РОСКОМ СЕРВИС – ПОРТАЛ ПО РЕГИСТРАЦИИ ЮРИДИЧЕСКИХ ЛИЦ И ИП В РОСКОМНАДЗОРЕ И ПОДГОТОВКЕ ДОКУМЕНТОВ ПО 152 ФЗ.
Обеспечиваем выполнение 152 ФЗ “О персональных данных”
8 (800) 301-76-89
info@roskom-service.ru
Наши эксперты вас проконсультируют

Права и обязанности оператора персональных данных

Алексей Автомеенко
Руководитель юридического отдела
Алексей Автомеенко

Оператор персональных данных (ПДн) - это организация, госорган или физическое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки сведений и непосредственно ее осуществляет. Он должен соблюдать требования ФЗ от 27.07.2006 №152-ФЗ. Разберемся, какие предусмотрены права и обязанности для оператора персональных данных, и в каких случаях его могут привлечь к ответственности за нарушения.

Права оператора ПДн

Этот вопрос регламентируется ФЗ от 27.07.2006 №152-ФЗ. Оператор имеет право:

  • Получать от субъекта ПДн достоверную информацию и документы, необходимые для заключения договора, реализации товара или услуги.
  • Обрабатывать ПДн без согласия владельца, если это нужно для соблюдения законодательства РФ, судебного процесса и в других ситуациях, предусмотренных п. 2-11 ст. 6 ФЗ №152-ФЗ.
  • Владеть личной информацией о субъекте ПДн, полученной из общедоступного источника - сведения туда вносятся с согласия владельца ПДн (ст. 8 ФЗ №152-ФЗ).
  • Самостоятельно определять меры, которые нужны для исполнения требований ФЗ №152-ФЗ, а также назначать сотрудника, ответственного за работу с ПДн и защиту от несанкционированного доступа.
  • Передавать ПДн третьей стороне при наличии согласия их владельца, но без предварительного уведомления.
  • Хранить сведения в облачных хранилищах, если они принадлежат оператору и есть технические условия.
  • Собирать информацию для решения коммерческих и государственных задач, если это не противоречит ФЗ №152-ФЗ.

Есть и исключения. Так, оператор не может обрабатывать специальные категории ПДн: сведения о национальности, расе, вероисповедании, состоянии здоровья, интимной жизни (ст. 10 ФЗ №152-ФЗ). С ними можно работать только с письменного согласия владельца, за исключением случаев, предусмотренных ч.2 и 2.1 ст. 10 ФЗ №152-ФЗ.

Обязанности оператора

Согласно ст. 18 ФЗ №152-ФЗ, при сборе ПДн оператор обязан предоставить владельцу по его просьбе информацию о подтверждении факта и сроках обработки, целях и методах, наименовании и местонахождении оператора, о передаче сведений в другое государство.

Какие еще есть обязанности у оператора до осуществления обработки персональных данных или после:

  • Запросить у субъекта согласие, если оно требуется по закону.
  • Отправить в Роскомнадзор (РКН) уведомление о начале обработки ПДн.
  • Оповестить Роскомнадзор об изменениях в первоначальном уведомлении, о прекращении деятельности.
  • Отвечать на запросы РКН в течение 10 рабочих дней, если законом не предусмотрен иной срок.
  • Уведомить ведомство об утечке конфиденциальной информации в течение 24 часов, о результатах расследования по факту несанкционированного доступа - в течение 72 часов.
  • Хранить базы данных российских граждан на территории РФ.
  • Предоставлять в РКН только достоверные сведения, своевременно обновлять их.
  • Обеспечить надежную защиту ПДн при сборе, обработке и хранении.
  • Оформить ряд организационных документов оператора: политику обработки, акт обследования или уровня защищенности данных, положение о защите ПДн, форму согласия на обработку, типовые договоры с клиентами и контрагентами, журнал учета обращения субъектов ПДн.

Ответственность за невыполнение обязанностей

В большинстве случаев организации и ИП за нарушения положений ФЗ №152-ФЗ привлекаются к административной ответственности. За незаконную обработку предпринимателю грозит штраф до 25 000, компании - до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

Если оператор не предоставил владельцу ПДн сведения об обработке, для ИП штраф составит до 30 000, для юридического лица - до 80 000 рублей (ч. 4 ст. 13.11 КоАП РФ).

За неотправленное уведомление о начале работы с ПДн индивидуального предпринимателя могут оштрафовать на 500, организацию - на 5 000 рублей (ст. 19.7 КоАП РФ). Но с 30 мая 2025 года штрафы вырастут до 300 000 рублей.

Уголовная ответственность наступает при злоупотреблении оператором данных своими правами, если это повлекло тяжкие последствия, совершено организованной группой или сведения о субъекте получены незаконным путем. По ст. 272.1 УК РФ виновному грозит до 10 лет лишения свободы и крупный штраф.

Заключение

Оператор сам определяет цели и способы обработки ПДн и несет ответственность за их безопасность. Он вправе собирать, обрабатывать и передавать данные третьим лицам в случаях, предусмотренных законодательством. Однако обязанности строже: получение согласия, уведомление Роскомнадзора, защита данных и реагирование на утечки. Нарушения могут повлечь серьезные штрафы или уголовную ответственность. Чтобы избежать этого, нужно строго соблюдать положения ФЗ №152-ФЗ.

Задайте вопрос

В ближайшее время свяжется специалист для уточнения всех деталей

Обязательно отметьте поля ниже *