Кажется, что тема персональных данных — это что-то из сферы больших корпораций, госструктур или интернет-гигантов. На деле всё куда ближе и проще: если вы — владелец бизнеса, ИП, руководитель отдела кадров или просто администрируете сайт с формой обратной связи, вы уже работаете с персональными данными. А значит, вы — оператор, и к вам применяются требования закона №152-ФЗ.
Именно поэтому важно разобраться: кто такой оператор, что он обязан делать и как избежать неприятных последствий, вплоть до штрафа в 300 тысяч рублей.
Кто такой оператор персональных данных?
Оператором считается любое лицо — юридическое, физическое или государственное — которое организует и(или) выполняет обработку персональных данных и определяет цели этой обработки. Неважно, большая у вас компания или вы — ИП с двумя сотрудниками. С момента, когда вы храните копии паспортов, ПСА, резюме, контактные данные клиентов или собираете заявки на сайте — вы уже оператор.
Даже если данные не «гуляют» по серверу, а лежат в папке на полке — это всё равно персональные данные, и их обработка подпадает под закон.
Нужно ли сообщать об этом Роскомнадзору?
Если коротко, то, да, нужно! Прежде чем начать обработку данных, оператор (то есть вы) должен уведомить Роскомнадзор о своих намерениях.
Но есть и исключения. Например, если обработка осуществляется только вручную, без использования компьютеров или информационных систем — уведомлять не нужно. Это называется неавтоматизированной обработкой. Классический пример — анкеты сотрудников, заполняемые на бумаге и хранящиеся в архиве.
Тем не менее, определить, где заканчивается «ручная работа» и начинается автоматизация, не всегда просто. Если вы, к примеру, получаете анкеты по email, сохраняете их в Excel или просто пересылаете по мессенджеру — это уже может считаться автоматизированной обработкой. Самое верное решение – уточнить всё в Роскомнадзоре на специальносм портале — pd.rkn.gov.ru — там указаны все контакты и рекомендации.
Как подать уведомление?
Подать уведомление можно либо на бумаге, либо в электронном виде через сайт Роскомнадзора. В документе нужно указать основные сведения о себе, целях и способах обработки, сроках хранения, наличии трансграничной передачи данных, а также о том, как вы защищаете персональную информацию.
Форма уведомления утверждена официально, главное — быть честным и не забыть подписать документ уполномоченным лицом.
В течение 30 дней с даты поступления уведомления уполномоченный орган вносит содержащиеся в нем сведения (а также сведения о дате направления уведомления) в реестр операторов, осуществляющих обработку персональных данных
Если вы что-то упустили — Роскомнадзор вернёт уведомление на доработку.
Чем грозит неуведомление?
А вот здесь начинается самое интересное. Если вы начали собирать данные, но не уведомили об этом Роскомнадзор — вас могут оштрафовать. Причём суммы вполне ощутимые:
- гражданам — от 5 до 10 тысяч рублей;
- должностным лицам — от 30 до 50 тысяч;
- юридическим лицам — от 100 до 300 тысяч рублей.
В итоге
Разобраться, являетесь ли вы оператором, и понять, нужно ли уведомлять Роскомнадзор — задача не такая уж и сложная. Главное — не игнорировать это требование, ведь незнание закона не освобождает от ответственности. Особенно когда штрафы начинаются с пятизначных сумм.
Если вы сомневаетесь — загляните на портал Роскомнадзора, разберитесь с этим один раз и спите спокойно: ваши данные, как и чужие, должны быть в безопасности.