Что нужно знать, если Вы вдруг стали Оператором:

Оператор персональных данных (согласно закону РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных») — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

То есть, если лицо получает любые персональные данные, то его считают оператором персональных данных.

То есть, оно

1) обрабатывает персональные данные;

2) определяет:

  • цели их обработки;
  • состав персональных данных, которые подлежат обработке;
  • действия (операции) с персональными данными.

Персональные данные – любая информация, которая прямо или косвенно относится к определенному физическому лицу – субъекту персональных данных (п. 1 ст. 3 Закона о персональных данных).

Оператор обязан:

1) уведомить Роскомнадзор о намерении обрабатывать персональные данные.

По общему правилу нужно отправить специальное уведомление в Роскомнадзор (ч. 1 ст. 22 Закона о персональных данныхп. 14 Административного регламента..., утвержденного приказом Минкомсвязи России от 21 декабря 2011 г. № 346; далее – Регламент).

Форму уведомления содержит приложение 2 к Регламенту.

Уведомление нужно:

Рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных утвердил Роскомнадзор 29 января 2016 г.

Роскомнадзор ведет реестр операторов на своем сайте (п. 44 Регламента). Сейчас в нем более 377 тыс. операторов.

Исключение – случаи, которые указала часть 2 статьи 22 Закона о персональных данных. Например, не нужно отправлять уведомление:

  • работодателям, которые собирают информацию о своих сотрудниках (п. 1) или
  • операторам, которые обрабатывают исключительно фамилии, имена и отчества субъектов персональных данных (п. 5).

Хотя Закон разрешает не уведомлять Роскомнадзор, это не отменяет других обязанностей, которые закон возложил на операторов.

Если этого не сделать, то есть риск, что привлекут к ответственности по статье 19.7 КоАП РФ. Максимальный штраф – 5 тыс. руб. (примеры: решения  Верховного суда Республики Татарстан от 18 декабря 2015 г. № 4а-1802/2015Нижегородского областного суда от 25 июля 2014 г. по делу № 7п-371/2014);

2) соблюдать нормы Закона о персональных данных:

В противном случае Роскомнадзор привлечет к ответственности по статье 13.11 КоАП РФ, штраф по которой существенно возрастет с 1 июля 2017 года.

 Уголовный кодекс РФ предусматривает наказание за нарушение  Закона о персональных данных:

1. Нарушение неприкосновенности частной жизни (ст. 137 УК РФ).

2. Неправомерный доступ к компьютерной информации (ст. 272 УК РФ).

Оператор персональных данных обязан:

1) соблюдать принципы обработки данных (ст. 5 Закона о персональных данных).

То есть, обрабатывать можно только те персональные данные, которые отвечают целям их обработки (ч. 4). Содержание и объем данных должны отвечать заявленным целям обработки. Нельзя требовать избыточные данные по отношению к заявленным целям их обработки (ч. 5). Например, интернет-магазин не имеет права требовать скан паспорта или водительских прав;

2) обрабатывать данные, только когда это допускает закон (ч. 1 ст. 6 Закона о персональных данных).

Например, оператор вправе обрабатывать персональные данные, которые нужны, чтобы заключить или исполнить договор (п. 5 ч. 1 ст. 6 Закона о персональных данных);

3) получить согласие лица на обработку его персональных данных (ст. 9 Закона о персональных данных).

Чтобы обрабатывать персональные данные, нужно получить на это согласие субъекта персональных данных.

(Примеры:  мировой судья привлек банк к ответственности по статье 13.11 КоАП РФ. Он собирал сведения о супругах потенциальных заемщиков. Они указывали в анкете: фамилию, имя и отчество, дату рождения и размер дохода супругов. Суд признал такие действия незаконными, поскольку супруги:

  • не заключали договоров с банком;
  • не выступали поручителями или залогодателями;
  • не давали согласие на обработку персональных данных.

(Постановление Самарского областного суда от 8 августа 2016 г. № 4а-847/2016.)

По другому делу суд оштрафовал директора медучреждения, которое проводило освидетельствование иностранцев. Общество вносило данные о здоровье в медицинские амбулаторные карты и внутреннюю информационную систему учета без письменного согласия граждан (постановление Самарского областного суда от 8 февраля 2016 г. № 4а-129/2016, 4а-1298/2015))

Что рекомендуется сделать:

Стоит под каждой формой ввода данных на сайте или в мобильных приложениях:

  • дать ссылку на текст согласия на обработку персональных данных и
  • разместить кнопку с текстом: «Даю согласие на обработку персональных данных».

Это делается для того,  чтобы пользователь сайта не мог отправить свои персональные данные без согласия на их обработку.

