Кто является оператором персональных данных
Перейти к содержимому

Кто является оператором персональных данных

  • автор:

Кто является оператором персональных данных

О персональных данных

Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?

Ответ: Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

Вопрос: Кто может являться оператором персональных данных?

Ответ: В соответствии п. 2 ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

Ответ: Согласно ч. 2 ст. 6. Федерального закона 27.07.2006 г. № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
(п. 1.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ)

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?

Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.

Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.

Таким образом, субъект персональных данных, акцептируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

Вопрос: Вправе ли кредитная организация обрабатывать персональные данные физических лиц, получивших отказ в предоставлении кредита? Возможно ли хранить формы анкет-заявок на получение кредита в формате цифровых копий?

Ответ: Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации, подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.

Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Вопрос: В соответствии со ст. 22 Федерального Закона «О персональных данных» Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 указанной статьи. Оператор осуществляет обработку лишь тех персональных данных, которые он вправе обрабатывать без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку. Однако оператор по ошибке направил уведомление в уполномоченный орган. Каким образом оператор может отозвать свое уведомление и попросить исключить его из реестра операторов? Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных» не предусматривает случаи исключения оператора из реестра в случае ошибочного направления уведомления.

Ответ: Существующий сегодня Административный регламент предусматривает исчерпывающий перечень оснований для исключения Оператора из Реестра, и действительно, такое основание как ошибочное направление уведомления им не предусмотрено. Административный регламент в этой части требует изменений, однако решение о внесении таких изменений будет приниматься Роскомнадзором.

Тем не менее, возникает вопрос, почему Оператор хочет исключиться из реестра. В среде операторского сообщества существует мнение, что организации, находящиеся в реестре, подлежат обязательно проверке уполномоченным органом, хотя на деле мы большее внимание уделяем тем организациям, кого нет в реестре, и учитываем этот факт при составлении плана проверок. Факт нахождения в реестре говорит о добропорядочности оператора и о прозрачности его деятельности. Многие жалобы начинаются со слов, что некого оператора нет в реестре, и далее звучит просьба его проверить. Поэтому, прежде чем исключаться из реестра, советую хорошенько подумать, а если ещё не внесены в реестр и имеются какие-то сомнения о необходимости подачи соответствующего уведомления, рекомендую сомнения оставить и уведомление подать, от этого больше плюсов, чем минусов.

Вопрос: Является ли обработкой персональных данных поступление телефонных звонков с целью проведения телефонных опросов граждан?

Ответ: Согласно, ст. 3 Федерального закона 27.07.2006 г. № 152-ФЗ «О персональных данных», персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Осуществление же телефонного опроса без указания на фамилию, имя, отчество, дату рождения, адреса места жительства субъекта персональных данных и.т.д., само по себе подразумевает анонимность данного мероприятия и не является обработкой персональных данных какого либо конкретного субъекта персональных данных.

Вопрос: Является ли обработкой персональных данных поступления СМС сообщений и телефонных звонков с предложениями рекламного или информационного характера?

Ответ: Согласно, ст. 3 Федерального закона 27.07.2006 г. № 152-ФЗ «О персональных данных», персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Вопросы, связанные с поступлением сообщений (звонков) рекламного характера (предоставления услуг), входят в компетенцию органа, осуществляющего государственный контроль по вопросам распространения рекламы в сетях электросвязи, Федеральной антимонопольной службы (ФАС). Для прекращения дальнейшего использования номера телефона в рекламных целях (в частности, распространения рекламы в сетях электросвязи), целесообразно обратиться в ФАС. Рассмотрение обращений граждан, поступивших в ФАС, осуществляется в соответствии с требованиями Административного регламента ФАС по исполнению государственной функции по рассмотрению дел, возбужденных по признакам нарушения законодательства Российской Федерации о рекламе, утвержденного приказом ФАС России от 23.11.2012 № 711/12.

Время публикации: 26.12.2013 10:36
Последнее изменение: 26.12.2013 10:36

Персональные данные в 2023 году: на что обратить внимание физлицам

Какие подводные камни есть в теме персональных данных в этом году, расскажем в статье.

Иллюстрация: Andrew Moca/unsplash

Какой новый закон появился в 2023 году

Федеральный закон от 14.07.2022 № 266-ФЗ изменил правила работы с персональными данными.

Основные его положения заработали с 1 сентября 2022 года.

Что этот закон меняет

Новых требований много, мы остановимся на самых важных.

