Оператор персональных данных
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Понятие является ключевым в законодательстве о защите персональных данных, в первую очередь в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Оператор несёт ответственность за соблюдение прав субъектов персональных данных (физических лиц, чьи данные обрабатываются) и обязан обеспечивать их защиту.
Правовое регулирование
Основным нормативным актом, определяющим статус, права и обязанности оператора персональных данных в Российской Федерации, является Закон № 152-ФЗ. Дополнительное регулирование осуществляется подзаконными актами, в частности:
- Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- Приказом Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию уведомления об обработке персональных данных».
Контроль за деятельностью операторов осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Кто может быть оператором
Оператором может выступать практически любой субъект, который собирает и обрабатывает данные физических лиц. К числу наиболее распространённых категорий операторов относятся:
- Государственные и муниципальные органы — органы власти, пенсионные фонды, налоговые службы, органы ЗАГС, МВД и другие ведомства, обрабатывающие данные граждан в рамках своих полномочий.
- Юридические лица — коммерческие организации (банки, страховые компании, интернет-магазины, медицинские учреждения, образовательные организации, работодатели) и некоммерческие организации (благотворительные фонды, общественные объединения).
- Индивидуальные предприниматели — лица, осуществляющие предпринимательскую деятельность, например, владельцы интернет-сайтов, оказывающие услуги или продающие товары.
- Физические лица (граждане) — в случае, если они обрабатывают персональные данные других лиц для личных и семейных нужд (например, ведут домашнюю бухгалтерию с использованием данных родственников). Однако на такие случаи распространяются исключения из общего режима регулирования.
Обязанности оператора
Закон № 152-ФЗ устанавливает для оператора ряд обязательных требований, направленных на защиту прав субъектов персональных данных. Основные обязанности включают:
Информирование субъекта
Оператор обязан до начала обработки персональных данных предоставить субъекту (или его представителю) следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора;
- цель обработки персональных данных;
- правовое основание обработки;
- перечень обрабатываемых данных;
- способы обработки;
- сроки обработки и хранения;
- порядок отзыва согласия;
- наименование и адрес лица, осуществляющего обработку по поручению оператора (если такое лицо привлекается).
Получение согласия
По общему правилу обработка персональных данных допускается только с согласия субъекта. Согласие должно быть конкретным, информированным и сознательным. Оно может быть дано в любой форме, позволяющей подтвердить факт его получения (письменной, электронной, в виде конклюдентных действий). В ряде случаев (например, при обработке специальных категорий данных — о состоянии здоровья, расовой принадлежности) требуется письменное согласие.
Обеспечение безопасности
Оператор обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. К таким мерам относятся:
- назначение ответственного за организацию обработки персональных данных;
- разработка и утверждение политики обработки персональных данных;
- применение средств защиты информации (антивирусы, системы контроля доступа);
- проведение внутреннего контроля соответствия обработки требованиям закона.
Уведомление Роскомнадзора
До начала обработки персональных данных оператор обязан уведомить Роскомнадзор о своём намерении осуществлять обработку. Исключение составляют случаи, когда обработка осуществляется:
- в соответствии с трудовым законодательством;
- в связи с заключением договора, стороной которого является субъект;
- для статистических или иных исследовательских целей при условии обезличивания данных;
- для личных и семейных нужд;
- в государственных информационных системах и др.
Уведомление подаётся в электронной форме через портал «Госуслуги» или на бумажном носителе. В нём указываются сведения об операторе, цели обработки, категории обрабатываемых данных, правовое основание, меры по обеспечению безопасности.
Реагирование на запросы субъектов
Оператор обязан рассматривать обращения и запросы субъектов персональных данных (или их представителей) и предоставлять информацию, касающуюся обработки их данных. Срок ответа — 10 рабочих дней с момента получения запроса (в отдельных случаях — 30 дней). При отказе в предоставлении информации оператор должен мотивировать свой отказ.
Прекращение обработки
При достижении целей обработки, истечении сроков хранения, отзыве согласия субъектом или в иных предусмотренных законом случаях оператор обязан прекратить обработку персональных данных и уничтожить их. Уничтожение должно быть подтверждено документально.
Категории обрабатываемых данных
Операторы могут обрабатывать различные категории персональных данных, каждая из которых имеет особый правовой режим:
- Общие персональные данные — фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, номер телефона, адрес электронной почты. Обработка возможна на основании согласия или иных законных оснований.
- Специальные категории — данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Обработка таких данных, как правило, запрещена, за исключением случаев, прямо предусмотренных законом (например, для целей медицины, социальной защиты, трудовых отношений).
- Биометрические персональные данные — физиологические и биологические особенности человека (отпечатки пальцев, радужная оболочка глаза, изображение лица, голос), на основании которых можно установить его личность. Обработка биометрических данных допускается только с письменного согласия субъекта, за исключением случаев, установленных федеральными законами.
- Обезличенные данные — данные, которые невозможно соотнести с конкретным субъектом без использования дополнительной информации. Обработка таких данных не требует согласия субъекта и не подпадает под действие Закона № 152-ФЗ.
Ответственность оператора
За нарушение законодательства о персональных данных оператор может быть привлечён к следующим видам ответственности:
- Административная ответственность (Кодекс РФ об административных правонарушениях, ст. 13.11). Штрафы для должностных лиц — от 10 000 до 100 000 рублей, для юридических лиц — от 60 000 до 500 000 рублей (в зависимости от состава правонарушения). За повторное нарушение штрафы могут достигать 1 500 000 рублей.
- Гражданско-правовая ответственность — возмещение убытков и компенсация морального вреда, причинённых субъекту в результате неправомерной обработки его данных.
- Уголовная ответственность — за незаконный сбор или распространение персональных данных, совершённые из корыстной заинтересованности или с использованием служебного положения (ст. 137 УК РФ). Наказание может включать штраф до 300 000 рублей, обязательные работы, лишение свободы до 4 лет.
Особенности для иностранных операторов
Действие Закона № 152-ФЗ распространяется на операторов, находящихся за пределами Российской Федерации, если они обрабатывают персональные данные граждан РФ. Такие операторы обязаны:
- уведомить Роскомнадзор о намерении обрабатывать данные граждан РФ;
- обеспечить локализацию баз данных — хранение и обработку персональных данных граждан РФ на территории Российской Федерации (требование введено с 1 сентября 2015 года);
- назначить представителя на территории РФ, уполномоченного на взаимодействие с Роскомнадзором.
Несоблюдение этих требований влечёт блокировку доступа к информационным ресурсам оператора на территории РФ (например, блокировка сайта).
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Кодекс Российской Федерации об административных правонарушениях.
- Уголовный кодекс Российской Федерации.
- Постановление Правительства РФ от 15.09.2008 № 687.
- Постановление Правительства РФ от 01.11.2012 № 1119.
- Приказ Роскомнадзора от 05.09.2013 № 996.
- Приказ Роскомнадзора от 24.02.2021 № 18.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →