К такому мнению пришло большинство экспертов и юристов, изучавших последний 266-ФЗ от 14.07.2022 г , который вступает в силу с 1 сентября 2022 года.
Чтобы понять, является организация оператором персданных или нет, нужно знать, о каких данных идет речь. К сожалению, даже в самом законе о Персональных данных 152-ФЗ от 27.07.2006 г, нет искомого определения и списка данных, относящихся к персоне человека. Следуя логике закона, персональными данными может стать любая информация, которая может косвенного сказать, что вы это вы, а не кто-либо другой…
Поэтому под любыми персональными данными можно понимать:
- ФИО;
- дату рождения;
- адрес и телефон;
- электронный адрес;
- фотографию;
- ссылку на персональный сайт;
- ссылку на профиль в социальных сетях;
- cookie-файлы и геопозицию;
- паспортные данные.
Выходит так, что почти любая организация или ИП, так или иначе сталкивается с персданными. Тогда всех можно считать операторами, которые собирают, хранят и обрабатывают персональные данные.
Есть несколько счастливых исключений, когда организация избегает обязанностей оператора:
- работодатель собирает данные, необходимые для трудоустройства в рамках ТК;
- данные записаны в договоре с контрагентом, но далее организация их никому не передает, а использует только для выполнения условия договора. Например, отнести в банк п/п с указанием расчетного счета ИП для оплаты по договору.
- использовать только ФИО без других сведений, т.к. встречаются полные однофамильцы и без дополнительной информации невозможно установить личность.
- обрабатывает персданные из открытых источников, например из справочников.
Поэтому считается, что организация, собравшая личные данные о сотрудниках, и передавшая их в банк для оформления зарплатных карт, обязана вступить в реестр Роскомнадзора и подать уведомление об обработке персданных. В связи с этим про утечку данных нужно также сообщать в течение 24 часов, а после ещё и о результатах внутреннего расследования - через 72 часа. Есть ещё нововведения про государственную систему ГосСОПКА, но об этом в следующем посте.
