Кто является оператором персональных данных?

Как закон определяет оператора персональных данных?

В соответствии со ст. 3 закона № 152 операторами считаются органы государственной или муниципальной власти, организации коммерческого и некоммерческого типа, а также физические лица, которые осуществляют обработку ПДн. При этом оператор может самостоятельно устанавливать состав ПДн, цели и методы их обработки.

А какая информация не относится к персональным данным? С этим вопросом мы разбирались здесь.

Поскольку обработка персональных данных зачастую является закономерной частью рабочего процесса или общественной деятельности, оператор может не заявлять в контролирующие органы о совершаемых им действиях с ПДн в следующих ситуациях:

• прием и постановка на учет сотрудника на работу (в соответствии с Трудовым кодексом РФ). То есть каждый раз при приеме на работу нового сотрудника уведомлять Роскомнадзор не нужно, достаточно подать в РКН уведомление о намерении осуществлять обработку персданных один раз;
• деятельность некоммерческих гражданских и религиозных организаций (при условии неразглашения ПДн посторонним лицам);
• исполнение договоров с субъектами ПДн;
• обработка ПДн государственными информационными системами;
• оказание услуг, связанных с жилищно-коммунальным хозяйством, грузоперевозками и доставкой;
• обеспечение общественной безопасности и правопорядка.

Если обработку персональных данных планируется выполнять в иных целях, оператор должен уведомить Роскомнадзор, а также публично объявить о своей политике относительно обработки ПДн. База данных таких организаций и индивидуальных предпринимателей находится в открытом доступе на портале РКН.

Зарегистрироваться в Роскомнадзоре в качестве оператора персональных данных вам поможет наш материал.

Каковы обязанности оператора персональных данных?

Самым первым требованием при любых действиях с персональными данными является получение согласия субъекта ПДн на их обработку. Он также имеет право знать об операторе, основаниях, целях и другой информации, непосредственно относящейся к обработке. Если сбор личных сведений является обязательным на основании соответствующего закона, оператор непременно должен объяснить гражданину необходимость такого сбора, а также то, чем обернется отказ от предоставления ПДн.

В ряде ситуаций оператор освобождается от обязанности информировать граждан о сборе ПДн. В основном это случаи, когда субъект ПДн осведомлен об этом из других источников заранее или когда он является стороной договора. Также без предварительного уведомления собирать личную информацию могут журналисты, ученые и люди творческих занятий при осуществлении своей профессиональной деятельности, если в этом нет нарушения прав субъекта ПДн.

Особый предмет составляют обязанности оператора по обеспечению безопасности ПДн. Перечисляя виды действий с личными сведениями, ст. 19 закона 152-ФЗ систематизирует меры по сохранности данных, включая определение угроз безопасности и применение технических средств защиты.

Помимо этого, следует заблаговременно оценивать, насколько эффективны те или иные меры, вести учет современных средств хранения и безопасности, а также обнаруживать факты незаконного проникновения в закрытые базы данных и соответственно реагировать на них. Также оператор обязан установить правила доступа к ПДн и обеспечить учет всех производимых с ними действий.

ВАЖНО! Для всестороннего обеспечения безопасности ПДн указами Правительства РФ устанавливаются уровни защиты данных, требования к мерам защиты, носителям и методам хранения различных категорий ПДн.

Нарушение законодательства о ПДн может привести к штрафам по ст. 13.11 КоАП РФ, с 30.05.2025 их величина значительно выросла.

Упростите себе работу с персональными данными работников и избавьте себя от штрафов. В этом вам поможет Путеводитель от экспертов КонсультантПлюс. Если у вас нет доступа к системе, получите его бесплатно на пробной основе.

Можно ли делегировать обработку ПДн?

Оператор имеет право передать обработку ПДн другому лицу (см. п. 3 ст. 6 152-ФЗ). Однако при этом необходимо соблюдать ряд требований. В случае делегирования субъекту должна быть предоставлена такая информация вместе с другими условиями обработки для получения его согласия. Оператор и обработчик заключают договор, в котором прописываются условия и цели обработки. Также лицо, обрабатывающее ПДн, обязуется соблюдать конфиденциальность и не использовать полученную информацию в своих целях. Хотя на обработчика накладывается ответственность за сохранность ПДн, оператор остается равно ответственным за их безопасность.

Подробнее с вопросом о том, можно ли передать обработку персональных данных на аутсорс, мы разбирались здесь.

Итоги

Оператор персональных данных — это ключевое лицо, определяющее, как и зачем обрабатываются ПДн. Он обязан соблюдать требования 152-ФЗ, обеспечивать безопасность и реагировать на запросы субъектов. При передаче обработки третьим лицам необходимо заключать договор и контролировать их действия. Субъекты ПДн, в свою очередь, имеют право контролировать использование своих данных и требовать их защиты.