Любая информация, позволяющая прямо или косвенно установить конкретное физическое лицо, является персональными данными и подлежит защите в соответствии с действующим законодательством Российской Федерации.
Обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, является основной целью Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Законодательство возлагает на юридических лиц, организующих или осуществляющих обработку персональных данных, необходимость принятия достаточных мер для защиты персональных данных.
Обязанность хозяйствующих субъектов, осуществляющих в процессе своей деятельности обработку персональных данных, предоставить, за исключением установленных законодательством случаев, в уполномоченный орган уведомление об обработке (намерении осуществлять обработку) персональных данных, предусмотрена ч. 1 ст. 22 Федерального закона «О персональных данных».
Кроме того, часть 7 указанной статьи возлагает на операторов, включенных в реестр, обязанность по поддержанию предоставленной информации в актуальном состоянии путем предоставления информационных писем о внесении изменений в реестр операторов персональных данных.
Анализ причин не предоставления операторами в уполномоченный орган указанных уведомлений и информационных писем свидетельствует, что: во-первых, часть операторов не располагает сведениями о наличии обязанности по регистрации в реестре, или полагает, что в ходе деятельности обработку персональных данных не осуществляют; во-вторых, ряд хозяйствующих субъектов считает, что включение их в реестр повлечет за собой проверку уполномоченным органом на предмет исполнения требований законодательства в сфере персональных данных; в-третьих, наиболее частой причиной отказа оператора предоставить уведомление является заблуждение в части осуществления действий с персональными данными, подпадающих под предусмотренные законодательством исключения.
Стоит отметить, что под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Таким образом, любое юридическое или физическое лицо, располагающее персональными данными своих сотрудников (как действующих, так и уволенных), клиентов, абонентов, обучающихся и иных субъектов персональных данных, и производящее их сбор, хранение, передачу или иные действия, осуществляет обработку персональных данных и является оператором персональных данных.
Отсутствие в реестре операторов персональных данных на практике является одним из критериев включения организации, осуществляющей обработку персональных данных значительного числа физических лиц, либо обработку специальных категорий персональных данных (сведения о состоянии здоровья, национальной принадлежности, наличии судимости и др.) в план проверок на очередной календарный год.
Анализ результатов контрольно-надзорной деятельности свидетельствует, что в большинстве случаев представляемая хозяйствующими субъектами информация об осуществлении обработки персональных данных только в подпадающих под исключения случаях действительности не соответствует, что влечет административную ответственность.
Так, к наиболее часто встречающимся на практике случаям осуществления обработки персональных данных, когда операторы ошибочно относят свою деятельность к подпадающей под исключения, относятся:
- осуществление сбора персональных данных на сайтах операторов различных категорий в сети Интернет (формы обратной связи, Интернет-приемные, формы онлайн-заявок на предоставление кредитов, подключение услуги, оформление полисов страхования, бронирование туров, формы отзывов, жалоб, предложений и иное);
- опубликование на сайтах операторов в сети Интернет персональных данных (сведения о сотрудниках организации, участников и победителей различного рода конкурсов, соревнований и пр.);
- использование информационных систем персональных данных, не носящих статус государственных информационных систем, для осуществления ведения учета сотрудников, клиентов и в иных случаях.
При наличии сведений об операторе в реестре основной причиной неполноты или недостоверности предоставленной информации является формальный подход к исполнению требований законодательства.
В настоящее время одним из критериев оценки деятельности организаций, предоставляющих населению различного рода услуги, является их информационная открытость.
Реестр операторов подлежит размещению в части общедоступных сведений на Портале персональных данных (www.pd.rkn.gov.ru) и позволяет организациям обеспечить информационную открытость в сфере обработки персональных данных, что в свою очередь усиливает доверие населения к деятельности таких организаций.
В целях исполнения требований законодательства в сфере персональных данных, Управление Роскомнадзора по Калужской области информирует о наличии на Портале персональных данных www.pd.rkn.gov.ru и интернет-странице Управления Роскомнадзора по Калужской области http://40.rkn.gov.ru реализованной возможности формирования уведомления и информационного письма в электронном виде, а также методических материалов по их заполнению.
Сотрудниками Управления Роскомнадзора по Калужской области при личном приеме, а также по телефону (4842) 27-73-15 осуществляется консультирование по вопросам подачи уведомлений и информационных писем.