добавления или усиления) выражаются составными союзами и сочетаниями союза с конкретизатором: а также и, да еще, и притом (притом): В коляске сидела пожилая барыня, да еще молодая девушка (Тын.); Сводки доставлены в полном порядке и притом в срок (газ.).

Примечание. Союзы а также, как... так и обладают способностью выражать градационные и присоединительные отношения, но часто используются в более широком значении — соединительном или сопоставительном: Этот Вьюн необыкновенно почтителен, и ласков, одинаково умильно смотрит как на своих, так и на чужих, но кредитом не пользуется (Чех.); Завод достиг высоких показателей как по количеству, так и по качеству выпускаемой продукции (газ.); Воспитанники музыкального училища часто выступают с концертами в школах, дворцах культуры, а также в цехах предприятий (газ.).

А вот союзы «и (или)», указанные вместе означают, что члены однородного ряда, соединяемые ими, могут как сосуществовать вместе («организующее и осуществляющее обработку»), так и быть выбраны (один из ряда: «организующее или осуществляющее обработку»).

Приведенный лингвистический анализ показывает неосновательность утверждения о том, что определение цели обработки ПДн является непременным признаком оператора. В тоже время указанный анализ является не единственным доказательством порочности этого утверждения.

Из содержания различного рода публикаций и, исходя из складывающейся правоприменительной практики, можно сделать вывод и об отношении органа, уполномоченного по защите прав субъектов ПДн (далее — Роскомнадзор) к рассматриваемой проблеме. Роскомнадзор считает, что оператор — это тот, кто, прежде всего, совершает какие-либо операции с ПДн. Одновременно, в силу самого факта обработки у «обработчика» возникает и обязанность определения целей такой обработки. Т.е. по сути, определение цели обработки является скорее следствием обработки, или необходимости в таковой, неотъемлемой составляющей обработки, первейшей обязанностью, проистекающей из обработки ПДн, а не «основным признаком оператора».

Справедливость изложенного мнения подтверждается и системным анализом норм ФЗ № 152. Начать следует со статьи 1 Закона, в которой определена сфера его действия. Названная статья гласит, что закон регулирует отношения, связанные с обработкой ПДн, осуществляемой различными органами, юридическими и физическими лицами. Понятие обработки дано в п.3 ст.3 ФЗ 152. Это действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение персональных данных. Из изложенного следует, что, если конкретное лицо осуществляет какие-либо из перечисленных действий, то оно априори становится участником общественных отношений, являющихся предметом регулирования ФЗ № 152 (если только не подпадает под исключения, предусмотренные ч.2 ст.1 Закона). Как же следует именовать это лицо в терминах ФЗ «О персональных данных»? Выбор невелик. Это лицо следует именовать оператором.

Итак, некое лицо осуществляет (либо намеревается осуществлять) обработку ПДн. Согласно ст.5 ФЗ 152 обработка ПДн должна осуществляться в соответствии с определенными Законом принципами. Анализ содержания принципов приводит к выводу о том, что фундаментальной основой обработки ПДн является определение целей обработки. Даже не вникая в суть каждого принципа, а просто при беглом прочтении ст.5 в каждом пункте статьи мы видим термин «цель» («законности целей», «соответствие целям», «достаточность для целей» и т.д.). Такая концентрация внимания применена законодателем не случайно. От лица, осуществляющего обработку ПДн, Законом требуется уведомление о целях обработки субъектов ПДн органа, уполномоченного по защите прав субъектов ПДн. Закон стремится сделать деятельность, связанную с обработкой ПДн, прозрачной и понятной как для человека — носителя защищаемых Законом конституционных прав и свобод, так и для государственных органов, обеспечивающих реализацию механизмов защиты прав человека как субъекта ПДн. Красной нитью проведена в Законе идея о недопустимости «бесцельной» обработки ПДн (обработки ПДн «просто так», «для своих неопределенных нужд», для «общего развития», «для себя» и т.д.).

Согласно второму принципу, продекларированному в ст.5 Закона, если лицо имеет намерение обрабатывать ПДн, цели такой обработки должны быть заранее (до начала обработки) определены и заявлены. Обратная логическая цепь рассуждений приводит к выводу о том, что осуществление каких-либо действий с ПДн в отсутствие определенной цели обработки является нарушением принципов обработки, и, следовательно, нарушением Закона, предпосылкой к нарушению конституционных прав и свобод человека и гражданина.

