Оператор персональных данных - это... Функции и обязанности, особенности

Оператор персональных данных — это кто? О том, что это за деятельность, знают далеко не все. А между тем в век технологий она все более востребована. Так кто же такой оператор персональных данных? Расскажем об этом в статье. И чтобы было понятнее, начнем с определения.

Определение

Оператор персональных данных — это физическое или юридическое лицо, а также муниципальное или государственное учреждение, которое обрабатывает и получает персональную информацию, определяет цели и порядок действий с предоставленными данными.

Оператор имеет право работать автономно, а может обратиться за помощью к третьим лицам. Последние в этом случае тоже считаются операторами.

Что такое персональные данные

Мы разобрались, кто занимается обработкой личной информации. Это оператор персональных данных. Но что же понимается под персональными данными? Закон не имеет списка, который бы четко ответил на этот вопрос. Как правило, к личной информации относят данные паспорта, идентификационный номер, трудовой стаж, место регистрации и проживания, место работы, состав семьи, образование. В редких случаях сюда можно отнести данные о льготах или состоянии здоровья.

Фактически оператор персональных данных — это учреждение, которое принимает от человека личную информацию. Даже если это только паспортные данные, все равно организация считается оператором персональных данных.

Можно привести наиболее известные примеры таких операторов. Это банки, которые работают с клиентами и сведениями о налогоплательщиках, туристические агентства. Сюда же относятся сайты, которым для регистрации необходима информация о подписчике, магазины, где оформляются скидочные карты. В список входят и поликлиники, которые имеют доступ к медицинским карточкам. Это неокончательный список, перечислить все организации и учреждения, обрабатывающие личную информацию, попросту невозможно.

Где содержатся сведения

Естественно, что информация в таком объеме должна где-то содержаться. По этой причине был введен реестр операторов персональных данных. Это определенная база Роскомнадзора, где отражены все юридические и физические лица, которые считаются операторами.

Чтобы вас включили в базу, достаточно самостоятельно заявить в органы Роскомнадзора, подав письменное заявление или отправив электронное письмо. А также можно уведомить органы на фирменном бланке предприятия. Эту процедуру подробно описали в приказе Минкомсвязи России от 2011 года.

Так как все операторы входят в реестр операторов персональных данных, то они обязаны уведомлять Роскомнадзор обо всех изменениях, которые касаются операций с личной информацией, ее обработки. Последний, в свою очередь, контролирует работу операторов и периодически проводит проверки.

Список операторов персональных данных Роскомнадзора доступен для всех, его можно посмотреть на официальном сайте службы.

Кстати, орган не может отказать юридическому или физическому лицу во внесении в реестр. Если такое происходит, то служба нарушает закон, а значит, на Роскомнадзор налагается штраф. Размер последнего может достигать пятисот тысяч рублей.

Обязанности операторов

Как и любая деятельность, работа с персональной информацией облагается обязательствами и правами. Рассмотрим обязанности операторов персональных данных.

Роскомнадзор обязывает уведомлять службу о том, что начали обрабатывать информацию. Эта обязанность налагается согласно 22-й статье закона "О персональных данных". В уведомлении должна содержаться следующая информация:

1. Адрес оператора, наименование или имя, фамилия, отчество.
2. Основание для обработки личной информации.
3. Категория персональной информации.
4. Категория субъекта, личные данные которого подлежат обработке.
5. Ссылка на нормативные документы, которые позволяют обрабатывать информацию.
6. Список действий, которые будет совершать оператор по обработке персональных данных, а также описание тех способов, что он будет использовать в процессе.
7. Меры, которые принимаются для защиты информации.
8. Наименование юридического лица или имя, фамилия и отчество физического, отвечающего за организацию процесса обработки. Кроме того, нужно указать контактные телефоны, адрес электронной почты и почтовый адрес.
9. Дату, с которой начинается обработка данных.
10. Сроки проведения обработки и условия, по которым она прекращается.
11. Информация о том, имеет место или нет трансграничная передача данных во время обработки.
12. Сведения о том, где находится база данных, в которой содержится личная информация граждан нашей страны.
13. Данные об обеспечении безопасности информации и о том, соответствуют ли они требованиям, которые установило правительство нашей страны.

