К вопросу безопасности персональных данных приковано внимание законодателей всего мира. Евросоюзом принят закон GDPR, который еще строже регламентирует их защиту. В России действует национальное законодательство, определяющее основные правоотношения в этой сфере, и одним из его требований становится обязательное включение юридических лиц, осуществляющих обработку персональных данных, в реестр операторов персональных данных Роскомнадзора.

Кто такой оператор персональных данных

Закон под понятием оператора персональных данных понимает государственный орган или иное лицо, юридическое или физическое, которое:

• собирает или получает персональные данные граждан;
• определяет цели получения этой информации;
• самостоятельно определяет ее состав;
• вправе осуществлять с информацией какие-либо действия (обработку).

На практике к операторам относятся не только образовательные или медицинские учреждения, социальные сети, мобильные операторы, банки, которые получают персональные данные тысяч лиц, но иногда ими становятся и обычные компании, которые эти сведения получают в процессе заполнения анкеты для устройства на работу и копирования трудовой книжки. Закон ставит перед такими организациями задачу обеспечить сохранность этих сведений от утечек и иных угроз, возникающих в процессе обработки персональных данных.

При этом закон не уточняет, какие именно сведения относятся к персональным данным, предполагая, что это все категории информации, связанные с конкретным физическим лицом: от даты выдачи паспорта до номера автомобиля. Попадая в руки злоумышленников, такие данные могут помочь им обнаружить имущество конкретного лица, причинить вред ему или его семье, поэтому сведения подлежат строгой охране. При том, что на теневом рынке сбыта информации спрос на большие объемы персональных данных велик, степень их защиты и качество применяемых для этого информационных технологий должны быть максимально возможными для каждого конкретного оператора.

Ведение реестра Роскомнадзором

Государство регламентирует деятельность всех субъектов, связанных с обработкой персональных данных. В полномочия государственного органа, осуществляющего контроль деятельности юридических лиц в сфере обработки персональных данных, Роскомнадзора, входят проверки соблюдения законодательства в сфере связи, коммуникаций и информационных технологий, а также ведение реестра операторов персональных данных. Реестр формируется на основании заявлений самих юридических лиц и граждан, направляемых в государственный орган в установленном законом порядке. Каждый гражданин, намеревающийся передать свои данные юридическому лицу, вправе проверить, находится ли оно в реестре. Если да, то он может быть уверен, что его информация будет защищена должным образом и не станет добычей злоумышленников.

Перед тем, как приступить к обработке персональных данных, юридическое или физическое лицо вынуждено направить уведомление о желании быть включенным в реестр. Этот перечень имеет открытый характер, публикуется на официальном сайте ведомства. Все лица, включенные в реестр операторов персональных данных, должны быть готовы пройти проверку, насколько успешно им удается обеспечивать их защиту. Но если бы все компании и индивидуальные предприниматели, принимающие граждан на работу, стали участниками реестра, он потерял бы свою актуальность. Поэтому закон содержит перечень исключений, освобождая от обязанности подачи уведомлений следующие категории лиц:

• имеющих дело с обработкой только тех персональных данных, которые были получены в связи с заключением трудовых договоров;
• обрабатывающих только ту персональную информацию, которая стала доступна им из заключенных гражданско-правовых договоров, без намерения ее использования в иных целях или передачи третьим лицам;
• если оператором является общественная или религиозная организация, и персональные данные своих членов она получает только в связи с целями, определенными ее уставом;
• если данные получены для оформления разового посещения какого-либо учреждения;
• если обработка персональных данных происходит в государственных информационных системах;
• если информация обрабатывается только на бумажных носителях.

Часто возникают ситуации, когда компания или предприниматель не знают о том, что они не попадают в перечень исключений, и вовремя не направляют уведомление о включении в реестр операторов персональных данных. Но закон разрешает сделать это и позже, только в обращении нужно проставить фактическую дату начала обработки персональных данных. Ответственности за такое опоздание закон не предусматривает.

Как осуществляется включение в реестр операторов

Каждый год система взаимоотношений бизнеса и государства упрощается, поэтому и подача уведомления о включении в реестр операторов не составит практически никаких сложностей. На сайте федеральной службы выложена электронная форма для заполнения юридическими и физическими лицами для включения в реестр операторов персональных данных. Она содержит следующие поля:

• данные и реквизиты оператора (они обычные, всегда содержатся в карточке юридического лица, направляемой контрагентам для заключения договоров);
• цель обработки персональных данных и наличие на это разрешения закона, указание на то, соответствует ли такая деятельность уставу;
• описание средств и мер защиты, которые лицо намеревается использовать для охраны доверенной ему информации (программные продукты и их сертификация, наличие разработанных внутренних методик и положений, опосредующих защиту информации);
• реальную дату начала обработки;
• предполагаемую дату завершения обработки персональных данных (дату завершения действия лицензии или дату прекращения занятия определенной деятельностью) или же условия, при которых эта деятельность завершится;
• категории обрабатываемых персональных данных (от паспортных до биометрических);
• планируемые действия с информацией, их автоматизация, предполагается ли передача массивов сведений по сети Интернет и иным каналам связи;
• сведения о конкретном специалисте, на которого возложена ответственность за работу с персональными данными.

