Оператор персональных данных — это любое юридическое лицо, деятельность которого связана с необходимостью обработки данных граждан, размеры и форма собственности компании значения не имеют. На практике таким оператором является любая организация, использующая наемный труд сотрудников, так как этот процесс связан с необходимостью заполнения анкет, подачи документов, внесением данных в базу и т. д.

Получение лицензии

В целях безопасности хранения и передачи личной информации предусмотрена аттестация и получение лицензии для компаний, все они подлежат в несению в реестр операторов персональных данных Роскомнадзора.
Процедура получения лицензии состоит из нескольких этапов:

• уведомление Роскомнадзора о намерении обрабатывать информацию при помощи средств автоматизации;
• проведение обследования информационных систем;
• проектирование системы защиты с учетом компьютерной техники и средств автоматизации;
• приобретение и внедрение средства защиты;
• приведение всех помещений в соответствие с требованиям по электропитанию, охране, пожарной безопасности и т. д.;
• проведение повышения квалификации работников в области защиты личной информации, аттестация.

После проведения мероприятий гарантирована защита информации при их хранении и передаче посредством коммуникационных линий.

Уведомление в Роскомнадзор

Роскомнадзор ведёт реестр операторов осуществляющих обработку персональных данных — в него входят компании, выполняющие требования соответствующего закона. Любая организация должна подавать уведомление, несоблюдение этого требования считается нарушением законодательства. Документ должен быть отправлен до начала обработки личной информации, это должно быть сделано в первые несколько дней после регистрации предприятия. Даже если уведомление подается позднее, дата начала обработки должна совпадать с датой регистрации компании. Документы для регистрации в реестре операторов персональных данных могут быть поданы по электронной или обычной почте, процедура регистрации не превышает 30 дней.

Форма уведомления содержит следующую информацию:

• наименование и адрес компании, ИНН, ОГРН, телефон, номера лицензий;
• цели и правовое основание обработки личной информации согласно уставу;
• фактическая дата начала обработки;
• описание мер и средств защиты;
• условия прекращения сбора информации/конкретная дата прекращения;
• действия с ПД и методы их обработки;
• категории подлежащих обработке персональных данных;
• информация о лице, ответственном за хранение и обработку ПД.

После заполнения соответствующего уведомления на сайте Роскомнадзора организации присваивается номер и секретный ключ, они потребуются при проверке статуса уведомления и получения сведений, когда документ попадет в реестр надзорного органа. Вся информация является общедоступной, сведения подаются один раз, организация должна информировать Роскомнадзор о всех изменениях указанных в уведомлении сведений не позднее, чем через 10 дней.

Права и обязанности оператора персональных данных

В соответствии с законодательством оператор получает следующие обязанности:

1. Обеспечение безопасности обработки информации, принятие всех необходимых технических и информационных мер.
2. Уведомительный характер обработки — необходимость уведомить Роскомнадзор о соответствующем намерении.
3. Получение письменного разрешения у субъектов персональных данных на их обработку.
4. Предоставление субъекту ПД всех сведения о нем, условиях и целях обработки, способах защиты личной информации. Обеспечение уничтожения, блокировки, внесения изменений после предоставления субъектом сведений о том, что что информация является неполной, устаревшей, недостоверной, полученной незаконно или не являющейся необходимой.
5. Предоставление доказательства получения письменного согласия субъекта на хранение и обработку его личной информации.