Толкование нормы, изложенной в п.2. ст.3 ФЗ 152 в том контексте, что определение цели является не обязанностью оператора, а идентифицирующим его в этом качестве неотъемлемым признаком, неизбежно влечет за собой следующий парадоксальный вывод. Из сферы действия закона выпадают такие органы, как Пенсионный фонд РФ, Фонд обязательного медицинского страхования, Федеральная налоговая служба, Федеральная миграционная служба и многие другие государственные структуры, чьи обязанности напрямую определены и детализированы федеральным законодательством, в том числе и в контексте совершения операций с ПДн. Рассматриваемая предпосылка также приводит к заключению о том, что и операторы связи не являются операторами ПДн, поскольку цель сбора ПДн абонентов предусмотрена в Законе «О связи» и подзаконных нормативно-правовых актах — т.е. определена государством, а не конкретным лицом, предоставляющим услуги связи. То же относится и к кредитным учреждениям, страхов ым и другим организациям, которые осуществляют сбор и другие действия с ПДн в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, т.е. в целях прямо предусмотренных Законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем», а не самими этими организациями. Список можно продолжать бесконечно, абсолютизируя всего лишь одну норму закона и доходя до абсурда в попытках примерить буквальное ее толкование на реальные общественные отношения.

В ст.18 ФЗ № 152 установлены обязанности оператора при сборе ПДн. К их числу относится, в первую очередь, обязанность оператора предоставить субъекту ПДн по его просьбе информацию (ст.14 ФЗ 152), в т.ч., о целях обработки его ПДн. При установлении этой обязанности Закон не делает исключения для операторов, обрабатывающих ПДн на основании каких-либо федеральных законов.

Таким образом, с учетом изложенного выше, становится понятным, что в контексте Закона определение цели обработки ПДн в действительности является скорее обязанностью лица, осуществляющего обработку ПДн, нежели одним из признаков, обладание которым делает это лицо оператором.

Что же такое «определение» цели? Уяснение смысла слова «определение» имеет важное значение для уяснения содержания нормы права, без чего является невозможным правоприменение этой нормы. Поскольку в самом Законе законодатель не счел необходимым раскрыть понятие «определение цели», обратимся к одному из признанных в теории права способов толкования — лексическому (языковому) толкованию.

Согласно толковому словарю русского языка под редакцией проф. Д.Н.Ушакова, определить значит
С точностью выяснить, привести в известность;
Дать научную, логическую характеристику, формулировку какого-нибудь понятия, раскрыть его содержание;
Постановить, вынести решение о чем-нибудь;
Послужить причиной для развития, образования чего-нибудь, предопределить, обусловить;
Назначить, указать.

Следовательно, под определением цели обработки ПДн можно понимать ее выяснение, выбор, вычленение из множества возможных целей, ее постановку или назначение в качестве таковой, указание на эту конкретную цель (цели) в качестве причины для обработки ПДн.

Контекстный анализ содержания ФЗ 152, выявление его смысловых связей с другими источниками права позволяет сделать вывод о том, что для отдельных операторов ПДн и(или) относительно отдельных категорий субъектов ПДн цели обработки ПДн могут быть фактически предопределены или даже прямо указаны в законах либо подзаконных актах (Трудовой кодекс, например, конкретно указывает работодателям на цели обработки ПДн работников). Цель обработки тех или иных ПДн другими операторами проистекает из их обязанностей, возникших из договорных обязательств. В отдельных случаях цели обработки ПДн могут одновременно быть обусловлены и содержанием коммерческой деятельности оператора, и предписаниями закона (операторы связи в целях осуществления собственной уставной деятельности, направленной на извлечении прибыли, обрабатывают ПДн в целях оказания услуг связи и во исполнение Закона «О связи»).

Таким образом, первичной задачей лица, осуществляющего обработку ПДн, является именно вербализация целей обработки ПДн, уяснение для себя самого чем именно обусловлена конкретно для него обработка ПДн физических лиц. Формулирование ответа на этот вопрос фактически и будет являться определением цели обработки ПДн.

