Любой, кто обрабатывает персональные данные (собирает, передает, хранит), является оператором. Например, запрашивает ФИО и другую информацию у пользователей через формы обратной связи.
После изменений в законе 152-ФЗ «О персональных данных» у оператора заметно прибавилось обязанностей, а наказания за нарушения стали гораздо жестче.
Обязанности оператора ПД
По закону он должен:
- обрабатывать только те данные, которые совместимы с целями сбора. К примеру, работодатель не может запрашивать у соискателей информацию об их религии или политических предпочтениях;
- уточнять, обеспечивать точность ПД;
- хранить данные не дольше, чем нужно для их обработки;
- уничтожать данные, если цель обработки достигнута;
- обеспечивать защиту от неправомерного доступа, копирования, удаления ПД;
- информировать граждан о том, что их ПД будут обрабатываться.
За невыполнение этих обязанностей оператору грозят штрафные санкции, а в особо тяжких случаях даже лишение свободы.
Уведомлять РКН
Планируете обрабатывать чужие персональные данные? Не торопитесь, сначала нужно встать на учет в Роскомнадзоре. Для этого заполните форму на сайте надзорного органа. Если все будет нормально, РКН внесет вас в реестр в течение 30 дней с момента отправки уведомления. На практике даже с этим пунктом справляются не все компании, и многим приходится привлекать юриста.
Составить и опубликовать политику об обработке
Этот важный документ нужно размещать на своем сайте любому оператору. По статистике, Роскомнадзор чаще всего штрафуют именно из-за его отсутствия. В нем содержатся вся основная информация, касающаяся обработки ПД.
Документ должен быть доступен каждому, кто зайдет на сайт.
Отвечать на запросы пользователей
Гражданин имеет право получить информацию о данных, которые предоставил оператору.
Правила изменились, и теперь оператор должен дать ответ в течение десяти рабочих дней. Срок можно увеличить на пять дней, но в этом случае нужно отправить уведомление с указанием причины отсрочки.
Сообщать об утечке данных РКН
Если такое случилось, оператор обязан сообщить об этом Роскомнадзору в течение суток. Необходимо заполнить форму, указать причину, подсчитать примерный ущерб и перечислить меры для ликвидации последствий.
Сделать это можно на сайте РКН в разделе Инциденты (утечки ПД). Но сложности на этом не закончатся. В течение трех суток надо провести внутреннее расследование и сообщить его результаты в РКН.
Быть внимательнее с трансграничной передачей
Перед тем, как отправить персональные данные за рубеж, предупредите об этом Роскомнадзор. Ведомство сообщит, можно ли передавать подобную информацию и в каком объеме.
Хранить данные разрешено только на российских серверах. Поэтому обязательно проверьте, где хостится ваш сайт или дата-центр вашего облачного сервиса.
Права оператора ПД
Но кроме обязанностей у оператора ПД есть еще и права. Одно из них – переложить обработку на стороннего оператора (обработчика), заключив с ним договор. Это распространенная практика, которая используется например для администрирования сети, ведения бухучета. Сторонним оператором может выступить любое лицо или компания, которая подписала договор. Вся ответственность за обработку по закону ляжет на обработчика. Часто в качестве обработчиков выступают облачные сервисы, которые фактически выполняют роль сборщиков и хранителей данных.
Есть зарегистрированные в Роскомнадзоре сервисы, оказывающие такую услугу. Среди них и QForm. Наш сервис уже внесен в реестр РКН, то есть даже уведомления слать не придется, не говоря уже о проверках.