Оператор персональных данных: перечень основных обязанностей

Оператор персональных данных (ПДн) — это государственный или муниципальный орган, юридическое или физическое лицо, которые осуществляют обработку ПДн, определяют цели и состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий.

Контроль за деятельностью оператора ПДн осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Ведомство проверяет соблюдение требований Федерального закона «О персональных данных» и проводит плановые и внеплановые проверки операторов. 

Обязанности оператора по ПДн:

• Уведомлять Роскомнадзор о начале обработки персональных данных. На основании уведомления Роскомнадзор вносит компанию или физическое лицо в Реестр операторов. 
• Предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки данных.
• Отвечать на обращения и запросы субъектов персональных данных и их законных представителей. 
• Сообщать в Роскомнадзор по его запросу необходимую информацию.
• Разрабатывать политику обработки ПДн и размещать ее на сайте оператора либо в офисе с доступом для всех посетителей. 
• Обеспечивать конфиденциальность сведений. Для этого сообщать сведения третьей стороне только при получении дополнительного согласия от субъекта в письменной форме. 
• Принимать меры безопасности. Выявлять потенциальные угрозы, применять сертифицированные средства защиты информации, регулярно проверять систему на отсутствие признаков взлома. 
• Устранять нарушения. В случае выявления незаконных операций с персональными данными оператор должен заблокировать данные, обеспечить прекращение операций, нарушающих права гражданина, прекратить обработку ПДн при достижении целей, которые были установлены при сборе. 
• Назначать ответственных лиц. Определять работников, которые согласно полученным от руководства указаниям и локальным документам будут осуществлять организацию и контроль за обработкой ПДн. 

Ответственность за нарушения в области ПДн регулируется статьям Административного и Уголовного кодексов Российской Федерации. Например, с 08.01.2025 вступила в силу ст. 272.1 УК РФ — незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей ПДн, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения.

С 30.05.2025 значительно ужесточается ответственность за нарушения в области ПДн

• Увеличиваются размеры штрафов по общему составу нарушения. Например, для юрлиц предусмотрен штраф от 150 тыс. до 300 тыс. руб. (вместо 60 тыс. — 100 тыс. руб.). За повторное нарушение штраф тоже вырос, ИП его уплачивают в том же размере, что и юрлица.
• Предусмотрены новые составы нарушений, связанных с биометрическими персональными данными. Новые составы включают:

1. нарушение порядка обработки биометрических данных;
2. непринятие мер по обеспечению их безопасности;
3. обработка данных без аккредитации;
4. отказ обслуживать потребителя, который не захотел подтверждать свою личность с помощью биометрии.

Рекомендации по снижению риска штрафов:

1. Назначить ответственного за защиту ПДн. Соответствующие обязанности нужно включить в трудовой договор или должностную инструкцию. 
2. Ограничить физический доступ к ПДн сотрудникам, которые не работают с ними. Также следует контролировать, как это выполняется. 
3. Исключить из обработки избыточные ПДн. Чем меньше личной информации хранит оператор, тем ниже вероятность утечки.
4. Своевременно уничтожать или передавать в архив сведения о клиентах, работниках и других контрагентах, которые уже не нужны в работе. 
5. Хранить раздельно данные клиентов, работников, соискателей, подрядчиков. Особенно если у ПДн несовместимые цели обработки.
6. Использовать специальные технические и программные средства защиты ПДн. 
7. Оперативно информировать Роскомнадзор о компьютерных инцидентах и утечках ПДн. 
8. Провести обучение всех работников в области работы с ПДн. Обязанность знать и соблюдать законодательство в этой области нужно включить в должностные инструкции или трудовые договоры всех сотрудников. 

Соблюдая простые советы данной статьи, можно в рамках закона вести свой бизнес, обрабатывая ПДн. В современном мире тема обработки ПДн становится все актуальней с каждым днем, и соответственно данная сфера стала критической для бизнеса. Не обрабатывать личные данные граждан, а значит избежать риска ответственности, операторы не могут.