Роскомнадзор кто должен регистрироваться. Оператор персональных данных – кто он

С момента принятия в 2006 году Федерального Закона «О персональных данных», некоторые его положения и понятия до сих пор остаются неясными для сотрудников операторов. Кажущаяся неясность формулировок иногда становится предметом спекуляций для отдельных активных граждан, поставивших своей целью доказывание абсурдности или несостоятельности Закона.

Манипулируя некоторыми формулировками Закона (порой, вырванными из контекста), опираясь на принципы формальной логики (не всегда справедливой, когда речь идет о праве как науке), моделируя возможные коллизии, некоторые аналитики приходят к неожиданным и неправильным выводам.

Опасность этих выводов — в дезориентации участников информационных правоотношений, а также в том, что принятие на вооружение сомнительных утверждений сдерживает работу операторов по приведению своей деятельности в соответствие с Законом и создает условия для нарушения ими требований Закона.

Числу таких проблемных вопросов относится определение оператора персональных данных. Оператор — это государственный, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и содержание обработки персональных данных (ст. 3 ФЗ 152). Это, казалось бы, очевидное и не допускающее вольного толкования определение на практике порой вводит операторов в заблуждение. Суть этого заблуждения в следующем: «лицо, осуществляющее обработку, не всегда является оператором». Причина же заблуждения — в словосочетании «а также». В этом «а также» некоторыми и видится то самое зерно истины, которое позволит отдельным операторам избежать обязанности исполнять требования ФЗ 152. Парадоксально, но многие операторы все еще уверены в том, что они операторами не являются. Для обоснования этого утверждения приводятся следующие доводы: необходимость обработки ПДн определена федеральным законом (или «установлена вышестоящими организациями»), следовательно, цели обработки самостоятельно не определяются или не должны определяться лицом, осуществляющим обработку (в определении целей нет необходимости, либо отсутствуют полномочия).

Попробуем разобраться с этой проблемой, суть которой заключается в вопросе: определение цели обработки ПДн — признак или обязанность оператора?

Итак, существует мнение, что оператор — это только и исключительно тот, кто одновременно отвечает следующим двум критериям:
Это лицо должно само либо организовывать, либо фактически осуществлять обработку ПДн (или же — и то, и другое одновременно);
Это лицо должно само определять цели и содержание обработки ПДн.

Таки образом, требование об определении цели обработки ПДн рассматривается в качестве основного признака оператора.

В ходе подготовки настоящей статьи филологами был проведен лингвистический анализ рассматриваемого определения. Результаты анализа приведены ниже.

Определение цели не может быть основной функцией, так как эта функция названа в ряду однородных членов предложения и замыкает его. Более того, этот однородный член предложения присоединяется союзом «а также», который имеет присоединительное значение, например: Я наслаждался мирно своим трудом, успехом, славой, также трудами и успехами друзей" (П). — см. Валгина Н.С., Розенталь Д.Э., Фомина М.Н. Современный русский язык. Учебник.: М., Логос, 2006.

Об этом же значении пишет и Русская грамматика (М, 1980,т. II):

§ 2079. Присоединительные отношения основываются на соединительных: второй член ряда имеет добавочный характер; он часто выделяется в отдельную синтагму; порядок членов ряда строго обязателен. Присоединительные отношения (с оттенками добавления или усиления) выражаются составными союзами и сочетаниями союза с конкретизатором: а также и, да еще, и притом (притом): В коляске сидела пожилая барыня, да еще молодая девушка (Тын.); Сводки доставлены в полном порядке и притом в срок (газ.).

Примечание. Союзы а также, как... так и обладают способностью выражать градационные и присоединительные отношения, но часто используются в более широком значении — соединительном или сопоставительном: Этот Вьюн необыкновенно почтителен, и ласков, одинаково умильно смотрит как на своих, так и на чужих, но кредитом не пользуется (Чех.); Завод достиг высоких показателей как по количеству, так и по качеству выпускаемой продукции (газ.); Воспитанники музыкального училища часто выступают с концертами в школах, дворцах культуры, а также в цехах предприятий (газ.).

А вот союзы «и (или)», указанные вместе означают, что члены однородного ряда, соединяемые ими, могут как сосуществовать вместе («организующее и осуществляющее обработку»), так и быть выбраны (один из ряда: «организующее или осуществляющее обработку»).

Приведенный лингвистический анализ показывает неосновательность утверждения о том, что определение цели обработки ПДн является непременным признаком оператора. В тоже время указанный анализ является не единственным доказательством порочности этого утверждения.

