Являюсь ли я оператором обработки персональных данных?
Если вы хотя бы один раз запросили у физлица персональные данные и передали их третьим лицам, вы уже являетесь оператором: купили билет работнику в командировку, оформили зарплатную или корпоративную карту, сделали постоянный пропуск на территорию бизнес-центра у сторонней службы охраны, взяли персональные данные у соискателя и т.п.
Приложение к приказу Роскомнадзора от 30.05.2017 N 94: п. 2.1. Оператор — федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, иные государственные органы (далее — государственные органы), органы местного самоуправления, иные муниципальные органы (далее — муниципальные органы), юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
Особе внимание стоит уделить владельцам сайтов и интернет-магазинов, которые собирают персональные данные посетителей в том или ином виде. Проверьте, опубликованы ли на сайте «Условия обработки персональных данных» и «Политика в отношении персональных данных». В условиях четко должно быть прописано, что собранные данные не подлежат передаче третьим лицам. Любая форма обратной связи (даже анкета соискателя) является инструментом для сбора персональных данных.
Исключение
Со своими личными персональными данными физические лица могут делать что угодно, в том числе и предоставлять к ним общий и практически бесконтрольный доступ и даже не ограничивать доступ территорией РФ. Многие размещают в сети интернет и соцсетях личные фотографии, адреса проживания, информацию о том, где учились, отдыхали и работали.
Законодательно это не запрещено, у каждого человека есть конституционное право распоряжаться своими данными бесконтрольно, поэтому в ст. 22 ФЗ 152-ФЗ есть такое исключение: «Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, сделанных субъектом персональных данных общедоступными».
Также не контролируются Роскомнадзором данные:
- полученные оператором в связи с заключением договора, если персональные данные не распространяются, а также не предоставляются третьим лицам;
- относящиеся к членам (участникам) общественного объединения или религиозной организации, используемые для достижения законных целей таких организаций;
- включающие в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимые для однократного пропуска физического лица на территорию;
- включенные в государственные автоматизированные информационные системы;
- обрабатываемые в целях, предусмотренных законодательством Российской Федерации о транспортной безопасности.
Важно: если у индивидуального предпринимателя нет работников и бизнес не предполагает обработку каких-либо данных физических лиц, то он не будет являться оператором персональных данных.
Как подать уведомление в Роскомнадзор?
Уведомление в Роскомнадзор о том, что компания или предприниматель является оператором персональных данных, подавать обязаны все, кто обрабатывает персональные данные физических лиц.
Согласно ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
Сейчас Роскомнадзор сверяет базу зарегистрированных налогоплательщиков в ФНС и свою базу операторов персональных данных и поэтому активно рассылает первые требования о предоставлении уведомления. Уведомление заполняется на сайте Роскомнадзора.
Штрафы
Напомним, что с 1 июля 2017 года существенно ужесточена ответственность за нарушения при работе с персональными данными (см. таблицу).
Комментариев о том, что делать, если компания уже давно работает, но уведомление не подавала, на данный момент нет. Штрафных санкций тоже пока не применяли (за первый раз — предупреждение, далее максимум 75 000 руб. за каждое нарушение для юридических лиц и 20 000 руб. для ИП). Но лучше обезопасить себя и подать уведомление.
Важно
Роскомнадзор возлагает штрафные санкции совокупно, а именно, если компания не соблюдает условия, обеспечивающие сохранность персональных данных, то ей выпишут штраф не менее: 4 000 + 25 000 = 29 000 рублей. Компания должна будет оплатить штраф со своего расчетного счета, а должностное лицо — из своих доходов.
С индивидуальным предпринимателем все немного сложнее, потому что предприниматель, как правило, и есть должностное лицо. И если ИП осуществляет обработку персональных данных без согласия в письменной форме (не предусмотрен штраф для ИП), то Роскомнадзор выпишет ему штраф как должностному лицу не менее 10 000 руб.
Роскомнадзор также имеет право суммировать штрафы. Например, нет согласия на обработку персональных данных, значит цель обработки не закреплена. Как итог — штраф по двум статьям.