В согласие нужно включить условия, которые установила часть 4 статьи 9 Закона о персональных данных. Например, наименование и адрес оператора, который получает согласие; цель обработки персональных данных; их перечень.

Лицо вправе отозвать согласие. В этом случае оператор должен прекратить обработку данных в течение 30 дней (ч. 5 ст. 21 Закона о персональных данных).

4) опубликовать политику владельца сайта в отношении обработки персональных данных (ч. 2 ст. 18.1 Закона о персональных данных).

Необходимо обеспечить неограниченный доступ через Интернет:

  • к документу, который определяет политику организации в отношении обработки персональных данных, и
  • к сведениям о реализуемых требованиях к защите персональных данных.

(Пример: суд оштрафовал общество за то, что оно не опубликовало на сайте документ, согласно которому обрабатывает и защищает персональные данные) 

5) предоставить доступ к персональным данным их владельцам (ст. 14 Закона о персональных данных).

По общему правилу любое лицо вправе запросить у оператора:

  • сведения о себе и
  • другую информацию, которую указала часть 7. Например, правовые основания и цели обработки персональных данных.

Исключения содержатся в  частьи 8-й: оператор не обязан предоставлять данные, которые получил в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности.

Предоставить данные нужно в течение 30 дней с даты получения запроса (ч. 1 и 4 ст. 20 Закона о персональных данных).

Если в роли Операторов выступают госорганы, как правило, руководствуются при ответе на запрос специальными нормативными актами. Так, Минфин России утвердил Правила рассмотрения запросов субъектов персональных данных или их представителей в Министерстве финансов Российской Федерацииприказом от 8 сентября 2014 г. № 91н;

6) уточнить, блокировать или уничтожить персональные данные по требованию владельца (ч. 1 ст. 14 Закона о персональных данных).

Субъект персональных данных вправе требовать от оператора уточнить, заблокировать или уничтожить персональные данные, если они:

  • утратили актуальность, неполные, неточные, получены незаконно или
  • не отвечают заявленной цели обработки персональных данных.

Выполнить эти требования нужно в течение сроков, на которые указала статья 21 Закона о персональных данных. Так, уточнить неточность нужно в течение семи рабочих дней, а прекратить неправомерную обработку – в течение трех дней.

Рекомендуется:  указать адрес электронной почты, по которому субъект персональных данных может обратиться, чтобы его данные уточнили или удалили.Если специального адреса нет, то лицо отправит запрос на общую почту, которую указали на сайте в разделе «Контакты». 

7) обеспечить безопасность персональных данных при их обработке.

Чтобы обеспечить безопасность, нужно соблюдать правила:

Так, суд привлек директора к ответственности по статье 13.11 КоАП РФ за то, что он:

  • не проследил, чтобы в личных делах было специальное поле, в котором лицо могло поставить отметку о своем согласии на обработку персональных данных, и этим
  • нарушил подпункт «б» пункта 7 Положения № 687.

(Постановление Самарского областного суда от 22 августа 2016 г. № 4а-907/2016.)

Как изменятся штрафы с 1 июля 2017 года

Сейчас статья 13.11 КоАП РФ состоит из одного общего состава и предусматривает ответственность для лица, которое с нарушением закона:

  • собирает,
  • хранит,
  • использует или
  • распространяет информацию о гражданах (персональных данных).

Максимальный штраф – 10 тыс. руб.

С 1 июля 2017 года статью 13.11 будет изложена в  редакции Федерального закона от 7 февраля 2017 г. № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях": она будет включать в себя семь составов. Максимальный штраф – 75 тыс. руб.

ВЫВОДЫ: 

ФЗ «О персональных данных» не распространяется (пункт 2 статьи 1 Закона):ЕСЛИ

Обработка персональных данных производится физическими лицами исключительно для личных и семейных нужд, но если при этом не нарушаются права субъектов персональных данных;Обработка персональных данных производится при работе с документами Архивного фонда Российской Федерации и аналогичных документов;Персональные данные, отнесены к сведениям, составляющим государственную тайну;Персональные данные относятся к публичной информации о деятельности судов в РФ.

