В качестве оператора ПД может выступать физ- или юрлицо, а также госорган или муниципальный орган власти. Такое лицо должно заниматься организацией (самостоятельно или при помощи внешних специалистов) процессов по обработке персональных данных. Как стать оператором ПД, что необходимо для этого и сделать и какие обязательные этапы пройти – рассказываем ниже.
Что понимается под персональными данными в нынешних реалиях?
Начнем с определения. К таким сведениям принято относить любые данные, которые напрямую или косвенно связаны с тем или иным субъектом персональных данных. Последним может выступать только физическое лицо. Законодательство не приводит конкретного перечня информации, которую можно отнести к персональным данным. Однако наиболее стандартными сведениями, которые можно отнести к ПД, выступают ФИО человека, данные его паспорта, фотография, номер телефона или адрес электронной почты, место проживания и т.д.
Резюме: к ПД относится любая информация, позволяющая с точностью установить личность физического лица.
В то же время считать только отчество, фамилию или имя человека персональными данными нельзя, потому что всегда будут попадаться тезки. А вот ФИО с адресом проживания или номером телефона уже будет считаться персданными.
Кто является оператором персональных данных?
В его качестве выступает любое лицо (индивидуальный предприниматель или компания), у которого есть сотрудники, клиенты или портал в Интернете, на котором осуществляется сбор персональных данных людей – для входа в личный кабинет или оставления заявки на услугу/товар. В качестве обработки ПД принято считать любые действия, которые с этими данными осуществляются: сбор, хранение, уничтожение, передача и т.д. Осуществлять сбор информации можно как на бумажном носителе, так и посредством автоматизированных систем.
Что оператор ПД не может делать?
Закон четко определяет перечень обязанностей оператора персональных данных. Их анализ позволяет сделать выводы относительно того, что он делать не может:
- Осуществлять сбор ПД без определенной цели.
- Производить сбор сведений для одной цели, а использовать по совсем другому назначению. К примеру, запрещается получать данные от клиентов для прохождения ими медицинского осмотра у врача, а затем использовать данные для того, чтобы предлагать им приобрести автомобиль посредством рассылки по электронной почте.
- Производить объединение различных баз, создания которых осуществлялась для разных целей сбора персданных.
Как стать оператором персональных данных: пошаговая инструкция
Для этого необходимо следовать следующему алгоритму действий:
- Подготовить необходимые для процедуры документы. Универсального перечня нормативных актов, которые подходили бы для любого бизнеса, нет – все зависит от специфики деятельности последнего и категории персональных данных, которые будут обрабатываться. Однако можно привести общий список документов, которые с большой долей вероятности потребуются каждому: политика конфиденциальности, политика оператора персональных данных в отношении обработки ПД, модель угроз безопасности, приказ о назначении лиц, которые ответственны работу с персданными, согласие на обработку ПД и соглашение о неразглашении сведений.
Отсутствие тех или иных документов может привести к тому, что последуют штрафные санкции от РКН. Так, юрлицо может столкнуться со штрафом до 150 тысяч рублей.
- Определиться с местом хранения конфиденциальной информации. Это может быть на бумажном носителе в архиве, на локальном сервере или в облачном пространстве. Если сервер свой, необходимо провести мероприятия по установлению повышенной степени защищенности электронных ресурсов – это позволит снизить риски утечки персональных данных.
Если они все-таки произойдут или компания будет хранить данные на иностранных серверах, то возможны штрафы на юрлицо в размере до 6 миллионов рублей, а на ИП – до 50 тысяч рублей.
- Направить в адрес РКН уведомление о планах стать оператором персональных данных. Такое извещение единожды направляется в надзорные орган и не требует обновления со временем. Сделать отправку документа можно либо через почту на бумажном носителе, либо в электронном формате – через Госуслуги.
Отсутствие такого уведомления способно привести к штрафу в размере до 5 тысяч рублей.
- После того как РКН получит ваше уведомление, он его рассмотрит и внесет вас в список операторов ПД в течение 30 дней. Для исключения из этого перечня также необходимо направить извещение в Роскомнадзор.
Претензии РКН к сайтам: последствия
Выявление несоответствия принципов работы сайта требованиям законодательства может привести не только к штрафным санкциям, но и блокировке ресурса. Основанием для наступления негативных последствий может быть, например, если цель обработки ПД, прописанная в документах, не соответствует реальному положению дел.
Как работать с персональными данными и не нарушать закон?
Большинство компаний в течение последних двух лет впервые столкнулись с необходимостью организации работы с ПД – в виду ужесточения требований законодательства в этой части и увеличения штрафных санкций. В то же время единицы юристов могут работать с персональными данными и учитывать все законодательные изменения.
В этой связи рекомендуется передать исполнение обязанности в части ПД тем, кто профилируется на этой теме. Специалисты сервиса "Роском Онлайн" готовы помочь вашему бизнесу соответствовать требованиям законодательства. Оставляйте заявку на бесплатную консультацию на этой странице – и мы поможем вам не выходить за рамки правового поля!