Оператор персональных данных: перечень обязанностей

Оператор персональных данных (ПДн) — это государственный или муниципальный орган, юридическое или физическое лицо, которые осуществляют обработку ПДн, определяют цели и состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий.

Контроль за деятельностью оператора ПДн осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Ведомство проверяет соблюдение требований Федерального закона «О персональных данных» и проводит плановые и внеплановые проверки операторов.

Обязанности оператора по ПДн

• Уведомлять Роскомнадзор о начале обработки персональных данных. На основании уведомления Роскомнадзор вносит компанию или физическое лицо в Реестр операторов.
• Предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки данных.
• Отвечать на обращения и запросы субъектов персональных данных и их законных представителей.
• Сообщать в Роскомнадзор по его запросу необходимую информацию.
• Разрабатывать политику обработки ПДн и размещать её на сайте оператора либо в офисе с доступом для всех посетителей.
• Обеспечивать конфиденциальность сведений. Для этого сообщать сведения третьей стороне только при получении дополнительного согласия от субъекта в письменной форме.
• Принимать меры безопасности. Выявлять потенциальные угрозы, применять сертифицированные средства защиты информации, регулярно проверять систему на отсутствие признаков взлома.
• Устранять нарушения. В случае выявления незаконных операций с персональными данными оператор должен заблокировать данные, обеспечить прекращение операций, нарушающих права гражданина, прекратить обработку ПДн при достижении целей, которые были установлены при сборе.
• Назначать ответственных лиц. Определять работников, которые согласно полученным от руководства указаниям и локальным документам будут осуществлять организацию и контроль за обработкой ПДн.

Ответственность за нарушения в области ПДн регулируется статьям Административного и Уголовного кодексов Российской Федерации. Например, с 08.01.2025 вступила в силу ст. 272.1 УК РФ — незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей ПДн, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения.

С 30.05.2025 значительно ужесточается ответственность за нарушения в области ПДн.

• Увеличиваются размеры штрафов по общему составу нарушения. Например, для юрлиц предусмотрен штраф от 150 тыс. до 300 тыс. руб. (вместо 60 тыс. — 100 тыс. руб.). За повторное нарушение штраф тоже вырос, ИП его уплачивают в том же размере, что и юрлица.
• Предусмотрены новые составы нарушений, связанных с биометрическими персональными данными. Новые составы включают:
  • нарушение порядка обработки биометрических данных;
  • непринятие мер по обеспечению их безопасности;
  • обработка данных без аккредитации;
  • отказ обслуживать потребителя, который не захотел подтверждать свою личность с помощью биометрии.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Рекомендаций по снижению риска штрафов:

• Назначить ответственного за защиту ПДн. Соответствующие обязанности нужно включить в трудовой договор или должностную инструкцию.
• Ограничить физический доступ к ПДн сотрудникам, которые не работают с ними. Также следует контролировать, как это выполняется.
• Исключить из обработки избыточные ПДн. Чем меньше личной информации хранит оператор, тем ниже вероятность утечки.
• Своевременно уничтожать или передавать в архив сведения о клиентах, работниках и других контрагентах, которые уже не нужны в работе.
• Хранить раздельно данные клиентов, работников, соискателей, подрядчиков. Особенно если у ПДн несовместимые цели обработки.
• Использовать специальные технические и программные средства защиты ПДн.
• Оперативно информировать Роскомнадзор о компьютерных инцидентах и утечках ПДн.
• Провести обучение всех работников в области работы с ПДн. Обязанность знать и соблюдать законодательство в этой области нужно включить в должностные инструкции или трудовые договоры всех сотрудников.

Таким образом, соблюдая простые советы данной статьи можно в рамках закона вести свой бизнес обрабатывая ПДн. В современном мире тема обработки ПДн становится все актуальней с каждым днем, и соответственно данная сфера стала критической для бизнеса. Не обрабатывать личные данные граждан, а значит избежать риска ответственности операторы не могу.