Кто такой оператор персональных данных, права, обязанности, требования

Скачать ответ по вопросу "Оператор персональных данных – кто это, какие есть права и обязанности"

Оператором персональных данных может быть юридическое или физическое лицо, а также государственный или муниципальный орган власти. В обязанности оператора входит организация и обработка персданных. Операторы должны соответствовать утвержденным требованиям. В статье рассмотрим, кто такой оператор персональных данных, какими правами он наделен, его обязанности и требования к работе.

Когда работаете с персданными сотрудников, соблюдайте утвержденный порядок получения, передачи, хранения и уничтожения данных. Какие документы оформить, чтобы работать с данными, и как накажут компанию и должностных лиц за ошибки в работе читайте в Системе Главбух.

Кто такое оператор персональных данных

Итак, кто является оператором персональных данных? Определим, какое понятие оператора дает Федеральный закон № 152-ФЗ «О персональных данных».

Оператор персональных данных (ОПД) — это любой государственный или муниципальный орган, физическое или юрлицо, которое осуществляет обработку или организует обработку персональных данных (ПД).

Это могут быть муниципальные органы (школы и детские сады, администрации населенных пунктов), государственные органы (сбор статданных от населения при проведении переписи, данные единого налогового счета и налогоплательщиков),  частные организации (поставщики воды, телефонной связи, интернет-провайдеры), индивидуальные предприниматели (если на сайте микропредприятия есть форма обратной связи, куда нужно ввести личные данные для связи с оператором или менеджером).

Обязанности оператора персональных данных

Оператор обязуется осуществлять свою деятельность прозрачно, и не препятствует проведению государственного контроля и надзора. Главный надзорный орган, который уполномочен в защите прав субъектов ПД — это Роскомнадзор. Перед ним у ОПД есть обязанности:

1. Отправлять уведомления о начале и прекращении обработки данных. Сроки информирования:

• об изменении сведений, которые уже есть в Реестре — до 15 числа следующего за отчетным месяца;

• о прекращении обработки ПД — в течение 10 рабочих дней (ч. 7 ст.22 Федерального закона № 152 - ФЗ).

  • Формы по теме:
  • Расписка в получении сотрудником имущества организации
  • о присоединении к Системе информационного обмена электронными документами
  • Сведения об аккредитации филиалов и представительств иностранного юридического лица
  • Внесение записей о поощрении в раздел «Сведения о награждении»
  • расходов на формирование резерва по гарантийному ремонту и обслуживанию
  • на социальную защиту инвалидов
  • Дополнительное соглашение к трудовому договору. Оформляется при выдаче ежемесячной премии в натуральной форме
  • Заявление сотрудника на выдачу зарплаты в натуральной форме. Оформляется при выдаче ежемесячной премии в натуральной форме
  • Внутренняя опись личного дела перед сдачей дел в архив
  • Договор транспортной экспедиции. Экспедитор действует от своего имени

2. Отвечать на запросы, поступающие от надзорного органа:

• срок на ответ ОПД по рабочим запросам — 10 рабочих дней (ч.4 ст. 20 Федерального закона № 152 - ФЗ);

• срок ответа об утечке ПД — в течении 24 часов с момента наступления происшествия. Как уведомить Роскомнадзор смотрите в Системе главбух;

• срок информирования о результатах расследования утечки данных — не позже, чем через 72 часа после наступления происшествия (ч. 3.1 ст. 21 Федерального закона № 152 - ФЗ).

3. Базы данных российских граждан должны быть в РФ (ст. 2 Федерального закона № 242 - ФЗ от 21.07.2014 г.). 

Также оператор обязан соблюдать Федеральный закон № 152-ФЗ, который определяет, кто такой оператор. ОПД обязан использовать все возможные меры и способы для защиты данных (ст. 19 Федерального закона № 152 - ФЗ). 

Оператор должен иметь пакет распорядительных и организационных документов оператора юрлица. Примерный перечень:

• приказ о назначении ответственного лица за организацию работ по обработке ПД. Как назначит ответственного за обработку - в Системе Главбух;

• политика в отношении обработки, а также защиты ПД — создается самим оператором;

• положение или правила обработки данных;

• акт об обследовании и акт об установлении уровня защищенности системы;

• журналы ознакомления с внутренними документами оператора, а также законодательством;

• база или реестр сведений;

• положение о защите ПД. Как составить положение смотрите в Системе Главбух;

• типовые договоры с клиентами, формы согласия на обработку, уведомления субъектов и Роскомнадзора;

• согласие на передачу ПД.

