Выяснилось, что все организации Российской Федерации, вне зависимости от формы собственности и организационно-правовой формы, обязаны уведомить Роскомнадзор об обработке персональных данных и иметь комплект документов по информационной безопасности. Иначе грозят большие штрафы вплоть до закрытия. Если речь идем о маленькой организации, состоящей из пяти человек (магазин), которая не собирает с клиентов персональные данные, надо ли такой организации регистрироваться как оператору персональных данных?
В соответствии с ч. 1 ст. 1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Законо персональных данных) этим законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, т.е. позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
В случае если организация осуществляет обработку персональных данных своих сотрудников, т.е. осуществляет любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, то организация должна соблюдать требования Закона о персональных данных.
В соответствии с п. 7 ст. 86 Трудового кодекса РФ защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами. Данное положение означает, что работодатель должен обеспечить правовые, организационные и технические меры по защите персональных данных своих работников.
Таким меры предусмотрены в ч. 1 ст. 18.1 Закона о персональных данных.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона о персональных данных;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Иные меры предусмотрены в ст. 19 Закона о персональных данных.
При этом сообщаем, что организации, которые осуществляют обработку исключительно в соответствии с трудовым законодательством, вправе осуществлять обработку без подачи уведомления в Роскмонадзор (п. 1 ч. 2 ст. 22 Закона о персональных данных).