Это не значит, что в любой ситуации операторы по обработке персональных данных должны уведомлять Роскомнадзор. Бывают моменты, когда делать это вовсе не обязательно. Например, нет необходимости в уведомлении, если работодатель обрабатывает информацию о своих сотрудниках. Сюда же можно отнести ситуацию, когда с клиентом заключается договор на что-либо. В этом случае правило работает только до тех пор, пока информация не предоставляется посторонним лицам без согласия клиента. Не нужно писать уведомление тем, кто оформляет одноразовый пропуск на какую-то территорию, обрабатывает те данные, что находятся в свободном доступе, использует только имя, фамилию и отчество человека.

Реестр операторов персональных данных Роскомнадзора налагает обязательство в виде обеспечения конфиденциальности личной информации. То есть распространять любую информацию о человеке нельзя без его на то согласия. Это одно из главных требований к операторам.

Обязанности работодателей

Есть пункты, которые работодатели обязаны соблюдать при передаче данных:

1. Не озвучивать информацию о сотруднике третьим лицам без его на то согласия. Важно помнить, что согласие должно быть дано в письменной форме. Но это не касается ситуаций, когда озвучивание информации помогает предупредить угрозу здоровью и жизни работника или требуется передать данные в государственные службы. К последним относятся Пенсионный фонд, правоохранительные органы, Федеральная судебная служба, военные комиссариаты, прокуратура и прочие органы.
2. Предупредить лиц, которые получают персональную информацию, о том, что ее можно использовать только по прямому назначению. Кстати, работодатель имеет полное право требовать подтверждение соблюдения этого правила.
3. Передавать персональные данные в пределах только одного предприятия или у одного предпринимателя. Это должно происходить в соответствии с внутренним документом, который сотрудник изучил и поставил под ним свою подпись.
4. Позволять иметь дело с личной информацией только уполномоченным лицам. Это не значит, что эти люди могут запрашивать любую информацию, они имеют право воспользоваться только теми данными, которые нужны для выполнения определенных задач.
5. Не касаться вопроса здоровья сотрудника, если это не влияет на его прямые трудовые обязанности.
6. Ограничивать информацию, которую получает представитель сотрудника, лишь той, что нужна для выполнения функций, указанных представителем.

Все эти нормы определены законом "О персональных данных" и некоторыми статьями Трудового кодекса. Вернемся же к реестру операторов персональных данных Роскомнадзора и их обязанностям.

Прочие обязанности

Выше мы уже упоминали про то, что должны делать операторы. Вернемся же к этому вопросу.

Операторы обязаны принимать меры по обеспечению безопасности личной информации. Для этой цели на предприятии выбирается человек, который отвечает за организацию обработки личных данных. Этот человек должен контролировать исполнение обязанностей оператором персональных данных, соблюдение последним требований к безопасности использования информации. Это же лицо обязано знакомить работников, задействованных в обработке, с новыми поправками в законе "О персональных данных", а также внутренними актами по вопросам обработки. Ему же вменяется организовывать обработку обращений и запросов людей, чьи данные обрабатываются, а также прием этих обращений. Кроме инструктажа, необходимо следить за применением технических средств обеспечения безопасности и издавать документы, которые регулируют политику предприятия по этому вопросу.

Что касается политики оператора персональных данных, то она должна быть публичной. Для этого документ размещают на сайте оператора, и все, кому надо, могут с ним ознакомиться. Если сайт отсутствует, то можно установить стенд с нужной информацией в таком месте, чтобы все клиенты и посетители организации могли с ним ознакомиться.

Важно помнить, что для тех операторов персональных данных, документы которых запрашивают через Интернет, возможен вариант только с публикацией на сайте. На сайте Роскомнадзора можно найти информацию касательно политики оператора.

Часто происходит подмена понятий по поводу политики предприятия и положения о хранении, защите и обработке персональной информации. Последний документ считается внутренним актом, поэтому с ним знакомятся только работники предприятия, после чего ставят подпись.

Еще одной обязанностью оператора является соблюдение требований по локализации личной информации граждан нашей страны. Дело в том, что с 2015 года все операторы во время сбора личной информации обязаны обрабатывать их с использованием баз данных, которые находятся в нашей стране. Как только был принят закон, оставалась масса неясностей, но со временем они разрешились. Теперь точно известно, что, например, операторы персональных данных по связи обязаны пользоваться информационными базами.

Последней обязанностью считается необходимость вовремя прекратить обработку личной информации. Если информация была использована, и человек, чьи данные обрабатывались, решил отменить согласие на обработку, то оператор должен перестать обрабатывать данные и удалить их в течение месяца. Важно понимать, что в соглашении может быть прописан другой срок, поэтому так важно читать документы.

