Оператор персональных данных, это не только крупная компания, банк или государственная структура. В реальности оператором по 152-ФЗ может быть почти любой бизнес, если он собирает, хранит, использует или передаёт сведения о физических лицах.
Поэтому вопрос «кто является оператором персональных данных» важен не в теории, а на практике. От ответа на него зависит, нужно ли вашей компании оформлять документы, проверять сайт, подавать уведомление в Роскомнадзор и выстраивать процессы обработки персональных данных.
Кто такой оператор персональных данных
Если говорить простыми словами, оператор персональных данных, это лицо или организация, которые:
- организуют обработку персональных данных
- сами обрабатывают персональные данные или поручают это другим
- определяют цели обработки
- определяют состав данных
- определяют, какие действия с данными будут выполняться
То есть оператор, это тот, кто управляет обработкой данных, а не просто случайно увидел чужой телефон или email.
Кто считается оператором персональных данных на практике
Оператором может быть:
- ООО
- ИП
- самозанятый в отдельных сценариях
- работодатель
- интернет-магазин
- онлайн-школа
- медицинская или образовательная организация
- компания с сайтом и формами заявок
- кадровое агентство
- агентство, ведущее клиентские базы
Если у вас есть сотрудники, сайт, CRM, email-рассылки, форма обратной связи, заявки, резюме или договоры с физическими лицами, вероятность того, что вы уже оператор персональных данных, очень высокая.
Когда сайт делает вас оператором персональных данных
Многие думают, что оператором становится только тот, кто хранит паспортные данные или специальные категории сведений. На самом деле уже обычный сайт с формой может создать обязанности по 152-ФЗ.
Например, если на сайте есть:
- форма заявки
- обратный звонок
- подписка на рассылку
- личный кабинет
- онлайн-чат
- анкета кандидата
и данные уходят в CRM, на почту, в таблицу или подрядчику, это уже полноценная обработка персональных данных.
Какие обязанности есть у оператора персональных данных
У оператора нет одной обязанности, у него есть целый набор задач.
1. Понять, какие данные он обрабатывает
Нужно определить:
- какие данные собираются
- чьи это данные
- откуда они поступают
- где хранятся
- кто имеет к ним доступ
2. Определить цели обработки
Это один из ключевых элементов compliance. Без понятных целей невозможно корректно составить ни политику, ни согласия, ни уведомление.
3. Определить правовые основания
Нужно понимать, на каком основании идёт обработка: согласие, закон, договор, трудовые отношения и так далее.
4. Подготовить документы
Обычно оператору нужны:
- политика обработки персональных данных
- локальные акты и регламенты
- формы согласий, если они нужны
- документы по кадровому контуру
- порядок реагирования на обращения субъектов
5. Проверить вопрос уведомления в Роскомнадзор
Для многих операторов уведомление является не опцией, а обязанностью, которую нужно отдельно проверить.
6. Обеспечить меры защиты
Оператор должен не только собирать данные законно, но и организовать их защиту, хранение, разграничение доступа и удаление.
Самые частые ошибки операторов
Ошибка 1. Считать, что оператором является только крупный бизнес
На практике оператором часто является и небольшой ИП с сайтом и клиентской базой.
Ошибка 2. Думать, что если данные собирает подрядчик, обязанностей нет
Если подрядчик собирает данные по вашей задаче, это не снимает с вас роли оператора.
Ошибка 3. Смешивать все процессы в одну кучу
Данные сотрудников, клиентов, кандидатов и посетителей сайта лучше разделять по целям и документам.
Ошибка 4. Ограничиваться одной страницей политики
Политика на сайте, это только часть обязанностей оператора, а не вся система compliance.
Как понять, что вы уже оператор
Проверьте себя по простому чек-листу:
- у вас есть сайт с формами
- вы храните контакты клиентов
- вы ведёте кадровый учёт сотрудников
- вы получаете резюме кандидатов
- вы работаете с CRM
- вы передаёте данные подрядчикам
- вы используете email, телефон, мессенджеры и аналитику для работы с пользователями
Если хотя бы часть этих пунктов про вас, скорее всего вы уже оператор персональных данных.
Что делать оператору первым делом
Базовая последовательность выглядит так:
- Провести инвентаризацию всех потоков персональных данных.
- Разделить данные по категориям субъектов.
- Зафиксировать цели обработки.
- Проверить основания обработки.
- Подготовить или обновить документы.
- Проверить сайт и формы.
- Отдельно разобрать вопрос уведомления в Роскомнадзор.
Короткий вывод
Оператор персональных данных, это почти любой бизнес, который работает с информацией о людях. Не важно, крупная у вас компания или маленькая, если вы собираете данные клиентов, сотрудников, кандидатов или пользователей сайта, обязанности по 152-ФЗ уже нужно разбирать предметно.
FAQ
Кто является оператором персональных данных?
Оператором является лицо или организация, которые определяют цели и способы обработки персональных данных и фактически организуют такую обработку.
ИП тоже может быть оператором персональных данных?
Да, ИП тоже может быть оператором, если работает с персональными данными.
Если сайт собирает заявки, я уже оператор?
В большинстве случаев да.
Нужны ли оператору документы по 152-ФЗ?
Да, обычно нужен комплект документов, а не только страница политики на сайте.
Должен ли оператор подавать уведомление в Роскомнадзор?
Во многих случаях да, но это нужно проверять по конкретной модели обработки данных.
Что почитать дальше
- Что такое персональные данные
- Нужно ли подавать уведомление в Роскомнадзор
- Политика обработки персональных данных
- Требования 152-ФЗ к сайту
CTA
Если вы не уверены, являетесь ли оператором персональных данных и какие обязанности уже на вас лежат, самый правильный старт, это короткая проверка процессов. Обычно после неё сразу видно, какие документы нужны, есть ли обязанность по уведомлению и где у бизнеса реальные риски.