Участников гражданского оборота, осуществляющих обработку персональных данных, закон 152-ФЗ от 27.06.2006 года именует операторами.
Парламентарии возлагают на них многочисленные обязанности, связанные с надлежащей защитой информации и конфиденциальностью. Нарушения нормативных предписаний влечет административную ответственность. Своевременное изучение правил позволяет избежать крупных штрафов и длительных разбирательств.
Извещение контролирующего органа
Любая из предусмотренных законом форм обработки персональных данных начинается с уведомления Роскомнадзора. Соответствующее требование закреплено статьей 22 закона 152-ФЗ. В адрес ведомства необходимо однократно направить извещение с указанием следующих сведений:
- полное название оператора и место его нахождения;
- цели работы с персональными данными;
- категории лиц, информацией о которых планирует оперировать заявитель;
- юридические основания деятельности;
- список действий, методы защиты сведений;
- способы обработки персональных данных;
- справка о лице, ответственном за работу с данными, включающая контакты, адреса, e-mail;
- момент начала работы с информацией;
- сроки и условия завершения пользования персональными сведениями;
- сообщение о намерении трансграничных операций;
- информация о размещении базы;
- характеристика систем безопасности и согласовании схемы с правительственными требованиями.
Не нужно извещать федеральную службу об обработке персональных данных наемных сотрудников. Правило действует также в случае работы с общедоступной информацией о человеке, а также при оформлении одноразовых пропусков с указанием фамилии, отчества и имени посетителя.
Ограничение доступа
Второй важной обязанностью операторов является обеспечение конфиденциальности.
Статья 7 закона 152-ФЗ запрещает распространять сведения о лицах без получения предварительного письменного согласия. Требование актуально для отношений персонала и работодателя, заказчика и исполнителя, продавца и покупателя.
Заключая трудовые договоры, организация или предприниматель обязаны гарантировать сохранение данных в ограниченном доступе. Не нужны разрешения лишь в случае передачи отчетности, выполнения запросов органов власти и при защите людей от угроз жизни и здоровью.
При получении информации оператор должен уведомить человека о способах и целях ее использования. На этом этапе следует сообщить заинтересованному лицу об обороте данных внутри компании в соответствии с локальными регламентами. С таким документом наемных сотрудников знакомят под личную подпись. Клиентам предлагают присоединиться к оферте и подписать согласие.
К обработке персональной информации закон предписывает допускать только уполномоченных специалистов. При этом получать сведения работники могут лишь в объеме, необходимом для решения поставленных руководством задач. Справки о состоянии здоровья запрашивают с соблюдением того же принципа.
Гарантия безопасности
Статья 18.1 закона 152-ФЗ возлагает на оператора ответственность за надлежащую защиту персональных данных. Система обеспечения безопасности строится с опорой на внутренние локальные акты. В организации назначают контролера, на которого возлагают функции по своевременному выявлению и ликвидации угроз.
Обязательными признаны технические меры. Операторы должны использовать защищенные каналы связи, исключать свободный доступ к базам данных, а также следить за законностью обращений к информационным хранилищам.
Политику работы со сведениями публикуют на официальном сайте компании либо обнародуют иным способом. Рекомендации по решению этого вопроса подготовил Роскомнадзор. Регламент адресован преимущественно интернет-компаниям и владельцам виртуальных порталов.
Эксперты юридической компании РЭМ-Консалтинг советуют различать политику и положение о защите персональных данных наемных сотрудников. Второй документ не является публичным. Обязанности по его размещению в мировой сети у работодателей нет. Трудовое законодательство предписывает лишь знакомить граждан с актом под подпись при приеме на должность.
Локализация персональных данных
С осени 2015 года вся информация о гражданах России подлежит хранению на территории страны. Требование закреплено пятой частью статьи 18 закона 152-ФЗ. Поскольку норма оказалась сформулирована неудачно, у участников отношений возникло множество вопросов. Часть из них Роскомнадзор разрешил в письмах и методических указаниях.
Ведомство возложило на операторов ответственность по определению гражданства людей, информация о которых обрабатывается. Служба не возражает против использования сведений за пределами государства при условии первичного их размещения в российской базе.
В завершение отметим последнюю важную обязанность операторов. При поступлении соответствующего заявления от человека участникам предписано отказаться от использования персональных данных. Сведения об обратившемся лице подлежат удалению из каталогов в течение 30 суток. Иной срок стороны вправе установить в отдельном соглашении.