Вы оператор персональных данных — как избежать неприятностей?

Компании и ИП, которые собирают и используют чужие персональные данные, называются операторами. Каждый из них должен знать свои обязанности и соблюдать закон 152-ФЗ «О персональных данных».

Содержание:

• Как узнать, что я оператор персональных данных?
• Что делать в первую очередь?
• Что проверяет Роскомнадзор?
• Что еще должен знать оператор?
• Отслеживайте изменения в законе
• Я не хочу регистрироваться в реестре операторов ПД, что делать?

Персональные данные — любая информация, с помощью которой можно установить личность. Фамилия, написанная на стене, не подходит под это определение, потому что по ней нельзя идентифицировать человека. А вот сочетание телефонного номера и ФИО – другое дело.

Как узнать, что я оператор персональных данных?

Оператор — любой, кто работает с персональными данными. 

Запустили одностраничный сайт с формой обратной связи, поздравляем – теперь вы оператор данных (даже с минимальным набором имя+email). Запрашиваете у клиентов своего барбершопа фамилию и телефонный номер — вы оператор данных.

Кто еще к ним относится:

• магазины, которые предлагают оформить бонусную карту;
• школы, собирающие данные сотрудников и детей;
• поликлиники, хранящие информацию пациентов;

То есть, операторы повсюду. И неважно, как они собирают данные: через сайт, по почте или вручную на листочке. Каждый должен выполнять требования, которые есть в законе №152-ФЗ.

Что делать в первую очередь?

Сообщить Роскомнадзору, что вы обрабатываете персональные данные. На сайте ведомства есть «Реестр операторов». Введите в поиске ИНН своей компании. Если она там числится, значит все нормально. Если нет, срочно отправьте такое уведомление:

Это лишь часть анкеты, размещенной на сайте ведомства

• В бумажном варианте. Заполните форму на сайте, распечатайте, подпишите и отправьте письмом в местное отделение Роскомнадзора;
• В электронной форме на сайте Роскомнадзора с электронной цифровой подписью.
• Через портал Госуслуг.

Роскомнадзор внесет ваши данные в реестр операторов в течение полутора месяцев с момента обращения.

Есть несколько исключений, когда вставать на учет не нужно:

• компания работает с ПД, не используя компьютерные средства автоматизации (то есть информация вносится не в компьютер, а к примеру, в журнал);
• сведения берутся для оформления одноразового пропуска на территорию, где находится компания;
• вся обрабатываемая информация есть в открытом доступе;
• данные обрабатываются в целях безопасности государства.

Если ни один из случаев не подходит, то встать на учет необходимо. Утаится от Роскомнадзора не получится. Организации, которые вовремя не зарегистрировались как операторы данных, регулярно получают штрафы.

Что проверяет Роскомнадзор?

• Политику обработки ПД. Такой документ должен быть размещен на сайте оператора. Надзорный орган рано или поздно проверит его наличие. В нем указаны общие правила обработки сведений. Добавьте ссылку на документ в любое место на сайте.
• Согласие на обработку ПД. Под любой формой, куда пользователь вносит личные данные, добавьте гиперссылку на согласие по обработке и чек-бокс для галочки, говорящей о согласии.

Операторы данных несут ответственность за любые действия, совершенные от имени их учетных записей. Исключение — если доступ к данным получил злоумышленник.

Что еще должен знать оператор?

Перед сбором нужно получить добровольное согласие на использование информации. В некоторых случаях нужно только письменное согласие, например когда обрабатывают биометрию или сведения о религиозных и политических взглядах.

Оператор должен уничтожить личные данные граждан, если допустил ошибки в процессе обработки или если сам владелец потребовал их уничтожить или отозвал согласие на обработку.

Оператор обязан сообщать владельцу данных, как и зачем используются его сведения. Ответить на запрос нужно не позже чем через 10 дней.

Отслеживайте изменения в законе

Не игнорируйте поправки, которые вводят законодатели. Внутренние положения, регламенты и другие документы всегда должны соответствовать федеральному закону.

Последнее масштабное обновление прошло недавно — в сентябре 2022 года. Требования к обработчикам данных ужесточились, штрафы за нарушения стали выше.

Я не хочу регистрироваться в реестре операторов ПД, что делать?

По закону нельзя обрабатывать персональные данные, не уведомив об этом Роскомнадзор. Но выход все-таки есть. Можно выбрать оператора, который уже есть в реестре ведомства. Приведем пример: выберем для сайта не просто официально зарегистрированного оператора, а одновременно и сервис для форм обратной связи. Один из популярных и удобных сервисов для сайтов QForm внесен в реестр операторов ПД:

Это зарегистрированный российский оператор, который избавит владельцев сайтов и разработчиков веб-студий от трудностей регистрации и последующих проверок РКН. С его помощью можно без труда создать формы обратной связи на сайте, и они будут соответствовать закону. Тот, кто пользуется сервисом, абсолютно легально перекладывает ответственность за сбор, обработку и хранение данных на Qform.

Как оператор он выполняет обработку персональных данных в соответствии с законом №152-ФЗ. Они защищены: информация не попадет к посторонним лицам. Так Qform закрывает сразу несколько задач и облегчает жизнь тем, кто не хочет тратить силы на общение с Роскомнадзором.

Читать по теме:

1. Никаких поблажек нарушителям: что ждет операторов персональных данных после изменений в законе 152-ФЗ
2. Виды персональных данных: зачем кому-то знать ваше имя, вес и номер телефона?
3. 7 нарушений при работе с персональными данными. Что исправить, чтобы не платить штраф?