Кто может являться оператором персональных данных?
Оглавление
- 1 Кто может являться оператором персональных данных?
- 2 Нужно ли согласие клиента на обработку персональных данных?
- 3 Что включает в себя понятие конфиденциальности?
- 4 Вправе ли физическое лицо представлять персональные данные своих близких родственников?
- 5 В каких случаях оператор персональных данных вправе осуществлять обработку без уведомления уполномоченного органа по защите прав субъектов персональных данных?
В соответствии п. 2 ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Операторами ПД указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
Организации туристского и гостиничного бизнеса входят в категорию операторов, занимающихся обработкой персональных данных. Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение и уничтожение персональных данных составляют основу их обработки. Турфирма, работающая с клиентами (физическими лицами), занимается сбором и передачей персональных данных третьим лицам в рамках заключенного с туристом договора.
Нужно ли согласие клиента на обработку персональных данных?
Главным условием обработки персональных данных является согласие лица, сведения о котором попадают к организации. Но, как и в любом правиле, в этой норме есть ряд исключений, делающих ее более гибкой и применимой на практике.
Обработка персональных данных может производиться без согласия клиента, если это предусмотрено федеральным законом. В сфере туризма данное исключение не предусмотрено. Ни в Законе об основах туристской деятельности, ни в Правилах оказания услуг по реализации туристского продукта нет нормы, позволяющей турфирмам получать и обрабатывать сведения о туристах без их согласия.
Что включает в себя понятие конфиденциальности?
В соответствии со ст. 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Вправе ли физическое лицо представлять персональные данные своих близких родственников?
Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.
В каких случаях оператор персональных данных вправе осуществлять обработку без уведомления уполномоченного органа по защите прав субъектов персональных данных?
Оператор персональных данных до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку таких данных (п. 1 ст. 22 Закона). Но как и в отношении получения согласия на обработку персональных данных, есть ряд исключений, когда не нужно уведомлять контролирующие органы:
1. Организация вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку личных сведений работников, которых связывают с оператором трудовые отношения. Заметим, в этом контексте не идет речь о гражданско-правовых отношениях, поэтому применительно к лицам, работающим по договорам подряда или возмездного оказания услуг, воспользоваться данной нормой не удастся.
2. Без уведомления организация может обрабатывать данные, полученные в связи с заключением договора, стороной которого является субъект персональных данных. Но при этом требуется выполнить ряд дополнительных условий. Персональные данные не должны распространяться и представляться третьим лицам без согласия субъекта персональных данных. Последнее условие состоит в том, что персональные данные используются организацией исключительно для исполнения договора и заключения договоров с субъектом персональных данных. Выполнение перечисленных условий дает право турфирме (гостинице) не уведомлять управление Роскомнадзора о том, что она занимается обработкой персональных данных. Если не выполнено хотя бы одно из условий, то организации нужно позаботиться об уведомлении уполномоченного органа, чтобы не нарушить закон.
В заключение, обращаем внимание, что даже если оператор персональных данных не обязан уведомлять уполномоченный орган о начале обработки ПД, то при получении запроса от территориального органа Роскомнадзора он обязан предоставить необходимую информацию в течение тридцати дней с даты получения такого запроса (ч.4 ст.20 Закона N 152-ФЗ). Невыполнение в установленный законом срок подобного требования может повлечь привлечение оператора к административной ответственности по ст. 19.7 КоАП РФ, поскольку право оператора осуществлять обработку персональных данных без уведомления территориального органа Роскомнадзора не освобождает его от исполнения запроса уполномоченного органа в порядке и сроки, предусмотренные законом