Как понять, являетесь ли вы оператором персональных данных?
В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям,по
которым часто возникают вопросы: персональные данные, оператор и обработка
персональных данных.
В ФЗ №152 оператор – государственный орган, муниципальный орган, юридическое
или физическое лицо, самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие обработку, а также определяющие цели
обработки, состав, подлежащих обработке, действия (операции), совершаемые с
персональными данными.
Обработка ПДн– любое действие или совокупность действий, совершаемых с
использованием средств автоматизации или без них: сбор, запись,
систематизация, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передача (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение ПДн.
Какие данные являются персональными по ФЗ 152?
В законе прямо не уточняется, какие именно данные являются персональными, но,
если исходить из формулировки, что это «любая информация», относящаяся к
физическому лицу, то ПДн можно считать:
- ФИО;
- дата рождения;
- адрес;
- телефон;
- email;
- фотография;
- ссылка на персональный сайт;
- ссылка на профиль в социальных сетях.
То есть персональне данные-это о любые данные, по которым можно
идентифицировать человека. Следовательно, если вы каким-то образом получаете
такие данные, то являетесь оператором персональных данных. Фактически любой
владелец сайта — оператор ПДн, так как он размещает на своем ресурсе форму
обратной связи, форму регистрации и др.
Кому нужно выполнять данный закон?
Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физические
лица, ИП, юридические лица, муниципальные органы, государственные органы. В
зависимости от категории за одно и то же нарушение применяются разные по
размеру штрафы. Так, например, для физических лиц они заметно ниже, чем для
юридических лиц.
| Основание |
Размер штрафа |
|
Физические лица
|
Должностные лица
|
Юридические лица
|
ИП
|
|
Обработка ПДн в случаях, не предусмотренных законодательством РФ;
обработка ПДн, несовместимая с целями сбора ПДн
|
предупреждение или штраф —
от 1 000 до
3 000 руб. |
предупреждение или штраф —
от 5 000 до
10 000 руб. |
предупреждение или штраф —
от 30 000 до
50 000 руб. |
—— |
| Обработка ПДн без письменного согласия их субъекта |
от 3 000 до
5 000 руб. |
от 10 000 до
20 000 руб. |
от 15 000 до
75 000 руб. |
—— |
|
Невыполнение обязанности по опубликованию или обеспечению доступа к
документу, определяющему политику по обработке ПДн, или сведениям по
защите ПДн
|
от 700 до
1 500 руб. |
от 3 000
до 6 000 руб. |
от 15 000
до 30 000 руб. |
от 5 000 до
10 000 руб. |
| Непредоставление субъекту ПДн информации по их обработке |
предупреждение или штраф —
от 1 000 до
2 000 руб. |
предупреждение или штраф —
от 4 000 до
6 000 руб. |
предупреждение или штраф —
от 20 000 до
40 000 руб. |
предупреждение или штраф —
от 10 000 до
15 000 руб. |
|
Невыполнение оператором требования субъекта ПДн или его представителя об
уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие,
неточные, незаконно получены, не являются необходимыми для заявленной
цели обработки)
|
предупреждение или штраф —
от 1 000 до
2 000 руб. |
предупреждение или штраф —
от 4 000 до
10 000 руб. |
предупреждение или штраф —
от 25 000 до
45 000 руб. |
предупреждение или штраф —
от 10 000 до
20 000 руб. |
|
Необеспечение оператором при обработке ПДн без средств автоматизации
обязанности по сохранности ПДн, что привело к неправомерному или
случайному доступу к ПДн и стало причиной их уничтожения, изменения,
блокирования, копирования
|
от 700 до
2 000 руб. |
от 4 000 до
10 000 руб. |
от 25 000 до
50 000 руб. |
от 10 000 до
20 000 руб. |
|
Невыполнение оператором (гос. или муниципальным органом) обязанности по
обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн
|
—— |
предупреждение или наложение административного штрафа —
от 3 000
до
6 000 руб.
|
—— |
—— |
Каждая категория операторов так или иначе сталкивается с обработкой ПДн.
Физические лица используют ПДн клиентов. ИП запрашивают эти данные, нанимая
работников, или собирают ПДн на сайте, в интернет-магазине. К юридическим
лицам применяется расширенный список требований по оформлению необходимых
документов и требование о назначении ответственного за организацию обработки
ПДн. Самые жесткие требования предъявляются к государственным и муниципальным
органам, которые работают с огромным массивом ПДн граждан.
Пн-Пт с 9:00 до 18:00
