Важный вопрос: «Кто является оператором персональных данных»?
- Индивидуальный предприниматель без работников, оказывающий услуги населению;
- Юридическое лицо, со штатом сотрудников от 10 человек и не работающее с клиентами – физическими лицами;
- Самозанятый, сдающий квартиру в аренду и подписывающий договоры на бумаге;
- Физическое лицо – председатель общедомового собрания, проводящий анкетирование жильцов с помощью Яндекс.Форм.
Раскроем правильный ответ: Все указанные лица являются операторами ПДн!
Разница лишь в том, что не все они должны, в обязательном порядке, подать уведомление в Роскомнадзор.
Разберемся почему и начнем с анализа понятия «оператор», определенного в п. 2 ст. 3 152-ФЗ.
Во-первых, оператором может быть:
- любое юридическое лицо, не зависимо от организационно-правой формы;
- государственный или муниципальный орган;
- любое физическое лицо (ИП, самозанятый или даже обычный гражданин, например, администратор сайта, где есть обработка ПДн, или инициатор общего собрания МКД, обрабатывающий ПДн собственников в целях их уведомления о собрании и оформления его результатов).
Во-вторых, оператор:
- организует и (или) осуществляет обработку ПДн;
- определяет цели обработки ПДн, объем обрабатываемых данных, перечень действий с ними.
Причем делает он это самостоятельно или совместно с другими лицами. Что позволяет отнести к категории операторов контрагентов, компании-аутсорсеры и т.д.
В-третьих, статус оператора не зависит от наличия и количества сотрудников, способов обработки ПДн, перечня действий с ПДн.
Можно быть оператором ПДн, имея одного сотрудника, или не имея их вовсе, но предоставляя услуги населению или обрабатывая только лично свои ПДн, например, для подачи персонифицированной отчетности в государственные органы (налоговые, пенсионные и др.); обрабатывая ПДн только на бумажных носителях или же с использованием ИСПДн; оператором можно являться, даже если кроме хранения, юридическое или физическое лицо не осуществляет иных действий с ПДн.
Важно!
Понятие «оператор ПДн» определяется НЕ фактом регистрации в Роскомнадзоре! Зарегистрирован в Реестре операторов, осуществляющих обработку ПДн, может быть не каждый оператор ПДн. Исключительные случаи предусмотрены ч. 2 ст. 22 152-ФЗ и их немного.
Итак, оператор может не подавать в Роскомнадзор уведомление, если обрабатывает ПДн:
- включенные в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
- исключительно неавтоматизированным способом;
- в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Если хотя бы одно из направлений деятельности по обработке ПДн выходит за рамки указанных исключений – оператор обязан подать в Роскомнадзор уведомление в целях регистрации в Реестре.
Разберем пример.
Самозанятый сдает помещения в аренду физическим лицам, но при этом заключает договоры только на бумажном носителе.
В указанном случае самозанятый будет являться оператором ПДн, поскольку осуществляет обработку ПДн при заключении договоров аренды (как минимум – сбор и хранение), определяет цели такой обработки ПДн, объем обрабатываемых данных, перечень действий с ними.
Вместе с тем, обработка ПДн без использования средств автоматизации, позволяет такому самозанятому не подавать уведомление в Роскомнадзор до тех пор, пока его деятельность подпадает под предусмотренные ч. 2 ст. 22 152-ФЗ исключения.
Однако, если самозанятый решит, например, вести учет клиентов или вести расчеты по договорам с использованием ИСПДн, исключительные случае на его деятельность перестанут распространяться и нужно будет регистрироваться в Роскомнадзоре.
Для чего нужно уведомление? Во-первых, это исполнение требований закона, непредставление уведомления может повлечь привлечение к административной ответственности по ст. 19.7 КоАП РФ. Во-вторых, это обеспечивает открытость и прозрачность обработки ПДн для граждан, поскольку часть сведений в Реестре является общедоступной.
Формы уведомлений, применяемых для внесения изменения и исключения сведений из Реестра, утверждены приказом Роскомнадзора от 28.10.2022 № 180.
Подать их можно на Портале ПДн: https://pd.rkn.gov.ru/operators-registry/notification/.
Все остальные требования 152-ФЗ, и принятые в соответствии с ним нормативно правовые акты, одинаковы для всех операторов, независимо от наличия их в Реестре Роскомнадзора!
Отсутствие в Реестре не освобождает оператора от:
- разработки и утверждения локальных актов в сфере ПДн (можно сделать с помощью сервиса 152DOC);
- принятия организационных и техническим мер для обеспечения безопасности ПДн;
- обязанности по соблюдению конфиденциальности ПДн;
- обязанности по обеспечению прав субъектов ПДн на доступ к своим ПДн и др.;
- ответственности в области обработки ПДн.
Таким образом, под определение «оператор» подпадает любое лицо, так или иначе связанное с обработкой ПДн одного или нескольких субъектов (своих собственных, работников, клиентов и др.), на которое распространяется действие 152-ФЗ и выполняются условия, определённые в п. 2 ст. 3 152-ФЗ.
Условно можно разделить операторов на зарегистрированных и не зарегистрированных в Реестре. Однако, это никак не влияет на исполнение ими иных обязанностей, установленных законодательством РФ в области ПДн. И тем более, не позволяет избежать ответственности за нарушения в данной сфере.