После того, как форма заполнена, ее нужно направить в Роскомнадзор, при этом один экземпляр распечатать, прошить, заверить подписью и печатью. Его придется направить в региональное подразделение службы по почте с приложениями, определенными законом. Это такие документы, как внутренние положения, формат бланка согласия третьего лица на обработку персональных данных, приказ о назначении ответственного специалиста.

Ведомство будет рассматривать документы 30 дней, после этого наименование нового оператора появится в реестре операторов персональных данных. Но если предоставленные сведения окажутся недостаточными, неполными, у будущего оператора могут потребовать их уточнить. Такие дополнения нужно будет направить в течение 10 дней. Необходимо учитывать, что при изучении заявления компания будет проверена на взаимоотношение с иностранными юридическими лицами, если планируется осуществление трансграничной передачи данных, ее цели должны быть четко определены. В ряде случаев наличие заинтересованного иностранного акционера может повлечь за собой отказ в регистрации.

Можно осуществлять такие действия не самостоятельно, а по доверенности. Это будет актуально для тех лиц, у которых еще нет собственной электронной подписи для направления уведомления.

Обязанности оператора, включенного в реестр операторов персональных данных

После того, как в открытый перечень включается новое лицо, у этого лица появляется определенный набор обязанностей, среди которых:

• объяснение гражданам, для каких целей они передают свои данные;
• подписание у них согласия по форме, проверенной Роскомнадзором на соответствие законодательству, на обработку персональных данных;
• разработка политики своих действий в отношении персональных данных и ее публикация. Чаще всего операторы делают это на своей странице в сети Интернет;
• уведомление Роскомнадзора обо всех действиях, которые они предполагают совершать в отношении персональных данных, за исключением тех, которые указаны в специальном перечне;
• обеспечение организации комплекса технических, программных и административных мер, которые полностью исключат несанкционированный доступ к персональным данным, их утечку, разглашение, изменение или копирование;
• уничтожение конкретных записей, если будет доказано, что они поступили в распоряжение оператора незаконным путем, а также не являются необходимыми. Такое уничтожение происходит на основании заявления, подаваемого в Роскомнадзор заинтересованным лицом. Образец обращения, разработанный специалистами ведомства, можно найти на его сайте;
• блокирование данных на основании требования уполномоченного органа или владельца персональных данных. Блокировка означает отсутствие возможности доступа и обработки персональных данных.

Организации, осуществляющей обработку персональных данных, необходимо быть готовой выполнять эти требования и нести ответственность за их несоблюдение. Но есть и преимущества подачи заявления на внесение в реестр. Не все компании знают, что именно они получают с точки зрения осуществления своей деятельности, находясь в реестре. Но помимо таких неудобств, как проверки и необходимость сертифицировать и обновлять программное обеспечение, у статуса оператора есть преимущества. Прежде всего, для него станет доступной более широкая клиентская база. Многие граждане крайне бережно относятся к своим персональным данным и будут готовы заключить договор с поставщиком услуг, только убедившись, что информация не станет доступной третьим лицам в результате непреднамеренной ошибки оператора или действий злоумышленников. Так, даже выбор управляющей компании многоквартирного дома будет сделан жильцами с учетом ее нахождения в реестре операторов персональных данных, это будет гарантией того, что информация об их квартирах, лицевых счетах, установленном оборудовании не будет передана третьим лицам.

Меры ответственности, связанные со статусом участника реестра операторов персональных данных

Государство старается защитить интересы граждан, поэтому компании, не выполняющие свои обязанности, могут быть привлечены к ответственности. За некоторые из нарушений юридическое лицо с 2017 года может быть оштрафовано в соответствии со статьей 13.11 КоАП на сумму до 750 тысяч рублей. Просто за отказ подавать уведомление ответственность не предусмотрена, но при наличии конфликта с ведомством это действие может быть расценено как отказ предоставлять информацию, и по статье 19.7 КоАП будет наказано конкретное должностное лицо, руководитель компании, на него будет возложен штраф в размере до 5 тысяч рублей.

Статус участника реестра влечет за собой и обязанности, и ответственность, и преимущества. При том, что регулирование сферы защиты персональных данных будет усиливаться, операторы обязаны серьезнее заботиться о качестве своих программных средств и о своевременном уведомлении Роскомнадзора о тех шагах, которые требуют согласования.