Открыть сервис

Оператор персональных данных

Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Понятие является ключевым в законодательстве о защите персональных данных, в первую очередь в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Оператор несёт ответственность за соблюдение прав субъектов персональных данных (физических лиц, чьи данные обрабатываются) и обязан обеспечивать их защиту.

Правовое регулирование

Основным нормативным актом, определяющим статус, права и обязанности оператора персональных данных в Российской Федерации, является Закон № 152-ФЗ. Дополнительное регулирование осуществляется подзаконными актами, в частности:

Контроль за деятельностью операторов осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Кто может быть оператором

Оператором может выступать практически любой субъект, который собирает и обрабатывает данные физических лиц. К числу наиболее распространённых категорий операторов относятся:

Обязанности оператора

Закон № 152-ФЗ устанавливает для оператора ряд обязательных требований, направленных на защиту прав субъектов персональных данных. Основные обязанности включают:

Информирование субъекта

Оператор обязан до начала обработки персональных данных предоставить субъекту (или его представителю) следующую информацию:

Получение согласия

По общему правилу обработка персональных данных допускается только с согласия субъекта. Согласие должно быть конкретным, информированным и сознательным. Оно может быть дано в любой форме, позволяющей подтвердить факт его получения (письменной, электронной, в виде конклюдентных действий). В ряде случаев (например, при обработке специальных категорий данных — о состоянии здоровья, расовой принадлежности) требуется письменное согласие.

Обеспечение безопасности

Оператор обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. К таким мерам относятся:

Уведомление Роскомнадзора

До начала обработки персональных данных оператор обязан уведомить Роскомнадзор о своём намерении осуществлять обработку. Исключение составляют случаи, когда обработка осуществляется:

Уведомление подаётся в электронной форме через портал «Госуслуги» или на бумажном носителе. В нём указываются сведения об операторе, цели обработки, категории обрабатываемых данных, правовое основание, меры по обеспечению безопасности.

Реагирование на запросы субъектов

Оператор обязан рассматривать обращения и запросы субъектов персональных данных (или их представителей) и предоставлять информацию, касающуюся обработки их данных. Срок ответа — 10 рабочих дней с момента получения запроса (в отдельных случаях — 30 дней). При отказе в предоставлении информации оператор должен мотивировать свой отказ.

Прекращение обработки

При достижении целей обработки, истечении сроков хранения, отзыве согласия субъектом или в иных предусмотренных законом случаях оператор обязан прекратить обработку персональных данных и уничтожить их. Уничтожение должно быть подтверждено документально.

Категории обрабатываемых данных

Операторы могут обрабатывать различные категории персональных данных, каждая из которых имеет особый правовой режим:

Ответственность оператора

За нарушение законодательства о персональных данных оператор может быть привлечён к следующим видам ответственности:

Особенности для иностранных операторов

Действие Закона № 152-ФЗ распространяется на операторов, находящихся за пределами Российской Федерации, если они обрабатывают персональные данные граждан РФ. Такие операторы обязаны:

Несоблюдение этих требований влечёт блокировку доступа к информационным ресурсам оператора на территории РФ (например, блокировка сайта).

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Кодекс Российской Федерации об административных правонарушениях.
  3. Уголовный кодекс Российской Федерации.
  4. Постановление Правительства РФ от 15.09.2008 № 687.
  5. Постановление Правительства РФ от 01.11.2012 № 1119.
  6. Приказ Роскомнадзора от 05.09.2013 № 996.
  7. Приказ Роскомнадзора от 24.02.2021 № 18.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →