Оператор персональных данных

Оператор персональных данных (согласно закону РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных») — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Оператор обязан обеспечивать конфиденциальность персональных данных. Оператор персональных данных не имеет права обрабатывать данные без согласия субъекта персональных данных, то есть человека, кому эти данные принадлежат. Однако, в ст. 6 ч.2 ФЗ-152 предусмотрен ряд случаев, когда согласие субъекта не требуется.
В частности, не требуется согласие субъекта, если его персональные данные обрабатываются на основании Федерального закона, определяющего цель и содержание такой обработки (ст. 6, п.2, ч.2). Например, согласно Федеральному закону № ФЗ-3266-1 «Об образовании», у выпускников средних общеобразовательных учреждений не обязательно брать согласие на обработку их персональных данных для допуска к ЕГЭ. Органы и организации, привлекаемые к проведению ЕГЭ, осуществляют «…передачу, обработку и предоставление полученных в связи с проведением единого государственного экзамена <…> персональных данных обучающихся, участников единого государственного экзамена <…> в соответствии с требованиями законодательства Российской Федерации в области персональных данных без получения согласия этих лиц на обработку их персональных данных» (ст. 15, п. 5.1). В апрельском номере журнала «Персональные данные» есть большой материал (недоступная ссылка), посвященный именно этой проблеме.
Ещё один случай, когда для обработки персональных данных не требуется согласие субъекта: исполнение договора, одной из сторон которого является субъект персональных данных. Для примера подойдет любой договор компании с физическим лицом на оказание услуг. Массу полезной информации по этой теме можно найти в специализированной прессе. Оператор также должен обеспечивать необходимые организационные и технические меры для пресечения попытки незаконного доступа к персональным данным.

Каждый оператор персональных данных обязан иметь пакет документов, подтверждающих защищенность ПДн сотрудников и клиентов.

Перечень необходимых документов может меняться в зависимости от специфики обработки персональных данных, орг.структуры и других особенностей каждого отдельно взятого предприятия.

В соответствии с данным пакетом документов на предприятии должны быть внедрены технические средства защиты персональных данных.

Существует несколько способов подготовить документы в соответствии с требованиями 152-ФЗ «О персональных данных»:

• Подготовка пакета своими силами на базе имеющихся в свободном доступе шаблонов документов;
• Подготовка при помощи системного интегратора — средний бюджет проекта обычно составляет не менее 300 тысяч рублей, а сроки исполнения от полугода^{[источник не указан 4676 дней]};
• Подготовка при помощи автоматизированных сервисов (систем).

Практически в каждой организации имеется информационная система персональных данных (сокращённо ИСПДн), которая может содержать, например, фамилию, имя работника, его паспортные данные, ИНН и т. д. С этой информационной системой работает оператор. В зависимости от того, какие данные содержатся в ИСПДн конкретной организации, эта ИСПДн может относиться к одному из четырёх классов, каждый из которых предусматривает различные средства для защиты персональных данных.

• Персональные данные
• Защита персональных данных
• Согласие на обработку персональных данных
• Обработка персональных данных
• Субъект персональных данных
• Федеральный закон «О персональных данных»

• www.rsoc.ru Реестр операторов, осуществляющих обработку персональных данных Архивная копия от 10 февраля 2012 на Wayback Machine
• www.pd.rsoc.ru Портал персональных данных Уполномоченного органа по защите прав субъектов персональных данных Архивная копия от 11 февраля 2012 на Wayback Machine