А вы — оператор персональных данных?

Многие не догадываются о том, что они являются операторами персональных данных. А те кто знают об этом, зачастую не до конца понимают, какие у них есть обязанности и права.
Персональные данные — это информация, с помощью которой можно установить личность того, кому она принадлежит. В законе 152-ФЗ «О персональных данных» сказано, кто может их хранить и обрабатывать, и как правильно это делать.
Именно в этом законе и обозначено за что ответственен оператор. Кто же это такой и за что отвечает?

Кто такой оператор?

Оператор — это тот, кто передает, хранит или выполняет другие действия с чужими персональными данными.
В каждой сфере есть операторы, обрабатывающие информацию, относящуюся к ПД. Это касается не только тех, кто работает онлайн, но и офлайн-бизнес (магазины, больницы, учебные заведения).
Владельцы сайтов чаще всего являются операторами персональных данных, если используют формы обратной связи.

Регистрация в Роскомнадзоре

Прежде чем приступать к обработке персональных данных, необходимо предупредить об этом Роскомнадзор. Этого многие не знают, как и то, как правильно заполнить заявление, чтобы его приняли.

Разрешено не подавать уведомление если:

данные используют для безопасности государства или транспортной безопасности;
обработка проходит вручную, например информация записывается в журнал.

Поиск оператора в реестре на сайте РКН

Обязанности оператора

Оператор должен:

обрабатывать данные в соответствии с целями сбора. К примеру, компания на сайте запрашивает адреса для регистрации. Эти адреса нельзя использовать в других целях, например для отправки рассылок;
уничтожать или обезличивать данные, когда цели обработки достигнуты;
спрашивать согласие владельца при передаче данных другому;
прекратить обрабатывать ПД в течение 10 дней, если владелец отозвал согласие на обработку;
гарантировать защиту ПД от уничтожения, распространения и других неправомерных действий;
издать и опубликовать на сайте политику конфиденциальности обработки данных.

Нельзя использовать без спроса информацию, которую человек разместил в своей соцсети. То есть запрещено брать телефонные номеры людей с соцсетей и названивать им с предложением покупки чайника.
Оператор имеет право поручить хранение и обработку персональных данных третьей стороне. Для этого с обработчиком заключают договор, где прописывают его обязанности, список ПД с которыми он будет работать. Подробнее об этом читайте в пункте «Как не получить штраф от РКН».

Подробнее о праве оператора поручить хранение и обработку ПД третьей стороне читайте в статье “Как оператору персональных данных облегчить себе жизнь с помощью обработчика”

Ответственность оператора

За нарушения оператора данных могут привлечь в административной, уголовной и гражданской ответственности. Штрафы предусмотрены от 100 рублей до нескольких миллионов, в зависимости от того, какой проступок совершил оператор. Особенно сурово сейчас карается хранение и передача ПД россиян в базах данных, расположенных за границей. За это предусмотрен штраф в 1-8 млн рублей, а при повторном нарушении – 16 млн.

Как не получить штраф от РКН

Если коротко, это сложно.
Во-первых, правовой статус оператора усложняет жизнь сам по себе. Во-вторых, досаждают и частые проверки от РКН, которые бывают плановыми и внеплановыми.
РКН предупреждает о плановой проверке не позднее чем за три дня. То есть, у компании есть всего три рабочих дня, чтобы подготовиться и полностью привести в порядок обработку ПД. Может быть, проверка закончится всего лишь предписанием, а может и штрафом, но этого никто не знает. Операторам стоит держать в уме, что одна из задач РКН – как можно больше штрафов. Так что они будут «выполнять свой план», в существовании которого конечно никто из сотрудников ведомства не признается.
Поэтому для многих единственный выход – передать головную боль стороннему обработчику. Например, облачному сервису, который возьмет на себя сбор, хранение и другие операции с данными. Таких сервисов немного, но они существуют.
Чтобы выбрать надежного оператора, нужно проверить, что он:

зарегистрирован в реестре РКН;
самостоятельно готовит документ политики конфиденциальности и другие акты;
правильно дополняет веб-формы для сайта ссылкой на соглашение об обработке ПД;
хранит данные россиян в дата-центрах на территории страны.

Последний пункт стал важен совсем недавно. Раньше никто не обращал внимания на то, куда попадают данные пользователей. Поэтому многие операторы выбирали популярные сервисы по созданию онлайн-форм, не задумываясь. Но многие крупные известные сервисы используют заграничные базы данных, которые сейчас лучше не использовать.