Любая информация, позволяющая прямо или косвенно установить конкретное физическое лицо, является персональными данными и подлежит защите в соответствии с действующим законодательством Российской Федерации.
Обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, является основной целью Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Законодательство возлагает на юридических лиц, организующих или осуществляющих обработку персональных данных, необходимость принятия достаточных мер для защиты персональных данных.
Обязанность хозяйствующих субъектов, осуществляющих в процессе своей деятельности обработку персональных данных, предоставить, за исключением установленных законодательством случаев, в уполномоченный орган уведомление об обработке (намерении осуществлять обработку) персональных данных, предусмотрена ч. 1 ст. 22 Федерального закона «О персональных данных».
Кроме того, часть 7 указанной статьи возлагает на операторов, включенных в реестр, обязанность по поддержанию предоставленной информации в актуальном состоянии путем предоставления информационных писем о внесении изменений в реестр операторов персональных данных.
Анализ причин не предоставления операторами в уполномоченный орган указанных уведомлений и информационных писем свидетельствует, что: во-первых, часть операторов не располагает сведениями о наличии обязанности по регистрации в реестре, или полагает, что в ходе деятельности обработку персональных данных не осуществляют; во-вторых, ряд хозяйствующих субъектов считает, что включение их в реестр повлечет за собой проверку уполномоченным органом на предмет исполнения требований законодательства в сфере персональных данных; в-третьих, наиболее частой причиной отказа оператора предоставить уведомление является заблуждение в части осуществления действий с персональными данными, подпадающих под предусмотренные законодательством исключения.
Стоит отметить, что под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Таким образом, любое юридическое или физическое лицо, располагающее персональными данными своих сотрудников (как действующих, так и уволенных), клиентов, абонентов, обучающихся и иных субъектов персональных данных, и производящее их сбор, хранение, передачу или иные действия, осуществляет обработку персональных данных и является оператором персональных данных.
Отсутствие в реестре операторов персональных данных на практике является одним из критериев включения организации, осуществляющей обработку персональных данных значительного числа физических лиц, либо обработку специальных категорий персональных данных (сведения о состоянии здоровья, национальной принадлежности, наличии судимости и др.) в план проверок на очередной календарный год.
Анализ результатов контрольно-надзорной деятельности свидетельствует, что в большинстве случаев представляемая хозяйствующими субъектами информация об осуществлении обработки персональных данных только в подпадающих под исключения случаях действительности не соответствует, что влечет административную ответственность.
Так, к наиболее часто встречающимся на практике случаям осуществления обработки персональных данных, когда операторы ошибочно относят свою деятельность к подпадающей под исключения, относятся: