1 марта 2023 г. вносятся изменения в Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных». См. Федеральный закон от 14.07.2022 N 266-ФЗ. Соответствующие изменения будут отражены в материале при его актуализации.

Оператор персональных данных определяет состав персональных данных, подлежащих обработке, цель их обработки и непосредственно обрабатывает такие данные. К персональным данным относится любая информация об определенном (определяемом) физлице.

На оператора возлагается ряд обязанностей, например, уведомить Роскомнадзор об обработке персональных данных. За невыполнение обязанностей оператора могут привлечь к ответственности.

  1. Как уведомить Роскомнадзор об обработке персональных данных

До начала обработки персональных данных оператор, за исключением отдельных случаев, обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 Закона о персональных данных). В связи с изменения с 1 сентября 2022 г. в Законе о персональных данных Роскомнадзор разъяснил, в частности, следующее:

  • формы уведомлений будут утверждены приказом Роскомнадзора. До этого оператор может заполнить форму уведомления об обработке персональных данных на Портале персональных данных Роскомнадзора или направить такое уведомление в адрес территориального управления Роскомнадзора по месту регистрации оператора на бумажном носителе по форме, приведенной в Приложении N 1 к Методическим рекомендациям, утвержденным Приказом Роскомнадзора от 30.05.2017 N 94;
  • после вступления в силу приказа Роскомнадзора, устанавливающего новую форму уведомления, оператор может направить уведомление о внесении изменений в ранее представленные сведения в реестр операторов, осуществляющих обработку персональных данных;
  • предельный срок уведомления Роскомнадзора об обработке персональных данных не определен. Таким образом, 1 сентября 2022 г. не является крайним сроком подачи уведомления об обработке персональных данных.

Составьте уведомление в соответствии с требованиями Закона о персональных данных. В нем укажите, в частности (ч. 3, 3.1 ст. 22 названного Закона):

  • свое наименование (фамилию, имя, отчество), адрес;
  • цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных;
  • дату начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных.

Уведомление должно быть подписано уполномоченным лицом (ч. 3 ст. 22 Закона о персональных данных).

Роскомнадзор на основании этого уведомления в течение 30 дней с даты его поступления должен внести сведения в реестр операторов (ч. 4 ст. 22 Закона о персональных данных). Информация об этом размещается на официальном сайте Роскомнадзора, а также на Портале персональных данных (п. 3.5 Методических рекомендаций).

Если сведения, содержавшиеся в ранее поданном уведомлении, изменились или оператор прекратил обработку персональных данных, нужно уведомить Роскомнадзор в течение 10 рабочих дней с даты возникновения изменений или прекращения обработки персональных данных (ч. 7 ст. 22 Закона о персональных данных).

1.1. Кто является оператором персональных данных

Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (операций) (п. 2 ст. 3 Закона о персональных данных). Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.

Роскомнадзор ведет реестр операторов персональных данных. Сведения вносятся в реестр и исключаются из него на основании уведомлений, подаваемых операторами (ч. 4, 4.1 ст. 22, п. 3 ч. 5 ст. 23 Закона о персональных данных, п. п. 1, 5.2.4 Положения о Роскомнадзоре). Проверить, включены ли вы в этот реестр, можно на Портале персональных данных, который ведет Роскомнадзор: http://pd.rkn.gov.ru/ (п. 2.3 Методических рекомендаций, утвержденных Приказом Роскомнадзора от 30.05.2017 N 94).

Если вы не включены в реестр Роскомнадзора, вы не перестаете быть оператором персональных данных и не освобождаетесь от связанных с этим статусом обязанностей (Информация Роскомнадзора).