Из содержания различного рода публикаций и, исходя из складывающейся правоприменительной практики, можно сделать вывод и об отношении органа, уполномоченного по защите прав субъектов ПДн (далее — Роскомнадзор) к рассматриваемой проблеме. Роскомнадзор считает, что оператор — это тот, кто, прежде всего, совершает какие-либо операции с ПДн. Одновременно, в силу самого факта обработки у «обработчика» возникает и обязанность определения целей такой обработки. Т.е. по сути, определение цели обработки является скорее следствием обработки, или необходимости в таковой, неотъемлемой составляющей обработки, первейшей обязанностью, проистекающей из обработки ПДн, а не «основным признаком оператора».

Справедливость изложенного мнения подтверждается и системным анализом норм ФЗ № 152. Начать следует со статьи 1 Закона, в которой определена сфера его действия. Названная статья гласит, что закон регулирует отношения, связанные с обработкой ПДн, осуществляемой различными органами, юридическими и физическими лицами. Понятие обработки дано в п.3 ст.3 ФЗ 152. Это действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение персональных данных. Из изложенного следует, что, если конкретное лицо осуществляет какие-либо из перечисленных действий, то оно априори становится участником общественных отношений, являющихся предметом регулирования ФЗ № 152 (если только не подпадает под исключения, предусмотренные ч.2 ст.1 Закона). Как же следует именовать это лицо в терминах ФЗ «О персональных данных»? Выбор невелик. Это лицо следует именовать оператором.

Итак, некое лицо осуществляет (либо намеревается осуществлять) обработку ПДн. Согласно ст.5 ФЗ 152 обработка ПДн должна осуществляться в соответствии с определенными Законом принципами. Анализ содержания принципов приводит к выводу о том, что фундаментальной основой обработки ПДн является определение целей обработки. Даже не вникая в суть каждого принципа, а просто при беглом прочтении ст.5 в каждом пункте статьи мы видим термин «цель» («законности целей», «соответствие целям», «достаточность для целей» и т.д.). Такая концентрация внимания применена законодателем не случайно. От лица, осуществляющего обработку ПДн, Законом требуется уведомление о целях обработки субъектов ПДн органа, уполномоченного по защите прав субъектов ПДн. Закон стремится сделать деятельность, связанную с обработкой ПДн, прозрачной и понятной как для человека — носителя защищаемых Законом конституционных прав и свобод, так и для государственных органов, обеспечивающих реализацию механизмов защиты прав человека как субъекта ПДн. Красной нитью проведена в Законе идея о недопустимости «бесцельной» обработки ПДн (обработки ПДн «просто так», «для своих неопределенных нужд», для «общего развития», «для себя» и т.д.).

Согласно второму принципу, продекларированному в ст.5 Закона, если лицо имеет намерение обрабатывать ПДн, цели такой обработки должны быть заранее (до начала обработки) определены и заявлены. Обратная логическая цепь рассуждений приводит к выводу о том, что осуществление каких-либо действий с ПДн в отсутствие определенной цели обработки является нарушением принципов обработки, и, следовательно, нарушением Закона, предпосылкой к нарушению конституционных прав и свобод человека и гражданина.

Толкование нормы, изложенной в п.2. ст.3 ФЗ 152 в том контексте, что определение цели является не обязанностью оператора, а идентифицирующим его в этом качестве неотъемлемым признаком, неизбежно влечет за собой следующий парадоксальный вывод. Из сферы действия закона выпадают такие органы, как Пенсионный фонд РФ, Фонд обязательного медицинского страхования, Федеральная налоговая служба, Федеральная миграционная служба и многие другие государственные структуры, чьи обязанности напрямую определены и детализированы федеральным законодательством, в том числе и в контексте совершения операций с ПДн. Рассматриваемая предпосылка также приводит к заключению о том, что и операторы связи не являются операторами ПДн, поскольку цель сбора ПДн абонентов предусмотрена в Законе «О связи» и подзаконных нормативно-правовых актах — т.е. определена государством, а не конкретным лицом, предоставляющим услуги связи. То же относится и к кредитным учреждениям, страхов ым и другим организациям, которые осуществляют сбор и другие действия с ПДн в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, т.е. в целях прямо предусмотренных Законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем», а не самими этими организациями. Список можно продолжать бесконечно, абсолютизируя всего лишь одну норму закона и доходя до абсурда в попытках примерить буквальное ее толкование на реальные общественные отношения.

