Основные обязанности оператора
Согласно статьям 18, 19, 22 Федерального закона №152-ФЗ "О персональных данных"
Обеспечение безопасности данных
Оператор обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения.
Уведомление Роскомнадзора
Оператор обязан до начала обработки персональных данных уведомить уполномоченный орган (Роскомнадзор) о своем намерении осуществлять обработку персональных данных, за исключением случаев, когда обработка не требует уведомления.
Политика обработки данных
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите данных.
Получение согласия субъекта
Оператор обязан получить согласие субъекта на обработку его персональных данных, за исключением случаев, когда обработка осуществляется без согласия в соответствии с законом.
Предоставление информации
Оператор обязан по запросу субъекта предоставить информацию об обработке его персональных данных, а также осуществить блокирование, уточнение или удаление данных при получении соответствующего требования.
Прекращение обработки
Оператор обязан прекратить обработку и уничтожить персональные данные по достижении целей обработки или в случае отзыва субъектом согласия на обработку, если иное не предусмотрено законом.
Важно!
Невыполнение оператором обязанностей, предусмотренных законодательством о персональных данных, влечет административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
Правовые обязанности оператора
Подробный перечень обязанностей согласно 152-ФЗ
| Статья ФЗ | Обязанность оператора |
|---|---|
| ст. 18.1 | Обеспечить конфиденциальность персональных данных |
| ст. 19 | Принять меры по обеспечению безопасности персональных данных |
| ст. 20 | Назначить ответственного за организацию обработки персональных данных |
| ст. 21 | Осуществлять внутренний контроль за соответствием обработки персональных данных требованиям 152-ФЗ |
| ст. 22 | Уведомить Роскомнадзор о начале обработки персональных данных (если требуется) |
| ст. 22.1 | Вести Реестр обработки персональных данных (для определенных категорий операторов) |
Меры по обеспечению безопасности персональных данных
Согласно статье 19 152-ФЗ, оператор обязан принять необходимые организационные и технические меры для защиты персональных данных, включая:
- Определение перечня лиц, имеющих доступ к персональным данным
- Установление правил доступа к обрабатываемым персональным данным
- Ознакомление работников с положениями законодательства о персональных данных
- Организация учета и хранения материальных носителей персональных данных
- Обнаружение фактов несанкционированного доступа к персональным данным
- Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа
- Постоянный контроль за обеспечением уровня защищенности персональных данных
Процесс Уведомления Роскомнадзора
Определение необходимости Уведомления
Оператор определяет, требуется ли уведомление Рокомнадзора об обработке персональных данных. Уведомление не требуется, если обработка осуществляется в исключительных случаях, указанных в части 2 статьи 22 152-ФЗ (на практике Уведомление требуется практически всем Операторам персональных данных, так как с 2022 года исключений стало в разы меньше).
Подготовка Уведомления
Оператор подготавливает Уведомление, содержащее сведения, указанные в части 3 статьи 22 152-ФЗ, включая наименование оператора, цели обработки, категории данных, категории субъектов, правовые основания обработки и др.
Подача Уведомления
Уведомление направляется в территориальный орган Роскомнадзора по месту нахождения оператора в бумажном виде, в электронном виде с использованием усиленной квалифицированной электронной подписи или с использованием средств аутенфикации ЕСИА. Уведомление формируется на специальном Портале персональных данных уполномоченного органа по защите прав субъектов персональных данных.
Внесение в Реестр
Роскомнадзор в течение 30 дней с даты поступления уведомления вносит сведения, указанные в уведомлении, в реестр операторов, осуществляющих обработку персональных данных.
Исключения из обязанности уведомлять Рокомнадзор о намерении осуществлять обработку персональных данных
Согласно части 2 статьи 22 152-ФЗ, уведомление не требуется, если:
1. Обработка осуществляется в государственных информационных системах персональных данных, созданных в целях защиты безопасности государства и общественного порядка.
2. Обработка осуществляется исключительно без использования средств автоматизации.
3. Обработка осуществляется в автоматизированных централизованных базах персональных данных о пассажирах и персонале (экипаже) транспортных средств, входящих в состав единой государственной информационной системы обеспечения транспортной безопасности (АЦБПДП, ЕГИС ОТБ).