Кто является оператором персональных данных

Понятие оператора персональных данных закреплено в 152-ФЗ от 27.07.2006. Перечень широк, включает физических лиц, организации. При работе с информацией личного характера налагаются жесткие требования по хранению, обработке вверенных данных. Нельзя просто так использовать личные сведения или рассматривать их в качестве собственности. Должны быть соблюдены правила обращения и присутствовать согласие владельца.

Кто является оператором персональных данных согласно 152-ФЗ от 27.07.2006?

Если обратиться к 152-ФЗ от 27.07.2006 как к первоисточнику и акту, регулирующему отношения между владельцем информации и операторами, то в число последних относятся государственные и муниципальные органы, юридические и физические лица, занимающиеся организацией работ по обработке информации, а также определяющие цели, содержание обработки сведений персонального характера. По факту, оператором является практически любая организация или физическое лицо, которые добровольно получают от граждан личные данные и используют их в любых целях, отличных от процесса обработки сведений о персонале. Типичными примерами операторов можно считать:

• Поставщиков сотовой связи;

• Интернет-магазины;

• Муниципальные организации;

• Государственные органы;

• Физических лиц, оказывающих услуги на основе договора найма.

Чтобы использовать персональную информацию, оператор в обязательном порядке должен получить письменное согласие на это со стороны владельца и четко указать цели, в которых предполагается обработка данных. Самовольное использование чужих данных или их нецелевая обработка караются штрафами и даже уголовной ответственностью.

Какие обязанности закреплены за операторами?

1. Уведомить Роскомнадзор о том, что оператор занимается обработкой персональных данных, не позднее трех лет с начала ведения такой деятельности. Выполняется на сайте регулятора через специальную форму и заверяется электронной подписью. Также рекомендуется продублировать извещение в бумажной форме, отправив его по почте.

2. Подписать согласие на использование персональных сведений с его владельцем.

3. Известить субъекта персональной информации о целях, методах работы с вверенными данными.

4. Обеспечить комплекс защитных и превентивных мер, направленных на сохранение конфиденциальности персональных сведений, их целостности. Это могут быть организационные, правовые меры, дополненные технической составляющей в виде DLP-систем или другого ПО.

В каких случаях оператору дозволено заниматься обработкой персональной информации без согласия владельца?

• Когда обработка ведётся в рамках международного соглашения РФ с другими странами.

• В ситуациях, связанных с обработкой информации в статистических, научных целях и обезличенных данных субъекта.

• Когда затронуты защита и поддержание здоровья, жизни владельца информации.

• Субъект информации входит в число участников судебного разбирательства или исполнения решения суда.

• Обработка связана с исполнением случаев, предусмотренных федеральным законодательством.

• При обращении в государственные органы за предоставлением услуги.

Ответственность оператора за нецелевое использование персональных данных и их раскрытие

На основании законодательства РФ оператору персональных данных грозит административная, гражданско-правовая, уголовная ответственности за нарушение конфиденциальности вверенных сведений, их утечку, использование и передачу третьей стороне без согласия владельца. На момент написания статьи в Госдуму РФ внесены поправки в 152-ФЗ о введении оборотных штрафов за утечку персональных данных в размере 1% от годового оборота компании, допустившей такую утечку. Более того, размер штрафа может вырасти до 3% в случае, если компания не уведомит Роскомнадзор об инциденте в течение суток.

На текущий момент предусмотрены следующие виды наказания:

• Возмещение оператором владельцу персональных данных возникшего имущественного и морального вреда;

• Выговор, замечание или увольнение виновного сотрудника;

• Назначение принудительных или исправительных работ сроком 1-3 года;

• Лишение виновных лиц права занимать отдельные должности на период времени 2-5 лет;

• Вынесение штрафов в зависимости от характера правонарушения и его тяжести. Например, согласно ст. 13.11. КоАП первая утечка персональных данных обойдется оператору в сумму от 60 тыс. руб. до 100 тыс. руб. Штрафы за вторую и последующие утечки могут достигать 500 тыс. руб.;

• Ограничение свободы и тюремное заключение на срок до двух лет.

Конкретные штрафы, формы наказания, сроки для операторов персональных сведений указаны в КоАП РФ (статьи 13.11, 19.7), ТК РФ (статьи 81, 90, 192), ГК РФ (статья 15), УК РФ (статьи 137, 140, 272). Законодательная база РФ разносторонне охватывает различные виды нарушений в сфере обработки и защиты персональной информации, и выносит по ним наказания разной степени тяжести.

Оператор защиты персональных данных должен позаботиться о сохранности, целостности вверенных ему персональных данных. Принять комплекс защитных мер организационного, правового, технического характера. Использовать информацию исключительно по целевому назначению. В противных случаях контролирующие органы выносят наказание по всей строгости закона.