В ст.18 ФЗ № 152 установлены обязанности оператора при сборе ПДн. К их числу относится, в первую очередь, обязанность оператора предоставить субъекту ПДн по его просьбе информацию (ст.14 ФЗ 152), в т.ч., о целях обработки его ПДн. При установлении этой обязанности Закон не делает исключения для операторов, обрабатывающих ПДн на основании каких-либо федеральных законов.

Таким образом, с учетом изложенного выше, становится понятным, что в контексте Закона определение цели обработки ПДн в действительности является скорее обязанностью лица, осуществляющего обработку ПДн, нежели одним из признаков, обладание которым делает это лицо оператором.

Что же такое «определение» цели? Уяснение смысла слова «определение» имеет важное значение для уяснения содержания нормы права, без чего является невозможным правоприменение этой нормы. Поскольку в самом Законе законодатель не счел необходимым раскрыть понятие «определение цели», обратимся к одному из признанных в теории права способов толкования — лексическому (языковому) толкованию.

Согласно толковому словарю русского языка под редакцией проф. Д.Н.Ушакова, определить значит
С точностью выяснить, привести в известность;
Дать научную, логическую характеристику, формулировку какого-нибудь понятия, раскрыть его содержание;
Постановить, вынести решение о чем-нибудь;
Послужить причиной для развития, образования чего-нибудь, предопределить, обусловить;
Назначить, указать.

Следовательно, под определением цели обработки ПДн можно понимать ее выяснение, выбор, вычленение из множества возможных целей, ее постановку или назначение в качестве таковой, указание на эту конкретную цель (цели) в качестве причины для обработки ПДн.

Контекстный анализ содержания ФЗ 152, выявление его смысловых связей с другими источниками права позволяет сделать вывод о том, что для отдельных операторов ПДн и(или) относительно отдельных категорий субъектов ПДн цели обработки ПДн могут быть фактически предопределены или даже прямо указаны в законах либо подзаконных актах (Трудовой кодекс, например, конкретно указывает работодателям на цели обработки ПДн работников). Цель обработки тех или иных ПДн другими операторами проистекает из их обязанностей, возникших из договорных обязательств. В отдельных случаях цели обработки ПДн могут одновременно быть обусловлены и содержанием коммерческой деятельности оператора, и предписаниями закона (операторы связи в целях осуществления собственной уставной деятельности, направленной на извлечении прибыли, обрабатывают ПДн в целях оказания услуг связи и во исполнение Закона «О связи»).

Таким образом, первичной задачей лица, осуществляющего обработку ПДн, является именно вербализация целей обработки ПДн, уяснение для себя самого чем именно обусловлена конкретно для него обработка ПДн физических лиц. Формулирование ответа на этот вопрос фактически и будет являться определением цели обработки ПДн.

В разрезе проблемы, рассматриваемой в настоящей статье, представляется интересным мнение Правительства РФ, выраженное по поводу поправок в ФЗ 152. 5 мая 2010 года был в первом чтении принят законопроект, внесенный на рассмотрении в Государственную думу ее депутатом В.М.Резником. В числе прочего, данным законопроектом предложена новая формулировка понятия «оператора», а именно:

«оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющие обработку персональных данных, а также определяющие цели, содержание и порядок обработки персональных данных». Как видим, из ныне действующей формулировки исключено слово «организующие». В своем официальном отзыве на данный законопроект Правительство РФ указывает, что «такое изменение не может быть поддержано, поскольку лица, осуществляющие обработку персональных данных, но не определяющие цели и содержание обработки, не смогут считаться операторами». Из приведенного замечания Правительства РФ следует, что на сегодняшний день (когда редакция закона еще не изменена) по мнению Правительства РФ оператором является любое лицо, осуществляющее обработку ПДн вне зависимости от наличия или отсутствия факта определения им целей такой обработки.

Итак, проведенный в настоящей статье анализ позволяет сделать несколько выводов.
Определение цели обработки ПДн — это обязанность оператора, а не обязательный идентифицирующий признак оператора.
Определение цели обработки ПДн — это процесс осмысления, уяснения, конкретизации и вербализации цели обработки ПДн оператором, в том числе и в случаях, когда такие цели предопределены и (или) проистекают из положений закона или полномочий, возложенных на оператора.

Которая оказалась наиболее важной и в бухгалтерском учете, и при рассмотрении заявок на кредит и т.п.

Но что это такое и кто все-таки имеет право обрабатывать подобные сведения, а кто нет, об этом упоминается редко, даже с неохотой.

В результате иногда сложно понять, кто является оператором персональных данных.

– это информация о человеке, которая характеризует его как определенную личность, не является обобщенной, ее нельзя применить к группе лиц. В большинстве случаев речь идет о фамилии, имени, отчестве, дате рождения, адресе, где человек зарегистрирован и проживает, семейном положении и т.п.