Документы должны быть согласованы с профсоюзом организации (п. 8 ст. 86, ст. 88 ТК РФ).

Определим, кому оператор вправе поручить обработку персональных данных. Процесс можно поручить компаниям или ИП подрядчикам. В этом случае владелец ПД подписывает согласие на обработку данных в определенной привлеченной компании. А ОПД заключает с подрядчиком договор, где четко прописана деятельность подрядной организации.

Оператор обязуется соблюдать права субъекта. Согласно Федерального закона № 152 «О персональных данных» субъект — это физлицо, которое можно определить непосредственно по этим данным, то есть владелец. 

Субъекты имеют права в сфере обработки и защиты сведений. Гражданин самостоятельно и самовольно предоставляет данные и принимает решение давать ли оператору согласие на обработку ПД (ч.1 ст. 9 № 152 - ФЗ).

Если субъект несовершеннолетний или не имеет права предоставлять информацию, тогда за него это делает представитель ( родитель, попечитель, опекун или другие лица, полномочия которых установлены действующим федеральным законом либо законом РФ).

Распространение ПД —  это действие по раскрытию данных неопределенному кругу лиц. В случае распространения ПД происходит утрата контроля использования этих данных, что приводит к нарушению прав субъекта данных.

Важно! В том случае, если физлицо ввело при регистрации вымышленные данные (ФИО, адрес, дату рождения и прочее), оператор все равно обрабатывает и хранит эти данные в соответствии с законом № 152 - ФЗ.  Согласно законодательной практике никаких подтверждений, что данные принадлежат конкретному лицу не требуется.

Подсказка от Системы Главбух

В таблице – все штрафы, которые может получить гражданин, ИП или компания за нарушение правил работы с персональными данными. Смотрите, за что Роскомнадзор может оштрафовать операторов персональных данных и сколько придется заплатить за нарушения.

Штрафы за нарушение правил работы с персданными

Права оператора персональных данных

Оператор персональных данных наделен такими правами:

1. Собирать данные граждан для решения государственных, уставных и коммерческих задач в рамках действующего законодательства.

2. Требовать от владельца данные при вступлении с ним в гражданские или трудовые правоотношения, если это разрешено законом и необходимо для выполнения услуг.

Важно! Персданные, которые относятся к специальной категории — национальная и расовая принадлежность, философские и религиозные убеждения, политические взгляды, состояние здоровья и интимной жизни, обрабатывать ЗАПРЕЩЕНО! Исключение — соблюдение указаний в части 2 и части 2.1 Федерального закона № 152 (согл. ред. ФЗ № 123-ФЗ от 24.04.2020).

3. Получать в распоряжение личную информацию не только от самого субъекта, но и от третьей стороны без уведомления первого, при условии, что они получены из открытого общедоступного источника и переданы согласно требованиям законодателя.

4. Самостоятельно выбрать и назначить сотрудника для работы с личными сведениями граждан без какой-либо привязки к его должности, квалификации и опыту.

5. Самостоятельно контролировать и поддерживать защитные меры по сохранению конфиденциальности вверенных сведений.

6. Передавать личную информацию граждан оператору третьей стороны при оформленном изначально согласии без уведомления владельца.

7. Хранить сведения в облачных хранилищах, если провайдер предоставляет условия, соответствующие техническим и программным требованиям по информационной защите. Как хранить ПД смотрите в Системе Главбух.

Ответственность за невыполнение обязанностей оператора персональных данных

Невыполнение обязанностей оператором влечет уголовную, административную и гражданскую ответственность. Разберем все варианты.

Согласно изменениям внесенным Федеральным законом от 12.12.2023 № 589-ФЗ, штрафы, которые накладывают на оператора при обработке данных человека без его согласия:

• первое нарушение законодательства — 300 000 - 700 000 руб.;

• повторное нарушение — 1 000 000 - 1 500 000 руб.

Согласно статье 24 Федерального закона № 152-ФЗ восполняет физлицу потери, если оператор нарушил права владельца данных, нанес моральный вред, физлицо понесло имущественные и прочие убытки.

Согласно статье 272 УК РФ действия направленные на раскрытие сведений неопределенному кругу лиц, которые повлекли уничтожение, модификацию, копирование или блокирование информации, ОПД ждет:

• штраф — до 200 000 руб.;

• исправительные работы — до одного года;

• ограничение или лишение свободы — до двух лет.