Права оператора

Кроме обязанностей, у операторов есть свои права. Их, правда, немного, но тем не менее забывать про них нельзя. Перечень операторов персональный данных наделяет последних только одним правом — получать информацию об изменениях в законе, если они касаются персональных данных.

Кто включается в базу

Мы уже говорили выше, что внесение в реестр операторов персональных данных необходимо не всем. Кто же должен подавать уведомление?

1. Интернет-ресурсы. Сюда относятся порталы, социальные сети, форумы, ведь для регистрации нужны личные данные, пусть и немного.
2. Онлайн-магазины. Им это необходимо, потому как покупатели оставляют контактный телефон для обратного звонка или почтовый адрес при заказе.
3. Сайты, которые публикуют информацию о субъекте или отправляют ее на электронную почту. А также сюда можно отнести те сайты, что уже содержат личную информацию.
4. Организации, компании или предприниматели, которые занимаются постоянной обработкой данных. Это бухгалтерские и юридические конторы, туристические агентства, учреждение ЖКХ, реестродержатели, регистраторы, медицинские учреждения и банки, образовательные учреждения, компании, которые оказывают обслуживающие услуги и выдают клубные карты.
5. Организации, которые работают по гражданско-правовым договорам с внештатными сотрудниками.
6. Фирмы, которые используют системы CRM.

Внимание! Роскомнадзор может заблокировать интернет-ресурс, если последний нарушает закон в сфере обработки данных.

Работодатель — оператор или нет?

Мы уже указали, что изменения в реестр операторов персональных данных должны вносить все, но насчет работодателей мнения до сих пор разные. Как правило, их причисляют к операторам персональных данных, но есть свои исключения. Например, это те руководители, которые хранят и собирают информацию только для того, чтобы составить трудовой договор или внутренний приказ в соответствии с законодательством.

Кто не считается оператором

Регистрация оператора персональных данных нужна не для всех людей и организаций. Кто может без нее обойтись?

1. Телефонные компании, которые используют данные абонента только для того, чтобы оказывать услуги связи.
2. Религиозные и общественные организации, которые используют личную информацию о членах только в целях, указанных в учредительной документации.
3. Учреждения и лица, которые используют те данные, что субъект раскрыл самостоятельно.
4. Компании, в которые оформляются одноразовые пропуски.
5. Государственные системы персональных данных, которые созданы для защиты и сохранения общественного порядка.
6. Организации, обрабатывающие данные без автоматизированных систем.
7. Транспортные компании, которые получают информацию для оформления проездных билетов.

Важно понимать, что для Роскомнадзора не важно, внесена организация или лицо в реестр операторов, осуществляющих обработку персональных данных, или нет. Служба имеет право нанести визит с проверкой в любое учреждение. То есть даже те, кто с точки зрения закона не считаются операторами, могут нести ответственность за несоблюдение требований по защите персональных данных.

Как получить право на обработку личной информации

Чтобы обеспечить безопасность передачи и хранения личной информации, была разработана процедура получения лицензии и аттестации для организаций, которые хранят и собирают данные.

Для получения лицензии мало отправить сотрудников на обучение, нужно еще приобрести технические средства защиты. Получение лицензии проходит в несколько этапов:

1. Отправление уведомления в реестр операторов обработки персональных данных на предмет имеющегося намерения осуществлять обработку.
2. Прохождение предварительного обследования имеющихся у предприятия информационных систем.
3. Проектирование системы защиты с учетом инфраструктуры средств автоматизации и компьютерной техники.
4. Приобретение и внедрение защитных средств.
5. Приведение помещений в соответствие с требованиями по охране, пожарной безопасности, электропитанию.
6. Проведение обучения сотрудников или повышения их квалификации в сфере защиты персональных сведений с последующей аттестацией.

Если все пункты соблюдены, то хранение и защита личной информации будут эффективными.

Важно понимать, что все пункты касаются обработки информации в электронном виде, хоть этот способ и нельзя назвать безопасным для хранящихся данных.

Проверка деятельности операторов

Оператор, осуществляющий обработку персональных данных, периодически подвергается проверке Роскомнадзора. Последняя может проводиться согласно плану, а может по жалобе лица, пострадавшего от неправомерных действий оператора.