Понятие персональных данных введено в деловой оборот после принятия в 2006 году «О персональных данных». Там же было введено разграничение информации на ряд категорий, которые позволяют определять уровни разрешения обработки для различных ситуаций.

1. Информация о расе и национальности, религиозных убеждениях, состояние здоровья и подробности интимной жизни гражданина.
2. Сведения, которые позволяют помимо идентификации гражданина, еще и получить про него разные сведения, например, номер телефона, место проживания и т.п.
3. Информация, благодаря которой один человек выделяется среди других – фамилия, имя и полная дата рождения.
4. Общедоступные сведения, как правило, они обезличены, но иногда и те, которые обязаны быть публичными по законодательству, например, доходы представителей органов власти. Отдельной категорией идут те данные, на предоставление которых сам гражданин дал согласие, например, адрес и номер телефона в справочной службе 09.

В целом закон «О персональных данных» призван обеспечивать право каждого гражданина на неприкосновенность личной жизни и защиту в случае наличия нарушений. Исходя из выше приведенной классификации, предъявляются разнообразные требования по обеспечению сохранности сведений. Для первой категории требования жестче, чем ко всем остальным.

Кто является оператором персональных данных

Оператор персональных данных – юридическое лицо, которое в силу своей деятельности занимается информации о действующих и потенциальных клиентов и сотрудниках. Размеры организации при этом никакого значения не имеют, как и форма ее собственности.

На практике оператором является любая организация, в которой есть наемный труд. Ведь трудоустройство невозможно без заполнения анкеты с довольно подробным перечнем сведений о себе, а также подачи личных документов, причем со всех снимаются копии, информация вносится в бухгалтерские программы и т.д.

Главное требование законодательства РФ, предъявляемое к операторам, это обеспечение сохранности тех данных, которые получила организация в процессе деятельности.

Нормы, согласно которым обеспечивается охрана, установлены в упомянутом законе, также могут уточняться нормативными актами, так называемых регуляторов

Существует определенный порядок, который регламентирует случаи, когда организация получает право работать с персональными данными без уведомления в :

• если предприятие обрабатывает только те сведения, которые нужны для трудовых отношений;
• когда обработке подвергаются данные общедоступного характера;
• если обрабатываются только фамилия, имя, отчество;
• когда они используются один раз, например, для выписки пропуска;
• если для обработки не применяется компьютерная техника.

Все остальные организации обязаны становиться на учет, в результате чего они получают уникальный регистрационный номер, под которым вносятся в специальный реестр.

В нем всегда можно уточнить, имеет ли право конкретное юридическое лицо запрашивать или хранить персональные данные.

Например, часто такие вопросы возникают в отношении кредитных организаций, операторов сотовой связи и т.п.

Поэтому принято называть «оператором обработки персональных данных» организации, которые в силу профессиональной деятельности собирают и обрабатывают не только общедоступные сведения, но и такие как серия, номер паспорта, адрес проживания и т.д.

Получение права на обработку персональных данных

Для обеспечения безопасности хранения и передачи персональных данных предусмотрена процедура аттестации и получения лицензии для организаций занимающихся сбором и хранением такой информации.

Чтобы получить лицензию предприятию приходится не только обучать сотрудников, но и приобретать технические средства защиты.

Процедура состоит из нескольких этапов, из которых можно выделить наиболее важные.

• уведомить соответствующие органы о намерении обрабатывать данные с помощью средств (компьютеры);
• пройти предварительное обследование имеющихся информационных систем;
• спроектировать систему защиты с учетом инфраструктуры компьютерной техники и других средств автоматизации;
• приобрести и внедрить средства защиты;
• привести все помещения в соответствие требованиям по пожарной безопасности, охране, электропитанию и т.д.
• провести повышение квалификации сотрудников в области защиты персональных данных и их аттестация.

В результате можно гарантировать наличие действующей системы защиты сведений при их и передаче через коммуникационные линии.

Стоит отметить, что все действия, описанные выше, могут быть применены только к обработке персональных данных в электронном виде, что является потенциально небезопасным для хранящейся или передаваемой информации.

Проверка деятельности операторов персональных данных

Работа всех операторов персональных данных не только регулируется законодательными актами, но еще и подвергается регулярным проверкам, как плановым, так и выборочным, например, по заявлению пострадавшего от их деятельности граждан.