В разрезе проблемы, рассматриваемой в настоящей статье, представляется интересным мнение Правительства РФ, выраженное по поводу поправок в ФЗ 152. 5 мая 2010 года был в первом чтении принят законопроект, внесенный на рассмотрении в Государственную думу ее депутатом В.М.Резником. В числе прочего, данным законопроектом предложена новая формулировка понятия «оператора», а именно:

«оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющие обработку персональных данных, а также определяющие цели, содержание и порядок обработки персональных данных». Как видим, из ныне действующей формулировки исключено слово «организующие». В своем официальном отзыве на данный законопроект Правительство РФ указывает, что «такое изменение не может быть поддержано, поскольку лица, осуществляющие обработку персональных данных, но не определяющие цели и содержание обработки, не смогут считаться операторами». Из приведенного замечания Правительства РФ следует, что на сегодняшний день (когда редакция закона еще не изменена) по мнению Правительства РФ оператором является любое лицо, осуществляющее обработку ПДн вне зависимости от наличия или отсутствия факта определения им целей такой обработки.

Итак, проведенный в настоящей статье анализ позволяет сделать несколько выводов.
Определение цели обработки ПДн — это обязанность оператора, а не обязательный идентифицирующий признак оператора.
Определение цели обработки ПДн — это процесс осмысления, уяснения, конкретизации и вербализации цели обработки ПДн оператором, в том числе и в случаях, когда такие цели предопределены и (или) проистекают из положений закона или полномочий, возложенных на оператора.

Закон о персональных данных № 152-ФЗ от 27.07.2006 обязует пройти регистрацию в специальном реестре всех, кто занимается обработкой персональных данных. Что это за реестр, для кого включение в него является обязательным, и как происходит процедура регистрации – об этом наша статья.

Кто является оператором персональных данных

К операторам закон № 152-ФЗ относит госорганы, организации и физлиц, которые собирают персональные данные, а также самостоятельно определяют цели сбора, состав сведений, и совершаемые с ними действия (ст. 3 закона № 152-ФЗ).

Проще говоря, оператор персональных данных, это тот, кто использует личные данные граждан для трудовых и прочих отношений. Их главной задачей является сохранение конфиденциальности полученных персональных данных, т.е. запрет передавать данные третьим лицам и распространять их без согласия самого физлица, если только эти данные не обезличены.

Реестр операторов персональных данных Роскомнадзора

Прежде, чем начать обработку персональных данных, оператор обязан уведомить об этом госорган, уполномоченный вести реестр операторов персональных данных - Роскомнадзор (ч 1 ст. 22 закона № 152-ФЗ). Эта федеральная служба осуществляет надзор за сферой связи, массовых коммуникаций и информационных технологий. Госконтроль за обработкой персональных данных операторами, в соответствии с законом, тоже осуществляет Роскомнадзор. В этих целях он проводит проверки операторов персональных данных, согласно регламенту, утвержденному приказом Минкомсвязи РФ от 14.11.2011 № 312.

Ознакомиться с реестром операторов обработки персональных данных можно на официальном сайте Роскомнадзора, его сведения являются общедоступными.

Уведомление достаточно подать единожды за весь период работы оператора. В то же время, закон содержит перечень исключений, когда работать с личными данными можно без включения в реестр операторов персональных данных (ч. 2 ст. 22 закона № 152-ФЗ):

• когда операторы-работодатели обрабатывают только данные, полученные в соответствии с трудовым законодательством;
• если оператор получил данные от контрагента в связи с заключением договора и не использует их в иных целях, кроме исполнения договора;
• когда оператор персональных данных - религиозная или общественная организация, которая обрабатывает личные данные своих участников для целей, предусмотренных ее уставом;
• если гражданин сам сделал общедоступными свои персональные данные;
• если персональные данные не включают ничего, кроме Ф.И.О.;
• когда данные получают для оформления разового пропуска;
• при обработке персональных данных государственными автоматизированными инфосистемами;
• если личные данные обрабатываются «на бумаге», т.е. без применения автоматизации;
• когда данные используются для обеспечения безопасности транспортных систем.

Все, кто не указан в данном списке, уведомление для включения в реестр операторов персональных данных Роскомнадзора подать обязаны. Многие ИП и организации игнорируют данное требование либо узнают о нем слишком поздно. Но подать уведомление для включения в реестр можно и позже, указав в нем реальную дату начала обработки персональных данных, при этом никаких штрафных санкций за опоздание не последует.

