Хто є оператором персональних даних
До операторам закон № 152-ФЗ відносить держоргани, організації та фізичних осіб, які збирають персональні дані, а також самостійно визначають цілі збору, склад відомостей, і здійснюються з ними дії (ст. 3 закону № 152-ФЗ).
Простіше кажучи, оператор персональних даних, це той, хто використовує особисті дані громадян для трудових та інших відносин. Їх головним завданням є збереження конфіденційності отриманих персональних даних, тобто заборона передавати дані третім особам і поширювати їх без згоди самого фізособи, якщо тільки ці дані не знеособлені.
Реєстр операторів персональних даних Роскомнадзора
Ознайомитися з реєстром операторів обробки персональних даних можна на офіційному сайті Роскомнадзора, його відомості є загальнодоступними.
Повідомлення достатньо подати один раз за весь період роботи оператора. У той же час, закон містить перелік винятків, коли працювати з особистими даними можна без включення до реєстру операторів персональних даних (ч. 2 ст. 22 закону № 152-ФЗ):
- коли оператори-роботодавці обробляють тільки дані, отримані відповідно до трудового законодавства;
- якщо оператор отримав дані від контрагента в зв'язку з укладенням договору і не використовує їх в інших цілях, крім виконання договору;
- коли оператор персональних даних - релігійна або громадська організація, яка обробляє особисті дані своїх учасників для цілей, передбачених її статутом;
- якщо громадянин сам зробив загальнодоступними свої персональні дані;
- якщо персональні дані не включають нічого, крім П.І.Б .;
- коли дані отримують для оформлення разового пропуску;
- при обробці персональних даних державними автоматизованими Інфосистема;
- якщо особисті дані обробляються «на папері», тобто без застосування автоматизації;
- коли дані використовуються для забезпечення безпеки транспортних систем.
Всі, хто не вказано в даному списку, повідомлення для включення до реєстру операторів персональних даних Роскомнадзора подати зобов'язані. Багато ІП та організації ігнорують цю вимогу або дізнаються про нього занадто пізно. Але подати повідомлення для включення в реєстр можна і пізніше, вказавши в ньому реальну дату початку обробки персональних даних, при цьому ніяких штрафних санкцій за запізнення не буде.
Як повідомити Роскомнадзор
Щоб подати повідомлення про обробку персональних даних, оператор обробки персональних даних повинен заповнити електронну форму на сайті Роскомнадзора. Форма повідомлення містить:
Після заповнення електронне повідомлення оператор персональних даних відправляє в Роскомнадзор, а ще один екземпляр роздруковується на папері. Друкований варіант підписується керівником та засвідчується печаткою. До нього потрібно докласти пакет необхідних документів (Положення про персональні дані, бланк згоди на обробку, наказ про призначення відповідальних осіб і т.п.) і відправити до територіального відділення Роскомнадзора по пошті.
На реєстрацію в реєстрі відводиться 30 днів з дати отримання такого повідомлення Роскомнадзором. Відстежувати статус відправленого повідомлення можна на тому ж сайті.
Якщо Роскомнадзор вважатиме відомості, зазначені в повідомленні, неповними, або недостовірними, він може зажадати у оператора уточнення. У разі зміни будь-яких даних, оператор повинен протягом 10 днів повідомити про це наглядовий орган для внесення коригувань до реєстру.