Персональные данные. Заблуждение № 1

Персональные данные. Заблуждение № 1
Добрый вечер, дорогие читатели! Анализируя вопросы из области персональных данных, которые мне когда-либо задавали, я пришла к выводу, что они часто повторяются и среди них есть укоренившиеся заблуждения. Самое распространенное из них следующее:

В тех случаях, когда оператору не нужно подавать уведомление в Роскомнадзор, защищать персональные данные необязательно.

Дескать не подавая уведомление, мы оператором не являемся... Давайте разберемся, так ли это. 

Обратимся к положениям ФЗ "О персональных данных" (152-ФЗ). В части 2 статьи 22 указано:
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
...
Далее приведены 9 причин, по которым уведомление можно не подавать (в 3 части той же 22 статьи указано по какой именно форме подается уведомление, если Вы в исключение не попали). Итак мы видим, что оператор ВПРАВЕ осуществлять обработку без уведомления. Из этого все еще непонятно, нужно ли защищать персональные данные. Но уже ясно, что Роскомнадзор считает операторами и тех, кто уведомление не подал.

Кто же такой оператор? Обратимся к статье 3 того же закона.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, если в организации обрабатываются данные исключительно сотрудников и только в рамках трудового законодательства, то организация является оператором. Согласно статье 22 уведомление такой оператор не подает. А защищать-то их нужно? Все еще непонятно.

Обратимся уже к 19 статье:
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Оператор защищать персональные данные все же обязан.


Какие выводы можно сделать из всего вышеуказанного?
1. Любая организация, обрабатывающая персональные данные и определяющая цели такой обработки, состав персональных данных - является оператором (статья 3 ФЗ № 152).
2. Организация вправе не подавать уведомление об обработке в Роскомнадзор в определенных законом случаях, но при этом она является оператором (статья 22).
3. Защита персональных данных - неотъемлемая обязанность оператора (статья 19).

Ну что ж, как говорится, в реестре можешь ты не быть, но базу защищать обязан :)

Продолжение следует...

Страница блога Вконтакте: http://vk.com/kshudrova
Блог: http://shudrova.blogspot.ru/


Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

Ксения Шудрова

эксперт по информационной безопасности, аспирант Сибирского государственного аэрокосмического университета