Кто такой оператор персональных данных
Оператор — это организация или физическое лицо, которые сами или совместно с другими организуют и (или) осуществляют обработку персональных данных, а также определяют цели и состав обрабатываемых данных. Проще говоря: если вы решаете, какие данные собирать и зачем — вы оператор. Сюда попадают почти все компании и ИП с сайтом, формами заявок, базой клиентов или сотрудниками.
Что должен делать оператор
- Иметь правовое основание обработки (чаще всего — согласие).
- Опубликовать политику обработки персональных данных и обеспечить к ней доступ.
- Обеспечить локализацию данных граждан РФ на серверах в России.
- При необходимости — подать уведомление в Роскомнадзор и попасть в реестр операторов.
- Принимать меры по защите данных и реагировать на запросы субъектов.
Нужно ли подавать уведомление и попадать в реестр
Большинство операторов обязаны уведомить Роскомнадзор об обработке персональных данных до её начала (статья 22 152-ФЗ). Исключения есть, но их нужно проверять по фактической схеме работы. Проверить себя можно в реестре операторов РКН, а как подать уведомление — на странице уведомления в Роскомнадзор.
ПДН Пилот покажет формы без согласия, отсутствие документов и сторонние сервисы с риском по 152-ФЗ.
Частые вопросы
Является ли ИП оператором персональных данных?
Да, если ИП собирает и обрабатывает данные клиентов, сотрудников или посетителей сайта. Обязанности оператора при этом во многом такие же, как у организаций.
Как проверить, есть ли компания в реестре операторов?
В открытом реестре операторов на сайте Роскомнадзора (pd.rkn.gov.ru) по названию или ИНН. Если вас там нет, а обработка идёт — стоит проверить обязанность подать уведомление.