  1. Как опубликовать политику обработки персональных данных

Вы обязаны опубликовать или иным образом обеспечить неограниченный доступ к вашей политике обработки персональных данных, к сведениям о реализуемых требованиях к защите таких данных. Документ можно разместить на вашем официальном сайте или на информационном стенде в офисе, если сайта у вас нет. Если же вы осуществляете сбор персональных данных с использованием информационно-телекоммуникационных сетей, то обязаны (ч. 2 ст. 18.1 Закона о персональных данных, Письмо Роскомнадзора от 19.10.2021 N 08-71063):

  • опубликовать политику обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных в соответствующей сети, в том числе на страницах принадлежащего вам сайта, с помощью которых собираются данные;
  • обеспечить возможность доступа к этому документу с использованием средств такой сети.

По запросу Роскомнадзора вы должны представить документы, определяющие политику обработки персональных данных, и подтвердить, что приняли необходимые меры, в том числе в рамках политики обработки персональных данных (ч. 4 ст. 18.1 Закона о персональных данных).

Обратите внимание: Правительство РФ устанавливает перечень мер, направленных на обеспечение выполнения обязанностей по Закону о персональных данных и по принятыми в соответствии с ним нормативными правовыми актами, операторами-госорганами (ч. 3 ст. 18.1 Закона о персональных данных). Так, для таких операторов предусмотрены специальные правила опубликования политики обработки персональных данных. Документы подлежат опубликованию на официальном сайте госоргана в течение 10 дней после их утверждения (п. 2 Перечня мер, направленных на выполнение обязанностей операторами-госорганами, утвержденного Постановлением Правительства РФ от 21.03.2012 N 211).

  1. Как обрабатывать персональные данные

Назначьте ответственного за организацию обработки персональных данных, если вы — юрлицо. В обязанности такого ответственного входит, в частности, внутренний контроль за соблюдением законодательства РФ о персональных данных (ч. 1, 4 ст. 22.1 Закона о персональных данных).

Вы должны обрабатывать персональные данные с соблюдением принципов, предусмотренных ст. 5 Закона о персональных данных.

Обрабатывайте персональные данные только в случаях, предусмотренных ч. 1 ст. 6 Закона о персональных данных. Например, обработка персональных данных нужна, если заключается и исполняется договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона о персональных данных).

Получите согласие на обработку персональных данных физлица (п. 1 ч. 1 ст. 6, ст. ст. 9, 10.1 Закона о персональных данных). Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий такого субъекта на обработку его персональных данных (ч. 1 ст. 10.1 Закона о персональных данных).

Разъясните физлицу юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с федеральным законом предоставление данных и (или) получение вами согласия на их обработку являются обязательными (ч. 2 ст. 18 Закона о персональных данных).

Есть случаи, когда получать согласие не нужно.

Субъект персональных данных или его представитель по общему правилу могут дать такое согласие в любой форме, которая позволяет подтвердить факт его получения оператором (ч. 1 ст. 9 Закона о персональных данных).

В случаях, предусмотренных федеральным законом, оператор вправе обрабатывать персональные данные только с письменного согласия их субъекта. Оно может быть дано в бумажной или электронной форме (ч. 4 ст. 9 Закона о персональных данных). Сведения, которые должно содержать согласие, перечислены в п. п. 19 ч. 4 ст. 9 этого Закона.

Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.

Важно: согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, могут быть предоставлены операторам как непосредственно, так и с использованием информационной системы Роскомнадзора (п. 6 ст. 10.1 Закона о персональных данных). Через информационную систему Роскомнадзора данные согласия предоставляются (получаются) в соответствии с Правилами, утвержденными Приказом Роскомнадзора от 21.06.2021 N 106.

См. также:

  1. Как хранить персональные данные

Храните персональные данные не дольше, чем этого требуют цели их обработки, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных (ч. 7 ст. 5 Закона о персональных данных).

Примите (обеспечьте принятие) необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий с персональными данными (п. 3 ч. 1 ст. 18.1, ч. 1 ст. 19 Закона о персональных данных). Соблюдайте Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства РФ от 01.11.2012 N 1119, Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных, утвержденные Постановлением Правительства РФ от 06.07.2008 N 512, Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 N 687.

