Кому необходим статус оператора персональных данных?

Оператор персональных данных - это лицо, которое осуществляет сбор, хранение и обработку персональных данных. При этом ПД включает в себя достаточно обширный список информации, что нередко становится причиной путаницы для компании: необходимо ли ей передавать о себе сведения в ведомство или же нет? Далее в материале будет подробно рассмотрен данный вопрос.

Кто такие операторы персональных данных и чем они занимаются?

Для начала стоит разъяснить основные понятия. В Федеральном законе от 27.07.2006 № 152-ФЗ предлагается следующее определение понятию персональные данные: «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Сама формулировка определения ясно говорит о том, что исчерпывающего списка, который бы четко регламентировал, какая информация будет считаться персональными данными, а какая нет, не существует. Иными словами, для идентификации гражданина в одной ситуации необходимо будет знать ФИО и контактный номер, а в другом случае может понадобиться его удостоверение и адрес регистрации.

На основании этого можно заключить, что оператором персональных данных будет являться государственный или муниципальный орган, юридическое или физическое лицо, которое занимается сбором, хранением и обработкой персональных данных. Более того, в Роскомнадзоре придерживаются позиции, что организация становится оператором персональных данных непосредственно в тот момент, когда начинает обрабатывать информацию. Поэтому не имеет значения подала ли организация уведомление, получила ли она официальных статус - в глазах ведомства компания стала оператором персональных данных в тот момент, как пользователь заполнил форму обратной связи на сайте.

Таким образом, в каждой сфере есть операторы персональных данных, потому что они используют и обрабатывают сведения, по которым можно идентифицировать гражданина: магазины, салоны красоты, государственный автоматизированные системы, медицинские учреждения и образовательные организации. И поэтому все они должны определенные правила, установленные законом закону № 152-ФЗ:

• разъяснять человеку, какие данные и для каких целей будут собраны;
• обнародовать документы, касающиеся обработки персональных данных;
• обеспечивать защиту персональных данных (в том числе уничтожать записи, если субъект ПД докажет, что сведения были получены незаконным путем или блокировать доступ к сведениям по запросу).

Зачем необходимо получение статуса оператора персональных данных?

Для того, чтобы компания могла легально работать с персональными данными, ей необходимо пройти регистрацию в Роскомнадзоре, уведомить о начале работы с личной информацией, после чего получить официальный статус. Сама процедура регистрации на сайте Роскомнадзора осуществляется в 30-дневный срок. Но если в первоначальном документе была представлена не вся необходимая информация, от территориального органа будет направлен соответствующий запрос, что может в конечном итоге повлиять на продолжительность процедуры.

Кроме того, территориальный орган не сможет отказать в принятии уведомления и занесении сведений об организации в реестр Роскомнадзора. Также оператор персональных данных должен в течение 10 дней направить в адрес ведомства письмо об изменении целей обработки ПД, если подобное имело место быть.

Вопреки всему вышеизложенному многие организации, которые непосредственно работают с персональными данными, все еще находятся в сомнениях: стоит им проходить регистрацию или же нет. Но если обратить внимание на текущие реалии, то можно заметить, что требования к операторам персональных данных становятся все более жесткими. Также эксперты прогнозируют введение новых норм и обязательств в ближайшем будущем. Например, уже сейчас столичные власти обязывают это делать все подведомственные учреждения, а значительное число подающих заявление на регистрацию - организации дополнительного профессионального образования. Так, статус оператора персональных данных имеет и Современная научно-технологическая академия.

Предусмотрена ли ответственность за отказ регистрироваться в реестре Роскомнадзора?

В соответствии с нормами действующего законодательства, за отказ проходить регистрацию в реестре организации грозит штраф:

• от 300 до 500 рублей предусмотрено для должностных лиц;
• от 3000 до 5000 рублей - юридических.

Кроме того, административная ответственность полагается и за нарушение требований по защите персональных данных. Так, статьей 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. Стоит отметить, что сумма штрафа варьируется от 15 000 до 75 000 рублей, в случае с индивидуальным предпринимателем штраф может быть от 5000 до 20 000 рублей.