Скорее всего, ничего не надо предпринимать ЕСЛИ:

Персональные данные обрабатываются исключительно во исполнение требований трудового законодательства (подпункт 1 пункта 2 статьи 22 ФЗ «О персональных данных»);Персональные данные обрабатываются исключительно для исполнения договора, стороной которого является субъект персональных данных (подпункт 2 пункта 2 статьи 22 ФЗ «О персональных данных»);Персональные данные о членах общественной или религиозной организации обрабатываются самой этой организацией (подпункт 3 пункта 2 статьи 22 ФЗ «О персональных данных»);Сам субъект персональных данных сделал их общедоступными (подпункт 4 пункта 2 статьи 22 ФЗ «О персональных данных»);Персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных (подпункт 5 пункта 2 статьи 22 ФЗ «О персональных данных»);персональные данные используются для предоставления одноразового пропуска и т.п. (подпункт 6 пункта 2 статьи 22 ФЗ «О персональных данных»);Обрабатываются персональные данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (подпункт 6 пункта 2 статьи 22 ФЗ «О персональных данных»);Персональные данные обрабатываются без использования компьютера (но с соблюдением требований установленных Постановлением Правительства РФ от 15.09.2008 N 687) (подпункт 8 пункта 2 статьи 22 ФЗ «О персональных данных»);Персональные данные обрабатываются в целях транспортной безопасности  (подпункт 9 пункта 2 статьи 22 ФЗ «О персональных данных»).

Учтите, что на практике есть много нюансов, которые нужно будет участь, чтобы иметь возможность обрабатывать персональные данные не уведомляя компетентный орган. Поэтому не делайте окончательных выводов основываясь только на этой статье! 
Как минимум, обратитесь к тексту закона — в списке есть прямые ссылки.

Придется позаботится о соблюдении всех требований ФЗ «О персональных данных», ЕСЛИ:

1. Ваш сайт позволяет производить регистрацию пользователей (даже с минимальным набором данных «имя + e-mail»). Примеры:

форумы;социальные сети;многие новостные сайты;интернет-магазины;блоги;сайты с частными объявлениями;и так далее.

2. Ваш сайт позволяет вносить в формы персональные данные пользователей, которые впоследствии публикуются на сайте или отправляются по e-mail. Например, если на сайте есть функция «перезвонить мне», возможность отправить быстрый заказ или подписаться на рассылку и тому подобное.

3. Ваш сайт просто уже содержит реальные персональные данные граждан. 

4. Ваша компания (юридическое лицо или индивидуальный предприниматель) на постоянной основе занимаются обработкой персональных данных граждан. Это справедливо для:

большинства юридических фирм;абсолютно всех регистраторов (в смысле компаний, занимающиеся регистрацией юрлиц и ИП, изменениями, ликвидацией и так далее);реестродержателей;бухгалтерских компаний, оказывающих услуги по аутсорсингу бухгалтерии и кадрового делопроизводства;банков, МФО и других компаний финансового сектора, работающих с данными граждан;медицинских учреждений;магазинов, салонов красоты и других подобных организаций с персональными клубными картами (это особенно популярно у сетевых магазинов косметики);образовательных организаций и учреждений (в том числе проводящих краткосрочные курсы или разовые тренинги);ТСЖ и управляющих компаний в сфере ЖКХ;турагентств;третейских судов;и так далее.

5. Ваша компания активно работает с внештатными сотрудниками (по гражданско-правовому договору).

6. Ваша компания использует CRM или аналогичные системы.

7. Во всех остальных случаях, если Вы или Ваша компания не подпадаете под исключения, которые я описала выше.

Если вы нашли свою компанию в третьем списке, то

во-первых, придется подготовить пакет документов, предусмотренных законодательством о персональных данных, который включает в себя:

Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области персональных данных.

Положение о комиссии по приведению в соответствие с требованиями законодательства в области персональных данных.

План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных.

Перечень должностей и третьих лиц, допущенных к обработке персональных данных.

Форма Обязательства о неразглашении персональных данных.

Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку.

Перечень обрабатываемых персональных данных.

Форма Согласия на обработку персональных данных.

Форма Согласия на обработку персональных данных для сайта.

Перечень информационных систем персональных данных.

Перечень применяемых средств защиты информации.

Перечень помещений, в которых ведется обработка персональных данных.

Технический паспорт информационных систем персональных данных.

Приказ о назначении лиц, ответственных за обработку и защиту персональных данных.

Инструкция администратора информационной безопасности.Инструкция менеджера обработки персональных данных.

Положение по обработке персональных данных.Политика компании в отношении обработки персональных данных.

Положение об обеспечении безопасности персональных данных.Уведомление об обработке персональных данных.

Приказ об утверждении Инструкции пользователя информационных систем персональных данных.

Инструкция пользователя информационных систем персональных данных.

Регламент по учёту, хранению и уничтожению носителей персональных данных.

Регламент по допуску сотрудников и третьих лиц к обработке персональных данных.

Регламент по реагированию на запросы субъектов персональных данных.

Регламент по взаимодействию с органами государственной власти в области персональных данных.

Регламент по резервному копированию персональных данных.

Регламент по проведению контрольных мероприятий и реагированию на инциденты информационной безопасности.

Во-вторых, уведомить компетентный орган — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о начале обработки персональных данных. После чего компания будет внесена в Реестр операторов персональных данных.

Удачи вам, неожиданно ставшие Операторами...