Если вы, Роскомнадзор или другое заинтересованное лицо выявите неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, которая повлекла нарушение прав субъектов персональных данных, вы обязаны в течение 24 часов с момента выявления уведомить Роскомнадзор (п. 1 ч. 3.1 ст. 21 Закона о персональных данных):

  • о произошедшем инциденте и его предполагаемых причинах;
  • предполагаемом вреде, нанесенном правам субъектов персональных данных;
  • принятых мерах по устранению последствий;
  • лице, которое вы уполномочили взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

Кроме того, в течение 72 часов с момента выявления инцидента вы должны сообщить в Роскомнадзор о результатах внутреннего расследования инцидента, а также предоставить сведения о лицах, действия которых стали его причиной (при их наличии) (п. 2 ч. 3.1 ст. 21 Закона о персональных данных).

Электронные формы уведомлений об утечке персональных данных размещены на сайте Роскомнадзора (Информация Роскомнадзора).

По общему правилу при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить, в частности, хранение таких данных граждан РФ с использованием баз данных, находящихся на территории РФ (ч. 5 ст. 18 Закона о персональных данных).

См. также:

  1. Когда требуется блокировать персональные данные

Блокируйте персональные данные или обеспечьте блокирование (если обработка осуществляется другим лицом, действующим по вашему поручению), если выявлена неправомерная обработка таких данных. Сделайте это на период проверки с момента обращения субъекта персональных данных (его представителя) или по запросу субъекта персональных данных (его представителя) либо Роскомнадзора (ч. 1 ст. 21 Закона о персональных данных).

Если выявлены неточные персональные данные, оператор должен блокировать такие данные или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) (ч. 1 ст. 21 Закона о персональных данных):

  • при обращении субъекта персональных данных (его представителя);
  • по запросу субъекта персональных данных (его представителя) либо Роскомнадзора.

Это надо сделать с момента обращения субъекта персональных данных (его представителя) или получения указанного запроса на период проверки, если такое блокирование не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

  1. Как уточнить персональные данные

Если подтверждено, что персональные данные неточные, оператор на основании сведений, представленных субъектом персональных данных (его представителем) либо Роскомнадзором, или иных необходимых документов должен уточнить их либо обеспечить уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных (ч. 2 ст. 21 Закона о персональных данных).

При этом оператор обязан уведомить субъекта персональных данных (его представителя) о внесенных изменениях и принятых мерах и принять разумные меры для уведомления третьих лиц, которым такие персональные данные были переданы (ч. 3 ст. 20 Закона о персональных данных).

  1. Как предоставить по запросу и обращению сведения об обработке персональных данных

По запросу или обращению физлица (его представителя) по общему правилу физлицо имеет право на получение сведений, касающихся обработки персональных данных. Эти сведения вы должны предоставить ему (его представителю) в течение 10 рабочих дней с момента обращения либо получения оператором запроса. Указанный срок может быть продлен в случае направления мотивированного уведомления о причинах такого продления, но не более чем на пять рабочих дней (ч. 1, 3 ст. 14 Закона о персональных данных).

Кроме того, вы должны в порядке, предусмотренном ст. 14 Закона о персональных данных, сообщить субъекту персональных данных (его представителю) информацию о наличии относящихся к нему персональных данных, а также предоставить возможность ознакомиться с ними при обращении субъекта (его представителя) либо в течение 10 рабочих дней с даты получения соответствующего запроса. Указанный срок может быть продлен в случае направления мотивированного уведомления о причинах такого продления, но не более чем на пять рабочих дней (ч. 1 ст. 20 Закона о персональных данных).

Вы должны безвозмездно предоставить субъекту персональных данных (его представителю) возможность ознакомиться с персональными данными, относящимися к этому субъекту персональных данных (ч. 3 ст. 20 Закона о персональных данных).