Во-первых, теперь правила работы с персональными данными должны соблюдать иностранные операторы ПД.

Операторы персональных данных – это государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки этих данных.

Далее: согласие на обработку персональных данных должно быть конкретным, информированным и сознательным, а также предметным и однозначным.

Биометрические персональные данные – это особая категория персональных данных. Человек должен сообщить такие данные о себе только в случаях, которые перечислены в ч. 2 ст. 11 Закона 266-ФЗ. Во всех остальных ситуациях предоставление биометрических данных не может быть обязательным.

Дальше: оператор ПД по-новому взаимодействует с человеком, чьи персональные данные обрабатывает. Например, теперь действует запрет отказывать в обслуживании человеку, который не хочет сообщать свои биометрические данные.

Что должен делать оператор ПД

По новому закону в числе обязанностей оператора персональных данных:

  • заранее сообщать человеку, чьи ПД он получил не от него самого, среди прочей информации перечень персональных данных, которые оператор будет обрабатывать (ч. 3 ст. 18 Закона),
  • предоставлять человеку информацию о способах выполнения оператором обязанностей, которые предусмотрены Законом (ч. 7 ст. 14 Закона);
  • прекратить обработку ПД человека, который потребовал этого, в срок не позднее 10 рабочих дней с даты получения обращения (ч. 5.1 ст. 21 Закона).

Этот срок можно продлить, но не больше чем на 5 рабочих дней, заранее уведомив человеку.

Но прекращать обработку ПД надо не всегда. Исключения такие:

  • оператор обрабатывает ПД не по согласию человека, а по другим основаниям (например, когда обработка нужна для исполнения судебного акта),
  • оператор законно обрабатывает биометрические ПД,
  • оператор законно обрабатывает специальные категории ПД (которые касаются расовой, национальной принадлежности гражданина, политических взглядов, состояния здоровья и т.п.)

Что с доступом человека к своим ПД: новые сроки

Челочек, чьи персональные данные обрабатывает оператор, имеет право на доступ к ним. В частности, он может рассчитывать на получение следующих сведений:

  • подтверждение факта обработки его данных оператором;
  • правовые основания и цели обработки;
  • подробная информация об операторе;
  • сами обрабатываемые ПД;
  • источник их получения, сроки обработки.

Получить всю эту информацию может сам человек или его представитель. Для этого надо обратиться к оператору с обращением или запросом (ст. 14 Закона).

С 1 сентября 2022 года действуют новые нормы о сроках доступа человека к своим ПД. Оператору дается всего 10 рабочих дней, чтобы успеть предоставить запрошенную информацию. Этот срок можно увеличить, но не больше чем на 5 рабочих дней, по решению самого оператора. Тогда человека надо уведомить об этом и указать причины, по которым срок ответа продлевается.

Важно! Требуемые сведения оператор направляет человеку или его представителю в той же форме, в какой тот направил обращение или запрос. Правда, заявитель может указать в них другие предпочтительные варианты получения информации.

Кому необходим статус оператора персональных данных?

оператор персональных данных

Оператор персональных данных — это лицо, которое осуществляет сбор, хранение и обработку персональных данных. При этом ПД включает в себя достаточно обширный список информации, что нередко становится причиной путаницы для компании: необходимо ли ей передавать о себе сведения в ведомство или же нет? Далее в материале будет подробно рассмотрен данный вопрос.

Кто такие операторы персональных данных и чем они занимаются?

Для начала стоит разъяснить основные понятия. В Федеральном законе от 27.07.2006 № 152-ФЗ предлагается следующее определение понятию персональные данные: «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Сама формулировка определения ясно говорит о том, что исчерпывающего списка, который бы четко регламентировал, какая информация будет считаться персональными данными, а какая нет, не существует. Иными словами, для идентификации гражданина в одной ситуации необходимо будет знать ФИО и контактный номер, а в другом случае может понадобиться его удостоверение и адрес регистрации.

На основании этого можно заключить, что оператором персональных данных будет являться государственный или муниципальный орган, юридическое или физическое лицо, которое занимается сбором, хранением и обработкой персональных данных. Более того, в Роскомнадзоре придерживаются позиции, что организация становится оператором персональных данных непосредственно в тот момент, когда начинает обрабатывать информацию. Поэтому не имеет значения подала ли организация уведомление, получила ли она официальных статус — в глазах ведомства компания стала оператором персональных данных в тот момент, как пользователь заполнил форму обратной связи на сайте.

