Оператор и обработка персональных данных

Как было отмечено в предыдущей статье, персональными данными считают любую информацию, которая относится к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

В законе «О персональных данных» от 27.07.2006 N 152-ФЗ вводятся понятия оператор и обработка персональных данных.

Под оператором понимается государственный или муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющие обработку персональных данных, определяющее цели обработки, состав и операции, совершаемые с персональными данными.

Под обработкой персональных данных подразумеваются любые действия, совершаемые с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Таким образом, даже физическое лицо, собирающее по собственной инициативе персональные данные, даже в бумажном виде (например, в виде анкет), автоматически признаётся их оператором и подпадает под действие закона «О персональных данных».

Требования к работе с персональными данными

С 1 марта 2021 года действуют новые правила, которые обеспечивают дополнительную защиту персональных данных граждан. Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

• молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку персональных данных.
• согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
• в согласии на обработку персональных данных, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц.

Состав формы согласия на обработку персональных данных

Выразить своё согласие на обработку персональных данных можно, заполнив соответствующую форму, которая может быть представлена как в бумажном, так и в электронном виде, например, на веб-странице. Согласно статьи 9 Федерального закона №152-ФЗ, в этой форме должна содержаться следующая информация.

• ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес оператора, получающего согласие субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых субъект дает согласие;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва;
• подпись субъекта персональных данных.

Запрещается сбор избыточных данных, то есть не требующихся оператору для достижения заявленной цели. Например, для согласия на получение рекламных рассылок по электронной почте оператору не требуется знать помимо электронного адреса пользователя его паспортные данные.

Штрафы за нарушения в работе с персональными данными

Согласно Федеральному закону от 24.02.2021 № 19-ФЗ, за нарушения в работе с персональными данными предусмотрены штрафы. Их величина отличается для физических, должностных и юридических лиц. Например, частными основаниями являются:

• обработка ПД в случаях, не предусмотренных законодательством и несовместимая с целями сбора ПД;
• обработка ПД без письменного согласия субъекта.

О своём намерении обрабатывать персональные данные все операторы уведомляют Роспотребнадзор. Это же ведомство следит за выполнением законодательства в области персональных данных и принимает жалобы при возникающих нарушениях.