Эксперты Системы Главбух рассказали, в каких случаях нужно прекратить обработку и уничтожить данные сотрудников.

Роскомнадзор может заблокировать сайт оператора, если данные используются не для объявленной цели. Рассмотрим, как законодатель определяет термин блокирование в сфере ПД. Блокирование —  это временное прекращение обработки ПД.  

Непредоставление информации ОПД, которая востребована в ходе муниципального или государственного контроля:

• первоначально — предупреждение;

• повторно — наложение штрафа 100 - 300 руб. на гражданское лицо и 3 000 - 5 000 руб. на юридическое (ст. 19.7 КоАП РФ).

Нарушение процесса обработки ПД и нарушение порядка получения влекут наложение штрафа:

• физическое лицо — 2 000 - 3 000 руб.;

• должностное лицо — 10 000 - 800 000 руб.;

• юридическое лицо — 100 000 - 18 000 000 руб. (ст. 13.11 КоАП РФ).

Сбор ПД без документа с описанием модели угроз, а также без политики конфиденциальности влечет наложение штрафа Роскомнадзором:

• предприниматель или должностное лицо — в пределах 40 000 руб.;

• организация, юридическое лицо — до 150 000 руб.

Если сервисы хранения и обработки данных находятся не на территории РФ, отсутствует ПО для киберзащиты и в результате всего произошла утечка. Штрафы:

• индивидуальный предприниматель — 50 000 руб.;

• должностное лицо — 200 000 руб.;

• юрлицо — 6 000 000 руб.

Во всех случаях, если ОПД повторно нарушит законодательство в сфере сбора, обработки и хранения ПД, повторные санкции ужесточают. К вышеперечисленным штрафам и ограничениям свобод можно лишится права заниматься профессиональной деятельностью на срок до 5 лет.

Инструкция, как обрабатывать персданные сотрудников, - в Системе Главбух. В ней вы найдете образцы документов, которые должны быть в компании, и формы, по которым нужно уведомить Роскомнадзор о начале обработки.

Частые вопросы об операторе обработки персональных данных

Интернет провайдер заключает договор с физлицом и предоставляет ему услуги. Считается ли присвоенный IP-адрес персональными данными?

Да. Так как по присвоенному IP адресу можно идентифицировать клиента. И любой IP адрес, даже сгенерированный будет относиться к ПД и будет подлежать защите согласно Федеральному закону № 152-ФЗ.

Возник спор с сотрудником, что его личные данные переданы третьим лицам, когда его личную почту разместили на сайте для контакта со специалистом. Кто прав?

Прав сотрудник. Организация, как ОПД, должна хранить личные данные работников и корректно обрабатывать. 

Но есть нюанс! Роскомнадзор оговаривает, что если в имени пользователя в адресе электронной почты прописаны имя и фамилия физлица, тогда почта относится к ПД. Если в поле имени прописаны символы или даже слова — электронная почта не будет являться перданными. 

Может ли физическое лицо быть оператором персданных, да или нет?

Да. Если физическое лицо осуществляет обработку или сбор ПД в связи с выполнением должностных обязанностей.

Работодатель хочет, чтобы женщины сотрудницы оповещали о своей беременности с момента постановки на учет в женской консультации. Имеет ли он на это право?

Нет, не имеет. Руководитель, он же в этом случае оператор ПД не имеет права собирать избыточную информацию, которая несовместима с целями сбора (ст. 5 № 152-ФЗ). Информация о состоянии здоровья субъекта выполняется только с его согласия (п.1 ч.2 ст. 10 № 152-ФЗ). Если женщины сотрудницы не будут давать согласие, значит никакие внутренние документы не позволят работодателю запрашивать эти данные.

Кто несет ответственность за сохранность ПД, если российская компания доверила обработку данных иностранному лицу, которое обрабатывает данные серверами на территории РФ?

Обе: и российская организация-оператор и иностранная организация, как лицо, которому делегированы полномочия по обработке.

Онлайн-помощник от «Актион 360»

Ответы на все вопросы по налоговым изменениям вы найдете в корпоративной справочно-образовательной системе «Актион 360». Просто задайте свой вопрос в поисковой строке и узнайте, как поступить именно в вашей ситуации. Разъяснения дают авторитеты в своей области – судьи, специалисты Минфина и ФНС.

Задать вопрос