Алексей Ветров
Эксперт по защите данных IC-TECH
Компания признаётся оператором персональных данных, если она самостоятельно организует или осуществляет обработку персональных данных — то есть собирает, хранит, систематизирует, передаёт или использует любую информацию о физических лицах.
Фактически, почти любая организация попадает под это определение, потому что:
- у неё есть сотрудники (их паспортные данные, СНИЛС, ИНН, трудовые договоры, зарплатные реквизиты);
- есть клиенты или заказчики (ФИО, телефоны, e-mail, адреса);
- есть контрагенты, у которых обрабатываются данные их представителей;
- есть сайт, где собираются данные пользователей (например, через формы обратной связи или cookies).
Именно сам факт обработки персональных данных делает компанию оператором. Исключение — если организация вообще не собирает никаких персональных данных, но в реальности это встречается крайне редко.
Фактически, почти любая организация попадает под это определение, потому что:
- у неё есть сотрудники (их паспортные данные, СНИЛС, ИНН, трудовые договоры, зарплатные реквизиты);
- есть клиенты или заказчики (ФИО, телефоны, e-mail, адреса);
- есть контрагенты, у которых обрабатываются данные их представителей;
- есть сайт, где собираются данные пользователей (например, через формы обратной связи или cookies).
Именно сам факт обработки персональных данных делает компанию оператором. Исключение — если организация вообще не собирает никаких персональных данных, но в реальности это встречается крайне редко.
Обоснование по законодательству
- Ст. 3, п. 2 ФЗ-152 — оператором признаётся организация или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав данных и действия с ними.
- Ст. 5 ФЗ-152 — закрепляет общие условия обработки персональных данных.
- Ст. 22 ФЗ-152 — оператор обязан уведомить Роскомнадзор о начале обработки данных (за исключением предусмотренных законом случаев).
Таким образом, если компания определяет, какие персональные данные собирать и зачем, она является оператором ПДн.
Практика определений Роскомнадзора
Роскомнадзор при проверках обращает внимание именно на факт обработки.
Например:
- Компания с двумя сотрудниками была признана оператором, так как обрабатывала их паспортные данные и сведения о зарплате.
- Интернет-магазин, даже без юридического лица (ИП), стал оператором персональных данных, так как собирал телефоны и адреса доставки клиентов.
Как проверить себя на статус оператора
Задайте себе три вопроса:
- Есть ли у вас сотрудники? (Вы храните их документы, договоры, зарплатные данные).
- Есть ли у вас клиенты или контрагенты-физлица? (Вы обрабатываете их имена, телефоны, e-mail).
- Есть ли у вас сайт, где собираются данные пользователей? (Форма заявки, обратная связь, онлайн-оплата).
Если хотя бы на один вопрос ответ «да» — ваша компания уже является оператором персональных данных.
Рекомендации и выводы
Если компания является оператором персональных данных (а в 99% случаев это так), необходимо:
- Определить цели и состав обрабатываемых данных.
- Подать уведомление в Роскомнадзор о начале обработки (если нет оснований для исключения).
- Разработать полный комплект документов по защите ПДн — политику, согласия, положения, приказы, журналы учёта.
- Назначить ответственного за организацию обработки ПДн.
- Подготовиться к возможной проверке Роскомнадзора.
Компания ICTech разработает для вас комплект документов по 152-ФЗ «под ключ». Это обеспечит:
- соответствие законодательству;
- защиту от штрафов и предписаний надзорных органов;
- снижение риска утечек данных;
- уверенность руководителя в том, что бизнес «закрыт» по требованиям закона.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
