(1).jpg)
Деятельность операторов, осуществляющих обработку персональных данных
.jpg) |
| © Aleutie / Фотобанк Фотодженика |
Согласно п. 2 ст. 3 Закона № 152-ФЗ оператор – это государственный (муниципальный) орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и осуществляющие обработку персональных данных, а также определяющие цели обработки, состав таких данных и действия (операции), совершаемые с ними.
Оператор до начала обработки персональных данных уведомляет Роскомнадзор о своем намерении осуществлять обработку персональных данных. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа, подписанного уполномоченным лицом. Соответствующие формы представлены в приказе Роскомнадзора от 28 октября 2022 г. № 180.
Роскомнадзор в течение 30 дней с даты поступления уведомления вносит сведения в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными (www.pd.rkn.gov.ru/operators-registry/operators-list/).
При изменении ранее представленных сведений оператор не позднее 15-го числа месяца, следующего за месяцем, в котором они возникли, обязан уведомить Роскомнадзор обо всех произошедших за указанный период изменениях. Такой же срок предусмотрен и на случай прекращения обработки персональных данных.
ФОРМЫ
Уведомление о намерении осуществлять обработку персональных данных
Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных
Уведомление о прекращении обработки персональных данных
Перечень случаев обработки персональных данных без уведомления Роскомнадзора является закрытым (ч. 2 ст. 22 Закона № 152-ФЗ). Так оператор вправе осуществлять обработку:
- включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- в случае, если оператор осуществляет деятельность по обработке данных исключительно без использования средств автоматизации;
- обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Обязанности операторов персональных данных закреплены в гл. 4 Закона № 152-ФЗ. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обработка персональных данных может осуществляться как с использованием средств автоматизации, так и без. Подробнее об организационно-правовых мерах оператора по обеспечению безопасности персональных данных, обрабатываемых без использования средств автоматизации, читайте в Энциклопедии решений системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!
Уничтожение персональных данных
Другие темы
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и в результате которых уничтожаются материальные носители с ними (п. 8 ст. 3 Закона № 152-ФЗ).
С 8 августа 2024 года для обеспечения безопасности персональных данных оператор может использовать средства защиты информации с функцией уничтожения данных (п. 3.1 ч. 2 ст. 19 Закона № 152-ФЗ).
Процедура уничтожения информации, содержащей персональные данные, законодательно не регламентирована, поэтому оператор определяет ее самостоятельно. С 1 марта 2023 года установлены требования к подтверждению уничтожения персональных данных (приказ Роскомнадзора от 28 октября 2022 г. № 179).
Так, если обработка данных осуществляется с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении и выгрузка из журнала регистрации событий в информационной системе персональных данных. Если без – акт об уничтожении персональных данных. Указанные документы подлежат хранению в течение 3 лет с момента уничтожения данных.
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона № 152-ФЗ
Одной из мер, направленных на обеспечение выполнения оператором своих обязанностей, является оценка вреда, который может быть причинен в случае нарушения Закона № 152-ФЗ, а также соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения своих обязанностей. Требования к такой оценке утверждены приказом Роскомнадзора от 27 октября 2022 г. № 178. Они начали действовать с 1 марта 2023 года.
Оператор определяет одну из степеней вреда, который может быть причинен субъекту персональных данных. Оценка осуществляется ответственным за организацию обработки персональных данных либо комиссией. Результаты оформляются актом.
Степень вреда | Случаи |
|---|---|
Высокая |
|
| Средняя |
|
Низкая |
|
В случае если по итогам проведенной оценки установлено, что в рамках деятельности по обработке данных субъекту могут быть причинены различные степени вреда, то подлежит применению более высокая степень.
Согласно ч. 4 ст. 18.1 Закона № 152-ФЗ акт об оценке вреда необходимо будет предоставить в Роскомнадзор в случае получения соответствующего запроса. Кроме того, указанные сведения потребуются при уведомлении Роскомнадзора о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (ч. 3.1 ст. 21 Закона № 152-ФЗ).
Последняя актуализация: 11 ноября 2024 г.