Контролируют соблюдение закона по обработке персональных данных три ведомства:

1. Роскомнадзор. Он осуществляет проверку соблюдения нормативных требований законодательства, а также отвечает за проведение проверки.
2. Федеральная служба по экспортному и техническому контролю. Это служба защищает данные, которые находятся в компьютерах внутри организации, и каналы их передачи. Последнее происходит только в случаях, когда сведения не зашифрованы.
3. Федеральная служба безопасности. Осуществляет контроль шифрующих средств передачи и обработки личной информации. Она также разрабатывает и распространяет эти средства.

Проверить, к какой организации относится тот или иной оператор, можно самому. Для этого нужно зайти на сайт Роскомнадзора и найти реестр операторов.

Чтобы посмотреть информацию, нужно просто внести регистрационный номер предприятия или его наименование. Подойдет и идентификационный номер налогоплательщика.

Можно выяснить еще и то, насколько законно запрашивалась информация. Если предприятие отсутствует в списке, то можно обратиться в Роскомнадзор. Он либо включит его в реестр, либо запретит незаконную деятельность по сбору персональных данных.

Проверка проводится на основании обращения граждан либо по инициативе ведомственного органа, например, прокуратуры. За нарушение обработки и хранения личной информации предусмотрена ответственность. Наказание может быть административным, уголовным или дисциплинарным, все зависит от того, насколько тяжкое нарушение совершено.

Как себя обезопасить?

В теории, чтобы не возникало подобных проблем, гражданам рекомендуют перед тем, как дать согласие на обработку личной информации, проверить организацию на предмет нахождения в соответствующем списке.

На деле же люди редко это делают, хотя бы потому, что большинство вообще не знает о существовании такого реестра.

Особенно стоит присмотреться к мелким организациям, которые не всегда имеют соответствующие условия для обработки информации. Если появляются подозрения на этот счет, то согласие давать не нужно. Пусть вам откажут в одном месте, зато вы сможете найти более подходящую организацию и у вас не будет никаких проблем.

Права субъекта данных

Несмотря на то что у каждого оператора политика в отношении персональных данных своя, она не должна идти вразрез с законодательством. То есть должны соблюдаться все права людей, которые предоставляют личную информацию о себе.

К основным правам относятся:

1. Право на доступ к собственным сведениям. То есть человек имеет право знать, кто обрабатывает его данные, для какой цели и кто увидит информацию. Человек может потребовать уточнить данные, заблокировать их или вовсе удалить. Чтобы получить доступ к своим данным, нужно подать запрос оператору. Это может сделать как сам субъект, так и его представитель. Существуют и ограничения этого права, например, если данные затрагивают безопасность государства, нарушают конституционные свободы и права третьих лиц или мешают оперативно-розыскной деятельности.
2. Право на обработку личной информации для продвижения товаров, услуг или работ на рынке или в целях политической агитации. Обработка данных происходит только в том случае, если на это согласен субъект. В случае конфликта обработка считается произведенной без согласия клиента, если только оператор не смог доказать обратное. Как только субъект потребует прекратить обрабатывать данные, оператор обязан это сделать.
3. Право субъекта на принятие решения, которое основывается на автоматизированной обработке личной информации. Законом запрещено обрабатывать данные без письменного согласия человека, только на основании автоматизированной обработки. Исключения предусмотрены федеральным законодательством.
4. Право на обжалование бездействия или действия оператора. Человек имеет право обратиться в уполномоченный орган по защите прав субъектов персональной информации или в суд. Но для такого обращения должны быть основания, например, нарушение прав или обработка данных ненадлежащим образом.

Субъект также может требовать возмещения убытков или материальной компенсации в судебном порядке.

Заключение

Как видите, этот вопрос серьезно регулируется. Ведь именно из-за неконтролируемого получения персональной информации граждане нашей страны становятся жертвами мошенников и просто бесчестных людей. Государство старается максимально ужесточить требования, чтобы можно было хоть как-то гарантировать безопасность сохранения данных.

Разрабатываются различные защитные системы, предприятия проходят аттестации и лицензирования именно для того, чтобы обычным гражданам спокойнее жилось.

Тем не менее люди тоже не должны бездействовать. Ведь собственное благополучие зависит от нас самих. В статье мы рассказали, каким образом можно проверить, находится ли организация в реестре или нет. Пользуйтесь этой информацией, не давайте согласие на обработку данных сомнительным учреждениям, и тогда не придется доказывать, что ваши права нарушены. Беды большинства из нас - от невнимательности, и все потому, что не привыкли читать документы перед тем, как их подписывать. А между тем этому нужно учить с пеленок, так же как и заботиться о правовой подкованности ребенка. Чем раньше мы начнем подготавливать детей к взрослой жизни, тем легче им будет.