Таким образом, в каждой сфере есть операторы персональных данных, потому что они используют и обрабатывают сведения, по которым можно идентифицировать гражданина: магазины, салоны красоты, государственный автоматизированные системы, медицинские учреждения и образовательные организации. И поэтому все они должны определенные правила, установленные законом закону № 152-ФЗ:

  • разъяснять человеку, какие данные и для каких целей будут собраны;
  • обнародовать документы, касающиеся обработки персональных данных;
  • обеспечивать защиту персональных данных (в том числе уничтожать записи, если субъект ПД докажет, что сведения были получены незаконным путем или блокировать доступ к сведениям по запросу).

Зачем необходимо получение статуса оператора персональных данных?

Для того, чтобы компания могла легально работать с персональными данными, ей необходимо пройти регистрацию в Роскомнадзоре, уведомить о начале работы с личной информацией, после чего получить официальный статус. Сама процедура регистрации на сайте Роскомнадзора осуществляется в 30-дневный срок. Но если в первоначальном документе была представлена не вся необходимая информация, от территориального органа будет направлен соответствующий запрос, что может в конечном итоге повлиять на продолжительность процедуры.

оператор персональных данных

Кроме того, территориальный орган не сможет отказать в принятии уведомления и занесении сведений об организации в реестр Роскомнадзора. Также оператор персональных данных должен в течение 10 дней направить в адрес ведомства письмо об изменении целей обработки ПД, если подобное имело место быть.

Вопреки всему вышеизложенному многие организации, которые непосредственно работают с персональными данными, все еще находятся в сомнениях: стоит им проходить регистрацию или же нет. Но если обратить внимание на текущие реалии, то можно заметить, что требования к операторам персональных данных становятся все более жесткими. Также эксперты прогнозируют введение новых норм и обязательств в ближайшем будущем. Например, уже сейчас столичные власти обязывают это делать все подведомственные учреждения, а значительное число подающих заявление на регистрацию — организации дополнительного профессионального образования. Так, статус оператора персональных данных имеет и Современная научно-технологическая академия.

Предусмотрена ли ответственность за отказ регистрироваться в реестре Роскомнадзора?

В соответствии с нормами действующего законодательства, за отказ проходить регистрацию в реестре организации грозит штраф:

  • от 300 до 500 рублей предусмотрено для должностных лиц;
  • от 3000 до 5000 рублей — юридических.

Кроме того, административная ответственность полагается и за нарушение требований по защите персональных данных. Так, статьей 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. Стоит отметить, что сумма штрафа варьируется от 15 000 до 75 000 рублей, в случае с индивидуальным предпринимателем штраф может быть от 5000 до 20 000 рублей.

Определение лица, являющегося оператором информационной системы персональных данных

Данное требование подчеркивает важность однозначного определения роли, обеспечивающей безопасность персональных данных, в сложных схемах правоотношений, существующих между организациями в настоящее время.

Согласно п.12 ст.2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»](далее – 149-ФЗ) оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. В соответствии с ч.2 ст.13 149-ФЗ если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.

Таким образом, оператором информационной системы можно считать как лицо, являющееся собственником технических средств, используемых для обработки содержащейся в базах данных информации, так и лицо, осуществляющее эксплуатацию информационной системы на основании договора с собственником технических средств. Следовательно, одним из ключевых понятий в определении роли, обеспечивающей безопасность персональных данных в информационной системе, является понятие «осуществление эксплуатации информационной системы».

В федеральном законодательстве данное определение отсутствует. Однако в постановлении Правительства Москвы от 07.02.2012 № 26-ПП «Об утверждении Положения об эксплуатации автоматизированных информационных систем и ресурсов города Москвы» (далее — постановление Правительства Москвы № 22-П) установлены составные компоненты эксплуатации информационных систем и ресурсов (далее — ИСиР):

При этом наряду с лицами, осуществляющими эксплуатацию ИСиР, в постановлении Правительства Москвы № 22-П выделены следующие участники процесса эксплуатации:

Исходя из определения оператора информационной системы, данного в 149-ФЗ, нас интересуют только лица, осуществляющие деятельность по эксплуатации информационной системы.

Следовательно, оператором информационной системы, который обязан обеспечивать безопасность обрабатываемых в ней персональных данных, может являться:

Похожие публикации:
  1. Где можно стрелять из воздушки по закону
  2. Как проходить ввк действующему сотруднику
  3. По какой базовой ставке в россии начисляется налог на доходы физических лиц
  4. Статус представителя ребенка что писать

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *