Операторы персональных данных

Важный вопрос: «Кто является оператором персональных данных»?

  • Индивидуальный предприниматель без работников, оказывающий услуги населению;
  • Юридическое лицо, со штатом сотрудников от 10 человек и не работающее с клиентами – физическими лицами;
  • Самозанятый, сдающий квартиру в аренду и подписывающий договоры на бумаге;
  • Физическое лицо – председатель общедомового собрания, проводящий анкетирование жильцов с помощью Яндекс.Форм.

Раскроем правильный ответ: Все указанные лица являются операторами ПДн!

Разница лишь в том, что не все они должны, в обязательном порядке, подать уведомление в Роскомнадзор.

Разберемся почему и начнем с анализа понятия «оператор», определенного в п. 2 ст. 3 152-ФЗ.  

Во-первых, оператором может быть:

  • любое юридическое лицо, не зависимо от организационно-правой формы;
  • государственный или муниципальный орган;
  • любое физическое лицо (ИП, самозанятый или даже обычный гражданин, например, администратор сайта, где есть обработка ПДн, или инициатор общего собрания МКД, обрабатывающий ПДн собственников в целях их уведомления о собрании и оформления его результатов).

Во-вторых, оператор:

  • организует и (или) осуществляет обработку ПДн;
  • определяет цели обработки ПДн, объем обрабатываемых данных, перечень действий с ними.

Причем делает он это самостоятельно или совместно с другими лицами. Что позволяет отнести к категории операторов контрагентов, компании-аутсорсеры и т.д.

В-третьих, статус оператора не зависит от наличия и количества сотрудников, способов обработки ПДн, перечня действий с ПДн.

Можно быть оператором ПДн, имея одного сотрудника, или не имея их вовсе, но предоставляя услуги населению или обрабатывая только лично свои ПДн, например, для подачи персонифицированной отчетности в государственные органы (налоговые, пенсионные и др.); обрабатывая ПДн только на бумажных носителях или же с использованием ИСПДн; оператором можно являться, даже если кроме хранения, юридическое или физическое лицо не осуществляет иных действий с ПДн.

Важно!

Понятие «оператор ПДн» определяется НЕ фактом регистрации в Роскомнадзоре!  Зарегистрирован в Реестре операторов, осуществляющих обработку ПДн, может быть не каждый оператор ПДн. Исключительные случаи предусмотрены ч. 2 ст. 22 152-ФЗ и их немного.

Итак, оператор может не подавать в Роскомнадзор уведомление, если обрабатывает ПДн:

  • включенные в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
  • исключительно неавтоматизированным способом;
  • в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если хотя бы одно из направлений деятельности по обработке ПДн выходит за рамки указанных исключений – оператор обязан подать в Роскомнадзор уведомление в целях регистрации в Реестре.

Разберем пример.

Самозанятый сдает помещения в аренду физическим лицам, но при этом заключает договоры только на бумажном носителе.

В указанном случае самозанятый будет являться оператором ПДн, поскольку осуществляет обработку ПДн при заключении договоров аренды (как минимум – сбор и хранение), определяет цели такой обработки ПДн, объем обрабатываемых данных, перечень действий с ними.

Вместе с тем, обработка ПДн без использования средств автоматизации, позволяет такому самозанятому не подавать уведомление в Роскомнадзор до тех пор, пока его деятельность подпадает под предусмотренные ч. 2 ст. 22 152-ФЗ исключения.

Однако, если самозанятый решит, например, вести учет клиентов или вести расчеты по договорам с использованием ИСПДн, исключительные случае на его деятельность перестанут распространяться и нужно будет регистрироваться в Роскомнадзоре.

Для чего нужно уведомление? Во-первых, это исполнение требований закона, непредставление уведомления может повлечь привлечение к административной ответственности по ст. 19.7 КоАП РФ.  Во-вторых, это обеспечивает открытость и прозрачность обработки ПДн для граждан, поскольку часть сведений в Реестре является общедоступной.

Формы уведомлений, применяемых для внесения изменения и исключения сведений из Реестра, утверждены приказом Роскомнадзора от 28.10.2022 № 180.

Подать их можно на Портале ПДн: https://pd.rkn.gov.ru/operators-registry/notification/.

Все остальные требования 152-ФЗ, и принятые в соответствии с ним нормативно правовые акты, одинаковы для всех операторов, независимо от наличия их в Реестре Роскомнадзора!

Отсутствие в Реестре не освобождает оператора от:

  • разработки и утверждения локальных актов в сфере ПДн (можно сделать с помощью сервиса 152DOC);
  • принятия организационных и техническим мер для обеспечения безопасности ПДн;
  • обязанности по соблюдению конфиденциальности ПДн;
  • обязанности по обеспечению прав субъектов ПДн на доступ к своим ПДн и др.;
  • ответственности в области обработки ПДн.

Таким образом, под определение «оператор» подпадает любое лицо, так или иначе связанное с обработкой ПДн одного или нескольких субъектов (своих собственных, работников, клиентов и др.), на которое распространяется действие 152-ФЗ и выполняются условия, определённые в п. 2 ст. 3 152-ФЗ. 

Условно можно разделить операторов на зарегистрированных и не зарегистрированных в Реестре. Однако, это никак не влияет на исполнение ими иных обязанностей, установленных законодательством РФ в области ПДн. И тем более, не позволяет избежать ответственности за нарушения в данной сфере.

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять