Введение
Оператор персональных данных – ключевое понятие Федерального закона № 152-ФЗ «О персональных данных». Согласно статье 3 закона, оператором признаётся «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».
На практике оператором ПД является практически любая коммерческая организация в России: работодатели (ПД сотрудников), магазины (ПД покупателей), медицинские организации (ПД пациентов), банки (ПД клиентов).
История и контекст
Понятие «оператор» введено 152-ФЗ в 2006 году по аналогии с европейским «controller» (GDPR). В 2022 году (ФЗ-266) обязанности операторов существенно расширены: добавлено уведомление об утечках, ужесточена ответственность. Роскомнадзор ведёт Реестр операторов ПД – все зарегистрированные операторы публично доступны.
Обязанности оператора ПД
- Уведомление Роскомнадзора – направить уведомление о начале обработки ПД.
- Получение согласия субъекта – в установленной законом форме для соответствующих категорий ПД.
- Разработка документации – политика обработки ПД, Положение о ПД, регламенты.
- Локализация ПД – первичная запись ПД российских граждан на серверах в РФ.
- Защита ИСПДн – технические и организационные меры по Постановлению №1119 и Приказу ФСТЭК №21.
- Уведомление об утечке – в течение 24 часов (факт) и 72 часов (результаты расследования) уведомить Роскомнадзор и НКЦКИ.
- Обеспечение прав субъекта – право на доступ, исправление, удаление ПД.
Где применяется
- Банки и страховые компании – ПД клиентов, заёмщиков.
- Розничная торговля – программы лояльности, интернет-магазины.
- Медицинские организации – специальные категории ПД (здоровье).
- HR и работодатели – трудовые отношения предполагают обработку ПД сотрудников.
- IT-компании и SaaS – данные пользователей продуктов.
Связь с другими понятиями
Оператор ПД несёт ответственность за выполнение требований 152-ФЗ. Технические меры защиты ИСПДн определяются ФСТЭК и ФСБ. Аналог в европейском праве – GDPR-контролёр (controller). Утечка данных у оператора влечёт обязательное уведомление Роскомнадзора.