По запросу Роскомнадзора сообщите необходимую информацию в течение 10 рабочих дней с даты его получения. Этот срок может быть продлен в случае направления мотивированного уведомления о причинах продления, но не более чем на пять рабочих дней (ч. 4 ст. 20 Закона о персональных данных).

  1. В каких случаях нужно прекратить обработку персональных данных

Если выявлено, что обработка осуществляется неправомерно, прекратите в срок не более трех рабочих дней с даты этого выявления обработку персональных данных или обеспечьте ее прекращение лицом, действующим по вашему поручению (ч. 3 ст. 21 Закона о персональных данных).

По требованию субъекта персональных данных вы обязаны немедленно прекратить обработку его данных, если она осуществляется для продвижения товаров, работ, услуг на рынке путем прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации (ч. 2 ст. 15 Закона о персональных данных).

Если обеспечить правомерность обработки персональных данных невозможно, в срок не более 10 рабочих дней с даты выявления неправомерной обработки персональных данных уничтожьте такие персональные данные или обеспечьте их уничтожение (ч. 3 ст. 21 Закона о персональных данных).

Уведомьте физическое лицо (его представителя) об устранении допущенных нарушений или об уничтожении персональных данных, а также Роскомнадзор, если обращение (запрос) получено от него (ч. 3 ст. 21 Закона о персональных данных).

Если цели обработки персональных данных достигнуты, вы по общему правилу должны прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора). Это нужно сделать в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных (ч. 4 ст. 21 Закона о персональных данных).

Если субъект персональных данных отозвал согласие на обработку его персональных данных, вы по общему правилу должны прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по вашему поручению). Если при этом сохранение персональных данных более не требуется для целей обработки персональных данных, вы по общему правилу должны уничтожить такие данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по вашему поручению). Это нужно сделать в срок не более 30 дней с даты поступления указанного отзыва (ч. 5 ст. 21 Закона о персональных данных).

Если субъект персональных данных обратился к вам с требованием о прекращении обработки персональных данных, вы обязаны в течение 10 рабочих дней с даты получения требования прекратить ее или обеспечить ее прекращение (если обработка осуществляется другим лицом). Исключение — случаи, предусмотренные п. п. 211 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных. Указанный срок может быть продлен в случае направления мотивированного уведомления о причинах такого продления, но не более чем на пять рабочих дней (ч. 5.1 ст. 21 названного Закона).

Если субъект персональных данных направил требование прекратить обработку данных, разрешенных для распространения, прекратите передачу, распространение, предоставление таких данных, доступ к ним. Действие согласия этого субъекта на обработку его персональных данных, разрешенных для распространения, прекращается с момента поступления этого требования (ч. 12, 13 ст. 10.1 Закона о персональных данных).

Если уничтожить персональные данные в течение установленного срока невозможно, заблокируйте персональные данные или обеспечьте их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по вашему поручению) и обеспечьте уничтожение данных в срок не более шести месяцев. Иной срок может быть установлен федеральными законами (ч. 6 ст. 21 Закона о персональных данных).

  1. Какая ответственность предусмотрена для оператора за нарушение его обязанностей

За невыполнение обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, вас могут привлечь к административной ответственности. Например, максимальный штраф для организации:

  • за невыполнение в установленные сроки требования субъекта персональных данных (его представителя) либо Роскомнадзора об уточнении персональных данных в случае, когда они являются неполными, устаревшими, неточными, составляет 90 тыс. руб., за повторное правонарушение — 500 тыс. руб. (ч. 5, 1 ст. 13.11 КоАП РФ);
  • за невыполнение при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обязанности обеспечить, в частности, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, составляет 6 млн руб., за повторное правонарушение — 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП РФ).

Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.

Подробнее ознакомиться с ответственностью для оператора за нарушение своих обязанностей вы можете в отдельных материалах.

См. также:

Документ:  Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2022)