Недавно правительством РФ был принят закон «О персональных данных». Он регулирует отношения в сфере обработки (сбор, систематизация, накопление, хранение, уточнение, использование, распространение, уничтожение) персональных данных (далее ПДн). И это затрагивает как государственные и муниципальные органы, так и физических или юридических лиц. «Оператор персональных данных» (оператор ПДн) - таковым в РФ считается организация, в распоряжении которой оказались личные данные граждан, например, любое предприятие, имеющее отдел кадров и хранящее личные дела сотрудников. В России, по оценкам «Портала персональных данных», на начало 2010 года насчитывалось 7 миллионов предприятий, которые в своей работе используют персональные данные граждан. По состоянию на 31.03.2011 г. в реестре персональных данных внесены сведения только о 185 503 операторах ПДн.
Федеральный закон №152-ФЗ вступил в силу 26 января 2007 года. Для приведения в соответствие его требованиям информационных систем предприятий и организаций был предусмотрен трехлетний срок, до января 2010 года, который был продлен еще на один год, до января 2011 года. Правительство РФ одобрило введение в действие закона №152-ФЗ «О персональных данных» не позднее 01 июля 2011 года.
Вышеуказанный закон предусматривает регистрацию операторов, которые осуществляют обработку ПДн до дня вступления в силу настоящего ФЗ и продолжают осуществлять такую обработку после дня его вступления в силу. Для этого они обязаны направить уведомление в уполномоченный орган по защите прав субъектов ПДн.
В настоящее время Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных, в структуре которого создано соответствующее управление (в соответствии с постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).
Почему оператору связи не стоит тянуть с подачей уведомления в Роскомнадзор?
Оператор ПДн, конечно, вправе не подавать уведомление, в случае, если производит обработку ПДн, полученных в связи заключением договора с субъектом ПДн, если Пдн не передаются третьим лицам без согласия субъекта ПДн и используются исключительно для заключения и исполнения обязательств указанного договора. В случае с провайдерами и операторами связи субъектом ПДн являются абоненты.
Однако, несовершенство данной формулировки открывает простор для инсинуаций. При продаже провайдера или оператора связи в результате поглощения или объединения, при аудиторской проверке с выемкой договоров и т.д., запрашивать согласие каждого субъекта ПДн (в данном случае - абонента), представляется крайне трудоемким и непропорционально затратным.
Кроме того, весьма вероятен сценарий, когда Роскомнадзор, проводя плановую проверку лицензионной деятельности провайдера или оператора связи, будет запрашивать сведения об обработке ПДн.
Проще подать уведомление и избавить себя от лишнего беспокойства, в случае осуществления проверки Роскомнадзором, который уполномочен осуществлять:
- привлечение к административной ответственности;
- направление дела в суд;
- направление заявления в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о приостановлении действия или аннулированию соответствующей лицензии;
- направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел.
При подаче уведомления о намерении осуществлять обработку персональных данных, оператор должен руководствоваться Приказом №482 от 16.07.2010 года «Об утверждении образца формы уведомления от обработке персональных данных»:
Уведомление об обработке (о намерении осуществлять обработку) персональных данных необходимо направить в территориальное управление Роскомнадзора. Роскомнадзор в течение 30 (тридцати) дней с даты поступления уведомления об обработке персональных данных вносит сведения об операторе персональных данных в реестр операторов. В состав сведений об операторе входят:
- наименование (ФИО), адрес оператора;
- цель обработки персональных данных;
- категории персональных данных;
- категории субъектов, персональных данных которые обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых оператором способов обработки ПД;
- описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности ПД при их обработке;
- дата начала обработки ПД;
- срок или условие прекращения обработки ПД.
Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными. В случае предоставления неполных или недостоверных сведений, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов. В случае изменения сведений, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
- Закон №152-ФЗ «О персональных данных»
- Реестр операторов ПДн
- Приказ №482 «Об утверждении образца формы уведомления от обработке персональных данных»
- Образец уведомления об обработке (о намерении осуществлять обработку) персональных данных: скачать
- Рекомендации по заполнению уведомления
- Информация о деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций как уполномоченного органа по защите прав субъектов персональных данных размещена Портале персональных данных.
Стоимость наших услуг по заполнению уведомления об обработке персональных данных: 6 000 руб.