Контролем над соблюдением закона о защите персональных данных должны заниматся многие надзорные и силовые ведомства, но в силу специфики работы выделяются лишь три из них (их и называют регуляторами):

• Роскомнадзор – в его функции входит проверка соблюдения любых нормативных требований законодательства, а также проведение проверок;
• ФСТЭК (Федеральная служба по техническому и экспортному контролю) – в ее задачи входит в первую очередь защита данных находящихся в компьютерах самой организации, так и каналов их передачи, когда они хранятся и передаются без шифрования;
• ФСБ (Федеральная служба безопасности) – контролирует применение шифрующих средств обработки и передачи персональных информации, в том числе разработку и их распространение.

Проверить отношение конкретной организации к операторам персональных сведений можно и самостоятельно.

На сайте Роскомнадзора имеется доступ к реестру операторов, осуществляющих обработку персональных данных, он доступен по этой ссылке.

Для просмотра информации достаточно внести в соответствующее поле наименование или регистрационный номер интересующего предприятия, либо его идентификационный номер налогоплательщика (ИНН).

Так можно выяснить, законно запрашивались данные или нет. Если организации в списке нет, то возможно этим надо заняться Роскомнадзору и либо включить ее в реестр, либо запретить незаконный сбор информации о гражданах.

Проверка операторов персональных данных осуществляется либо по заявлениям граждан, либо по инициативе, например, прокуратуры, которая может обратиться в Роскомнадзор в рамках проверки деятельности организации.

За нарушения в обработке сведений граждан предусмотрена ответственность. В зависимости от степени тяжести совершенных поступков может быть административное, дисциплинарное или уголовное наказание.

В целом, прежде чем давать разрешение на обработку персональных данных в кредитной или иной организации, запрашивающей такое право, лучше сначала убедиться в том, что она зарегистрирована в качестве оператора, а значит, имеет все для их безопасного хранения.

Особенно это может относиться к небольшим предприятиям, например, предоставляющим мелкие займы.

Конечно, без предоставления такого согласия подобные организации обычно отказывают в услугах, но в этом ничего страшного нет, т.к. конкуренция достаточно высока, и всегда можно найти другой подходящий вариант.

По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно.

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства . В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

• При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
• При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
• При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье

На сайте Консультанта

Оператор персональных данных — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Например, собирают электронные адреса для рассылки или просят покупателей оставить имя и телефон для заказа в интернет-магазине. Дословно в законе так:

Збагойно: 152-ФЗ — в «Деле»

Персональные данные — это любые данные о человеке, по которым его можно определить. Например:

• электронная почта;
• телефон,
• имя и фамилия;
• дата рождения;
• адрес;
• ссылка на сайт.

Ник без других данных не считается персональными данными, по нему нельзя определить человека.

С геопозицией и куками ситуация спорная. Формально сами по себе они не считаются персональными данными. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016—2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

Роскомнадзор считает, что компания становится оператором персональных данных в тот момент, когда начинает обрабатывать данные. Подала компания уведомление об этом или нет — роли не играет. Как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Данные из социальных сетей

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. В оферте с пользователями Вконтакте есть пункт о том, что данные могут быть доступны другим пользователям интернета:

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году ВКонтакте подал в суд на компанию «Double Data» и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Получается, данные в соцсетях не считаются общедоступными. Нельзя просто взять телефоны пользователей и начать им продавать пылесосы-роботы. В этом деле соцсеть хотела обратить внимание на проблему, поэтому иск был на рубль. Но в другом деле пользователь может подать в суд на компанию на миллион или два.

Наш совет — получать от клиентов разрешение, чтобы использовать открытые данные из социальных сетей. Например, при регистрации в интернет-магазине с данными Вконтакте можно показывать такое сообщение:

«Для регистрации мы будем использовать открытые данные с вашей страницы Вконтакте: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».

Если пользователь согласится, то претензий к компании не будет.

Когда уведомление не нужно

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных:

• обрабатывает только данные сотрудников, которые нужны по закону и не передает их кому-то еще без согласия сотрудника. Например, заполняет приказ о приеме на работу и карточку сотрудника и хранит их в сейфе.

Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника;

• обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер;
• использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берет данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор. Исключение — парикмахерские в поселке или продавцы мяса на рынке.

Проверка Роскомнадзора

Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

Реестр операторов персональных данных на сайте Роскомнадзора

В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:

Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

• устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
• карт лояльности;
• рекламных рассылок;
• оказания услуг;
• регистрации на сайтах;
• звонков потенциальным клиентам.

Штрафы за нарушение закона о персональных данных в КоАП РФ на сайте Консультанта

Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные - это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных - любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ .

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ .

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ . Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, - 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.