Как определить у лица статус оператора персональных данных?
Что такое персональные данные?
В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
К ним относятся в частности:
- фамилия, имя, отчество;
- пол, возраст;
- изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
- прочие сведения, которые могут идентифицировать человека.
В соответствии со ст. 3 Закона о персональных данных Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Формально под это определение подпадают почти все физические и юридические лица, государственные и муниципальные органы.
Вместе с тем, пункт 2 статьи 1 Закона о персональных данных устанавливает, что действие указанного закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением следующих персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) сделанных субъектом персональных данных общедоступными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
За нарушение порядка обработки персональных данных предусмотрена ответственность по ст. 13.11. КоАП РФ - нарушение законодательства Российской Федерации в области персональных данных.
Необходимо отметить, что на сегодняшний день, не существует четкого перечня мер, которые необходимо предпринять оператору персональных данных, для обеспечения их безопасного хранения.
Меры по хранению персональных данных:
Вместе с тем, исходя из практики, можно выделить два раздела мер по хранению и обработке персональных данных: создание комплекса документации по хранению и обработке персональных данных и меры технического характера.
В указанной статье нами будет рассмотрена именно документальный раздел обеспечения обработки и хранения персональных данных.
В перечень документации по хранению и обработке персональных данных необходимо включить следующее:
1) приказ о назначении лица, ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1 Закона о персональных данных). Вы можете назначить любого работника вашего учреждения, например специалиста отдела по управлению персоналом. Главное, чтобы этот работник смог выполнять обязанности, перечисленные в ч. 4 ст. 22.1 Закона о персональных данных.
2) положение о защите персональных данных работников учреждения или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных).
3) приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников учреждения. Такой приказ следует издать во исполнение требований абз. 6 ст. 88 ТК РФ.
Рекомендуется у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных с учетом абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 Закона о персональных данных;
4) Иные необходимые документы (например – журнал учета ключей от помещения, в котором расположен сервер с персональными данными, в том случае, если такое помещение существует)
Заключение:
Из вышеизложенного можно сделать вывод о том, что лицо осуществляющее хранение и обработку персональных данных, за исключением случаев, установленных действующим законодательством, является оператором персональных данных и, как следствие, несет установленную законом ответственность за нарушение установленного порядка обработки и хранения персональных данных.
Автор: Фролов Герман, юрист адвокатского бюро "Владимир Рябенко и Партнеры"