Многие организации ошибочно полагают, что если они не имеют сотрудников или их клиенты – юридические лица, то обязанности операторов персональных данных обошли их стороной. Предлагаю разобрать понятие оператора персональных данных, его ответственность, права и обязанности.
Кто является оператором персональных данных?
Оператор персональных данных – это государственный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует или осуществляет обработку персональных данных, а также определяет цели, состав и действия, совершаемые с персональными данными.
Организации являются операторами следующих основных категорий субъектов персональных данных:
- Клиентов, их представителей и пользователей своего сайта
- Контрагентов и их представителей
- Работников, в том числе уволенных, их родственников и кандидатов на замещение вакантных должностей
Что относится к персональным данным?
К персональным данным относится информация, имеющая отношение к конкретному человеку. Соотношение информации, полученной от человека в совокупности с его ФИО и/или паспортными данными, будет считаться уже персональными данными. Персональные данные по человеку могут собираться различные, начиная от его паспортных данных, места жительства, семейного и социального положения до биометрических данных (фото, отпечатки пальцев, генетическая информация и т.д.) и корпоративных данных (заработная плата, стаж и т.д.). Подробнее о персональных данных читайте здесь.
Права и обязанности
Основным правом операторов персональных данных является возможность осуществления различных операций с такими полученными персональными данными. Перечислю основные из них:
- Предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных
- Издавать и размещать для публичного ознакомления локальные документы, касающиеся защиты персональных данных, в частности, Политику обработки персональных данных
- Обеспечивать безопасность обработки персональных данных: защищать персональные данные от несанкционированного доступа, обеспечивать конфиденциальность полученной персональной информации, прекращать обработку персональных данных после истечения предусмотренного срока или достижения изначально установленных условий обработки
- Уничтожать записи, если субъект персональных данных докажет, что сведения получены незаконным путем или не являются необходимыми для получения заявленной цели и блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта персональных данных
- Назначать лицо, ответственное за обработку персональных данных
Чтобы начать вести деятельность по обработке персональных данных, оператор обязан сообщить о своем намерении в надзорное ведомство – Роскомнадзор. Сделать это необходимо путем подачи документа – Уведомления на бумажном носителе или в форме электронного документа. Роскомнадзор в свою очередь вносит полученные сведения в Реестр.
Ответственность оператора персональных данных
За невыполнение обязанностей оператора могут привлечь к административной ответственности. Также могут наложить штрафы за нарушение законодательства РФ в сфере защиты персональных данных и отказ от выполнения обязанностей оператора, куда входит:
- Утечка информации
- Непредоставление субъекту информации по обработки персональных данных
- Обработка персональных данных без согласия субъекта
Как мы видим, работа с персональными данными регламентирована, так как проверяется и налагает ответственность на операторов персональных данных. Это заставляет организации разрабатывать и совершенствовать внутреннюю инфраструктуру для защиты персональных данных от несанкционированного доступа и утечек.