Как уведомить Роскомнадзор

Чтобы подать уведомление об обработке персональных данных, оператор обработки персональных данных должен заполнить электронную форму на сайте Роскомнадзора. Форма уведомления содержит:

• сведения о самом операторе (наименование, ИНН, ОГРН, адрес места нахождения, телефон, номера лицензий и т.п.);
• правовое основание и цели обработки данных согласно уставу;
• описание мер и средств защиты личных данных;
• фактическую дату начала обработки персональных данных оператором;
• условия, при которых обработка будет прекращена (например, при отзыве лицензии на деятельность), либо конкретный срок прекращения;
• категории персональных данных, которые подлежат обработке (имя, год рождения, семейное положение, адрес проживания, профессия, доходы, состояние здоровья и т.д.), использование биометрических данных;
• действия с персональными данными и способы их обработки (автоматизированная или нет, с передачей через интернет или нет и т.д.);
• данные лица, ответственного за обработку персональных данных.

После заполнения электронное уведомление оператор персональных данных отправляет в Роскомнадзор, а еще один экземпляр распечатывается на бумаге. Печатный вариант подписывается руководителем и заверяется печатью. К нему нужно приложить пакет необходимых документов (Положение о персональных данных, бланк согласия на обработку, приказ о назначении ответственных лиц и т.п.) и отправить в территориальное отделение Роскомнадзора по почте.

На регистрацию в реестре отводится 30 дней с даты получения уведомления Роскомнадзором. Отслеживать статус отправленного уведомления можно на том же сайте.

Если Роскомнадзор сочтет сведения, указанные в уведомлении, неполными, или недостоверными, он может затребовать у оператора уточнение. В случае изменения каких-либо данных, оператор должен в течение 10 дней уведомить об этом надзорный орган для внесения корректировок в реестр.

Которая оказалась наиболее важной и в бухгалтерском учете, и при рассмотрении заявок на кредит и т.п.

Но что это такое и кто все-таки имеет право обрабатывать подобные сведения, а кто нет, об этом упоминается редко, даже с неохотой.

В результате иногда сложно понять, кто является оператором персональных данных.

– это информация о человеке, которая характеризует его как определенную личность, не является обобщенной, ее нельзя применить к группе лиц. В большинстве случаев речь идет о фамилии, имени, отчестве, дате рождения, адресе, где человек зарегистрирован и проживает, семейном положении и т.п.

Понятие персональных данных введено в деловой оборот после принятия в 2006 году «О персональных данных». Там же было введено разграничение информации на ряд категорий, которые позволяют определять уровни разрешения обработки для различных ситуаций.

1. Информация о расе и национальности, религиозных убеждениях, состояние здоровья и подробности интимной жизни гражданина.
2. Сведения, которые позволяют помимо идентификации гражданина, еще и получить про него разные сведения, например, номер телефона, место проживания и т.п.
3. Информация, благодаря которой один человек выделяется среди других – фамилия, имя и полная дата рождения.
4. Общедоступные сведения, как правило, они обезличены, но иногда и те, которые обязаны быть публичными по законодательству, например, доходы представителей органов власти. Отдельной категорией идут те данные, на предоставление которых сам гражданин дал согласие, например, адрес и номер телефона в справочной службе 09.

В целом закон «О персональных данных» призван обеспечивать право каждого гражданина на неприкосновенность личной жизни и защиту в случае наличия нарушений. Исходя из выше приведенной классификации, предъявляются разнообразные требования по обеспечению сохранности сведений. Для первой категории требования жестче, чем ко всем остальным.

Кто является оператором персональных данных

Оператор персональных данных – юридическое лицо, которое в силу своей деятельности занимается информации о действующих и потенциальных клиентов и сотрудниках. Размеры организации при этом никакого значения не имеют, как и форма ее собственности.

На практике оператором является любая организация, в которой есть наемный труд. Ведь трудоустройство невозможно без заполнения анкеты с довольно подробным перечнем сведений о себе, а также подачи личных документов, причем со всех снимаются копии, информация вносится в бухгалтерские программы и т.д.

Главное требование законодательства РФ, предъявляемое к операторам, это обеспечение сохранности тех данных, которые получила организация в процессе деятельности.

