Ольга Михеева:

По словам Ольги Михеевой, заместителя начальника юридического отдела управления Роскомнадзора по Москве и области, все компании в России обрабатывают персональные данные, но не все являются операторами персональных данных. Однако чем отличается оператор от просто компании, из определения закона понять трудно. Но операторы связи (к ним волей закона отнесены и компании, участвовавшие во встрече) точно являются в том числе и операторами персональных данных. Операторам не требуется посылать уведомление в Роскомнадзор и подписывать согласие у своих клиентов, поскольку сбор данных выполняется ими в рамках договоров - это предусмотренное законом послабление. По этой же причине не требуется уведомлять Роскомнадзор об обработке данных собственных сотрудников, поскольку они также собираются в рамках исполнения трудового законодательства.

Однако, если продажами услуг операторов занимается агентская компания, то ей уже требуется получать от клиентов разрешение на передачу персональных данных собственно оператору связи, а также уведомлять Роскомнадзор в том случае, если агентам по какой-либо причине приходится сохранять данные клиентов в своей информационной системе. Впрочем, в течение трех дней агент может, не нарушая закона, хранить данные, но по истечении этого срока должен их уничтожить. Трехлетнего срока вполне достаточно для передачи данных собственно оператору связи. Точно так же, если оператор не сам обрабатывает персональные данные, а отдает их хранение на аутсорсинг, то он должен получить согласие на такую процедуру со стороны владельца персональных данных, а также послать уведомление об обработке данных в Роскомнадзор.

Следует отметить, что отсутствие необходимости уведомлять Роскомнадзор об обработке персональных данных не снимает с компании ответственности по их защите. И Роскомнадзор имеет право проверить любую компанию на предмет соблюдения закона "О персональных данных", если на нее будет подана соответствующая жалоба.

Есть и еще одна тонкость: хотя Роскомнадзор принимает в качестве цели обработки персональных данных соответствие требованиям других ведомств (например, в части СОРМ), по заявлению конкретного гражданина об уничтожении его персональных данных оператор должен в трехдневный срок уничтожить данные этого человека - в этом случае ссылка на другие законы уже в расчет не принимается. Таким образом, оператор должен предусмотреть процедуру уничтожения персональных данных своих клиентов по их специальному запросу.

Кроме того, Роскомнадзор призывает операторов правильно формулировать цели обработки персональных данных - не только во время обслуживания по действующему контракту, но и на время архивного хранения в течение сроков, установленных другими подзаконными актами. Это относится к хранению персональных данным не только клиентов (требования СОРМ), но и собственных сотрудников в соответствии с трудовым и налоговым законодательством.

В то же время Алексей Шишов, председатель совета директоров V-Lux, занимающейся строительством сетей кабельного телевидения, отметил, что данные, которые требуются оператору для соблюдения требований СОРМ и других законодательных актов, позволяют квалифицировать системы обработки данных до второго класса защищенности. В этом случае операторы не могут самостоятельно защищать подобные базы данных, а должны привлекать для построения защиты лицензиатов ФСТЭК.

Закон "О персональных данных" требует серьезного изменения договоров практически всех компаний - в них должны появиться пункты, описывающие работу с персональными данными клиентов. Поэтому при подписании договоров с операторами связи стоит присмотреться к тем частям договора, которые описывают правила работы с персональными данными. В частности, в них могут появиться пункты о передаче ваших данных самым неожиданным организациям. При выявлении подобных нарушений стоит обращаться с жалобой в Роскомнадзор.