Нормы, согласно которым обеспечивается охрана, установлены в упомянутом законе, также могут уточняться нормативными актами, так называемых регуляторов

Существует определенный порядок, который регламентирует случаи, когда организация получает право работать с персональными данными без уведомления в :

• если предприятие обрабатывает только те сведения, которые нужны для трудовых отношений;
• когда обработке подвергаются данные общедоступного характера;
• если обрабатываются только фамилия, имя, отчество;
• когда они используются один раз, например, для выписки пропуска;
• если для обработки не применяется компьютерная техника.

Все остальные организации обязаны становиться на учет, в результате чего они получают уникальный регистрационный номер, под которым вносятся в специальный реестр.

Например, часто такие вопросы возникают в отношении кредитных организаций, операторов сотовой связи и т.п.

Поэтому принято называть «оператором обработки персональных данных» организации, которые в силу профессиональной деятельности собирают и обрабатывают не только общедоступные сведения, но и такие как серия, номер паспорта, адрес проживания и т.д.

Получение права на обработку персональных данных

Для обеспечения безопасности хранения и передачи персональных данных предусмотрена процедура аттестации и получения лицензии для организаций занимающихся сбором и хранением такой информации.

Чтобы получить лицензию предприятию приходится не только обучать сотрудников, но и приобретать технические средства защиты.

Процедура состоит из нескольких этапов, из которых можно выделить наиболее важные.

• уведомить соответствующие органы о намерении обрабатывать данные с помощью средств (компьютеры);
• пройти предварительное обследование имеющихся информационных систем;
• спроектировать систему защиты с учетом инфраструктуры компьютерной техники и других средств автоматизации;
• приобрести и внедрить средства защиты;
• привести все помещения в соответствие требованиям по пожарной безопасности, охране, электропитанию и т.д.
• провести повышение квалификации сотрудников в области защиты персональных данных и их аттестация.

В результате можно гарантировать наличие действующей системы защиты сведений при их и передаче через коммуникационные линии.

Стоит отметить, что все действия, описанные выше, могут быть применены только к обработке персональных данных в электронном виде, что является потенциально небезопасным для хранящейся или передаваемой информации.

Проверка деятельности операторов персональных данных

Работа всех операторов персональных данных не только регулируется законодательными актами, но еще и подвергается регулярным проверкам, как плановым, так и выборочным, например, по заявлению пострадавшего от их деятельности граждан.

Контролем над соблюдением закона о защите персональных данных должны заниматся многие надзорные и силовые ведомства, но в силу специфики работы выделяются лишь три из них (их и называют регуляторами):

• Роскомнадзор – в его функции входит проверка соблюдения любых нормативных требований законодательства, а также проведение проверок;
• ФСТЭК (Федеральная служба по техническому и экспортному контролю) – в ее задачи входит в первую очередь защита данных находящихся в компьютерах самой организации, так и каналов их передачи, когда они хранятся и передаются без шифрования;
• ФСБ (Федеральная служба безопасности) – контролирует применение шифрующих средств обработки и передачи персональных информации, в том числе разработку и их распространение.

Проверить отношение конкретной организации к операторам персональных сведений можно и самостоятельно.

На сайте Роскомнадзора имеется доступ к реестру операторов, осуществляющих обработку персональных данных, он доступен по этой ссылке.

Для просмотра информации достаточно внести в соответствующее поле наименование или регистрационный номер интересующего предприятия, либо его идентификационный номер налогоплательщика (ИНН).

Так можно выяснить, законно запрашивались данные или нет. Если организации в списке нет, то возможно этим надо заняться Роскомнадзору и либо включить ее в реестр, либо запретить незаконный сбор информации о гражданах.

Проверка операторов персональных данных осуществляется либо по заявлениям граждан, либо по инициативе, например, прокуратуры, которая может обратиться в Роскомнадзор в рамках проверки деятельности организации.

За нарушения в обработке сведений граждан предусмотрена ответственность. В зависимости от степени тяжести совершенных поступков может быть административное, дисциплинарное или уголовное наказание.

В целом, прежде чем давать разрешение на обработку персональных данных в кредитной или иной организации, запрашивающей такое право, лучше сначала убедиться в том, что она зарегистрирована в качестве оператора, а значит, имеет все для их безопасного хранения.

Особенно это может относиться к небольшим предприятиям, например, предоставляющим мелкие займы.

Конечно, без предоставления такого согласия подобные организации обычно отказывают в услугах, но в этом ничего страшного нет, т.к. конкуренция достаточно высока, и всегда можно найти другой подходящий вариант.